Контрмеры ликвидация "потайных
Контрмеры: ликвидация "потайных ходов" и удаление "троянских коней"
Все приложения-серверы, создающие "потайные ходы", должны выполняться на целевом компьютере. Их нельзя запустить удаленно (конечно, если ранее удаленная система не стала "собственностью" хакера). Обычно это можно осуществить, воспользовавшись распространенными ошибками клиентов Internet и/или элементарным обманом. Возможно, взломщики применят оба подхода. Эти методы, а также возможные контрмеры, более подробно рассматриваются в главе 16. Здесь же стоит сказать лишь следующее: постоянно выполняйте обновление используемого клиентского программного обеспечения, предназначенного для работы в Internet, и тщательно осуществляйте его настройку.
Другая возможность закрытия всех "тайных лазеек" заключается в предотвращении внешнего доступа к тем открытым портам, которые обычно используются такими программами. Через соответствующие порты с большими номерами нам удавалось подключиться ко многим узлам с помощью брандмауэра. При этом подключение к запущенным серверам внутренних сетей превращалось в детскую игру. Полный список портов, используемых "троянскими конями" и приложениями, применяемыми для создания "потайных ходов", можно найти на Web-узле компании TLSecurity по адресу http://www.tlsecurity.net/trojanh.htm.
Уделяйте пристальное внимание вопросам контроля доступа к брандмауэрам из внутренней сети. Хотя более опытные взломщики могут настроить свои серверы и на использование портов 80 и 25 (которые практически всегда доступны для таких целей), это значительно сузит спектр их возможностей.
Для тех, кто хочет познакомиться с рассматриваемой проблемой поглубже и удостовериться в ее отсутствии в действующей сети, можно обратиться к базе данных компании TLSecurity по адресу http://www.tlsecurity.net/tlfaq.htm. Ее автор, группа Int-13h, провела кропотливую работу по сбору всеобъемлющей и подробной информации о том, где можно найти подобное программное обеспечение. (Возможно ли, чтобы в этой базе данных упоминалось каждое из таких средств? Познакомьтесь с содержащимся там перечнем.)
В настоящее время многие из антивирусных программных продуктов позволяют выполнять поиск всех подобных средств (перечень коммерческих производителей можно найти в базе данных компании Microsoft (Knowledge Base) в статье Q495000 по адресу http://search.support.microsoft.com). Специалисты Int_13h настоятельно рекомендуют использовать пакет AntiViral Toolkit Pro (AVP), который можно найти по адресу http://www.avp.com. Некоторые компании предоставляют средства, предназначенные для удаления "троянских коней" и ликвидации других "потайных ходов", например пакет TDS (Trojan Defense Suite). Его можно найти по адресу http: //www.multimania.com/ilikeit/tds .htm (еще одна рекомендация Int_13h).
Остерегайтесь волков в овечьих шкурах. Например, одно из средств удаления программы ВО, называемое BoSniffer, на самом деле является "троянским конем" и содержит саму программу ВО. Будьте осмотрительны в применении свободно распространяемых утилит поиска "троянских коней".
Программное обеспечение для создания "потайных ходов" и "троянские кони'' будут рассматриваться также в главе 14.