- Сообщения
- 8,462
- Реакции
- 5,494
ActiveX Control: См. “Browser Plug-in.”
Advertising Display Software: Любая программа, которая показывает рекламный контент.
Adware: Разновидность Advertising Display Software, которая отображает рекламный контент таким образом или в таком контексте, которые могут быть неожиданными или нежелательными для пользователя. Некоторые приложения adware включают в себя функции отслеживания пользовательских предпочтений, и поэтому классифицируются как Tracking Technologies. Часто используются для субсидирования определенного продукта или сервиса, но могут иметь злонамеренные цели навязчивого показа рекламного контента.
Alternate Data Stream (Альтернативные потоки данных): Расширение файловой системы NTFS обеспечивающее совместимость с файлами, созданными с использованием файловой системы Apple's Hierarchical File System (HFS). Приложения должны записать специальный код, если они хотят получить доступ и манипулировать данными, сохраненными в альтернативном потоке. Некоторые шпионские программы используют потоки для осложнения детектирования.
API (Application programming interface - Интерфейс для создания программ): Набор стандартных процедур, функций и инструментов для написанный той или иной программы. Упрощает работу программиста, предоставляя ему стандартные, заранее отлаженные программные "блоки", из которых можно собрать часть функциональности программы. В большинстве случаев API встроены в операционную систему. Например, Windows API содержит ряд функций, позволяющих программистам быстро создавать стандартный пользовательский интерфейс Windows для своих программ. Некоторые вредоносные программы могут использовать функции различных API в своих собственных целях. Это позволяет уменьшить размер вредоносной программы, переложив часть её функционала на стандартные процедуры операционной системы компьютера.
Automatic Download Software: Категория программ, выполняющая закачку и установку без использования интерактивного режима.
Back-Connect (Обратное соединение): Это инициализация telnet-соединения сервером к взломщику. Используется для обхода на взломанном сервере файрвола, препятствующего прямому соединению хакера с сервером.
Backdoors (Бэкдор): Программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. "Бэкдоры" по своей сути являются достаточно мощными утилитами удаленного администрирования компьютеров. Своей функциональностью они во многом напоминают легально распространяемые коммерческие системы администрирования. Классифицировать их как вредные троянские программы позволяет одна лишь особенность: отсутствие предупреждения пользователя об инсталляции и последующем запуске. Являются типом Remote Control Software.
Backup (Резервное копирование): Резервные копии программного обеспечения, баз данных, рабочих файлов и т. д. Создаются для восстановления информации в случае ее потери, например при поломке компьютера или при поражении вредоносной программой.
Bayesian filter: Спам-фильтр, использующий статистический алгоритм, созданный английским математиком Т. Байесом (T. Bayes). Способен к автоматическому до-обучению.
Beacon URL: Особый вид ссылки в html-формате, который позволяет проследить, прочел ли это письмо конкретный получатель. Сигнальная ссылка оформляется таким образом, чтобы адресат не замечал, что кликает на нее (например, в виде не отображающейся картинки).
Bitcoin (Биткоин): Электронная пиринговая валютная система. Это название также относится к программному обеспечению с открытым исходным кодом, созданному им, и одно ранговой сети, образованной этой программой. Хранилищем средств является файл кошелька, хранящийся на компьютере. Биткоин может быть отправлен любому пользователю в сети с использованием адреса Bitcoin.
BlueJacking: Анонимная посылка сообщений через Bluetooth на другие телефоны. Путем изучения эфира выявляются находящиеся рядом BT-телефоны. На них можно будет послать сообщение, картинку или мелодию. Сообщения обычно посылаются через «Контакты», когда сообщение пакуется в форму бизнес-карточки.
Bootkit (Буткит): Вредоносная программа, которая записывает свой код в Главную Загрузочную Запись (Master Boot Record) или загрузочную запись раздела (Volume Boot Record) на жёстком диске.Таким образом, при первом обращении к диску управление передаётся буткиту, который загружается в память и в дальнейшем маскирует своё присутствие, перехватывая и подменяя обращения к жёсткому диску. Загружаясь ещё до загрузки операционной системы, буткит может получить права администратора (суперпользователя) и выполнять любые вредоносные действия. Например, он может загрузить в память некоторую динамическую библиотеку DLL, которая вообще не существует на диске. Такую библиотеку очень трудно обнаружить обычными методами, используемыми антивирусами. Является типом программ класса Rootkit.
Botnet (Ботнет): это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или не одобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.
Browser Helper Object (BHO): См. “Browser Plug-in.”
Browser Plug-in: Программные компоненты, которые взаимодействуют с Web-браузером для расширения его возможностей и обеспечения дополнительных функций, не включенных в браузер. Типичными примерами являются плагины для отображения специфичных графических форматов, проигрывание мультимедийных файлов или добавление тулбаров, включающих сервисы поиска и антифишинга. Плагины могут выполнять так же потенциально нежелательные действия, такие как пере-направление результатов поиска, мониторинг использования браузера, мониторинг истории посещенных веб-сайтов или отображение рекламного контента. К классу плагинов относятся:
Bundling: Практика распространения некоторого набора программного обеспечения путем объединения в один установочный файл, во время установки такого пакета происходит установка нескольких программ. Во многих случаях, bundling является привычным способом дистрибьюции программного обеспечения. Однако, в некоторых случаях, возможно включение в такой установщик, потенциально нежелательных программных компонентов, таких как adware, тем более такие компоненты могут быть загружены и установлены против желания или без предупреждения пользователя.
CAPTCHA (произносится «капча»; сокращение от Completely Automated Public Turing test to tell Computers and Humans Apart): Полностью автоматизированный обратный тест Тьюринга, позволяющий отличить компьютер от человека. Используется на различных интернет-ресурсах, и позволяет убедиться, что новый посетитель является человеком, а не программой-роботом. CAPTCHA предлагает пользователю ввести идентичный демонстрируемому набор произвольных символов. Роботы не могут справиться с поставленной задачей, так как на картинках специально используются различные виды зашумления.
Carding: Вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией формграббера). Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.
Cookie: небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент (обычно веб-браузер) каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сессии доступа пользователя, ведения статистики о пользователях. (См. также Tracking Cookies.)
Crimeware: Категория вредоносных программ, разработанных специально для автоматизации совершения финансовых преступлений. Подобная автоматизация весьма многогранна. Это могут быть программы, отслеживающие появление на экране окна подключения к банковской системе с целью последующего перехвата вводимой в это окно секретной информации; это могут быть программы, копирующие содержимое буфера обмена в момент подключения к системам электронного платежа. В последнем случае расчет злоумышленника весьма прост — пользователь чаще всего не вводит свой пароль вручную в окно подключения к системе, а копирует его через буфер обмена из другого места, куда пароль был сохранен заранее. Фантазия злоумышленников безгранична и новые подходы получения доступа к счетам пользователей постоянно становятся все более изощренными. В качестве примеров семейств вредоносных программ категории Crimeware можно привести Trojan-Spy.Win32.Goldun, Trojan-Spy.Win32.Webmoner, всех представителей поведения Trojan-Banker и многие другие. Наибольшее число представителей категории Crimeware, безусловно, относятся к Trojan-Banker и Trojan-Spy, но согласно правилам поглощения, функциональностью для автоматизации совершения финансовых преступлений могут обладать представители вышестоящих поведений, а именно Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, Net-Worm, хотя и значительно реже, чем представители Trojan-Banker и Trojan-Spy.
Dialer (Дозвонщик): Разговорный термин, обозначающий Dialing Software.
Dialing Software: Любая программа, которая использует модем компьютера для звонков или доступа к определенным сервисам. Диалер является частью всех современных ОС, иногда их встраивают в менеджеры закачки. Помимо модемного соединения, диалеры заодно умеют налаживать соединения через GPRS, COM- и LPT-порты, VPN, PPPoE и т. д. Существуют вредоносные программы, использующие модем для доступа к какому-либо платному ресурсу через платный номер. В некоторых же случаях просто устанавливается соединение, а пользователю потом предоставляется телефонный счет.
Distributed Denial-of-Service (DDoS) Attack: Распределённая атака типа «отказ в обслуживании». В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере. Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них. Отказ «вражеской» системы может быть и шагом к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.
DNS (Domain Name System) (Система доменных имён): Компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене.
DNS Spoofing (Атака Каминского): Повреждение целостности данных в системе DNS. Компрометация данных происходит в процессе заполнения кэша DNS-сервера данными, не исходящими от авторитетного DNS-источника.
Downloader (Загрузчик): Программа предназначенная для загрузки и установки определенного пакета. Загрузчик может быть полезным инструментом автоматического обновления, такого как обновление операционной системы, антивирусов и антишпионов, игр и других приложений. Автоматическое обновление - полезное средство закрытия обнаруженных уязвимостей. Несанкционированные загрузчики используются третьими лицами для загрузки потенциально нежелательного программного обеспечения, без уведомления пользователя или его согласия.
Drive-by-Download: Автоматическая загрузка программного обеспечения на компьютер пользователя в момент посещения специально созданного веб-сайта или просмотра сообщения электронной почты без согласия пользователя и, часто, без видимых признаков. Drive-By-загрузки, как правило, осуществляются за счет эксплуатации уязвимостей или пониженных настроек безопасности на компьютере пользователя.
Droneware: Программы, используемые для получения удаленного контроля над компьютером, обычно используются для рассылки спама или удаленного запуска DDoS-атак . См. также “Botnet.”
Dropper (Установщик вредоносных программ): Вредоносная программа, предназначенная для скрытной установки на компьютер-жертву вредоносных программ, содержащихся в ее теле (или загружаемых из Интернета). Как правило, применяются злоумышленниками для защиты от обнаружения антивирусами.
End User License Agreement (EULA): Пользовательское соглашение - договор между владельцем компьютерной программы и пользователем её копии. Лицензионные соглашения описывают правила приобретения и использования программного обеспечения. Для каждого продукта, купленного в виде коробочной и OEM-версии, предлагается отдельное Лицензионное соглашение конечного пользователя.
Exploit/Security Exploit (Эксплойт): компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).
Fakeware (Поддельное ПО): Самовольно устанавливающимся ПО, или то, которые Вы сами установили поверив недоброкачественной рекламе. В 80-85% такое ПО является псевдо-антивирусным, остальной рынок
занимают псевдо-ускорители интернета, псевдо-оптимизаторы и проч. См. также "Scareware", "Rogue security software"
False alarm (Ложное срабатывание): Ситуация, когда незараженный объект определяется антивирусом как зараженный ввиду того, что его программный код напоминает код вредоносной программы. Подобная ситуация наиболее часто возникает в антивирусных продуктах при установке максимально доступных уровней антивирусной защиты.
Fraudware (Мошенническое программное обеспечение): см "Scareware"
Hacker Tool: Программа анализа безопасности, которая может быть использована для исследования, анализа безопасности системы или ее компрометации. Некоторые хакерские инструменты представляют собой многоцелевые программы, в то время как другие являются полностью легитимными инструментами, например для проведения аудита безопасности.
Hashbusting: Добавление в сообщение случайного текста или случайных символов для того, чтобы затруднить работу спам-фильтра. "Зашумление" осуществляется как с помощью обычных текстовых средств (удвоение букв в словах, неоправданное чередование строчных и прописных букв, вставка между буквами произвольных символов), так и с помощью html-средств (псевдо-белый текст, разбивка слова по ячейкам таблицы и т.д.).
Hijacker (Угонщик браузера): Программа модификации системы, развернутая без надлежащего уведомления, согласия, или контроля пользователя. Угонщики могут изменять настройки браузера, устанавливать перенаправления веб-запросов или подменять содержимое веб-страниц. Угонщики могут препятствовать попыткам пользователя отменить внесенные изменения, путем восстановления своих параметров при каждом старте системы.
HIPS - Host-based Intrusion Prevention System (Система предотвращения вторжений): Проактивная технология защиты, построенная на анализе поведения. Как правило делятся на две категории:
Hosts File: Текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. В отличие от DNS, содержимое файла контролируется администратором компьютера. Некоторые вредоносные программы изменяют содержимое Hosts-файла для перенаправления на поддельные веб-сайты.
IDS - Intrusion Detection System (Система обнаружения вторжений): программный или аппаратный комплекс для обнаружения не авторизованного доступа к рабочей станции или компьютерную сеть. IDS-системы позволяют обнаружить такие виды попыток не авторизованного доступа, как сетевые атаки на уязвимые сервисы и системы учёта/контроля пользователей, доступ к файлам локального компьютера или сети, а также активность вредоносного ПО (вирусов, троянов, червей).
Системы обнаружения вторжений обычно разделяют на две основные категории:
Intended: Характеристика "Intended" присваивается программам, которые выглядят как вредоносные, но таковыми не являются. Такие программы либо ищут файлы и секторы, пытаются поразить их, но заражения не происходит, либо заражают файлы и секторы при запуске "первой копии" вредоносной программы, однако уже "второе поколение" программы неспособно самостоятельно размножаться. Такие программы часто являются неграмотно модифицированными либо не до конца отлаженными вирусами.
IPS - Intrusion Prevention System (Системы предотвращения вторжений): активные средства информационной защиты, которые не только обнаруживают, но и защищают от вторжений и нарушений безопасности. IPS-системы являются улучшенной версией систем обнаружения вторжений, в которых реализуется функционал автоматической защиты от киберугроз. Системы предотвращения вторжений способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать подозрительные процессы, разрывать или блокировать сетевое соединение, по которому идёт атака на хранилища данных или сервисы. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами. Наибольшее распространение на сегодняшний день получил такой тип систем предотвращения вторжений, как HIPS (от англ. Host-based Intrusion Prevention System – система предотвращения вторжений на уровне хоста). Технология HIPS является основой продуктов и систем по обеспечению безопасности, кроме того элементы HIPS-защиты стали использовать традиционные средства борьбы с вредоносным ПО – например, антивирусные программы.
IRQ (Системное прерывание): Сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу-обработчик прерывания. Адрес программы-обработчика вычисляется по таблице векторов прерываний. Прерывание может быть инициировано либо программами пользователя при работе с дисками, экраном, принтером и т. д. (программные прерывания), либо внешними устройствами: клавиатурой, таймером (аппаратные прерывания).
Keylogger (Keystroke Logger) (Клавиатурный шпион): Программа, перехватывающая активность клавиатуры или мыши. Кейлогеры как правило, либо сохраняют записанные нажатия клавиш в определенный файл для последующего изучения, либо передают их на удаленный сервер лицу, использующему кейлоггер. Несмотря на то, что некоторые кейлогеры используются законно, чаще встречаются варианты злонамеренного использования кейлогеров злоумышленниками для личных или банковских данных.
Malware (Вредоносное Программное Обеспечение): Под термином Malware подразумевается любое злонамеренное ПО, в т.ч. вирусы, трояны, черви и проч.
Objective Criteria (Объективные критерии): Поведенческие факторы, используемые производителями антивирусных и антишпионских программ, для конечных решений по поводу присвоения данному процессу или программе статуса злонамеренной или чистой программы.
Packer (Упаковщик): Программа для сжатия исполняемого файла и прикрепления к нему кода, необходимого для распаковывания и исполнения содержимого файла. Упаковка производится по ряду причин: упакованный файл занимает меньше места на жёстком диске, что помогает ускорить его загрузку в память, некоторые виды упаковки совмещены с шифрованием содержимого файла для того, чтобы предотвратить обратную разработку программы, также упаковка с шифрованием может использоваться для вирусописания — для того, чтобы зашифровать и видоизменить код вируса в попытке предотвратить обнаружение этого вируса системами, основанными на сигнатурах (антивирусами, СОВ, и т. п.)
Parser (Анализатор): Программа, считывающая введенный текст и анализирующая его значение.
Passive Tracking Technologies: Технологии, используемые для мониторинга поведения пользователя или сбора информации о пользователе, иногда включая личную или другую конфиденциальную информацию.
Password Cracker: Программа для восстановления забытого или неизвестного пароля. Пароль можно угадать, либо выполнить brute-force attack (атаку методом перебора), когда проводится тестирование каждой комбинации на соответствие, также может использоваться перебор по словарю с использованием перебора слов, которые пользователи могут установить в качестве пароля. Хотя взломщики паролей могут быть легитимными инструментами, использующимися системными администраторами или органами безопасности, такие программы могут представлять значительную угрозу при использовании незаконно.
Personally Identifiable Information (PII): "Личная информация" - это информация, касающаяся идентифицированного или идентифицируемого лица, сбор, использование или раскрытие которой индивиды обычно хотят контролировать. Определение личной информации может по-разному трактоваться в законах разных стран: EU Data Directive, Canadian Personal Information Protection and the Electronic Documents Act, Japanese Personal Information Protection Act, Australian Privacy Act, US sectoral privacy laws.
Pharming (Фарминг): Замаскированное перенаправление пользователя-жертвы на ложный IP-адрес. Является более опасным способом мошенничества, чем фишинг. Обычно фарминг используется для подмены содержимого нормального сайта на сайт-подделку. При этом адрес сайта остаётся не изменным, что снимает подозрения в фишинге. Для подмены IP-адресов может использоваться файл HOSTS, а также система доменных имен (DNS). Для изменения файлов используются вредоносные программы, которые пользователь запускает на своём компьютере.
Phishing (Фишинг): Вид интернет-мошенничества, с помощью которого злоумышленники пытаются получить доступ к логинам, паролям, номерам кредитных карт и другой конфиденциальной информации пользователей. Мошенники пользуются именами популярных фирм и сайтов и создают так называемые фейк-сайты (от англ. fake – подделка), не отличимые на первый взгляд от оригиналов. Например, фишеры имитируют сайты социальный сетей Вконтакте, Facebook, Myspace, Одноклассники, сайты банков, почтовых серверов Rambler, Mail.ru. Обычно ссылки на фейк-сайты злодеи присылают по электронной почте. Адреса поддельных сайтов почти не отличаются от адресов нормальных сайтов и человек, не заметив этой разницы, заходит на такой сайт. Далее он может ввести свой логин и пароль, который злоумышленники запоминают и в дальнейшем использовать для взлома реальных аккаунтов. Более изощрённые хакеры используют межсайтовый скриптинг. Это позволяет им красть некоторые данные пользователя без подмены сайта-оригинала. Защита от такого мошенничества – грамотно покидать сайты, используя кнопку «выход» на них.
Port Scanner (Сканер портов): Программное средство, разработанное для поиска хостов сети, в которых открыты нужные порты. Эти программы обычно используются системными администраторами для проверки безопасности их сетей и злоумышленниками для взлома сети. Может производиться поиск как ряда открытых портов на одном хосте, так и одного определённого порта на многих хостах. Последнее характерно для деятельности ряда сетевых червей.
Privacy Policy (Политика конфиденциальности): Обязательное уведомление о действиях, которые определенная компания производит с личной информацией пользователя. Политика конфиденциальности должна содержать информацию о сборе информации, использовании данных, обмене информацией с третьими сторонами, и кем являются эти третьи стороны.
Privilege Elevation (Повышение привилегий): Ситуация, когда пользователь компьютерной системы или определенная программа каким-либо несанкционированным образом повышает свои полномочия в этой системе (другими словами: получает возможность делать то, чего прежде делать было невозможно) Как правило это происходит при получении прав администратора.
Ransomware (Вымогатель): Вредоносное программное обеспечение, которое работает как вымогатель. В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей: шифрование файлов в системе, блокировка или помеха работы в системе, блокировка или помеха работы в браузерах.
Registry (Реестр): Иерархически построенная база данных параметров и настроек в большинстве операционных систем Microsoft Windows. Реестр содержит информацию и настройки для аппаратного обеспечения, программного обеспечения, профилей пользователей, предустановки. Большинство изменений в Панели управления, ассоциации файлов, системные политики, список установленного ПО фиксируются в реестре.
Registry Keys (Ключ реестра): Отдельная запись в реестре. Значение ключа изменяется каждый раз, когда установлена новая программа или изменены настройки конфигурации. Злонамеренное ПО часто изменяет значения ключей реестра для того, чтобы взять под контроль часть системы. Эти изменения могут нарушить привычную работу на компьютере.
Remote Access/Administration Tool (RAT) (Административные программы удаленного доступа): Программы, предназначенные для удаленного доступа и управления системой. RATs это тип Remote Control Software. Помимо легитимного использования RATs может использоваться злоумышленниками для удаленной установки программ или выполнения других несанкционированный действий.
Remote Control Software (Программы удаленного управления): Любое ПО, предназначенное для удаленного доступа и управления компьютерной системой.
Risk Modeling (Моделирование риска): Процесс, используемый поставщиками антивирусных программ, определяющий классификацию исследуемой программы с точки зрения безопасности и рисков ее использования.
Rogue security software: Ложные антивирусы или как их еще называют - лже-антивирусы, один способов Интернет-мошенничества. Суть его заключается в том, чтобы заставить пользователя заплатить деньги за программу, которая якобы удалит с компьютера очень опасные вирусы и защитит в дальнейшем ПК пользователя от различных Интернет-угроз.
Rootkit (Руткит): программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае не ядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
Sandbox (Песочница): В компьютерной безопасности - механизм для безопасного исполнения программ. Песочница обычно предоставляет собой жёстко контролируемый набор ресурсов для исполнения гостевой программы — например, место на диске или в памяти. Доступ к сети, возможность сообщаться с главной операционной системой или считывать информацию с устройств ввода обычно либо частично эмулируют, либо сильно ограничивают. Песочницы представляют собой пример виртуализации. Повышенная безопасность исполнения кода в песочнице зачастую связана с большой нагрузкой на систему — именно поэтому некоторые виды песочниц используют только для не отлаженного или подозрительного кода. Как правило, песочницы используют для запуска непроверенного кода из неизвестных источников, как средство проактивной защиты от вредоносного кода, а также для обнаружения и анализа вредоносных программ. Также, зачастую, песочницы используются в процессе разработки программного обеспечения для запуска «сырого» кода, который может случайно повредить систему или испортить сложную конфигурацию. Такие «тестировочные» песочницы копируют основные элементы среды, для которой пишется код, и позволяют разработчикам быстро и безболезненно экспериментировать с неотлаженным кодом. В связи с большим распространением вредоносных программ, а также применением вирусописателями специальных технологий (например, полиморфизм), классические сигнатурные сканеры уже не могут эффективно противостоять новым угрозам. Возникает необходимость в песочнице для вирусов.
Scamware: см. "Fakeware", "Scareware"
Scareware: "Пугающее" программное обеспечение. Scareware внушают пользователям ложное ощущение безопасности, воруют номера кредитных карт и другую личную информацию. К этому классу относятся Rogue security software.
Screen Scrapers/Screen Capturers (Захват экрана): Программа, делающая снимки экрана. Захватчики экрана как правило, либо сохраняют записанные скриншоты в определенный файл для последующего изучения, либо передают их на удаленный сервер лицу, использующему захватчик. Несмотря на то, что некоторые захватчики используются законно, чаще встречаются варианты злонамеренного использования захватчиков злоумышленниками для личных или банковских данных.
Security Analysis Software (Программа анализа безопасности): Любая программа, использующаяся для анализа или обхода защиты компьютерной системы.
SideJacking (Побочное подключение): Принципиально ничем не отличается от давным-давно известного способа атаки под названием "человек посередине" (man-in-the-middle). Главная особенность новой атаки - ее редкостная простота и легкость воплощения. Большинство методов типа man-in-the-middle подразумевают незаметное вклинивание в защищенный криптографией канал связи и дополнительный этап дешифровки информации перехватчиком. Красота же метода SideJacking в том, что он не требует никакой возни с шифрами, ключами и сертификатами. Очень многие сетевые сервисы вроде Gmail, Blog-Spot, Facebook, MySpace и им подобных предоставляют пользователям защищенный портал для безопасного входа - с адресом https:// и шифрованием по протоколу SSL. Но после того, как логин и пароль введены, последующий сеанс связи обычно проходит в открытом виде. Делается это ради экономии компьютерных ресурсов, а для поддержания безопасности применяют метод попроще, называемый "идентификатор сеанса" (session ID). Как правило, это однократно генерируемая строка случайного вида, передаваемая в cookies или URL-адресе сеанса. Именно этот идентификатор и является целью SideJacking’а. Для перехвата используется сниффер беспроводных сетей WiFi или прокси-сервер. Получив идентификатор сеанса, злоумышленник представляется выдавшему его сервису как подлинный пользователь, после чего может делать с аккаунтом жертвы практически все, что заблагорассудится.
Snoopware (Программа-жучок): Принцип действия и цели Snoopware схожи со Spyware. Snoopware, как правило, используются для корпоративного и личного шпионажа. Наиболее типичными представителями программ-жучков являются Catch Cheat Spy, SpectorSoft EBlaster и Spector, а также WinWhatWhere Investigator. Snoopware также заражают мобильные телефоны и могут включать встроенную камеру и передавать снимки с неё злоумышленнику.
Spoofing: Общее название для сетевых атак, когда один участник маскируется под другого. Наиболее распространённые spoofing-атаки:
В большинстве своём spoofing-атаки направлены на то, чтобы заставить жертву отправлять трафик не легитимному получателю напрямую, а атакующему, который затем уже ретранслирует трафик дальше. При этом атакующий получает возможность модификации трафика или, как минимум, его просмотра. В случае IP-spoofing'а преследуется другая цель — заставить жертву поверить, что трафик приходит от легитимного отправителя и поверить ему (или как минимум, пропустить его).
Stealth virus ("Стелс"-вирусы, вирусы-невидимки): Представляют собой программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и "подставляют" вместо себя не зараженные участки информации. Кроме этого такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы. К "стелс"-вирусам относятся вирусы "Frodo", "Fish#6", "Brain" и некоторые другие.
System Modifying Software (Программы модификации): Любая программа, модифицирующая пользовательскую систему, например изменение стартовой страницы браузера, изменение ассоциаций файлов и любые изменения низкого уровня.
Spyware (Шпионское программное обеспечение): Программное обеспечение, осуществляющее деятельность по сбору информации о конфигурации компьютера, деятельности пользователя и любой другой конфиденциальной информации без согласия самого пользователя. Могут являться частью Adware, для сбора данных предпочтений пользователя и показа релевантной рекламы. Spyware могут осуществлять широкий круг задач, например: собирать информацию о посещаемых веб-сайтах в Интернете и используемом программном обеспечении, запоминать нажатия клавиш на клавиатуре и записывать скриншоты экрана, проводить анализ состояния систем безопасности. В дальнейшем, вся собранная информация отправляется разработчикам шпионского программного обеспечения.
Stream Files: См. “Alternate Data Stream.”
System Monitor (Системный монитор): Общее понятие шпионского ПО имеющее в своем наборе кейлогер, захватчик экрана, перехватчики регистрационной информации, перехватчики сообщений электронной почты и интернет-мессенджеров.
Tracking Cookies (Следящие куки): Понятие, как правило относятся к примерно идентичному типу cookies, применяемых разработчиками различных рейтинговых и баннерных систем для отслеживания посещения пользователем страниц, содержащих элементы этих систем. Cookie в данном случае используется для своеобразной «пометки» пользователя, причем подобная «пометка» как правило не может быть ассоциирована с конкретным пользователем и его персональными данными, так как является простым уникальным идентификатором. Хранение в cookie персональных данных в открытом или легкодоступном виде (например, в Base64, UUE, Url-Encoding (обычный и Unicode), Quoted-Printable кодировании) может нести соответствующую опасность.
Tracking software: Программное обеспечение, которое отслеживает поведение пользователя, или собирает информацию о пользователе, иногда включая личную или другую конфиденциальную информацию.
Trapdoor (Лазейка): Недокументированный способ получения доступа в компьютерную систему.
Tricklers (Автоматические загрузчики программного обеспечения): Tricklers - это именно тот вид загрузчиков программного обеспечения, который используется без ведома пользователя, т.е. не санкционировано.
Trojan (Троян, Троянский конь): Вредоносная программа, проникающая на компьютер под видом обычной безвредной программы. Например, патча, аудио- или видеокодека, экранной заставки и т.д.
Toolkit: Набор инструментов/утилит, направленных на достижение общей цели (например ZBot-toolkit предназначен для создания ботнета, используемого для кражи учетных записей пользователей систем онлайн-банкинга, и управления им).
United Virtualities Persistent Identification Element (PIE): Специальная система резервного копирования (не удаляемые Cookies), основанная на элементе профилирования Local Shared Objects из комплекта Macromedia Flash. Все cookie на компьютере пользователя дублируются, а в случае удаления восстанавливаются. Система называется Persistent Identification Element (PIE), а файлы, по аналогии с cookies (в переводе с англ. — «печенья») разработчики называют pies («пироги»). На компьютере пользователя вместо обычного файла cookie записывается файл AccuCounter PIE, который выполняет те же функции. Одновременно с ним создается резервный Backup PIE, который восстанавливает основной AccuCounter PIE в том случае, если он оказался удаленным.
Usability: Понятие в микроэргономике, отображающее степень удобности предмета для применения пользователями при достижении определённых целей в некотором контексте. Термин имеет связь с понятием «эргономичность», но в отличие от последнего меньше ассоциируется с технической эстетикой, с внешним видом и более привязан к утилитарности «юзабельного» объекта. Русскоязычный аналог — удобство использования.
User (Пользователь): Лицо или организация, которое использует действующую систему для выполнения конкретной функции. В домашнем обиходе так называют владельца компьютера.
Virus (Компьютерный вирус): Разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.
Worm (Сетевой червь): Разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети. Также существует понятие Autorun Worm - программа, использующая для распространения внешние накопители.
XSS (Сross Site Sсriрting) (Межсайтовый скриптинг): Тип атаки на уязвимые интерактивные информационные системы в вебе. XSS применяется, когда в генерируемые сервером страницы возможно внедрить клиентские скрипты, но не только. Специфика подобных атак заключается в том, что для атаки на сервер в качестве средства атаки обычно используется авторизованный на этом сервере клиент.
Zero-day exploit (Эксплойт «нулевого дня»): Zero-day эксплойт — это киберугроза, использующая ошибку или уязвимость в приложении или операционной системе и появившаяся сразу после обнаружения данной уязвимости, пока разработчики ПО еще не успели создать патч, а IT-администраторы — принять другие меры безопасности.
Zombie (Зомби): Компьютер в сети, используемый третьими лицами без ведома владельца, например для доступа в закрытую или коммерческую сеть (например Интернет), использования вычислительных ресурсов (кластеризации), рассылки спама, и т. п. Множество зомби образуют Botnet.
Источники:
http://www.antispywarecoalition.org/
Информационная безопасность - главная страница
SafenSoft TPSecure: защита банкоматов. Защита конечных точек банковской сети и устройств самообслуживания.
АнтиГад.ру - Антивирусы, Антишпионы, Файерволы и другие Антигады
Заглавная страница — Xgu.ru
Advertising Display Software: Любая программа, которая показывает рекламный контент.
Adware: Разновидность Advertising Display Software, которая отображает рекламный контент таким образом или в таком контексте, которые могут быть неожиданными или нежелательными для пользователя. Некоторые приложения adware включают в себя функции отслеживания пользовательских предпочтений, и поэтому классифицируются как Tracking Technologies. Часто используются для субсидирования определенного продукта или сервиса, но могут иметь злонамеренные цели навязчивого показа рекламного контента.
Alternate Data Stream (Альтернативные потоки данных): Расширение файловой системы NTFS обеспечивающее совместимость с файлами, созданными с использованием файловой системы Apple's Hierarchical File System (HFS). Приложения должны записать специальный код, если они хотят получить доступ и манипулировать данными, сохраненными в альтернативном потоке. Некоторые шпионские программы используют потоки для осложнения детектирования.
API (Application programming interface - Интерфейс для создания программ): Набор стандартных процедур, функций и инструментов для написанный той или иной программы. Упрощает работу программиста, предоставляя ему стандартные, заранее отлаженные программные "блоки", из которых можно собрать часть функциональности программы. В большинстве случаев API встроены в операционную систему. Например, Windows API содержит ряд функций, позволяющих программистам быстро создавать стандартный пользовательский интерфейс Windows для своих программ. Некоторые вредоносные программы могут использовать функции различных API в своих собственных целях. Это позволяет уменьшить размер вредоносной программы, переложив часть её функционала на стандартные процедуры операционной системы компьютера.
Automatic Download Software: Категория программ, выполняющая закачку и установку без использования интерактивного режима.
Back-Connect (Обратное соединение): Это инициализация telnet-соединения сервером к взломщику. Используется для обхода на взломанном сервере файрвола, препятствующего прямому соединению хакера с сервером.
Backdoors (Бэкдор): Программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. "Бэкдоры" по своей сути являются достаточно мощными утилитами удаленного администрирования компьютеров. Своей функциональностью они во многом напоминают легально распространяемые коммерческие системы администрирования. Классифицировать их как вредные троянские программы позволяет одна лишь особенность: отсутствие предупреждения пользователя об инсталляции и последующем запуске. Являются типом Remote Control Software.
Backup (Резервное копирование): Резервные копии программного обеспечения, баз данных, рабочих файлов и т. д. Создаются для восстановления информации в случае ее потери, например при поломке компьютера или при поражении вредоносной программой.
Bayesian filter: Спам-фильтр, использующий статистический алгоритм, созданный английским математиком Т. Байесом (T. Bayes). Способен к автоматическому до-обучению.
Beacon URL: Особый вид ссылки в html-формате, который позволяет проследить, прочел ли это письмо конкретный получатель. Сигнальная ссылка оформляется таким образом, чтобы адресат не замечал, что кликает на нее (например, в виде не отображающейся картинки).
Bitcoin (Биткоин): Электронная пиринговая валютная система. Это название также относится к программному обеспечению с открытым исходным кодом, созданному им, и одно ранговой сети, образованной этой программой. Хранилищем средств является файл кошелька, хранящийся на компьютере. Биткоин может быть отправлен любому пользователю в сети с использованием адреса Bitcoin.
BlueJacking: Анонимная посылка сообщений через Bluetooth на другие телефоны. Путем изучения эфира выявляются находящиеся рядом BT-телефоны. На них можно будет послать сообщение, картинку или мелодию. Сообщения обычно посылаются через «Контакты», когда сообщение пакуется в форму бизнес-карточки.
Bootkit (Буткит): Вредоносная программа, которая записывает свой код в Главную Загрузочную Запись (Master Boot Record) или загрузочную запись раздела (Volume Boot Record) на жёстком диске.Таким образом, при первом обращении к диску управление передаётся буткиту, который загружается в память и в дальнейшем маскирует своё присутствие, перехватывая и подменяя обращения к жёсткому диску. Загружаясь ещё до загрузки операционной системы, буткит может получить права администратора (суперпользователя) и выполнять любые вредоносные действия. Например, он может загрузить в память некоторую динамическую библиотеку DLL, которая вообще не существует на диске. Такую библиотеку очень трудно обнаружить обычными методами, используемыми антивирусами. Является типом программ класса Rootkit.
Botnet (Ботнет): это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или не одобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.
Browser Helper Object (BHO): См. “Browser Plug-in.”
Browser Plug-in: Программные компоненты, которые взаимодействуют с Web-браузером для расширения его возможностей и обеспечения дополнительных функций, не включенных в браузер. Типичными примерами являются плагины для отображения специфичных графических форматов, проигрывание мультимедийных файлов или добавление тулбаров, включающих сервисы поиска и антифишинга. Плагины могут выполнять так же потенциально нежелательные действия, такие как пере-направление результатов поиска, мониторинг использования браузера, мониторинг истории посещенных веб-сайтов или отображение рекламного контента. К классу плагинов относятся:
- ActiveX controls (Управляющие элементы ActiveX): Разновидность плагинов, которая может быть скачана и установлена браузером Microsoft Internet Explorer.
- Browser Helper Object (BHO): DLL-модуль, разработанный как плагин для Internet Explorer для обеспечения дополнительной функциональности. Некоторые модули обладают возможностью открывать файлы различных форматов, первоначально не предназначенных для браузера. Например, таким Browser Helper Object является плагин Adobe Acrobat, позволяющий пользователям Internet Explorer открывать PDF-файлы. Некоторые Browser Helper Object добавляют панели инструментов в Internet Explorer.
- Mozilla Firefox Extensions (Дополнения Firefox): Расширения для использования в браузере Mozilla Firefox.
Bundling: Практика распространения некоторого набора программного обеспечения путем объединения в один установочный файл, во время установки такого пакета происходит установка нескольких программ. Во многих случаях, bundling является привычным способом дистрибьюции программного обеспечения. Однако, в некоторых случаях, возможно включение в такой установщик, потенциально нежелательных программных компонентов, таких как adware, тем более такие компоненты могут быть загружены и установлены против желания или без предупреждения пользователя.
CAPTCHA (произносится «капча»; сокращение от Completely Automated Public Turing test to tell Computers and Humans Apart): Полностью автоматизированный обратный тест Тьюринга, позволяющий отличить компьютер от человека. Используется на различных интернет-ресурсах, и позволяет убедиться, что новый посетитель является человеком, а не программой-роботом. CAPTCHA предлагает пользователю ввести идентичный демонстрируемому набор произвольных символов. Роботы не могут справиться с поставленной задачей, так как на картинках специально используются различные виды зашумления.
Carding: Вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией формграббера). Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.
Cookie: небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент (обычно веб-браузер) каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сессии доступа пользователя, ведения статистики о пользователях. (См. также Tracking Cookies.)
Crimeware: Категория вредоносных программ, разработанных специально для автоматизации совершения финансовых преступлений. Подобная автоматизация весьма многогранна. Это могут быть программы, отслеживающие появление на экране окна подключения к банковской системе с целью последующего перехвата вводимой в это окно секретной информации; это могут быть программы, копирующие содержимое буфера обмена в момент подключения к системам электронного платежа. В последнем случае расчет злоумышленника весьма прост — пользователь чаще всего не вводит свой пароль вручную в окно подключения к системе, а копирует его через буфер обмена из другого места, куда пароль был сохранен заранее. Фантазия злоумышленников безгранична и новые подходы получения доступа к счетам пользователей постоянно становятся все более изощренными. В качестве примеров семейств вредоносных программ категории Crimeware можно привести Trojan-Spy.Win32.Goldun, Trojan-Spy.Win32.Webmoner, всех представителей поведения Trojan-Banker и многие другие. Наибольшее число представителей категории Crimeware, безусловно, относятся к Trojan-Banker и Trojan-Spy, но согласно правилам поглощения, функциональностью для автоматизации совершения финансовых преступлений могут обладать представители вышестоящих поведений, а именно Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, Net-Worm, хотя и значительно реже, чем представители Trojan-Banker и Trojan-Spy.
Dialer (Дозвонщик): Разговорный термин, обозначающий Dialing Software.
Dialing Software: Любая программа, которая использует модем компьютера для звонков или доступа к определенным сервисам. Диалер является частью всех современных ОС, иногда их встраивают в менеджеры закачки. Помимо модемного соединения, диалеры заодно умеют налаживать соединения через GPRS, COM- и LPT-порты, VPN, PPPoE и т. д. Существуют вредоносные программы, использующие модем для доступа к какому-либо платному ресурсу через платный номер. В некоторых же случаях просто устанавливается соединение, а пользователю потом предоставляется телефонный счет.
Distributed Denial-of-Service (DDoS) Attack: Распределённая атака типа «отказ в обслуживании». В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере. Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них. Отказ «вражеской» системы может быть и шагом к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.
DNS (Domain Name System) (Система доменных имён): Компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене.
DNS Spoofing (Атака Каминского): Повреждение целостности данных в системе DNS. Компрометация данных происходит в процессе заполнения кэша DNS-сервера данными, не исходящими от авторитетного DNS-источника.
Downloader (Загрузчик): Программа предназначенная для загрузки и установки определенного пакета. Загрузчик может быть полезным инструментом автоматического обновления, такого как обновление операционной системы, антивирусов и антишпионов, игр и других приложений. Автоматическое обновление - полезное средство закрытия обнаруженных уязвимостей. Несанкционированные загрузчики используются третьими лицами для загрузки потенциально нежелательного программного обеспечения, без уведомления пользователя или его согласия.
Drive-by-Download: Автоматическая загрузка программного обеспечения на компьютер пользователя в момент посещения специально созданного веб-сайта или просмотра сообщения электронной почты без согласия пользователя и, часто, без видимых признаков. Drive-By-загрузки, как правило, осуществляются за счет эксплуатации уязвимостей или пониженных настроек безопасности на компьютере пользователя.
Droneware: Программы, используемые для получения удаленного контроля над компьютером, обычно используются для рассылки спама или удаленного запуска DDoS-атак . См. также “Botnet.”
Dropper (Установщик вредоносных программ): Вредоносная программа, предназначенная для скрытной установки на компьютер-жертву вредоносных программ, содержащихся в ее теле (или загружаемых из Интернета). Как правило, применяются злоумышленниками для защиты от обнаружения антивирусами.
End User License Agreement (EULA): Пользовательское соглашение - договор между владельцем компьютерной программы и пользователем её копии. Лицензионные соглашения описывают правила приобретения и использования программного обеспечения. Для каждого продукта, купленного в виде коробочной и OEM-версии, предлагается отдельное Лицензионное соглашение конечного пользователя.
Exploit/Security Exploit (Эксплойт): компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).
Fakeware (Поддельное ПО): Самовольно устанавливающимся ПО, или то, которые Вы сами установили поверив недоброкачественной рекламе. В 80-85% такое ПО является псевдо-антивирусным, остальной рынок
занимают псевдо-ускорители интернета, псевдо-оптимизаторы и проч. См. также "Scareware", "Rogue security software"
False alarm (Ложное срабатывание): Ситуация, когда незараженный объект определяется антивирусом как зараженный ввиду того, что его программный код напоминает код вредоносной программы. Подобная ситуация наиболее часто возникает в антивирусных продуктах при установке максимально доступных уровней антивирусной защиты.
Fraudware (Мошенническое программное обеспечение): см "Scareware"
Hacker Tool: Программа анализа безопасности, которая может быть использована для исследования, анализа безопасности системы или ее компрометации. Некоторые хакерские инструменты представляют собой многоцелевые программы, в то время как другие являются полностью легитимными инструментами, например для проведения аудита безопасности.
Hashbusting: Добавление в сообщение случайного текста или случайных символов для того, чтобы затруднить работу спам-фильтра. "Зашумление" осуществляется как с помощью обычных текстовых средств (удвоение букв в словах, неоправданное чередование строчных и прописных букв, вставка между буквами произвольных символов), так и с помощью html-средств (псевдо-белый текст, разбивка слова по ячейкам таблицы и т.д.).
Hijacker (Угонщик браузера): Программа модификации системы, развернутая без надлежащего уведомления, согласия, или контроля пользователя. Угонщики могут изменять настройки браузера, устанавливать перенаправления веб-запросов или подменять содержимое веб-страниц. Угонщики могут препятствовать попыткам пользователя отменить внесенные изменения, путем восстановления своих параметров при каждом старте системы.
HIPS - Host-based Intrusion Prevention System (Система предотвращения вторжений): Проактивная технология защиты, построенная на анализе поведения. Как правило делятся на две категории:
- Классические HIPS-продукты предоставляют пользователю информацию об активности того или иного приложения, однако решение о разрешении/запрещении той или иной операции должен принимать пользователь, т.о. классические HIPS-продукты позволяют пользователю тонко настроить те или иные правила контроля, но создание правил требует высокой квалификации пользователя.
- Экспертные HIPS. В отличие от классических HIPS-продуктов, экспертные HIPS могут самостоятельно принимать решение о блокировке той или иной активности, исходя из правил и алгоритмов, заложенных разработчиком продукта. Для использования экспертных HIPS-продуктов пользователю не обязательно обладать определенной квалификацией, однако экспертные HIPS-продукты в ряде случаев могут блокировать легитимную активность пользовательского программного обеспечения.
Hosts File: Текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. В отличие от DNS, содержимое файла контролируется администратором компьютера. Некоторые вредоносные программы изменяют содержимое Hosts-файла для перенаправления на поддельные веб-сайты.
IDS - Intrusion Detection System (Система обнаружения вторжений): программный или аппаратный комплекс для обнаружения не авторизованного доступа к рабочей станции или компьютерную сеть. IDS-системы позволяют обнаружить такие виды попыток не авторизованного доступа, как сетевые атаки на уязвимые сервисы и системы учёта/контроля пользователей, доступ к файлам локального компьютера или сети, а также активность вредоносного ПО (вирусов, троянов, червей).
Системы обнаружения вторжений обычно разделяют на две основные категории:
- Сетевые системы обнаружения вторжений (NIDS, от англ. Network intrusion detection system) – анализируют сетевой трафик по данным сенсоров, расположенных в ключевых узлах сети.
- Системы обнаружения вторжений на уровне хоста (HIDS, от англ. Host-based intrusion detection system) – обнаруживают вторжения посредством специальной службы, которая анализирует системные запросы, логи активности приложений, изменения файловой системы и другие процессы, происходящие на уровне хоста.
Intended: Характеристика "Intended" присваивается программам, которые выглядят как вредоносные, но таковыми не являются. Такие программы либо ищут файлы и секторы, пытаются поразить их, но заражения не происходит, либо заражают файлы и секторы при запуске "первой копии" вредоносной программы, однако уже "второе поколение" программы неспособно самостоятельно размножаться. Такие программы часто являются неграмотно модифицированными либо не до конца отлаженными вирусами.
IPS - Intrusion Prevention System (Системы предотвращения вторжений): активные средства информационной защиты, которые не только обнаруживают, но и защищают от вторжений и нарушений безопасности. IPS-системы являются улучшенной версией систем обнаружения вторжений, в которых реализуется функционал автоматической защиты от киберугроз. Системы предотвращения вторжений способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать подозрительные процессы, разрывать или блокировать сетевое соединение, по которому идёт атака на хранилища данных или сервисы. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами. Наибольшее распространение на сегодняшний день получил такой тип систем предотвращения вторжений, как HIPS (от англ. Host-based Intrusion Prevention System – система предотвращения вторжений на уровне хоста). Технология HIPS является основой продуктов и систем по обеспечению безопасности, кроме того элементы HIPS-защиты стали использовать традиционные средства борьбы с вредоносным ПО – например, антивирусные программы.
IRQ (Системное прерывание): Сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу-обработчик прерывания. Адрес программы-обработчика вычисляется по таблице векторов прерываний. Прерывание может быть инициировано либо программами пользователя при работе с дисками, экраном, принтером и т. д. (программные прерывания), либо внешними устройствами: клавиатурой, таймером (аппаратные прерывания).
Keylogger (Keystroke Logger) (Клавиатурный шпион): Программа, перехватывающая активность клавиатуры или мыши. Кейлогеры как правило, либо сохраняют записанные нажатия клавиш в определенный файл для последующего изучения, либо передают их на удаленный сервер лицу, использующему кейлоггер. Несмотря на то, что некоторые кейлогеры используются законно, чаще встречаются варианты злонамеренного использования кейлогеров злоумышленниками для личных или банковских данных.
Malware (Вредоносное Программное Обеспечение): Под термином Malware подразумевается любое злонамеренное ПО, в т.ч. вирусы, трояны, черви и проч.
Objective Criteria (Объективные критерии): Поведенческие факторы, используемые производителями антивирусных и антишпионских программ, для конечных решений по поводу присвоения данному процессу или программе статуса злонамеренной или чистой программы.
Packer (Упаковщик): Программа для сжатия исполняемого файла и прикрепления к нему кода, необходимого для распаковывания и исполнения содержимого файла. Упаковка производится по ряду причин: упакованный файл занимает меньше места на жёстком диске, что помогает ускорить его загрузку в память, некоторые виды упаковки совмещены с шифрованием содержимого файла для того, чтобы предотвратить обратную разработку программы, также упаковка с шифрованием может использоваться для вирусописания — для того, чтобы зашифровать и видоизменить код вируса в попытке предотвратить обнаружение этого вируса системами, основанными на сигнатурах (антивирусами, СОВ, и т. п.)
Parser (Анализатор): Программа, считывающая введенный текст и анализирующая его значение.
Passive Tracking Technologies: Технологии, используемые для мониторинга поведения пользователя или сбора информации о пользователе, иногда включая личную или другую конфиденциальную информацию.
Password Cracker: Программа для восстановления забытого или неизвестного пароля. Пароль можно угадать, либо выполнить brute-force attack (атаку методом перебора), когда проводится тестирование каждой комбинации на соответствие, также может использоваться перебор по словарю с использованием перебора слов, которые пользователи могут установить в качестве пароля. Хотя взломщики паролей могут быть легитимными инструментами, использующимися системными администраторами или органами безопасности, такие программы могут представлять значительную угрозу при использовании незаконно.
Personally Identifiable Information (PII): "Личная информация" - это информация, касающаяся идентифицированного или идентифицируемого лица, сбор, использование или раскрытие которой индивиды обычно хотят контролировать. Определение личной информации может по-разному трактоваться в законах разных стран: EU Data Directive, Canadian Personal Information Protection and the Electronic Documents Act, Japanese Personal Information Protection Act, Australian Privacy Act, US sectoral privacy laws.
Pharming (Фарминг): Замаскированное перенаправление пользователя-жертвы на ложный IP-адрес. Является более опасным способом мошенничества, чем фишинг. Обычно фарминг используется для подмены содержимого нормального сайта на сайт-подделку. При этом адрес сайта остаётся не изменным, что снимает подозрения в фишинге. Для подмены IP-адресов может использоваться файл HOSTS, а также система доменных имен (DNS). Для изменения файлов используются вредоносные программы, которые пользователь запускает на своём компьютере.
Phishing (Фишинг): Вид интернет-мошенничества, с помощью которого злоумышленники пытаются получить доступ к логинам, паролям, номерам кредитных карт и другой конфиденциальной информации пользователей. Мошенники пользуются именами популярных фирм и сайтов и создают так называемые фейк-сайты (от англ. fake – подделка), не отличимые на первый взгляд от оригиналов. Например, фишеры имитируют сайты социальный сетей Вконтакте, Facebook, Myspace, Одноклассники, сайты банков, почтовых серверов Rambler, Mail.ru. Обычно ссылки на фейк-сайты злодеи присылают по электронной почте. Адреса поддельных сайтов почти не отличаются от адресов нормальных сайтов и человек, не заметив этой разницы, заходит на такой сайт. Далее он может ввести свой логин и пароль, который злоумышленники запоминают и в дальнейшем использовать для взлома реальных аккаунтов. Более изощрённые хакеры используют межсайтовый скриптинг. Это позволяет им красть некоторые данные пользователя без подмены сайта-оригинала. Защита от такого мошенничества – грамотно покидать сайты, используя кнопку «выход» на них.
Port Scanner (Сканер портов): Программное средство, разработанное для поиска хостов сети, в которых открыты нужные порты. Эти программы обычно используются системными администраторами для проверки безопасности их сетей и злоумышленниками для взлома сети. Может производиться поиск как ряда открытых портов на одном хосте, так и одного определённого порта на многих хостах. Последнее характерно для деятельности ряда сетевых червей.
Privacy Policy (Политика конфиденциальности): Обязательное уведомление о действиях, которые определенная компания производит с личной информацией пользователя. Политика конфиденциальности должна содержать информацию о сборе информации, использовании данных, обмене информацией с третьими сторонами, и кем являются эти третьи стороны.
Privilege Elevation (Повышение привилегий): Ситуация, когда пользователь компьютерной системы или определенная программа каким-либо несанкционированным образом повышает свои полномочия в этой системе (другими словами: получает возможность делать то, чего прежде делать было невозможно) Как правило это происходит при получении прав администратора.
Ransomware (Вымогатель): Вредоносное программное обеспечение, которое работает как вымогатель. В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей: шифрование файлов в системе, блокировка или помеха работы в системе, блокировка или помеха работы в браузерах.
Registry (Реестр): Иерархически построенная база данных параметров и настроек в большинстве операционных систем Microsoft Windows. Реестр содержит информацию и настройки для аппаратного обеспечения, программного обеспечения, профилей пользователей, предустановки. Большинство изменений в Панели управления, ассоциации файлов, системные политики, список установленного ПО фиксируются в реестре.
Registry Keys (Ключ реестра): Отдельная запись в реестре. Значение ключа изменяется каждый раз, когда установлена новая программа или изменены настройки конфигурации. Злонамеренное ПО часто изменяет значения ключей реестра для того, чтобы взять под контроль часть системы. Эти изменения могут нарушить привычную работу на компьютере.
Remote Access/Administration Tool (RAT) (Административные программы удаленного доступа): Программы, предназначенные для удаленного доступа и управления системой. RATs это тип Remote Control Software. Помимо легитимного использования RATs может использоваться злоумышленниками для удаленной установки программ или выполнения других несанкционированный действий.
Remote Control Software (Программы удаленного управления): Любое ПО, предназначенное для удаленного доступа и управления компьютерной системой.
Risk Modeling (Моделирование риска): Процесс, используемый поставщиками антивирусных программ, определяющий классификацию исследуемой программы с точки зрения безопасности и рисков ее использования.
Rogue security software: Ложные антивирусы или как их еще называют - лже-антивирусы, один способов Интернет-мошенничества. Суть его заключается в том, чтобы заставить пользователя заплатить деньги за программу, которая якобы удалит с компьютера очень опасные вирусы и защитит в дальнейшем ПК пользователя от различных Интернет-угроз.
Rootkit (Руткит): программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае не ядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
Sandbox (Песочница): В компьютерной безопасности - механизм для безопасного исполнения программ. Песочница обычно предоставляет собой жёстко контролируемый набор ресурсов для исполнения гостевой программы — например, место на диске или в памяти. Доступ к сети, возможность сообщаться с главной операционной системой или считывать информацию с устройств ввода обычно либо частично эмулируют, либо сильно ограничивают. Песочницы представляют собой пример виртуализации. Повышенная безопасность исполнения кода в песочнице зачастую связана с большой нагрузкой на систему — именно поэтому некоторые виды песочниц используют только для не отлаженного или подозрительного кода. Как правило, песочницы используют для запуска непроверенного кода из неизвестных источников, как средство проактивной защиты от вредоносного кода, а также для обнаружения и анализа вредоносных программ. Также, зачастую, песочницы используются в процессе разработки программного обеспечения для запуска «сырого» кода, который может случайно повредить систему или испортить сложную конфигурацию. Такие «тестировочные» песочницы копируют основные элементы среды, для которой пишется код, и позволяют разработчикам быстро и безболезненно экспериментировать с неотлаженным кодом. В связи с большим распространением вредоносных программ, а также применением вирусописателями специальных технологий (например, полиморфизм), классические сигнатурные сканеры уже не могут эффективно противостоять новым угрозам. Возникает необходимость в песочнице для вирусов.
Scamware: см. "Fakeware", "Scareware"
Scareware: "Пугающее" программное обеспечение. Scareware внушают пользователям ложное ощущение безопасности, воруют номера кредитных карт и другую личную информацию. К этому классу относятся Rogue security software.
Screen Scrapers/Screen Capturers (Захват экрана): Программа, делающая снимки экрана. Захватчики экрана как правило, либо сохраняют записанные скриншоты в определенный файл для последующего изучения, либо передают их на удаленный сервер лицу, использующему захватчик. Несмотря на то, что некоторые захватчики используются законно, чаще встречаются варианты злонамеренного использования захватчиков злоумышленниками для личных или банковских данных.
Security Analysis Software (Программа анализа безопасности): Любая программа, использующаяся для анализа или обхода защиты компьютерной системы.
SideJacking (Побочное подключение): Принципиально ничем не отличается от давным-давно известного способа атаки под названием "человек посередине" (man-in-the-middle). Главная особенность новой атаки - ее редкостная простота и легкость воплощения. Большинство методов типа man-in-the-middle подразумевают незаметное вклинивание в защищенный криптографией канал связи и дополнительный этап дешифровки информации перехватчиком. Красота же метода SideJacking в том, что он не требует никакой возни с шифрами, ключами и сертификатами. Очень многие сетевые сервисы вроде Gmail, Blog-Spot, Facebook, MySpace и им подобных предоставляют пользователям защищенный портал для безопасного входа - с адресом https:// и шифрованием по протоколу SSL. Но после того, как логин и пароль введены, последующий сеанс связи обычно проходит в открытом виде. Делается это ради экономии компьютерных ресурсов, а для поддержания безопасности применяют метод попроще, называемый "идентификатор сеанса" (session ID). Как правило, это однократно генерируемая строка случайного вида, передаваемая в cookies или URL-адресе сеанса. Именно этот идентификатор и является целью SideJacking’а. Для перехвата используется сниффер беспроводных сетей WiFi или прокси-сервер. Получив идентификатор сеанса, злоумышленник представляется выдавшему его сервису как подлинный пользователь, после чего может делать с аккаунтом жертвы практически все, что заблагорассудится.
Snoopware (Программа-жучок): Принцип действия и цели Snoopware схожи со Spyware. Snoopware, как правило, используются для корпоративного и личного шпионажа. Наиболее типичными представителями программ-жучков являются Catch Cheat Spy, SpectorSoft EBlaster и Spector, а также WinWhatWhere Investigator. Snoopware также заражают мобильные телефоны и могут включать встроенную камеру и передавать снимки с неё злоумышленнику.
Spoofing: Общее название для сетевых атак, когда один участник маскируется под другого. Наиболее распространённые spoofing-атаки:
- MAC-spoofing — атака канального уровня, заключающаяся в том, что на сетевой карте изменяется MAC-адрес, что заставляет коммутатор отправлять на порт, к которому подключен злоумышленник, пакеты, которые до этого он видеть не мог;
- ARP-spoofing — атака, эксплуатирующая слабость протокола ARP, позволяющая разместить в ARP-кэше жертвы ложную запись о соответствии IP-адреса другой жертвы MAC-адресу атакующего;
- IP-spoofing — атака, заключающаяся в использовании в IP-пакетах, отправляемых жертве, IP-адресов хоста, которому она доверяет; легко осуществима в UDP, в некоторых случаях возможна в TCP-соединениях;
- DNS-spoofing — атака, базирующаяся на заражении кэша DNS-сервера жертвы ложной записью о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса атакующего.
- SMS-spoofing - отправка SMS от имени любого адресата.
В большинстве своём spoofing-атаки направлены на то, чтобы заставить жертву отправлять трафик не легитимному получателю напрямую, а атакующему, который затем уже ретранслирует трафик дальше. При этом атакующий получает возможность модификации трафика или, как минимум, его просмотра. В случае IP-spoofing'а преследуется другая цель — заставить жертву поверить, что трафик приходит от легитимного отправителя и поверить ему (или как минимум, пропустить его).
Stealth virus ("Стелс"-вирусы, вирусы-невидимки): Представляют собой программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и "подставляют" вместо себя не зараженные участки информации. Кроме этого такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы. К "стелс"-вирусам относятся вирусы "Frodo", "Fish#6", "Brain" и некоторые другие.
System Modifying Software (Программы модификации): Любая программа, модифицирующая пользовательскую систему, например изменение стартовой страницы браузера, изменение ассоциаций файлов и любые изменения низкого уровня.
Spyware (Шпионское программное обеспечение): Программное обеспечение, осуществляющее деятельность по сбору информации о конфигурации компьютера, деятельности пользователя и любой другой конфиденциальной информации без согласия самого пользователя. Могут являться частью Adware, для сбора данных предпочтений пользователя и показа релевантной рекламы. Spyware могут осуществлять широкий круг задач, например: собирать информацию о посещаемых веб-сайтах в Интернете и используемом программном обеспечении, запоминать нажатия клавиш на клавиатуре и записывать скриншоты экрана, проводить анализ состояния систем безопасности. В дальнейшем, вся собранная информация отправляется разработчикам шпионского программного обеспечения.
Stream Files: См. “Alternate Data Stream.”
System Monitor (Системный монитор): Общее понятие шпионского ПО имеющее в своем наборе кейлогер, захватчик экрана, перехватчики регистрационной информации, перехватчики сообщений электронной почты и интернет-мессенджеров.
Tracking Cookies (Следящие куки): Понятие, как правило относятся к примерно идентичному типу cookies, применяемых разработчиками различных рейтинговых и баннерных систем для отслеживания посещения пользователем страниц, содержащих элементы этих систем. Cookie в данном случае используется для своеобразной «пометки» пользователя, причем подобная «пометка» как правило не может быть ассоциирована с конкретным пользователем и его персональными данными, так как является простым уникальным идентификатором. Хранение в cookie персональных данных в открытом или легкодоступном виде (например, в Base64, UUE, Url-Encoding (обычный и Unicode), Quoted-Printable кодировании) может нести соответствующую опасность.
Tracking software: Программное обеспечение, которое отслеживает поведение пользователя, или собирает информацию о пользователе, иногда включая личную или другую конфиденциальную информацию.
Trapdoor (Лазейка): Недокументированный способ получения доступа в компьютерную систему.
Tricklers (Автоматические загрузчики программного обеспечения): Tricklers - это именно тот вид загрузчиков программного обеспечения, который используется без ведома пользователя, т.е. не санкционировано.
Trojan (Троян, Троянский конь): Вредоносная программа, проникающая на компьютер под видом обычной безвредной программы. Например, патча, аудио- или видеокодека, экранной заставки и т.д.
Toolkit: Набор инструментов/утилит, направленных на достижение общей цели (например ZBot-toolkit предназначен для создания ботнета, используемого для кражи учетных записей пользователей систем онлайн-банкинга, и управления им).
United Virtualities Persistent Identification Element (PIE): Специальная система резервного копирования (не удаляемые Cookies), основанная на элементе профилирования Local Shared Objects из комплекта Macromedia Flash. Все cookie на компьютере пользователя дублируются, а в случае удаления восстанавливаются. Система называется Persistent Identification Element (PIE), а файлы, по аналогии с cookies (в переводе с англ. — «печенья») разработчики называют pies («пироги»). На компьютере пользователя вместо обычного файла cookie записывается файл AccuCounter PIE, который выполняет те же функции. Одновременно с ним создается резервный Backup PIE, который восстанавливает основной AccuCounter PIE в том случае, если он оказался удаленным.
Usability: Понятие в микроэргономике, отображающее степень удобности предмета для применения пользователями при достижении определённых целей в некотором контексте. Термин имеет связь с понятием «эргономичность», но в отличие от последнего меньше ассоциируется с технической эстетикой, с внешним видом и более привязан к утилитарности «юзабельного» объекта. Русскоязычный аналог — удобство использования.
User (Пользователь): Лицо или организация, которое использует действующую систему для выполнения конкретной функции. В домашнем обиходе так называют владельца компьютера.
Virus (Компьютерный вирус): Разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.
Worm (Сетевой червь): Разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети. Также существует понятие Autorun Worm - программа, использующая для распространения внешние накопители.
XSS (Сross Site Sсriрting) (Межсайтовый скриптинг): Тип атаки на уязвимые интерактивные информационные системы в вебе. XSS применяется, когда в генерируемые сервером страницы возможно внедрить клиентские скрипты, но не только. Специфика подобных атак заключается в том, что для атаки на сервер в качестве средства атаки обычно используется авторизованный на этом сервере клиент.
Zero-day exploit (Эксплойт «нулевого дня»): Zero-day эксплойт — это киберугроза, использующая ошибку или уязвимость в приложении или операционной системе и появившаяся сразу после обнаружения данной уязвимости, пока разработчики ПО еще не успели создать патч, а IT-администраторы — принять другие меры безопасности.
Zombie (Зомби): Компьютер в сети, используемый третьими лицами без ведома владельца, например для доступа в закрытую или коммерческую сеть (например Интернет), использования вычислительных ресурсов (кластеризации), рассылки спама, и т. п. Множество зомби образуют Botnet.
Источники:
http://www.antispywarecoalition.org/
Информационная безопасность - главная страница
SafenSoft TPSecure: защита банкоматов. Защита конечных точек банковской сети и устройств самообслуживания.
АнтиГад.ру - Антивирусы, Антишпионы, Файерволы и другие Антигады
Заглавная страница — Xgu.ru
Последнее редактирование модератором: