Добрый день.
Эту заметку о том, как начать перемещаться по интернету, почти не рискуя подхватить заразу, я хотел назвать «Сейф в танке», но потом понял, что название должно соответствовать сути (идее простой организации
безопасного сёрфинга в сети), а не реализации (хранения ценных вещей в сейфе, находящемся в активно отстреливающемся танке).
Про
отключение автоматического запуска вирусов с USB-устройств мы уже давно говорили. Сейчас же давайте перейдём к самому активному каналу распространения вирусов — интернету.
Первую часть о том, что бывают компьютерные вирусы, уязвимости браузеров и операционных систем, exploit packs, человеческая глупость и т.д. мы пропустим, потому что это и так все знают.
Вторая часть состоит из трёх абзацев, рассказывающих с разных сторон о том, что очень легко иметь иллюзию защищённости (и с пеной у рта доказывать, что это не иллюзия, а именно защищённость). Если у вас таких иллюзий нет, то можете смело переходить к третьей части.
Во-первых, многие наивно думают, что если у них установлен Касперский/DrWeb/NOD32/Avira/.../Outpost/AtGuard/..., а кроме того регулярно обновляются операционная система, антивирусные базы, браузер и флешовый плагин, то они защищены. Конечно, это не так. Антивирусы и firewall'ы при правильной настройке могут уберечь от многих угроз. Но странно надеяться, что они гарантируют полную безопасность.
Во-вторых, загляните на страницы сервисов проверки актуальности своих браузеров и плагинов:
SurfPatrol и
QualysBrowserCheck. Многие в этот момент неожиданно для себя выяснят, что хоть браузер регулярно и обновлялся, хоть флешовый плагин периодически и «вылезал красным прямоугольником» (и тоже обновлялся), но в системе установлено ещё несколько опасных плагинов (старые версии просмотрщиков PDF, всякая JAVA и т.д., про уязвимости которых уже давно известно, но они автоматически не обновляются). Это должно хоть чуть-чуть снизить самоувернность самых самоуверенных (и послужить поводом для удаления неиспользуемых или обновления нужных плагинов, чтобы закрыть хотя бы явные дыры).
В-третьих, некоторые считают, что если они «всегда работают под пользователем с урезанными правами, а не под администратором», то им ничего не грозит. Опять же, легко найти в сети массу статей про очередные закрытия уязвимостей, позволяющих повышать права до администраторских (а это наводит на мысль, что могут быть ещё не обнаруженные уязвимости). Другими словами, обязательно стоит работать с ограниченными правами, чтобы, если случайно будет запущено что-то опасное, оно
с гораздо меньшей вероятностью поразило всю систему. Но это не панацея. Это как антивирус — почти всегда лучше с ним, чем без него. Но он не гарантирует полную защиту, а лишь закрывает от некоторых известных проблем.
Переходим к третьей части. Хватит этих банальных страшилок! Давайте посмотрим на рецепт безопасного сёрфинга в сети от Ильи Весеннего:
1. Выключите все электронные приборы и никому не позволяйте их включать.
Нет, не так. Это, конечно, тоже сработает в большинстве случаев, но есть кое-что более эффективное (в том смысле, что следующее решение позволит пользоваться интернетом).
1. Установите бесплатный VirtualBox (или любую другую систему виртуализации, которая вам нравится). Это просто — скачайте несколько десятков мегабайт
с сайта производителя и установите программу (есть версии под Windows, Linux, OS X и Solaris). Там уже давно всё переведено на русский язык, поэтому разобраться с установкой и настройкой сможет каждый.
2. Есть как минимум два варианта:
2.1 Если вам хочется попробовать мой рецепт, то скачайте лёгкий «BrowserLinux 501» (или образ любого другого liveCD linux, который содержит браузер, Flash, PDF-reader и что вам ещё нужно в интернете). Это просто — скачайте с
сайта производителя 93 мегабайта.
2.2 Если вам хочется более свежий браузер, поддержку хитрых видео-кодеков, установленную Google Picasa и ещё вагон всего, то
скачайте образ EasyPeasy (он потяжелее, но и содержит больше).
(в любом случае, вы всегда сможете сменить систему на ту, которая вам больше нравится, я лишь предложил попробовать два довольно крайних варианта)
3. Запустите VirtualBox, создайте виртуальную машину, которой:
а) можно ходить в интернет (надо разрешить сетевые карты),
б) у которой отсутствует жёсткий диск и есть разумное количество оперативной памяти (если возможно, то хотя бы 300-500 мегабайт стоит выделить),
в) в CD-приводе у неё iso-файл, который вы скачали в пункте 2.
4. Включите созданную виртуальную машину. Как только система загрузится, убедитесь, что её браузер работает, youtube-ролики в нём не тормозят, pdf-файлы открываются и т.д. Всё должно быть хорошо. В этот момент можно возрадоваться:
если вдруг в этой внутренней системе произойдёт сбой, какой-то коварный вирус с посещённого сайта воспользуется уязвимостью, то он заразит только внутреннюю систему [1]. А поскольку состояние внутренней системы мы не сохраняем (в любой момент можем выключить её, а потом заново запустить с неизменного iso-образа), то и излечение произойдёт автоматически.
5. Чтобы было удобнее, я делаю так: один раз загружаюсь в виртуальной системе с образа, настраиваю всё под себя, делаю «точку восстановления» (фактически, сохраняю состояние оперативной памяти виртуальной машины на диск физической машины). А потом, когда надо выйти в интернет, запускаю с этого самого состояния. Это позволяет в любой момент почти мгновенно вернуться в удобное стартовое состояние системы. Опять же, вирусы нас не волнуют [1], т.к. каждый раз мы запускаем систему из этого чистого состояния.
Именно таким образом я настраиваю компьютеры своим знакомым, которые ранее ловили win-locker'ов, sms-вымогателей денег за вход во вконтакте/одноклассники, фейковые обновления браузера и так далее. Теперь у таких людей на рабочем столе лежит ярлык с привычной синей буквой «e», который запускает VirtualBox с линуксом. Да, мне пришлось их чуть-чуть научить с этим управляться. Но теперь они достаточно надёжно защищены от интернет-вирусов, так как всегда ходят по сети только внутри виртуальной машины. Во всяком случае, никто ещё не смог словить заразу.
Теперь, когда вы знаете, как радикально снизить риски заражения при прогулках по интернету,
поделитесь со своими знакомыми ссылкой http://my-tribune.blogspot.com/2012/08/safe-browsing.html на этот рецепт. Пусть они тоже забудут про проблемы с вирусами.
Сноска [1]: Да, мы должны понимать, что есть риск, что подхваченный вирус не только сможет определить, что исполняется внутри виртуальной системы, но и будет знать какую-то уязвимость этой системы, что позволит ему вылезти наружу в родительскую систему (прямо как в фильме «Тринадцатый этаж», про который мы тоже говорили). Упоминаний о таких случаях я не смог найти, но теоретически такое возможно.
Поэтому всякие ответственные вещи (например, операции с финансами) следует делать на отдельном компьютере (можно купить старый ноутбук за пару тысяч рублей), спрятанным от внешних атак за firewall-ом, с которого посещается только сайт банка (т.е. firewall позволяет проходить на этот компьютер только пакетам от банка, блокируя все остальные). Это не панацея, но вероятность потерять деньги по вине вирусописателей падает на многие порядки.
В чём минусы этого подхода:
- Требуется больше процессорных ресурсов (но при современной мощи компьютеров это незаметно).
- Чуть сложнее обмениваться файлами с родительской системой (надо соблюдать правила безопасности, которые мы обсудим в комментариях и в одной из следующих заметок).
- Возникает чувство уверенности и защищённости, что может легко привести к глупому действию. А ведь вирус в систему можно получить не только через браузер!
А плюсы уже перечислены выше: можно заходить на сколь угодно завирусованный сайт (а это иногда приходится делать при поиске редких материалов), точно зная, что всё заражение произойдёт в виртуальной системе, которой скоро не станет, так как будет сделано восстановление из чистого состояния. Если раньше были все основания опасаться за чистоту компьютера, когда в гости приходили племяшки, то сейчас им можно создать отдельный виртуальный полигон, который не может быть жалко.
А как вы сами спасаетесь от интернет-угроз? Как настроили интернет своим родителям?
Безопасного интернета и хорошего дня!