Hem › Installation och konfiguration › Detektering och skydd av en dator över ett nätverk. Nätverksskydd. Program för att skydda datornätverk. O Dåligt: Sårbarhet hos delade administrativa resurser

Detektering och skydd av en dator över ett nätverk. Nätverksskydd. Program för att skydda datornätverk. O Dåligt: Sårbarhet hos delade administrativa resurser

Vissa människor arbetar hela livet för att förbättra säkerheten för företag och privatpersoner. Och de tillbringar en stor del av denna tid med att lappa hål i Windows. Windows-systemet är huvudkanalen för skadlig programvara, som skapar zombies (robotar), som diskuteras i kapitel 5, och detta är bara toppen av isberget. För att vara rättvis är Windows enorma popularitet till stor del att skylla på, men det finns så många hål i Windows 7 att det är oklart om någon på Microsoft stör sig på det.

Det finns tre huvudtyper av hot. Först en speciellt riktad attack av en person som försöker hacka din dator via en nätverksanslutning. För det andra, en attack från en person som sitter vid datorns tangentbord. Slutligen kan det finnas en automatisk attack utförd av en mask eller annan typ av skadlig programvara.

Windows 7, och ännu tidigare Vista, inkluderar kontroll av användarkonton, som borde hjälpa till att hejda strömmen av oavsiktliga och oönskade programvaruinstallationer - mer om det, såväl som lösenord och kryptering

säger i kapitel 7. Men det mesta skräp kommer via din nätverksanslutning, så det är där du bör börja skydda din dator. Operativsystemet Windows 7 innehåller flera funktioner som gör det möjligt att tillhandahålla en viss säkerhetsnivå utan att behöva köpa ytterligare mjukvara eller hårdvara.

Tyvärr är inte många av dessa funktioner aktiverade som standard. Följande faktorer är kryphål som inte bör ignoreras.

O Dåligt: UPnP-protokollsårbarhet

En annan funktion som kallas UPnP (Universal Plug-and-Play) kan öppna upp ytterligare sårbarheter i ditt nätverk. Ett mer lämpligt namn för UPnP skulle vara Network Plug and Play, eftersom den här funktionen bara handlar om nätverksenheter. UPnP är en uppsättning standarder som tillåter nyligen anslutna enheter att annonsera

om din närvaro UPnP-servrar på ditt nätverk, ungefär på samma sätt som USB-enheter meddelar sin närvaro till ett Windows-ägt system

Externt ser UPnP-funktionen bra ut. Men i praktiken är bristen på autentisering i UPnP-standarden och den lätthet med vilken skadlig programvara kan använda UPnP för att slå hål i brandväggen och skapa regler för portvidarebefordran i routern inget annat än problem. UPnP används för närvarande för vissa spel, de flesta medieförlängare, snabbmeddelanden, fjärrassistans, etc., vilket förklarar varför det är aktiverat som standard i Windows 7 och många nätverksenheter. Men om du inte behöver det är det bättre att stänga av det.

Om du väljer Offentligt nätverk första gången du ansluter till nytt nätverk eller via nätverks- och delningscenter

^j Delningscenter), då är UPnP inaktiverat som standard.

För att inaktivera UPnP, öppna fönstret 01usb (services.msc). Hitta tjänsten SSDP Discovery Service i listan och klicka på knappen Stoppa tjänst i verktygsfältet. Samtidigt bör UPnP-enhetsvärden också sluta. Om det inte är det, sluta med det också. Testa nu alla applikationer eller enheter som du misstänker kan använda nätverksupptäckt, till exempel mediaservrar eller förlängare. Om du inte har någon av dessa kan du inaktivera UPnP helt och hållet genom att dubbelklicka på varje tjänst och välja Disabled från listan Startup type. Annars kommer dessa tjänster att starta igen nästa gång du startar Windows.

Öppna nu routerns konfigurationssida (beskrivs tidigare i det här kapitlet) och inaktivera UPnP-tjänsten. Detta krävs för att förhindra att ansökningar upprättar nya regler för vidarebefordran av hamn. Om din router inte tillåter dig att ändra UPnP-inställningar, överväg att uppgradera till fler ny version firmware, som beskrivs i avsnittet "Uppgradera till en nyare version av routern."

O Dåligt: Öppna portar sårbarhet

Leta efter sårbarheter i ditt system med öppen portskanning, som beskrivs längre fram i det här kapitlet.

O Bra: fjärrarbetsyta, men bara när det behövs

Fjärrskrivbordsfunktionen som beskrivs i " Fjärrkontroll dator" är aktiverat som standard i Windows 7 Professional och Ultimate. Om du inte specifikt behöver den här funktionen bör du stänga av den. Öppna System i Kontrollpanelen och välj sedan länken Inställningar för fjärråtkomst. På sidan Fjärranslutning I fönstret Systemegenskaper, stäng av kryssrutan Tillåt fjärrassistansanslutningar till den här datorn och markera kryssrutan Tillåt inte anslutningar till den här datorn nedan.

O Ok: kontolösenord

I teorin allmän tillgång to files fungerar inte för konton som inte har ett lösenord, vilket är standardinställningen när du skapar ett nytt användarkonto. Men ett lösenordslöst konto ger inget skydd mot någon som sitter vid ditt tangentbord, och om det är ett användarkonto med administratörsrättigheter är dörren öppen för alla andra användare av den här datorn. Se kapitel 7 för en diskussion om användarkonton och lösenord.

Om hemgrupper och fildelning

Varje delad mapp är potentiellt en öppen dörr. Därför bör öppen åtkomst endast ges till de mappar som verkligen är nödvändiga. Observera att filbehörigheter och delningsbehörigheter är olika saker i Windows 7. Detta diskuteras närmare i kapitel 7.

O Dåligt: Delningsguidens sårbarhet

En av de främsta anledningarna till att skapa en arbetsgrupp är att dela filer och skrivare. Men det är klokt att bara dela de mappar som behöver delas och stänga av delning för alla andra. En funktion som heter Use Sharing Wizard, som beskrivs i kapitel 2 och diskuteras i detalj i kapitel 7, ger dig inte fullständig kontroll över vem som kan se och ändra dina filer.

O Dåligt: Sårbarhet hos delade administrativa resurser

Delningsfunktionen, som diskuteras i kapitel 7, ger åtkomst till alla enheter på din dator, oavsett om du delar mappar på dessa enheter.

O Bra: Brandvägg

Konfigurera brandväggen som diskuteras nedan för att strikt kontrollera nätverksflödet till och från din dator, men lita inte på att Windows inbyggda brandväggsprogram ger tillräckligt skydd.

Ett bra: Supportcentret är bra, men du bör inte lita helt på det. Supportcentret som visas i fig. 6.28 är den centrala sidan i kontrollpanelen som används för att hantera Windows-brandväggen, Windows Defender, användarkontokontroll och automatiska uppdateringar. Han styr också antivirusprogram, men, rent av politiska skäl, har Windows 7 inga egna antivirusprogram.

Det viktigaste är att Action Center bara är en tittare. Om den ser att en given skyddsåtgärd är aktiverad, oavsett om den körs aktivt, kommer Action Center att vara glada och du kommer inte att få några aviseringar.

Trött på meddelanden från supportcentret? Klicka på länken Ändra inställningar för åtgärdscenter till vänster och välj vilka problem som är värda att rapportera och vilka du kan ignorera. Du kan inaktivera alla meddelanden från Action Center genom att stänga av alla kryssrutor på den här sidan, men för att helt avaktivera hela funktionen måste du öppna fönstret Services (services.msc) och stänga av Action Center. Detta kommer inte att inaktivera någon brandvägg, antivirus eller automatiska uppdateringar som du kanske använder, bara övervakningsverktygen för dessa verktyg och de meddelanden som medföljer dem.

Du kan inte ändra din brandvägg eller anti-malware-inställningar här. För att göra detta måste du gå tillbaka till kontrollpanelen och öppna lämpligt program där.

Problemet med nätverksmaskepidemin är relevant för alla lokalt nätverk. Förr eller senare kan en situation uppstå när ett nätverk eller e-postmask penetrerar LAN och inte upptäcks av antiviruset som används. Ett nätverksvirus sprids över ett LAN genom operativsystemsårbarheter som inte stängdes vid infektionstillfället eller genom skrivbara delade resurser. Mail virus, som namnet antyder, distribueras via e-post, förutsatt att den inte blockeras av klient-antivirus och antivirus på Mejl server. Dessutom kan en epidemi på ett LAN organiseras inifrån som ett resultat av en insiders aktiviteter. I den här artikeln kommer vi att titta på praktiska metoder för operativ analys av LAN-datorer med hjälp av olika verktyg, särskilt med hjälp av författarens AVZ-verktyg.

Formulering av problemet

Om en epidemi eller någon onormal aktivitet upptäcks i nätverket måste administratören snabbt lösa minst tre uppgifter:

upptäcka infekterade datorer i nätverket;
hitta prover av skadlig programvara att skicka till ett antiviruslaboratorium och utveckla en motåtgärdsstrategi;
vidta åtgärder för att blockera spridningen av viruset på LAN och förstöra det på infekterade datorer.

När det gäller insideraktivitet är huvudstegen i analysen identiska och oftast handlar det om behovet av att upptäcka programvara från tredje part installerad av insidern på LAN-datorer. Exempel på sådan programvara inkluderar fjärradministrationsverktyg, keyloggers och olika trojanska bokmärken.

Låt oss överväga mer i detalj lösningen på var och en av uppgifterna.

Sök efter infekterade datorer

För att söka efter infekterade datorer i nätverket kan du använda minst tre metoder:

automatisk fjärranalys av PC - få information om körande processer, laddade bibliotek och drivrutiner, sökning efter karakteristiska mönster - till exempel processer eller filer med givna namn;
PC-trafikanalys med en sniffer - den här metoden mycket effektivt för att fånga spambots, e-post och nätverksmaskar, men den största svårigheten med att använda en sniffer beror på det faktum att ett modernt LAN är byggt på basen av switchar och som ett resultat kan administratören inte övervaka trafiken på hela nätverket. Problemet kan lösas på två sätt: genom att köra en sniffer på routern (som låter dig övervaka utbytet av PC-data med Internet) och genom att använda switcharnas övervakningsfunktioner (många moderna strömbrytare låter dig tilldela en övervakningsport till vilken trafiken för en eller flera switchportar som anges av administratören dupliceras);
studie av nätverksbelastning - i det här fallet är det mycket bekvämt att använda smarta switchar, som gör att du inte bara kan bedöma belastningen utan också att fjärrinaktivera portar som anges av administratören. Denna operation är mycket förenklad om administratören har en nätverkskarta, som innehåller information om vilka datorer som är anslutna till motsvarande switchportar och var de finns;
användning av honungskrukor - det rekommenderas starkt att skapa flera honungskrukor på det lokala nätverket som gör det möjligt för administratören att i tid upptäcka en epidemi.

Automatisk analys av datorer i nätverket

Automatisk PC-analys kan reduceras till tre huvudsteg:

genomföra en komplett PC-skanning - köra processer, laddade bibliotek och drivrutiner, autostart;
bedriva operativ forskning - till exempel söka efter karakteristiska processer eller filer;
karantän av föremål enligt vissa kriterier.

Alla ovanstående problem kan lösas med hjälp av författarens AVZ-verktyg, som är utformat för att startas från en nätverksmapp på servern och stöder ett skriptspråk för automatisk PC-inspektion. För att köra AVZ på användardatorer måste du:

Placera AVZ i en nätverksmapp på servern som är öppen för läsning.
Skapa LOG- och Qurantine-underkataloger i den här mappen och låt användare skriva till dem.
Starta AVZ på LAN-datorer med hjälp av rexec-verktyget eller inloggningsskriptet.

Starta AVZ i steg 3 bör göras med följande parametrar:

\\min_server\AVZ\avz.exe Prioritet=-1 nw=Y nq=Y HiddenMode=2 Skript=\\min_server\AVZ\my_script.txt

I det här fallet sänker parametern Priority=-1 prioriteten för AVZ-processen, parametrarna nw=Y och nq=Y växlar karantänen till läget "nätverkskörning" (i detta fall skapas en underkatalog i karantänmappen för varje dator, vars namn matchar nätverksnamnet på datorn) , instruerar HiddenMode=2 att neka användaren åtkomst till GUI- och AVZ-kontrollerna, och slutligen anger den viktigaste skriptparametern det fullständiga namnet på skriptet med kommandon som AVZ kommer att köra på användarens dator. AVZ-skriptspråket är ganska enkelt att använda och fokuserar uteslutande på att lösa problem med datorundersökning och behandling. För att förenkla processen att skriva skript kan du använda en specialiserad skriptredigerare, som innehåller en onlineprompt, en guide för att skapa standardskript och verktyg för att kontrollera det skrivna skriptets korrekthet utan att köra det (fig. 1).

Ris. 1. AVZ-skriptredigerare

Låt oss titta på tre typiska skript som kan vara användbara i kampen mot epidemin. Först behöver vi ett PC-forskningsskript. Skriptet har till uppgift att undersöka systemet och skapa ett protokoll med resultaten i en given nätverksmapp. Skriptet ser ut så här:

ActivateWatchDog(60 * 10);

// Börja skanna och analysera

// Systemutforskning

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//Stäng av AVZ

Under körningen av detta skript kommer HTML-filer med resultaten från studien av nätverksdatorer att skapas i LOG-mappen (förutsatt att den skapas i AVZ-katalogen på servern och är tillgänglig för användare att skriva), och för att säkerställa unikhet, namnet på den dator som undersöks ingår i protokollnamnet. I början av skriptet finns ett kommando för att aktivera en watchdog-timer, som med kraft kommer att avbryta AVZ-processen efter 10 minuter om fel uppstår under skriptkörning.

AVZ-protokollet är bekvämt för manuella studier, men det är till liten nytta för automatiserad analys. Dessutom känner administratören ofta till namnet på skadlig programvara och behöver bara kontrollera närvaron eller frånvaron den här filen, och om tillgängligt, karantän för analys. I det här fallet kan du använda följande skript:

// Aktivera watchdog timer i 10 minuter

ActivateWatchDog(60 * 10);

// Sök efter skadlig programvara efter namn

QuarantineFile('%WinDir%\smss.exe', 'Misstänkt på LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Mistanke om LdPinch.gen');

//Stäng av AVZ

Det här skriptet använder QuarantineFile-funktionen för att försöka sätta de angivna filerna i karantän. Administratören kan endast analysera innehållet i karantänen (mappen Quarantine\nätverksnamn_PC\quarantine_date\) för förekomsten av filer i karantän. Observera att QuarantineFile-funktionen automatiskt blockerar karantän för filer som identifieras av den säkra AVZ-databasen eller Microsofts digitala signaturdatabase. För praktisk applikation det här skriptet kan förbättras - organisera laddningen av filnamn från en extern textfil, kontrollera de hittade filerna mot AVZ-databaserna och generera ett textprotokoll med resultaten av arbetet:

// Sök efter en fil med det angivna namnet

function CheckByName(Fname: string): boolean;

Resultat:= FileExists(FName) ;

om Resultat sedan börja

case CheckFile(FName) of

1: S:= ', åtkomst till filen är blockerad';

1: S:= ', upptäckt som skadlig programvara ('+GetLastCheckTxt+')';

2: S:= ', misstänkt av filskannern ('+GetLastCheckTxt+')';

3: utgång; // Säkra filer ignoreras

AddToLog(‘Filen ‘+NormalFileName(FName)+’ har ett misstänkt namn’+S);

//Lägg till den angivna filen i karantän

QuarantineFile(FName,'misstänkt fil'+S);

SuspNames: TStringList; // Lista över namn på misstänkta filer

// Kontrollerar filer mot den uppdaterade databasen

om FileExists(GetAVZDirectory + ‘files.db’) börja sedan

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('filer.db');

AddToLog('Namndatabasen laddad - antal poster = '+inttostr(SuspNames.Count));

// Sök loop

för i:= 0 till SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Fel vid laddning av lista med filnamn');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

För att det här skriptet ska fungera måste du skapa katalogerna Quarantine och LOG i AVZ-mappen, tillgängliga för användare att skriva, samt textfil files.db - varje rad i den här filen kommer att innehålla namnet på den misstänkta filen. Filnamn kan innehålla makron, de mest användbara är %WinDir% (sökväg till Windows-mappen) och %SystemRoot% (sökväg till mappen System32). En annan analysriktning kan vara en automatisk granskning av listan över processer som körs på användardatorer. Information om pågående processer finns i systemforskningsprotokollet, men för automatisk analys är det bekvämare att använda följande skriptfragment:

procedur ScanProcess;

S:= ''; S1:= '';

//Uppdaterar listan över processer

RefreshProcessList;

AddToLog(‘Antal processer = ‘+IntToStr(GetProcessCount));

// Analyscykel av den mottagna listan

för i:= 0 till GetProcessCount - 1 börjar

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Sök efter process efter namn

om pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 då

S:= S + GetProcessName(i)+’,’;

om S<>''sedan

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Studiet av processer i detta skript utförs som en separat ScanProcess-procedur, så det är lätt att placera det i ett eget skript. ScanProcess-proceduren bygger två listor med processer: full lista processer (för efterföljande analys) och en lista över processer som, ur administratörens synvinkel, anses vara farliga. I det här fallet, för demonstrationsändamål, anses en process som heter 'trojan.exe' vara farlig. Information om farliga processer läggs till i textfilen _alarm.txt, data om alla processer läggs till filen _all_process.txt. Det är lätt att se att du kan komplicera skriptet genom att lägga till det, till exempel kontrollera processfiler mot en databas med säkra filer eller kontrollera namn körbara filer processer på extern basis. En liknande procedur används i AVZ-skript som används i Smolenskenergo: administratören studerar regelbundet den insamlade informationen och modifierar skriptet och lägger till namnet på processerna för program som är förbjudna enligt säkerhetspolicyn, till exempel ICQ och MailRu.Agent, vilket tillåter Du kan snabbt kontrollera förekomsten av förbjuden programvara på de datorer som studeras. En annan användning för processlistan är att hitta datorer som saknar en nödvändig process, till exempel ett antivirus.

Avslutningsvis, låt oss titta på det sista av de användbara analysskripten - ett skript för automatisk karantän för alla filer som inte känns igen av den säkra AVZ-databasen och Microsofts digitala signaturdatabase:

// Utför autokarantän

ExecuteAutoQuarantine;

Automatisk karantän undersöker pågående processer och laddade bibliotek, tjänster och drivrutiner, cirka 45 autostartmetoder, webbläsar- och utforskartilläggsmoduler, SPI/LSP-hanterare, schemaläggarjobb, utskriftssystemhanterare, etc. En speciell egenskap med karantän är att filer läggs till den med upprepningskontroll, så att autokarantänfunktionen kan anropas upprepade gånger.

Fördelen med automatisk karantän är att administratören med dess hjälp snabbt kan samla in potentiellt misstänkta filer från alla datorer i nätverket för granskning. Den enklaste (men mycket effektiva i praktiken) formen av att studera filer kan vara att kontrollera den resulterande karantänen med flera populära antivirus i maximalt heuristiskt läge. Det bör noteras att samtidig lansering av autokarantän på flera hundra datorer kan skapa en hög belastning på nätverket och filservern.

Trafikforskning

Trafikforskning kan utföras på tre sätt:

manuellt använda sniffers;
i halvautomatiskt läge - i det här fallet samlar sniffern information, och sedan bearbetas dess protokoll antingen manuellt eller av någon programvara;
automatiskt med hjälp av intrångsdetekteringssystem (IDS) som Snort (http://www.snort.org/) eller deras mjukvara eller hårdvara analoger. I det enklaste fallet består en IDS av en sniffer och ett system som analyserar informationen som sniffern samlar in.

Ett intrångsdetekteringssystem är ett optimalt verktyg eftersom det låter dig skapa uppsättningar regler för att upptäcka anomalier i nätverksaktivitet. Dess andra fördel är följande: de flesta moderna IDS tillåter trafikövervakningsagenter att placeras på flera nätverksnoder - agenterna samlar in information och överför den. Om du använder en sniffer är det mycket bekvämt att använda konsolen UNIX sniffer tcpdump. Till exempel för att övervaka aktivitet på port 25 ( SMTP-protokoll) kör bara sniffern med kommandorad typ:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

I detta fall fångas paket via em0-gränssnittet; information om fångade paket kommer att lagras i filen smtp_log.txt. Protokollet är relativt lätt att analysera manuellt; i det här exemplet kan du analysera aktivitet på port 25 för att identifiera datorer med aktiva spambots.

Applicering av Honeypot

En föråldrad dator vars prestanda inte tillåter att den används för att lösa kan användas som en fälla (Honeypot). produktionsuppgifter. Till exempel används en Pentium Pro med 64 MB framgångsrikt som en fälla i författarens nätverk random access minne. På den här datorn bör du installera det vanligaste operativsystemet på LAN och välja en av strategierna:

Installera ett operativsystem utan uppdateringspaket - det kommer att vara en indikator på utseendet på en aktiv nätverksmask på nätverket, som utnyttjar någon av de kända sårbarheterna för detta operativsystem;
installera ett operativsystem med uppdateringar som är installerade på andra datorer i nätverket - Honeypot kommer att vara analog med någon av arbetsstationerna.

Varje strategi har både sina för- och nackdelar; Författaren använder huvudsakligen alternativet utan uppdateringar. Efter att ha skapat Honeypot bör du skapa en diskavbildning för snabb återhämtning systemet efter att det har skadats av skadlig programvara. Som ett alternativ till en diskavbildning kan du använda system för återställning av ändringar som ShadowUser och dess analoger. Efter att ha byggt en Honeypot bör du ta hänsyn till att ett antal nätverksmaskar söker efter infekterade datorer genom att skanna IP-intervallet, beräknat från IP-adressen för den infekterade datorn (vanliga typiska strategier är X.X.X.*, X.X.X+1.*, X.X.X-1.*), - därför bör det helst finnas en Honeypot på varje subnät. Som ytterligare förberedelseelement bör du definitivt öppna åtkomst till flera mappar på Honeypot-systemet, och i dessa mappar bör du lägga flera exempelfiler i olika format, den minsta uppsättningen är EXE, JPG, MP3.

Naturligtvis, efter att ha skapat en Honeypot måste administratören övervaka dess funktion och svara på eventuella avvikelser som upptäcks på den här datorn. Revisorer kan användas som ett sätt att registrera förändringar, en sniffer kan användas för att registrera nätverksaktivitet. En viktig punktär att de flesta sniffers ger möjlighet att konfigurera att skicka en varning till administratören om en viss nätverksaktivitet upptäcks. Till exempel, i CommView-sniffaren, innebär en regel att specificera en "formel" som beskriver ett nätverkspaket, eller specificera kvantitativa kriterier (sända mer än ett specificerat antal paket eller byte per sekund, skicka paket till oidentifierade IP- eller MAC-adresser) - Fikon. 2.

Ris. 2. Skapa och konfigurera en nätverksaktivitetsvarning

Som en varning är det mest bekvämt att använda e-postmeddelanden som skickas till Brevlåda administratör - i det här fallet kan du få snabba varningar från alla fällor i nätverket. Dessutom, om sniffern låter dig skapa flera varningar, är det vettigt att skilja nätverksaktivitet genom att lyfta fram arbetet med via e-post, FTP/HTTP, TFTP, Telnet, MS Net, ökade trafiken med mer än 20-30 paket per sekund för vilket protokoll som helst (fig. 3).

Ris. 3. Aviseringsbrev skickat
om paket som matchar de angivna kriterierna upptäcks

När du organiserar en fälla är det en bra idé att placera flera sårbara nätverkstjänster som används på nätverket på den eller installera en emulator för dem. Det enklaste (och gratis) är det proprietära APS-verktyget, som fungerar utan installation. Funktionsprincipen för APS handlar om att lyssna på många TCP- och UDP-portar som beskrivs i dess databas och att ge ett förutbestämt eller slumpmässigt genererat svar vid anslutningsögonblicket (fig. 4).

Ris. 4. Huvudfönster för APS-verktyget

Bilden visar en skärmdump tagen under en riktig APS-aktivering på Smolenskenergo LAN. Som framgår av figuren registrerades ett försök att ansluta en av klientdatorerna på port 21. Analys av protokollen visade att försöken är periodiska och registreras av flera fällor på nätverket, vilket gör att vi kan dra slutsatsen att nätverket skannas för att söka efter och hacka FTP-servrar genom att gissa lösenord. APS för loggar och kan skicka meddelanden till administratörer med rapporter om registrerade anslutningar till övervakade portar, vilket är bekvämt för att snabbt upptäcka nätverksskanningar.

När du skapar en Honeypot är det också bra att bekanta dig med onlineresurser om ämnet, särskilt http://www.honeynet.org/. I avsnittet Verktyg på den här webbplatsen (http://www.honeynet.org/tools/index.html) kan du hitta ett antal verktyg för att registrera och analysera attacker.

Borttagning av skadlig programvara på distans

I idealfallet, efter att ha upptäckt skadlig programvara, skickar administratören dem till antiviruslaboratoriet, där de omgående studeras av analytiker och motsvarande signaturer läggs till i antivirusdatabasen. Dessa signaturer igenom automatisk uppdatering komma in på användarens dator och antivirusprogrammet tar automatiskt bort skadlig programvara utan administratörsingripande. Den här kedjan fungerar dock inte alltid som förväntat; i synnerhet är följande orsaker till misslyckanden möjliga:

av ett antal skäl oberoende av nätverksadministratören kan det hända att bilderna inte når antiviruslaboratoriet;
otillräcklig effektivitet hos antiviruslaboratoriet - idealiskt tar det inte mer än 1-2 timmar att studera prover och lägga in dem i databasen, vilket innebär att uppdaterade signaturdatabaser kan erhållas inom en arbetsdag. Men alla antiviruslaboratorier fungerar inte så snabbt, och du kan vänta flera dagar på uppdateringar (i sällsynta fall, till och med veckor);
hög prestanda av antivirus - ett antal skadliga program, efter aktivering, förstöra antivirus eller på annat sätt störa deras funktion. Klassiska exempel inkluderar att göra poster i hosts-filen som blockerar normalt arbete antivirus automatiska uppdateringssystem, radering av processer, tjänster och antivirusdrivrutiner, skador på deras inställningar osv.

Därför måste du i ovanstående situationer hantera skadlig programvara manuellt. I de flesta fall är detta inte svårt, eftersom resultaten av datorundersökningen avslöjar de infekterade datorerna, såväl som de fullständiga namnen på skadliga filer. Allt som återstår är att ta bort dem på distans. Om det skadliga programmet inte är skyddat från radering kan det förstöras med följande AVZ-skript:

// Ta bort en fil

DeleteFile('filnamn');

ExecuteSysClean;

Detta skript tar bort en specificerad fil (eller flera filer, eftersom det kan finnas ett obegränsat antal DeleteFile-kommandon i ett skript) och rensar sedan automatiskt registret. I ett mer komplext fall kan skadlig programvara skydda sig från att raderas (till exempel genom att återskapa sina filer och registernycklar) eller dölja sig själv med hjälp av rootkit-teknik. I det här fallet blir skriptet mer komplicerat och kommer att se ut så här:

// Anti-rootkit

SearchRootkit(true, true);

// Styr AVZGuard

SetAVZGuardStatus(true);

// Ta bort en fil

DeleteFile('filnamn');

// Aktivera BootCleaner-loggning

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importera till BootCleaner-uppgiften en lista över filer som raderats av skriptet

BC_ImportDeletedList;

// Aktivera BootCleaner

// Heuristisk systemrengöring

ExecuteSysClean;

Starta om Windows(true);

Detta skript inkluderar aktiv motverkan mot rootkits, användningen av AVZGuard-systemet (detta är en blockerare av skadlig programvara) och BootCleaner-systemet. BootCleaner är en drivrutin som tar bort specificerade objekt från KernelMode under en omstart, i ett tidigt skede av systemstart. Övning visar att ett sådant skript kan förstöra den stora majoriteten av befintlig skadlig programvara. Undantaget är skadlig programvara som ändrar namnen på sina körbara filer vid varje omstart - i det här fallet kan filer som upptäckts under systemgenomsökning bytas namn. I det här fallet måste du desinficera din dator manuellt eller skapa dina egna skadliga signaturer (ett exempel på ett skript som implementerar en signatursökning beskrivs i AVZ-hjälpen).

Slutsats

I den här artikeln tittade vi på några praktiska tekniker för att bekämpa en LAN-epidemi manuellt, utan användning av antivirusprodukter. De flesta av de beskrivna teknikerna kan också användas för att söka efter utländska datorer och trojanska bokmärken på användardatorer. Om du har problem med att hitta skadlig programvara eller skapa behandlingsskript kan administratören använda avsnittet "Hjälp" på forumet http://virusinfo.info eller avsnittet "Bekämpa virus" på forumet http://forum.kaspersky.com /index.php?showforum= 18. Studie av protokoll och hjälp vid behandling utförs på båda forumen kostnadsfritt, PC-analys utförs enligt AVZ-protokoll, och i de flesta fall handlar behandlingen om att exekvera ett AVZ-skript på infekterade datorer, sammanställt av erfarna specialister från dessa forum .

Som tvingas vänta på skapandet av en fysisk fil på användarens dator, börjar nätverksskyddet att analysera inkommande dataströmmar som kommer in i användarens dator via nätverket och blockerar hot innan de kommer in i systemet.

Huvudområdena för nätverksskydd som tillhandahålls av Symantecs teknologier är:

Drive-by-nedladdningar, webbattacker;
- "Social Engineering"-attacker: FakeAV (falska antivirus) och codecs;
- Anfaller igenom sociala media gillar Facebook;
- Detektering av skadlig programvara, rootkits och system infekterade med bots;
- Skydd mot avancerade hot;
- Zero-day hot;
- Skydd mot sårbarheter i oparpad mjukvara;
- Skydd mot skadliga domäner och IP-adresser.

Nätverksskyddstekniker

Nivån "Nätverksskydd" inkluderar 3 olika tekniker.

Network Intrusion Prevention Solution (Network IPS)

Network IPS-teknik förstår och skannar över 200 olika protokoll. Den skär intelligent och exakt igenom binära och nätverksprotokoll, letar samtidigt efter tecken på skadlig trafik. Denna intelligens möjliggör mer exakt nätverksskanning samtidigt som den tillhandahåller pålitligt skydd. I dess "hjärta" finns en exploateringsblockerande motor som ger öppna sårbarheter med praktiskt taget ogenomträngligt skydd. En unik egenskap hos Symantec IPS är att denna komponent inte kräver någon konfiguration. Alla dess funktioner fungerar, som de säger, "out of the box". Varje Norton-konsumentprodukt och varje Symantec Endpoint Protection-produkt version 12.1 och senare har denna viktiga teknik aktiverad som standard.

Webbläsarskydd

Denna säkerhetsmotor finns i webbläsaren. Den kan upptäcka de mest komplexa hoten som varken traditionellt antivirus eller nätverks-IPS kan upptäcka. Nuförtiden använder många nätverksattacker obfuskeringstekniker för att undvika upptäckt. Eftersom webbläsarskydd körs inuti webbläsaren kan det undersöka ännu ej gömd (obfuskerad) kod när den körs. Detta gör att du kan upptäcka och blockera en attack om den missades på lägre nivåer av programskydd.

Skydd mot obehörig nedladdning (UXP)

Belägen inom nätverksförsvarsskiktet hjälper den sista försvarslinjen att täcka och mildra effekterna av okända och oparpade sårbarheter, utan användning av signaturer. Detta ger ett extra lager av skydd mot Zero Day-attacker.

Fokusera på problem

Genom att arbeta tillsammans löser nätverkssäkerhetstekniker följande problem.

Drive-by-nedladdningar och webbattacksatser

Genom att använda nätverks-IPS, webbläsarskydd och UXP-teknik blockerar Symantecs nätverksskyddstekniker Drive-by-nedladdningar och förhindrar i huvudsak skadlig programvara från att ens nå användarens system. Olika förebyggande metoder tillämpas som inkluderar användningen av samma teknik, inklusive Generic Exploit Blocking-teknik och verktyg för webbattackdetektering. Ett allmänt verktyg för upptäckt av webbattacker analyserar egenskaperna hos en vanlig webbattack, oavsett vilken specifika sårbarhet attacken riktar sig till. Detta gör att du kan tillhandahålla ytterligare skydd för nya och okända sårbarheter. Det bästa med den här typen av skydd är att om en skadlig fil "tyst" skulle infektera ett system, skulle den fortfarande stoppas och tas bort från systemet: det är just det beteendet som traditionella antivirusprodukter vanligtvis missar. Men Symantec fortsätter att blockera tiotals miljoner varianter av skadlig programvara som vanligtvis inte kan upptäckas på annat sätt.

Social Engineering Attacker

Eftersom Symantecs teknik övervakar nätverks- och webbläsartrafik när den färdas, upptäcker den "Social Engineering"-attacker som FakeAV eller falska codecs. Tekniker är utformade för att blockera sådana attacker innan de visas på användarens skärm. De flesta andra konkurrerande lösningar inkluderar inte denna kraftfulla förmåga.

Symantec blockerar hundratals miljoner av dessa typer av attacker med online-hotskyddsteknik.

Attacker riktade mot applikationer för sociala medier

Applikationer för sociala medier har nyligen blivit mycket populära eftersom de låter dig omedelbart dela olika meddelanden, intressanta videor och information med tusentals vänner och användare. Den breda spridningen och potentialen för sådana program gör dem till det första målet för hackare. Några vanliga hackertrick inkluderar att skapa falska konton och skicka skräppost.

Symantecs IPS-teknik kan skydda mot dessa typer av bedrägerimetoder och förhindrar dem ofta innan användaren ens klickar på dem. Symantec stoppar bedrägliga och förfalskade webbadresser, applikationer och andra bedrägeritekniker med online-hotskyddsteknik.

Detektering av skadlig programvara, rootkits och bot-infekterade system

Skulle det inte vara bra att veta exakt var i nätverket den infekterade datorn finns? Symantecs IPS-lösningar tillhandahåller denna förmåga, inklusive upptäckt och återställning av hot som kan ha undgått andra skyddsskikt. Symantecs lösningar upptäcker skadlig programvara och botar som försöker göra automatiska uppringare eller ladda ner "uppdateringar" för att öka deras aktivitet på systemet. Detta gör att IT-chefer, som har en tydlig lista över system att granska, kan vara säker på att deras företag är säkert. Polymorfa och komplexa smyghot med rootkit-tekniker som Tidserv, ZeroAccess, Koobface och Zbot kan stoppas och tas bort med den här metoden.

Skydd mot förvirrade hot

Dagens webbattacker använder komplexa tekniker för att öka komplexiteten i sina attacker. Symantecs webbläsarskydd sitter inne i webbläsaren och kan upptäcka mycket komplexa hot som traditionella metoder ofta inte kan upptäcka.

Nolldagars hot och oparpade sårbarheter

Ett av de tidigare säkerhetstilläggen som företaget har lagt till är ett extra lager av skydd mot nolldagarshot och oparpade sårbarheter. Genom att använda signaturlöst skydd, fångar programmet upp System API-anrop och skyddar mot nedladdningar av skadlig programvara. Denna teknik kallas Un-Authorized Download Protection (UXP). Det är den sista stödlinjen inom ekosystemet för skydd av nätverkshot. Detta gör att produkten kan "täcka" okända och oparpade sårbarheter utan att använda signaturer. Denna teknik är aktiverad som standard och har hittats i alla produkter som släppts sedan Norton 2010 debuterade.

Skydd mot opatchade sårbarheter i programvara

Skadliga program installeras ofta utan användarens vetskap, med hjälp av sårbarheter i programvaran. Symantecs nätverkssäkerhet ger ett extra skyddslager som kallas Generic Exploit Blocking (GEB). Oavsett Senaste uppdateringarna eller inte, GEB skyddar "för det mesta" underliggande sårbarheter från exploatering. Sårbarheter i Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, ActiveX-kontroller eller QuickTime finns nu överallt. Generic Exploit Protection skapades genom "reverse engineering" genom att ta reda på hur sårbarheten kunde utnyttjas på nätverket, samtidigt som en speciell patch för nätverksnivå. En enda GEB, eller sårbarhetssignatur, kan ge skydd mot tusentals varianter av skadlig programvara, nya och okända.

Skadliga IP-adresser och domänblockering

Symantecs nätverksskydd inkluderar också möjligheten att blockera skadliga domäner och IP-adresser samtidigt som skadlig programvara och trafik från kända skadliga webbplatser stoppas. Genom STARs rigorösa webbanalys och uppdatering ger Symantec realtidsskydd mot ständigt föränderliga hot.

Förbättrad motståndskraft mot undvikande

Stöd för ytterligare kodningar har lagts till för att förbättra effektiviteten av attackdetektering med hjälp av krypteringstekniker som base64 och gzip.

Nätverksrevisionsdetektering för att upprätthålla användningspolicyer och identifiera dataläckage

Nätverks-IPS kan användas för att identifiera applikationer och verktyg som kan bryta mot företagets användningspolicy, eller för att förhindra dataläckage över nätverket. Det är möjligt att upptäcka, varna eller förhindra trafik som IM, P2P, sociala medier eller andra "intressanta" typer av trafik.

STAR Intelligence Communication Protocol

Nätverkssäkerhetsteknik fungerar inte på egen hand. Motorn kommunicerar med andra säkerhetstjänster med hjälp av STAR Intelligence Communication (STAR ICB)-protokollet. Network IPS-motorn ansluts till Symantec Sonar-motorn och sedan till Insight Reputation-motorn. Detta gör att du kan ge ett mer informativt och korrekt skydd.

I nästa artikel kommer vi att titta på Behavior Analyzer-nivån.

Baserat på material från Symantec

Ett antivirus måste vara installerat på alla Windows-datorer. Länge ansågs detta vara den gyllene regeln, men idag diskuterar IT-säkerhetsexperter effektiviteten av säkerhetsprogramvara. Kritiker hävdar att antivirus inte alltid skyddar, och ibland till och med tvärtom - på grund av slarvig implementering kan de skapa luckor i systemets säkerhet. Utvecklarna av sådana lösningar kontrasterar denna åsikt imponerande antal blockerade attacker, och marknadsavdelningar fortsätter att svära vid det omfattande skydd som deras produkter ger.

Sanningen ligger någonstans i mitten. Antivirus fungerar inte felfritt, men alla kan inte kallas värdelösa. De varnar för en mängd olika hot, men de räcker inte för att hålla Windows så skyddat som möjligt. För dig som användare betyder det följande: du kan antingen slänga antivirusprogrammet i papperskorgen, eller lita blint på det. Men på ett eller annat sätt är det bara ett av blocken (om än en stor) i säkerhetsstrategin. Vi kommer att förse dig med nio till av dessa "klossar".

Säkerhetshot: Antivirus

> Vad kritiker säger Den nuvarande kontroversen om virusskannrar utlöstes av den tidigare Firefox-utvecklaren Robert O'Callaghan. Han hävdar: antivirus hotar säkerheten för Windows och bör tas bort. Det enda undantaget är Microsofts Windows Defender.

> Vad utvecklare säger Skapare av antivirus, inklusive Kaspersky Lab, som ett argument, citerar de imponerande siffror. Under 2016 registrerade och förhindrade programvara från detta laboratorium cirka 760 miljoner internetattacker på användardatorer.

> Vad CHIP tycker Antivirus bör inte betraktas som en kvarleva eller ett universalmedel. De är bara en tegelsten i säkerhetsbyggnaden. Vi rekommenderar att du använder kompakta antivirus. Men oroa dig inte för mycket: Windows Defender är bra. Du kan till och med använda enkla skannrar från tredje part.

Välj rätt antivirus

Vi är som tidigare övertygade om att Windows är otänkbart utan antivirusskydd. Du behöver bara välja rätt produkt. För Tens-användare kan detta till och med vara den inbyggda Windows Defender. Trots att den under våra tester inte visade den bästa graden av igenkänning, är den perfekt integrerad i systemet och, viktigast av allt, utan några säkerhetsproblem. Dessutom har Microsoft förbättrat sin produkt i Creators Update för Windows 10 och förenklat hanteringen.

Antiviruspaket från andra utvecklare har ofta en högre igenkänningsgrad än Defender. Vi står för en kompakt lösning. Ledaren för vårt betyg på det här ögonblicketär Kaspersky internet säkerhet 2017. De som kan tacka nej till sådana ytterligare alternativ som föräldrakontroll och lösenordshanteraren, bör rikta sin uppmärksamhet mot ett mer budgetvänligt alternativ från Kaspersky Lab.

Följ uppdateringar

Om vi bara var tvungna att välja en åtgärd för att hålla Windows säkert skulle vi definitivt gå med uppdateringar. I det här fallet pratar vi förstås främst om uppdateringar för Windows, men inte bara. Installerad programvara, inklusive Office, Firefox och iTunes, bör också uppdateras regelbundet. På Windows är det relativt enkelt att få systemuppdateringar. I både "sju" och "tio" installeras patchar automatiskt med standardinställningarna.

När det gäller program blir situationen svårare, eftersom alla inte är lika lätta att uppdatera som Firefox och Chrome, som har en inbyggd automatisk uppdateringsfunktion. Verktyget SUMo (Software Update Monitor) hjälper dig att lösa denna uppgift och meddelar dig om tillgängligheten av uppdateringar. Ett relaterat program, DUMo (Driver Update Monitor), kommer att göra samma jobb för förare. Båda gratisassistenterna informerar dig dock bara om nya versioner - du måste ladda ner och installera dem själv.

Sätt upp en brandvägg

Den inbyggda brandväggen i Windows gör sitt jobb bra och blockerar tillförlitligt alla inkommande förfrågningar. Den är dock kapabel till mer - dess potential begränsas inte av standardkonfigurationen: alla installerade program har rätt att öppna portar i brandväggen utan att fråga. Det kostnadsfria verktyget Windows Firewall Control ger dig flera funktioner.

Starta den och ställ in filtret på "Mediumfiltrering" i menyn "Profiler". Tack vare detta kommer brandväggen också att styra utgående trafik enligt en given uppsättning regler. Du bestämmer själv vilka åtgärder som ska ingå. För att göra detta, i det nedre vänstra hörnet av programskärmen, klicka på anteckningsikonen. På så sätt kan du se reglerna och ge tillstånd med ett klick separat program eller blockera den.

Använd speciellt skydd

Uppdateringar, antivirus och brandvägg – du har redan tagit hand om denna fantastiska treenighet av säkerhetsåtgärder. Det är dags finjustering. Problemet med ytterligare program för Windows är ofta att de inte utnyttjar alla säkerhetsfunktioner som systemet erbjuder. Ett anti-exploateringsverktyg som EMET (Enhanced Mitigation Experience Toolkit) stärker den installerade programvaran ytterligare. För att göra detta, klicka på "Använd rekommenderade inställningar" och låt programmet köras automatiskt.

Stärk kryptering

Du kan avsevärt förbättra skyddet av personuppgifter genom att kryptera dem. Även om din information hamnar i orätta händer kommer en hackare inte att kunna ta bort bra kodning, åtminstone inte direkt. I professionella Windows-versioner BitLocker-verktyget finns redan, konfigurerat via kontrollpanelen.

VeraCrypt kommer att vara ett alternativ för alla användare. Detta program med öppen källkod är den inofficiella efterföljaren till TrueCrypt, som lades ner för ett par år sedan. Om vi pratar om Bara om att skydda personlig information, kan du skapa en krypterad behållare genom objektet "Skapa volym". Välj alternativet "Skapa en krypterad filbehållare" och följ guidens instruktioner. Det färdiga dataskåpet nås via Windows Explorer, precis som en vanlig disk.

Skydda användarkonton

Många sårbarheter förblir outnyttjade av hackare bara för att arbetet på datorn utförs under ett standardkonto med begränsade rättigheter. Så för vardagliga sysslor bör du också sätta upp en sådan här konto. I Windows 7 görs detta via kontrollpanelen och "Lägg till och ta bort användarkonton". I "topp tio", klicka på "Inställningar" och "Konton" och välj sedan "Familj och andra människor".

Aktivera VPN utanför hemmet

Hemma i trådlöst nätverk Din säkerhetsnivå är hög eftersom du kontrollerar vem som har tillgång till det lokala nätverket och ansvarar för kryptering och åtkomstkoder. Allt är annorlunda när det gäller hotspots, till exempel,
på hotell. Här distribueras Wi-Fi bland tredjepartsanvändare, och du kan inte påverka säkerheten för nätverksåtkomst. För skydd rekommenderar vi att du använder ett VPN (Virtual Private Network). Om du bara behöver bläddra på webbplatser via en åtkomstpunkt, kan du använda den inbyggda VPN-en senaste versionen Opera webbläsare. Installera webbläsaren och i "Inställningar" klicka på "Säkerhet". I avsnittet "VPN" markerar du rutan för "Aktivera VPN."

Klipp av oanvända trådlösa anslutningar

Även detaljerna kan avgöra resultatet av en situation. Om du inte använder anslutningar som Wi-Fi och Bluetooth, stäng helt enkelt av dem för att stänga potentiella kryphål. I Windows 10 är det enklaste sättet att göra detta genom Action Center. "Sju" erbjuder avsnittet "Nätverksanslutningar" i kontrollpanelen för detta ändamål.

Hantera lösenord

Varje lösenord får endast användas en gång och måste innehålla specialtecken, siffror, versaler och gemener. Och även vara så lång som möjligt – gärna tio eller fler tecken. Principen för lösenordssäkerhet har nått sina gränser idag eftersom användarna måste komma ihåg för mycket. Därför bör ett sådant skydd om möjligt ersättas med andra metoder. Ta inloggning i Windows till exempel: Om du har en kamera som stöder Windows Hello, använd ansiktsigenkänning för att logga in. För andra koder rekommenderar vi att du använder lösenordshanterare som KeePass, som bör skyddas med ett starkt huvudlösenord.

Säkra din integritet i webbläsaren

Det finns många sätt att skydda din integritet online. Tillägget Sekretessinställningar är idealiskt för Firefox. Installera den och ställ in den på "Fullständig integritet". Efter detta kommer webbläsaren inte att ge någon information om ditt beteende på Internet.

Livboj: backup

> Säkerhetskopiering är oerhört viktigt Säkerhetskopiering motiverar
dig själv inte bara efter infektion med viruset. Det fungerar även bra när problem med hårdvaran uppstår. Vårt råd: gör en kopia av alla Windows en gång och gör sedan dessutom och regelbundet säkerhetskopior av all viktig data.

> Fullständig arkivering av Windows Windows 10 ärvt från "sju" modulen "Arkivering och återställning". Med den kommer du att skapa säkerhetskopia system. Du kan också använda särskilda verktyg, till exempel True Image eller Macrium Reflect.

> True Image-filskydd och betalversionen av Macrium Reflect kan göra kopior vissa filer och mappar. Gratis alternativ för arkivering viktig information kommer att bli programmet för personlig säkerhetskopiering.

FOTO: tillverkningsföretag; NicoElNino/Fotolia.com

Hur kan du skydda din dator från fjärråtkomst? Hur blockerar man åtkomst till en dator via en webbläsare?

Hur du skyddar din dator från fjärråtkomst, brukar de tänka när något redan har hänt. Men naturligtvis är detta fel beslut för en person som är engagerad i åtminstone några av sina egna aktiviteter. Och det är tillrådligt för alla användare att begränsa åtkomsten till sin dator till främlingar. Och i den här artikeln kommer vi inte att diskutera metoden för att ställa in ett lösenord för att logga in på en dator, utan kommer att titta på ett alternativ för hur man nekar åtkomst till en dator från ett lokalt nätverk eller från en annan dator om de är anslutna till samma nätverk. Denna information kommer att vara särskilt användbar för nya PC-användare.

Och så, in operativ system Windows har en funktion som heter "Fjärråtkomst". Och om det inte är inaktiverat kan andra användare dra nytta av detta för att få kontroll över din dator. Även om du är chef och behöver övervaka dina anställda, så behöver du naturligtvis tillgång till deras dator, men du måste stänga din så att samma anställda inte tittar på din korrespondens med din sekreterare - detta är full av... .

mån	W	ons	tors	fre	lö	Sol

	1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

mars 2020

REKLAM

Som vanligt marknadsförs onlineprojekt. Vanligtvis försöker SEO copywriters lägga så mycket i texten som möjligt sökfrågor, böjer dem till

Att förstå de viktigaste nyanserna som skiljer falska iPhones från riktiga produkter hjälper dig att spara pengar och undvika att köpa från slarviga säljare. För vad

Populär i kategorin: