none
Безопасность. Службы администртрования. RRS feed

  • Вопрос

  • Здравствуйте, необходимо Ваше мнение по настройке (отключению) служб удаленного доступа и других настроек Windows 7 Starter с IE9  для предотвращения несанкционированного удаленного доступа .

    Ситуация следующая

    Пользуюсь ПК боле 10 лет. В ноябре  2012 г. обнаружила признаки повреждения и/или Удаленного доступа к моему компьютеру. Пользовалась данным нетбуком ASUS с ноября 2012г, лицензионным ПО,  Windows 7 Starter с IE9 , только DSL модемом С по проводу (без WI-FI), динамический IP-адрес, домашней сети нет, нетбук находился только дома, доступа посторонних лиц не было, установлен пароль для входа в систему, переносные носители других лиц исключаю, установлены антивирус и файервол. Пользуюсь почтой Яндекс в веб-интерфэйсе.
    3 января 2013 г обнаружила, что в письма повреждены, не сохранялись на жесткий диск. Повреждены Windows, программа «банк-клиент» и другие программы..
    В связи с тем, что пользуюсь интернет-платежами, до выяснения причин, приобрела аналогичный новый нетбук Asus в магазине (есть чек), которым также пользовалась только через интернет от МГТС с Kaspersky Internet Security 2013. Вскоре появилась аналогичные признаки повреждения. Жесткий диск форматирован Acronis Disk Director, в сервисном центре Asus диск проверен и установлена новая Windows 7 Starter (третья по счету), только лицензионное ПО, Kaspersky Internet Security 2013. Заменила Все почтовые адреса и пароли. Вскоре  при работе в интернете снова появились признаки повреждения IE 9, удаленного доступа – файлы проверочных программ Лаборатории Касперского из почты не скачивались, не сохранялись на жесткий диск, письма и приложения повреждались на моих глазах, не запускались программы проверки, исчезали и повреждались файлы с жестокого диска, не могла сделать printscreen и  отправить приложения по почте. Kaspersky Internet Security 2013 не предотвратил повреждений, более того, не запускался даже в Безопасом режиме Windows. Исследование системы антивирусами проводила при поддержке Лаборатории Касперского по телефону. В сохранившихся отчетах множественные сбои системы и  Kaspersky Internet Security 2013. По мнению техподдержки Лаборатории Касперского, а также личному мнению сотрудников МГТС и банков, такое возможно только при целенаправленной профессиональной атаке на компьютер.

    15 февраля 2013 г. 12:31

Все ответы

  • Жуть какая. Вполне возможно ,что атака целенаправлена, если у вас на новой машинке такие же "чудеса" проявились. Я бы порекомендовал вам услилить безопасность системы с помощью ЕМЕТ- настройка довольно несложная для пользователя с 10-летним стажем. Почитайте подробно про программу, она закрывает целые классы атак. Хотя, конечно, не панацея.
    15 февраля 2013 г. 19:38
  • В чем смысл "целенаправленной профессиональной" атаки если у вас в результате система падает. Может вы на флешке одного и того-же зверя носите с работы и заражаете машину. А зверя коллеги собрали, сигнатур нет и антивирусами он не ловится.


    I'm preparing for the exam 70-660 TS: Windows Internals

    profile for sergmat at Stack Overflow, Q&A for professional and enthusiast programmers

    • Изменено sergmat 15 февраля 2013 г. 20:04
    15 февраля 2013 г. 20:00
  • Я как большой скептик думаю, что все это как то преувеличено. Если конечно на Ваших картах не лежат миллионы. У меня было три нетбука и все три прослужиле не более 8 месяцев каждый, проблема одна летели жесткие диски. Мне кажется, что здесь проблемы такого же характера или что-то похожее. Купите хороший ноутбук за нормальную цену, а не одноразовую "записную книжку - калькулятор".
    16 февраля 2013 г. 6:56
  • Спасибо!
    16 февраля 2013 г. 11:01
  • Спасибо! 3 нетбука, 5 систем повреждено после форматирования. Флешки исключаю, покупаю новые, со старых ничего не переношу.

    Система не падает полностью, но конкретные функции повреждаются. Повреждаются файлы избирательно ( фото и т.д.) Проблемы усугубляются при подключении к интернету + большой исходящий трафик. Заражение, предполагаю, произошло через почту, сейчас ее фанатично хотят уничтожить.

    Деньги с карты и банк-клиента уже пытались снять. И неважно сколько их.

    16 февраля 2013 г. 11:10
  • Спасибо! 3 нетбука, 5 систем повреждено после форматирования. Флешки исключаю, покупаю новые, со старых ничего не переношу.

    Система не падает полностью, но конкретные функции повреждаются. Повреждаются файлы избирательно ( фото и т.д.) Проблемы усугубляются при подключении к интернету + большой исходящий трафик. Заражение, предполагаю, произошло через почту, сейчас ее фанатично хотят уничтожить.

    Деньги с карты и банк-клиента уже пытались снять. И неважно сколько их.
    16 февраля 2013 г. 11:11
  • Закрутите гайки в системе ЕМЕТом и попробуйте посканировать ПК, загрузившись с Live CD, желательно разных производителей.

    http://support.kaspersky.ru/4131

    http://www.freedrweb.com/livecd/how_it_works

    Может, что-то и будет обнаружено...

    Вообще, конечно, раз такие дела, можно не учиться у нас тому, как отключать  подозрительные службы, производить диагностический запуск системы и тп, а отнести ноутбук профессионалам, которые гарантированно помогут. Или вы уже пытались к кому-то обратиться за профессиональной помощью?

    16 февраля 2013 г. 14:03
  • Спасибо! 3 нетбука, 5 систем повреждено после форматирования. Флешки исключаю, покупаю новые, со старых ничего не переношу.

    Система не падает полностью, но конкретные функции повреждаются. Повреждаются файлы избирательно ( фото и т.д.) Проблемы усугубляются при подключении к интернету + большой исходящий трафик. Заражение, предполагаю, произошло через почту, сейчас ее фанатично хотят уничтожить.

    Деньги с карты и банк-клиента уже пытались снять. И неважно сколько их.

    Попробуйте сменить провайдера.

    Если взломы целенаправлены, то скорее всего взломан кабинет поставщика интернет-связи.

    И постарайтесь использовать не нетбук, а ноутбук, с модулем защиты ТРМ.

    Конечно, такой ноутбук стоит дороже, даже чем обычный, но не дороже средств, которые вы теряете сейчас, и можете потерять в дальнейшем.


    Не ищи Бога, не в камне, не в храме - ищи Бога внутри себя. Ищущий, да обрящет.


    • Изменено piligrim2180 16 февраля 2013 г. 16:11
    16 февраля 2013 г. 16:11
  • Спасибо!

    Провайдера меняла, через пару часов те же проблемы. "Человек" деньги поставил + пытается затереть следы, письма и фото. Может будет полезно кому-то:

    почта в веб-интерфейсе, просто удалить-могут восстановить на сервере, IP видны. Заражается комп жертвы,( IE), письма и другие файлы по ключевым словам избирательно уничтожаются (переписываются). При этом меняется DKIM поврежденных писем , автора не найдешь. Ни один антивирус не видит. Украл пароли и пин-коды, и все.

    Кого Вы имеете в виду - специалисты-профессионалы? Есть рекомендации?

    18 февраля 2013 г. 13:16
  • Признаться, до этого про безопасность не очень думала. Никому не интересна была. Лучшая защита, конечно, не общаться с сомнительной публикой. такие вещи случайно очень редко происходят.
    18 февраля 2013 г. 14:47
  • Спасибо!

    Провайдера меняла, через пару часов те же проблемы. "Человек" деньги поставил + пытается затереть следы, письма и фото. Может будет полезно кому-то:

    почта в веб-интерфейсе, просто удалить-могут восстановить на сервере, IP видны. Заражается комп жертвы,( IE), письма и другие файлы по ключевым словам избирательно уничтожаются (переписываются). При этом меняется DKIM поврежденных писем , автора не найдешь. Ни один антивирус не видит. Украл пароли и пин-коды, и все.

    Кого Вы имеете в виду - специалисты-профессионалы? Есть рекомендации?

    Ещё раз повторю, что на нетбуках не устанавливаются модули защиты, поэтому бесполезно пытаться использовать их для хранения и работы с "секретными" данными.

    http://windows.microsoft.com/ru-RU/windows7/How-does-using-a-BitLocker-PIN-with-the-TPM-provide-a-higher-level-of-protection

    Каким образом ПИН-код BitLocker и доверенный платформенный модуль повышают уровень защиты?

    Шифрование диска BitLocker на диске операционной системы помогает повысить безопасность путем совместного использования доверенного платформенного модуля (TPM) и предоставляемого пользователем личного ПИН-кода. Данный ПИН-код является дополнительной мерой безопасности, обеспечивающей многофакторную проверку подлинности.

    По умолчанию мастер установки BitLocker включает BitLocker и настраивает его на использование доверенного платформенного модуля без ПИН-кода. Можно использовать групповую политику для настройки мастера установки, чтобы разрешить использование ПИН-кода.

    Мастер установки BitLocker можно настроить с помощью параметров групповой политики на возможность введения ПИН-кода, содержащего от 4 до 20 цифр. Если данная возможность была использована при настройке BitLocker, оборудование безопасности доверенного платформенного модуля выдаст ключи шифрования при запуске компьютера или его выходе из спящего режима, только если был введен правильный ПИН-код.

    Так как ПИН-код должен вводиться при каждом перезапуске и выходе их спящего режима, то разрешение использования ПИН-кода может оказаться нежелательным на компьютере, который требуется очень часто перезагружать, или в тех случаях, когда человек не может вводить ПИН-код после каждого перезапуска.

    Доверенный платформенный модуль также определяет атака перебором по словарю, когда кто-либо несколько раз пытается ввести случайные или последовательные ПИН-коды для получения доступа.

    Администраторы могут использовать групповую политику, чтобы требовать или запрещать создание ПИН-кода.

    Дополнительные источники информации


    Не ищи Бога, не в камне, не в храме - ищи Бога внутри себя. Ищущий, да обрящет.

    18 февраля 2013 г. 14:55
  • И ещё.

    Столь быстрый "взлом" может говорить о том, что, либо используют вашу интернет-почту, которая не имеет действенной защиты и пароля, который рекомендуется менять не реже одного раза в месяц, а то и чаще, при работе с конфиденциальной информацией.

    Или, вы пользуетесь беспроводным интернетом, и "сосед" ловит этот сигнал, взламывая именно ваш компьютер.

    И при "проводном" интернете, бывают случаи стороннего подключения, но, обычно, они сразу регистрируются самим провайдером, особенно, когда клиент обращается по поводу "падения" скорости интернета.

    И кстати, вы можете сами заносить на свой компьютер троянские программы, просто открывая вредоносные письма, со своего почтового ящика.


    Не ищи Бога, не в камне, не в храме - ищи Бога внутри себя. Ищущий, да обрящет.


    • Изменено piligrim2180 18 февраля 2013 г. 15:29
    18 февраля 2013 г. 15:27
  • piligrim2180, спасибо!

    беспроводным интернетом не пользуюсь, проводную сеть проверяли, один нет бук из магазина, не успела скачать обновления, никакой старой почты   - как уже "гости". мне самой интересно,
     скорее всего сканируют по МАК -адресу модема, он привязан к дом телефону и не менялся.
    В логах чего только нет.
    понимаю, что нет бук с легко взломать. но очень удобен для мобильной жизни.

        может быть есть  вариант поставить Вин  выше версию и настроить как-то с антивирусом

    и фа   ер  волом, хотя бы для ограниченного использования. не хочется совсем отказываться
     от нет бука

    Спасибо всем за мнения!
    18 февраля 2013 г. 16:30
  • piligrim2180, спасибо!

    беспроводным интернетом не пользуюсь, проводную сеть проверяли, один нет бук из магазина, не успела скачать обновления, никакой старой почты   - как уже "гости". мне самой интересно,
     скорее всего сканируют по МАК -адресу модема, он привязан к дом телефону и не менялся.
    В логах чего только нет.
    понимаю, что нет бук с легко взломать. но очень удобен для мобильной жизни.

        может быть есть  вариант поставить Вин  выше версию и настроить как-то с антивирусом

    и фа   ер  волом, хотя бы для ограниченного использования. не хочется совсем отказываться
     от нет бука

    Спасибо всем за мнения!

    Хороший ноутбук не менее мобилен, чем нетбук.

    Есть модели, правда намного дороже обычных, с матрицей 12 дюймов.

    На нетбук вы не установите ту версию Windows, которая позволит работать и с модулем защиты (которого нет на нетбуках), и с дополнительными мерами по шифрованию данных. (максимальная)

    И никакие антивирусы не смогут защитить ваши данные, так как это делает модуль защиты, и прилагающаяся к нему программа, от производителя, которые позволяют установить дополнительные пароли на папки и файлы.

    Такие пароли, обычно, хранятся на флешке, или записываются на бумаге, и хранятся в защищённом месте.

    И бесполезно менять провайдера, если "линия" остаётся, с привязанным адресом модема.

    http://ru.wikipedia.org/wiki/MAC-%D0%B0%D0%B4%D1%80%D0%B5%D1%81

    Смена MAC-адреса

    Существует распространенное мнение, что MAC-адрес жестко вшит в сетевую карту и сменить его нельзя или можно только с помощью программатора. На самом деле это не так. MAC-адрес легко меняется программным путем, так как значение, указанное через драйвер, имеет более высокий приоритет, чем зашитое в плату. Однако всё же существует оборудование, в котором смену MAC-адреса произвести невозможно иначе, как воспользовавшись программатором. Обычно это телекоммуникационное оборудование, например, приставки для IP-TV (STB).

    В Windows смену MAC-адреса можно осуществить встроенными средствами ОС — в свойствах сетевой платы, во вкладке «Дополнительно» для редактирования доступно свойство «Сетевой адрес» (англ. «Network Address»), позволяющее указать нужный MAC-адрес.

    p.s.

    Вот для смены Мак адреса и нужен доверенный специалист или сама замена модема.

    Хотя, в ноутбуках свой, встроенный модем, а современные роутеры, уже имеют собственную защиту.

    Только покупать нужно ноутбук с встроенным модулем ТРМ, а не дешёвые "поделки", которыми забиты прилавки.


    Не ищи Бога, не в камне, не в храме - ищи Бога внутри себя. Ищущий, да обрящет.


    • Изменено piligrim2180 18 февраля 2013 г. 22:29
    18 февраля 2013 г. 17:00
  • Вижу несколько проблем.

    1. Повреждения программ и данных, как правило, вызваны сбойными модулями оперативной памяти. Замените их и проверьте снова.

    2. Ни одна программа в мире, в том числе любые internet security 3000 или как их там, не могут обеспечить достойный уровень безопасности, а уж тем более гарантировать его. Они только снижают уровень угрозы, о предотвращении чего-либо речи быть не может. Just a business. Для обеспечения должного уровня защиты нужно применять комплекс мер, и магические программы "проинсталлируйте меня кнопкой next, я от всего защищу" в этом комплексе стоят на последнем месте.

    3. Безопасность начинается с разделения привилегий. Никогда не входите в систему с привилегиями Администратора без доказанной необходимости. Но на Starter этот вопрос внятно не решается. Windows Starter и безопасность — понятия друг от друга далёкие. На Starter невозможно нормально применить модель разделения привилегий пользователей, её место — в мусорнике.

    4. Зачастую доступ к почте через Web никак и ничем не шифруется. Пароль на web-почту в таких случаях — пустой звук. Более того, вся почта через Интернет пересылается в полностью открытом и доступном кому угодно виде, учитывайте это в своей работе. This is by design.

    5. Bitlocker имеет ограниченное применение. Эта технология может защитить от проникновения в выключенный компьютер. Но когда система загружена и уже работает, bitlocker никак и ничем не может предотвратить вирусное поражение, прослушивание трафика или взлом.

    6. Практически все эпидемии вирусов, распространяющихся через почту, останавливаются двумя мерами:  а) вовремя установленные обновления на систему и программы  б) политика "белых списков" программ, блокирующая запуск любых не описанных ранее программ. Но конфигурация таких правил может оказаться сложной для вас. Это может и должен сделать системный администратор.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    27 февраля 2013 г. 7:02
    Отвечающий