Виявлення та захист комп'ютера через мережу. Захист мереж. Програма захисту комп'ютерних мереж. Про Погано: вразливість загальних адміністративних ресурсів
Деякі люди витрачають все своє життя на роботу з покращення безпеки для корпорацій та приватних осіб. І чималу частину цього часу вони витрачають, латаючи дірки у Windows. Система Windows є основним каналом для шкідливих програм, Які створюють зомбі (роботів), про що розповідається в розділі 5, і це лише верхівка айсберга. Заради справедливості слід сказати, що значною мірою вина лежить на величезній популярності Windows, але при цьому в Windows 7 є така кількість дірок, що незрозуміло, чи це хоч когось турбує в компанії Microsoft.
Є три основних типи загроз. По-перше, спеціально спрямована атака людиною, яка намагається зламати ваш комп'ютер через підключення до мережі. По-друге, атака з боку людини, яка сидить за клавіатурою вашого комп'ютера. І нарешті, можлива автоматична атака, що здійснюється вірусом-хробаком або шкідливою програмою іншого виду.
У Windows 7, а ще раніше у Vista, включений Контроль облікових записів користувачів (User Account Control), що має допомогти затримати потік ненавмисних та небажаних установок програм, - про це, а також про паролі та шифрування
йдеться у розділі 7. Проте більшість сміття надходить через мережне підключення, тому з нього і варто почати забезпечення захисту комп'ютера. Операційна система Windows 7 включає кілька функцій, які дають можливість забезпечити певний рівень безпеки, не вдаючись до придбання додаткових програм або обладнання.
На жаль, не багато цих функцій задіяні за умовчанням. Нижченаведені фактори є лазівками, які не слід ігнорувати.
Про Погано: вразливість протоколу UPnP
Ще одна функція UPnP (Universal Plug-and-Play) може відкрити додаткові вразливі місця у вашій мережі. Більш підходящою назвою для UPnP було б Network Plug and Play (Підключайся та працюй), оскільки ця функція має справу тільки з мережевими пристроями. UPnP є набір стандартів, що дозволяють нещодавно підключеним пристроям оголосити
про свою присутність серверам UPnPу вашій мережі, майже так само, як пристрої USB оголошують про свою присутність належної Windows системі
Зовні функція UPnP виглядає непогано. Але на практиці нестача аутентифікації в стандарті UPnP і легкість, з якою шкідливі програми можуть використовувати UPnP для того, щоб пробити дірки в брандмауері, а також створити правила переадресації портів у маршрутизаторі, завдають одні неприємності. В даний час UPnP використовується для деяких ігор, більшості розширювачів засобів передачі інформації, миттєвих повідомлень, віддаленої допомоги тощо, що пояснює, чому ця функція включена за умовчанням в Windows 7 і в багатьох мережевих пристроях. Але якщо вона вам не потрібна, то краще її вимкнути.
Якщо ви оберете Громадську мережу (Public network) під час першого підключення до нової мережіабо через Центр управління мережами та загальним доступом (Networking and
^ j Sharing Center), то UPnP за замовчуванням відключається.
Щоб вимкнути UPnP, відкрийте вікно 01ужби (services.msc). Знайдіть у списку службу Виявлення SSDP (SSDP Discovery Service) і натисніть кнопку з квадратиком Зупинити службу (Stop) на Панелі інструментів. При цьому повинен зупинитися і Вузол універсальних пристроїв РПР (UPnP Device Host). Якщо це не так, зупиніть його. Тепер протестуйте будь-які програми або пристрої, які, як ви підозрюєте, можуть використовувати мережу, наприклад сервери мультимедіа або розширювачі. Якщо у вас немає нічого такого, можете взагалі відключити UPnP, двічі клацнувши на кожній службі та зі списку Тип запуску (Startup type) вибравши Вимкнена (Disabled). В іншому випадку, коли ви наступного разу завантажите Windows, ці служби запустяться знову.
Тепер відкрийте сторінку налаштування конфігурації маршрутизатора (описану в цьому розділі) і відключіть сервіс UPnP. Це потрібно для того, щоб не допустити встановлення прикладними програмами нових правил переадресації портів. Якщо маршрутизатор не дозволяє змінювати налаштування UPnP, подумайте про можливість переходу до більш нової версіїпрошивки, як описано в розділі «Перехід до новішої версії маршрутизатора».
Про Погано: вразливість наявності відкритих портів
Пошукайте вразливі місця у вашій системі за допомогою сканування на виявлення відкритих портів, як викладено в цьому розділі.
О Добре: віддалений Робочий згол, але тільки коли він потрібен
Функція віддаленого робочого столу, описана у розділі « Віддалене управліннякомп'ютером», включена за промовчанням у Windows 7 Professional and Ultimate. Якщо ця функція спеціально не потрібна, її слід вимкнути. На панелі керування відкрийте Систему, а потім виберіть пункт Настройка удаленного доступа. На сторінці Віддалений доступвікна Властивості системи вимкніть прапорець Дозволити підключення віддаленого помічника до цього комп'ютера (Allow Remote Assistance connections to this computer) і позначте перемикач, що знаходиться нижче, Не дозволяти підключення до цього комп'ютера.
Про Добре: пароль облікового запису
Теоретично загальний доступдо файлів не працює для облікових записів, які не мають пароля, що є налаштуванням за промовчанням під час створення нового облікового запису користувача. Але безпарольний обліковий запис не дає жодного захисту від будь-кого, хто сів за вашу клавіатуру, а якщо це обліковий запис користувача з правами адміністратора, то двері відчинені і до будь-якого іншого користувача даного комп'ютера. Зверніться до розділу 7, де розглядаються облікові записи користувачів та паролі.
Про Домашні групи та спільний доступ до файлів
Кожна папка, до якої дозволено спільний доступ, є потенційно відкритими дверима. Тому відкрити доступ слід надавати лише до тих папок, до яких це дійсно необхідно. Зверніть увагу, що дозволи на використання файлів та дозволи на загальний доступ у Windows 7 є різними речами. Докладніше про це розказано у розділі 7.
Про Погано: вразливість майстра налаштування загального доступу
Однією з головних причин створення робочої групи є спільний доступ до файлів та принтерів. Але розсудливо ділитися лише тими папками, якими необхідно ділитися, та відключати спільний доступ до всіх інших. Функція під назвою Використання Майстра спільного доступу (Use Sharing Wizard), описана в розділі 2 і детально розглянута в розділі 7, не дає повного контролю над тими, хто може переглядати та змінювати файли.
Про Погано: вразливість загальних адміністративних ресурсів
Функція спільного доступу, розглянута в розділі 7, відкриває доступ до всіх дисків комп'ютера, незалежно від того, чи надаєте ви доступ до папок на цих дисках.
Про Добре: міжмережевий захист
Налаштуйте брандмауер, розглянутий нижче, для суворого контролю мережевого потоку на ваш комп'ютер і з нього, але не розраховуйте, що достатнім захистом є вбудована в Windows програма-брандмауер.
О Добре: центр підтримки хороший, але не слід повністю покладатися на нього Центр підтримки, зображений на рис. 6.28, є центральною сторінкою в Панелі керування, яка використовується для керування брандмауером Windows, Windows Defender, Контролем облікових записів користувачів (UserAccount Control) та автоматичними оновленнями. Він також контролює антивірусні програми, Але, суто з політичних мотивів, Windows 7 немає своїх антивірусних програм.
Найголовніше, що Центр підтримки є лише засобом перегляду. Якщо він бачить, що цей захід захисту включений, незалежно від того, чи він працює активно, Центр підтримки буде задоволений і ви не отримаєте жодних повідомлень.
Набридли повідомлення від Центру підтримки? Натисніть посилання Налаштування центру підтримки (Change Action Center settings) з лівого боку та виберіть, які проблеми стоять того, щоб про них повідомляли, та які можна ігнорувати. Ви можете вимкнути всі повідомлення з Центру підтримки, вимкнувши всі прапорці на цій сторінці, але щоб повністю дезактивувати всю функцію, необхідно відкрити вікно Служби (services.msc) та вимкнути Центр підтримки. Цим ви не вимкнете брандмауер, антивіруси або автоматичні оновлення, які ви, можливо, використовуєте, а вимкніть лише засоби спостереження за цими засобами та супутні повідомлення.
Тут ви не можете змінити параметри брандмауера або захист від шкідливих програм. Для цього необхідно повернутися до Панелі керування та відкрити там відповідну програму.
Проблема епідемії мережевих черв'яків актуальна для будь-якої локальної мережі. Рано чи пізно може виникнути ситуація, коли в ЛОМ проникає мережевий або поштовий черв'як, який не детектується антивірусом. Мережевий вірус поширюється ЛВС через не закриті на момент зараження вразливості операційної системи або через доступні для запису загальні ресурси. Поштовий вірус, як випливає з назви, поширюється електронною поштою за умови, що він не блокується клієнтським антивірусом та антивірусом на поштовому сервері. Крім того, епідемія ЛВС може бути організована зсередини в результаті діяльності інсайдера. У цій статті ми розглянемо практичні методики оперативного аналізу комп'ютерів ЛОМ із застосуванням різних засобів, зокрема за допомогою авторської утиліти AVZ.
Постановка задачі
У разі виявлення епідемії або певної позаштатної активності в мережі адміністратор повинен оперативно вирішити щонайменше три завдання:
- виявити заражені ПК у мережі;
- знайти зразки шкідливої програми для відправлення в антивірусну лабораторію та вироблення стратегії протидії;
- вжити заходів для блокування поширення вірусу в ЛОМ та його знищення на заражених комп'ютерах.
У разі діяльності інсайдера основні кроки аналізу ідентичні і найчастіше зводяться до необхідності виявлення встановленого інсайдером стороннього програмного забезпечення на комп'ютерах ЛОМ. Як приклад такого програмного забезпечення можна назвати утиліти віддаленого адміністрування, клавіатурні шпигунита різні троянські закладки.
Розглянемо докладніше рішення кожної з поставлених завдань.
Пошук заражених ПК
Для пошуку заражених ПК у мережі можна застосовувати як мінімум три методики:
- автоматичний віддалений аналіз ПК - отримання інформації про запущені процеси, завантажені бібліотеки та драйвери, пошук характерних закономірностей - наприклад процесів або файлів з заданими іменами;
- дослідження трафіку ПК за допомогою сніфера - даний методдуже ефективний для вилову спам-ботів, поштових та мережевих черв'яків, проте основна складність у застосуванні сніфера пов'язана з тим, що сучасна ЛОМ будується на базі комутаторів і, як наслідок, адміністратор не може здійснювати моніторинг трафіку всієї мережі. Проблема вирішується двома шляхами: запуском сніфера на маршрутизаторі (що дозволяє здійснювати моніторинг обміну даними ПК з Інтернетом) та застосуванням моніторингових функцій комутаторів (багато хто сучасні комутаторидозволяють призначити порт моніторингу, на який дублюється трафік одного або кількох портів комутатора, зазначених адміністратором);
- дослідження навантаження на мережу - у разі дуже зручно застосовувати інтелектуальні комутатори, які дозволяють як оцінювати навантаження, а й віддалено відключати зазначені адміністратором порти. Дана операція істотно спрощується за наявності у адміністратора карти мережі, де є дані про те, які ПК підключені до відповідних портів комутатора і де вони розташовані;
- застосування пасток (honeypot) – у локальній мережі настійно рекомендується створити кілька пасток, які дозволять адміністратору своєчасно виявити епідемію.
Автоматичний аналіз ПК у мережі
Автоматичний аналіз ПК можна звести до трьох основних етапів:
- проведення повного дослідження ПК – запущені процеси, завантажені бібліотеки та драйвери, автозапуск;
- проведення оперативного обстеження - наприклад, пошук характерних процесів або файлів;
- карантин об'єктів за певними критеріями.
Всі ці завдання можна вирішити за допомогою авторської утиліти AVZ, яка розрахована на запуск з мережевої папки на сервері і підтримує скриптову мову для автоматичного обстеження ПК. Для запуску AVZ на комп'ютерах користувачів необхідно:
- Помістити AVZ у відкриту для читання мережну папку на сервері.
- Створити в цій папці підкаталоги LOG та Qurantine та дозволити користувачам запис у них.
- Запустити AVZ на комп'ютерах ЛОМ за допомогою утиліти rexec або логон-скрипта.
Запуск AVZ на кроці 3 повинен здійснюватися за таких параметрів:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt
У цьому випадку параметр Priority=-1 знижує пріоритет процесу AVZ, параметри nw=Y та nq=Y перемикають карантин у режим «мережевий запуск» (у цьому випадку в папці карантину для кожного комп'ютера створюється підкаталог, ім'я якого збігається з мережевим ім'ям ПК) , HiddenMode=2 наказує заборонити користувачеві доступ до GUI та управління AVZ, і, нарешті, найважливіший параметр Script задає повне ім'я скрипта з командами, які AVZ виконає на комп'ютері користувача. Скриптова мова AVZ досить проста для використання та орієнтована виключно на вирішення завдань обстеження комп'ютера та його лікування. Для спрощення процесу написання скриптів можна використовувати спеціалізований редактор скриптів, який містить оперативну підказку, майстер створення типових скриптів та засоби перевірки коректності написаного скрипта без його запуску (рис. 1).
Мал. 1. Редактор скриптів AVZ
Розглянемо три типові скрипти, які можуть стати в нагоді в ході боротьби з епідемією. По-перше, нам знадобиться скрипт для дослідження ПК. Завдання скрипта - провести дослідження системи та створити протокол з результатами в заданій папці мережі. Скрипт має такий вигляд:
ActivateWatchDog(60 * 10);
// Запуск сканування та аналізу
// Дослідження системи
ExecuteSysCheck(GetAVZDirectory+
'\LOG\'+GetComputerName+'_log.htm');
//Завершення роботи AVZ
У ході виконання даного скрипту в папці LOG (передбачається, що вона створена в каталозі AVZ на сервері і доступна користувачам для запису) будуть створюватися HTML-файли з результатами дослідження комп'ютерів мережі, причому для забезпечення унікальності ім'я протоколу включається ім'я досліджуваного комп'ютера. На початку скрипту розташовується команда включення сторожового таймера, який примусово завершить процес AVZ через 10 хвилин у разі, якщо під час виконання скрипту виникнуть збої.
Протокол AVZ зручний для вивчення вручну, проте для автоматизованого аналізу він мало придатний. Крім того, адміністратор часто знає ім'я файлу шкідливої програми і потрібно тільки перевірити наявність або відсутність даного файлу, а за наявності - помістити до карантину для аналізу. У цьому випадку можна застосувати скрипт такого вигляду:
// Увімкнення сторожового таймера на 10 хвилин
ActivateWatchDog(60 * 10);
// Пошук шкідливої програми на ім'я
QuarantineFile('%WinDir%\smss.exe', 'підозра на LdPinch.gen');
QuarantineFile('%WinDir%\csrss.exe', 'підозра на LdPinch.gen');
//Завершення роботи AVZ
У цьому скрипті задіяна функція QuarantineFile, яка робить спробу карантину вказаних файлів. Адміністратору залишається лише проаналізувати вміст карантину (папка Quarantine\Мережевое_имя_ПК\дата_каратина\) на наявність поміщених в карантин файлів. Варто врахувати, що функція QuarantineFile автоматично блокує поміщення в карантин файлів, упізнаних на базі безпечних AVZ або на базі ЕЦП Microsoft. Для практичного застосуванняцей скрипт можна вдосконалити - організувати завантаження імен файлів із зовнішнього текстового файлу, перевіряти знайдені файли за базами AVZ та формувати текстовий протокол з результатами роботи:
// Пошук файлу із зазначеним ім'ям
функція CheckByName(Fname: string) : boolean;
Result:= FileExists(FName) ;
if Result then begin
case CheckFile(FName) of
1: S:= ', доступ до файлу блокується';
1: S:= ', упізнаний як Malware ('+GetLastCheckTxt+')';
2: S:= ', підозрюється файловим сканером ('+GetLastCheckTxt+')';
3: exit; // Безпечні файли ігноруємо
AddToLog('Файл '+NormalFileName(FName)+' має підозріле ім'я'+S);
//Додавання зазначеного файлу в карантин
QuarantineFile(FName,'підозрілий файл'+S);
SuspNames: TStringList; // Список імен підозрілих файлів
// Перевірка файлів по оновлюваній базі даних
if FileExists(GetAVZDirectory + 'files.db') then begin
SuspNames:= TStringList.Create;
SuspNames.LoadFromFile('files.db');
AddToLog('База імен завантажена - кількість записів = '+inttostr(SuspNames.Count));
// Цикл пошуку
for i:= 0 to SuspNames.Count - 1 do
CheckByName(SuspNames[i]);
AddToLog('Помилка завантаження списку імен файлів');
SaveLog(GetAVZDirectory+'\LOG\'+
GetComputerName+'_files.txt');
Для роботи даного скрипту необхідно створити в папці AVZ доступні користувачам для запису каталоги Quarantine та LOG, а також текстовий файл files.db - кожен рядок файлу буде містити ім'я підозрілого файлу. Імена файлів можуть включати макроси, найбільш корисні з яких – %WinDir% (шлях до папці Windows) та %SystemRoot% (шлях до папки System32). Іншим напрямом аналізу може стати автоматичне дослідження переліку процесів, запущених на комп'ютерах користувачів. Інформація про запущені процеси є у протоколі дослідження системи, але для автоматичного аналізу зручніше застосовувати наступний фрагмент скрипту:
procedure ScanProcess;
S:= ‘’; S1:= ‘’;
// Оновлення списку процесів
RefreshProcessList;
AddToLog('Кількість процесів = '+IntToStr(GetProcessCount));
// Цикл аналізу отриманого списку
for i:= 0 to GetProcessCount - 1 do begin
S1:= S1 + ',' + ExtractFileName(GetProcessName(i));
// Пошук процесу на ім'я
if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 then
S:= S + GetProcessName(i)+',';
if S<>‘’ then
AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);
AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);
Дослідження процесів у даному скрипті виконано у вигляді окремої процедури ScanProcess, тому її нескладно помістити у власний скрипт. Процедура ScanProcess будує два списки процесів: повний списокпроцесів (для подальшого аналізу) та перелік процесів, які, з погляду адміністратора, вважаються небезпечними. В даному випадку для демонстрації як небезпечний розглядається процес з ім'ям trojan.exe. Інформація про небезпечні процеси додається до текстового файлу _alarm.txt, дані про всі процеси - у файл _all_process.txt. Легко помітити, що можна ускладнити скрипт, додавши до нього, наприклад, перевірку файлів процесів з урахуванням безпечних файлів чи перевірку імен виконуваних файлівпроцесів із зовнішньої бази. Подібна процедура застосовується в скриптах AVZ, що використовуються в «Смоленськенерго»: адміністратор періодично вивчає зібрану інформацію і модифікує скрипт, додаючи в нього ім'я процесів заборонених з політики безпеки програм, наприклад ICQ і MailRu.Agent, що дозволяє оперативно перевірити наявність забороненого ПЗ . Інше застосування списку процесів – пошук ПК, на яких відсутній обов'язковий процес, наприклад антивірус.
На завершення розглянемо останній з корисних скриптів аналізу - скрипт автоматичного карантину всіх файлів, які не розпізнаються на базі безпечних AVZ та на базі ЕЦП Microsoft:
// Виконання автокарантину
ExecuteAutoQuarantine;
Автоматичний карантин вивчає запущені процеси та завантажені бібліотеки, служби та драйвери, близько 45 способів автозапуску, модулі розширення браузера та провідника, обробники SPI/LSP, завдання планувальника, обробники системи друку тощо. Особливістю карантину є те, що файли до нього додаються з контролем повторів, тому функцію автокарантину можна викликати багаторазово.
Перевага автоматичного карантину полягає в тому, що за його допомогою адміністратор може оперативно зібрати потенційно підозрілі файли з усіх комп'ютерів мережі для їх вивчення. Найпростішою (але дуже ефективною практично) формою вивчення файлів то, можливо перевірка отриманого карантину кількома популярними антивірусами як максимальної евристики. Слід зазначити, що одночасно запуск автокарантину на кількох сотнях комп'ютерів може створити високе навантаження на мережу і на файловий сервер.
Дослідження трафіку
Дослідження трафіку можна проводити трьома способами:
- вручну за допомогою сніфферів;
- у напівавтоматичному режимі - у разі сніффер збирає інформацію, та був його протоколи обробляються або вручну, або деяким ПЗ;
- автоматично за допомогою систем виявлення вторгнень (IDS) типу Snort (http://www.snort.org/) або їх програмних чи апаратних аналогів. У найпростішому випадку IDS складається з сніфера і системи, що аналізує інформацію, що збирається сніффером.
Система виявлення вторгнень є оптимальним засобом, оскільки дозволяє створювати набори правил виявлення аномалії в мережевої активності. Друга її перевага полягає в наступному: більшість сучасних IDS дозволяють розміщувати агенти моніторингу трафіку на кількох вузлах мережі – агенти збирають інформацію та передають її. У разі застосування сніфера дуже зручно користуватися консольним UNIX-сніфером tcpdump. Наприклад, для моніторингу активності по порту 25 ( протокол SMTP) достатньо запустити сніффер з командним рядкомвиду:
tcpdump -i em0 -l tcp port 25 > smtp_log.txt
У разі ведеться захоплення пакетів через інтерфейс em0; інформація про захоплені пакети зберігатиметься у файлі smtp_log.txt. Протокол порівняно просто аналізувати вручну, в даному прикладі аналіз активності порту 25 дозволяє обчислити ПК з активними спам-ботами.
Застосування Honeypot
Як пастка (Honeypot) можна використовувати застарілий комп'ютер, продуктивність якого не дозволяє застосовувати його для вирішення виробничих завдань. Наприклад, у мережі автора як пастка успішно застосовується Pentium Pro c 64 Мбайт оперативної пам'яті. На цей ПК слід встановити найбільш поширену в ЛОМ операційну систему та вибрати одну зі стратегій:
- Встановити операційну систему без пакетів оновлень - вона буде індикатором появи у мережі активного мережевого черв'яка, що експлуатує будь-яку з відомих уразливостей для цієї операційної системи;
- встановити операційну систему з оновленнями, які встановлені на інших ПК мережі – Honeypot буде аналогом будь-якої з робочих станцій.
Кожна із стратегій має як свої плюси, так і мінуси; автор переважно застосовує варіант без оновлень. Після створення Honeypot слід створити образ диска для швидкого відновленнясистеми після її ушкодження шкідливими програмами. В якості альтернативи образу диска можна використовувати системи відкату змін типу ShadowUser та його аналогів. Побудувавши Honeypot, слід врахувати, що ряд мережевих черв'яків шукають комп'ютери, що заражаються шляхом сканування діапазону IP, що відраховується від IP-адреси зараженого ПК (поширені типові стратегії - X.X.X.*, X.X.X+1.*, X.X.X-1.*), - отже, в ідеалі Honeypot має бути в кожній із підмереж. Як додаткові елементи підготовки слід обов'язково відкрити доступ до кількох папок на Honeypot-системі, причому в ці папки слід покласти кілька файлів-зразків різного формату, мінімальний набір - EXE, JPG, MP3.
Природно, що створивши Honeypot, адміністратор повинен відстежувати його роботу і реагувати на будь-які аномалії, виявлені на даному комп'ютері. Як засоби реєстрації змін можна використовувати ревізори, для реєстрації мережної активності можна використовувати сніффер. Важливим моментомє те, що у більшості сніферів передбачена можливість налаштування відправлення оповіщення адміністратору у разі виявлення заданої активності мережі. Наприклад, у сніффері CommView правило передбачає вказівку «формули», що описує мережевий пакет, або завдання кількісних критеріїв (надсилання більш заданої кількості пакетів або байт в секунду, відправка пакетів на невідомі IP- або MAC-адреси) - рис. 2.
Мал. 2. Створення та налаштування попередження про мережну активність
Як попередження найзручніше використовувати повідомлення електронної пошти, що надсилаються на Поштова скринькаадміністратора, - у цьому випадку можна отримувати оперативні оповіщення від усіх пасток у мережі. Крім того, якщо сніффер дозволяє створювати кілька попереджень, є сенс диференціювати мережну активність, виділивши роботу з електронною поштою, FTP/HTTP, TFTP, Telnet, MS Net, підвищений трафік понад 20-30 пакетів на секунду за будь-яким протоколом (рис. 3).
Мал. 3. Лист-оповіщення, що надсилається
у разі виявлення пакетів, які відповідають заданим критеріям
При організації пастки непогано розмістити на ній кілька застосовуваних в мережі вразливих мережевих служб або встановити емулятор. Найпростішим (і безкоштовним) є авторська утиліта APS, що працює без інсталяції. Принцип роботи APS зводиться до прослуховування безлічі описаних у її базі портів TCP і UDP та видачі в момент підключення заздалегідь заданого або випадково генерованого відгуку (рис. 4).
Мал. 4. Головне вікно утиліти APS
На малюнку наведено скріншот, знятий під час реального спрацювання APS в ЛОМ «Смоленськенерго». Як видно на малюнку, зафіксована спроба підключення одного з клієнтських комп'ютерів по порту 21. Аналіз протоколів показав, що спроби періодичні фіксуються декількома пастками в мережі, що дозволяє зробити висновок про сканування мережі з метою пошуку та злому FTP-серверів шляхом підбору паролів. APS веде протоколи і може надсилати адміністраторам повідомлення зі звітами про зареєстровані підключення до контрольованих портів, що зручно для оперативного виявлення сканування мережі.
При створенні Honeypot корисно також ознайомитися з онлайн-ресурсами на цю тему, зокрема з сайтом http://www.honeynet.org/. У розділі Tools цього сайту (http://www.honeynet.org/tools/index.html) можна знайти ряд інструментів для реєстрації та аналізу атак.
Дистанційне видалення шкідливих програм
В ідеальному випадку після виявлення зразків шкідливих програм адміністратор відправляє їх до антивірусної лабораторії, де вони оперативно вивчаються аналітиками та до баз антивірусу вносяться відповідні сигнатури. Ці сигнатури через автоматичне оновленняпотрапляють на ПК користувачів, і антивірус здійснює автоматичне видалення шкідливих програм без втручання адміністратора. Однак цей ланцюжок не завжди працює як належить, зокрема можливі такі причини збою:
- з низки незалежних від адміністратора мережі причин образи можуть дійти антивірусної лабораторії;
- недостатня оперативність антивірусної лабораторії - в ідеалі вивчення зразків та його внесення до бази йде трохи більше 1-2 годин, тобто у межах робочого дня можна отримати оновлені сигнатурні бази. Однак не всі антивірусні лабораторії працюють так оперативно, і на оновлення можна чекати кілька днів (у рідкісних випадках - навіть тижнів);
- висока працездатність антивірусу - низка шкідливих програм після активації знищують антивіруси або всіляко порушують їхню роботу. Класичні приклади - внесення до файлу hosts записів, що блокують нормальну роботусистеми автооновлення антивірусу, видалення процесів, служби та драйверів антивірусів, пошкодження їх налаштувань тощо.
Отже, у перерахованих ситуаціях доведеться боротися із шкідливими програмами вручну. Найчастіше це нескладно, оскільки за результатами дослідження комп'ютерів відомі заражені ПК, і навіть повні імена файлів шкідливих програм. Залишається тільки зробити їхнє дистанційне видалення. Якщо шкідлива програма не захищається від видалення, знищити її можна скриптом AVZ наступного виду:
// Видалення файлу
DeleteFile('ім'я файлу');
ExecuteSysClean;
Даний скрипт видаляє один заданий файл (або кілька файлів, оскільки команд DeleteFile у скрипті може бути необмежену кількість) і потім здійснює автоматичне чищення реєстру. У більш складному випадку шкідлива програма може захищатися від видалення (наприклад, перетворюючи свої файли та ключі реєстру) або маскуватися за руткіт-технологією. У цьому випадку скрипт ускладнюється і матиме такий вигляд:
// Антируткіт
SearchRootkit(true, true);
// Управління AVZGuard
SetAVZGuardStatus(true);
// Видалення файлу
DeleteFile('ім'я файлу');
// Увімкнення протоколювання BootCleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// Імпорт завдання BootCleaner списку файлів, видалених скриптом
BC_ImportDeletedList;
// Активація BootCleaner
// Евристична чистка системи
ExecuteSysClean;
RebootWindows(true);
Цей скрипт включає активну протидію руткітам, застосування системи AVZGuard (це блокатор активності шкідливих програм) та системи BootCleaner. BootCleaner - це драйвер, що виконує видалення заданих об'єктів з KernelMode під час перезавантаження, на ранній стадії завантаження системи. Практика показує, що подібний скрипт може знищити переважну більшість існуючих шкідливих програм. Виняток становлять malware, що змінюють імена своїх виконуваних файлів при кожному перезавантаженні, - у разі виявлені під час дослідження системи файли може бути перейменовані. У цьому випадку буде потрібно лікування комп'ютера вручну або створення власних сигнатур шкідливої програми (приклад реалізує сигнатурний пошук скрипта описаний у довідці AVZ).
Висновок
У цій статті ми розглянули деякі практичні методики боротьби з епідемією ЛОМ вручну без використання антивірусних продуктів. Більшість описаних методик також можна застосовувати для пошуку стороннього ПК і троянських закладок на комп'ютерах користувачів. При виникненні труднощів із пошуком шкідливих програм або створенням скриптів лікування адміністратор може скористатися розділом «Допоможіть» форуму http://virusinfo.info або розділом «Боротьба з вірусами» форуму http://forum.kaspersky.com/index.php?showforum= 18. Вивчення протоколів та допомога в лікуванні здійснюються на обох форумах безкоштовно, аналіз ПК ведеться за протоколами AVZ, і в більшості випадків лікування зводиться до виконання на заражених ПК скрипта AVZ, складеного досвідченими фахівцями даних форумів.
Які змушені чекати на створення фізичного файлу на комп'ютері користувача, мережевий захист починає аналізувати вхідні потоки даних, що надходять на комп'ютер користувача через мережу, і блокує загрози перш, ніж вони потрапляють в систему.
Основними напрямками мережевого захисту, які забезпечують технології Symantec, є:
Завантаження методом drive-by, веб-атаки;
- атаки типу «Соціальної інженерії»: FakeAV (підроблені антивіруси) та кодеки;
- Атаки через соціальні мережіна кшталт Facebook;
- виявлення шкідливих програм, руткітів та заражених ботами систем;
- захист від ускладнених загроз;
- Загрози Нульового дня;
- захист від невиправлених уразливостей ПЗ;
- Захист від шкідливих доменів та IP-адрес.
Технології Мережевого захисту
Рівень "Мережева захисту" включає 3 різні технології.
Network Intrusion Prevention Solution (Network IPS)
Технологія Network IPS розуміє та сканує понад 200 різних протоколів. Він інтелектуально і точно «пробивається» крізь двійковий і мережевий протокол, попутно шукаючи ознаки шкідливого трафіку Цей інтелект дозволяє забезпечити більш точне мережне сканування, при цьому забезпечуючи надійний захист. У його «серце» знаходиться двигун блокування експлойтів, який забезпечує відкриті вразливості практично непробивним захистом. Унікальною особливістю Symantec IPS є те, що ніякого налаштування цей компонент не вимагає. Усі його функції працюють, як кажуть, «з коробки». Кожен користувальницький продукт Norton , а також кожен продукт Symantec Endpoint Protection версії 12.1 і новіший, мають цю критичну технологію, включену за замовчуванням.
Захист Браузера
Цей захисний двигун розташовується усередині браузера. Він здатний виявляти найскладніші загрози, які традиційний антивірус, ні Network IPS неспроможні визначити. У наш час, багато мережевих атак використовують методи обфускації, щоб уникнути виявлення. Оскільки Захист Браузера працює всередині браузера, він здатний вивчати поки що не прихований код, під час того, як він виконується. Це дозволяє виявити та заблокувати атаку, якщо вона була пропущена на нижніх рівнях захисту програми.
Un-Authorized Download Protection (UXP)
Остання лінія оборони, що знаходиться всередині шару мережевого захисту, допомагає прикрити і «пом'якшити» наслідки використання невідомих і невиправлених уразливостей, без використання сигнатур. Це забезпечує додатковий захист від атак Нульового дня.
Орієнтуючись на проблеми
Працюючи разом, технології мережного захисту вирішують такі проблеми.
Завантаження методом Drive-by та набори інструментів для веб-атак
Використовуючи Network IPS, Захист Браузера та UXP-технологію, технології мережевого захисту компанії Symantec блокують завантаження Drive-by і, фактично, не дозволяють зловреді навіть досягти системи користувача. Практикуються різні превентивні методи, що включають використання цих технологій, включаючи технологію Generic Exploit Blocking і інструментарій виявлення веб-атак. Загальний веб-інструментарій виявлення атак аналізує характеристики поширеної веб-атаки, незалежно від того, якою саме вразливістю стосується ця атака. Це дозволяє забезпечити додатковим захистом нові та невідомі вразливості. Найкраще в цьому типі захисту - це те, що якщо шкідливий файл зміг би «тихо» заразити систему, він все одно був би зупинений і видалений з системи: адже саме ця поведінка зазвичай пропускається традиційними антивірусними продуктами. Але Symantec продовжує блокувати десятки мільйонів варіантів шкідливого програмного забезпечення, яке зазвичай не може бути виявлено іншими способами.
Атаки типу "Соціальної інженерії"
Оскільки технології компанії Symantec спостерігають за мережевим трафіком та трафіком браузера під час його передачі, вони визначають атаки типу «Соціальної інженерії», на зразок FakeAV або підроблених кодеків. Технології призначені блокувати подібні атаки, перш ніж вони відобразяться на екрані користувача. Більшість інших конкуруючих рішень не включає цей потужний потенціал.
Symantec блокує сотні мільйонів таких атак за допомогою технології захисту від мережевих загроз.
Атаки, націлені на соціальні медіа-додатки
Соціальні медіа-програми останнім часом стали широко затребувані, оскільки вони дозволяють миттєво обмінюватися різними повідомленнями, цікавими відео та інформацією з тисячами друзів та користувачів. Широке поширення та потенціал подібних програм роблять їх об'єктом уваги №1 для хакерів. Деякі поширені трюки «зломщиків» включають створення підроблених облікових записів і розсилку спаму.
Технологія Symantec IPS здатна захистити від подібних методів обману, часто запобігаючи їх до того, як користувач встигне клацнути на них мишкою. Symantec зупиняє шахрайські та підроблені URL-адреси, додатки та інші методи обману за допомогою технології захисту від мережевих загроз.
Виявлення шкідливого ПЗ, руткітів та заражених ботами систем
Правда було б непогано знати, де саме в мережі знаходиться заражений комп'ютер? IPS-рішення компанії Symantec надають цю можливість, також включаючи виявлення та відновлення тих загроз, можливо яким вдалося обійти інші шари захисту. Рішення компанії Symantec виявляють шкідливих та ботів, які намагаються здійснити автодозвон або завантажити «оновлення», щоб збільшити свою активність у системі. Це дозволяє IT-менеджерам, які мають чіткий аркуш систем для перевірки, отримати гарантію того, що їх підприємство перебуває в безпеці. Поліморфні та складні приховані загрози, що використовують методи руткітів на кшталт Tidserv, ZeroAccess, Koobface та Zbot, можуть бути зупинені та видалені за допомогою цього методу.
Захист від «заплутаних» загроз
Сьогоднішні веб-атаки використовують комплексні методи ускладнення атак. Browser Protection компанії Symantec «сидить» усередині браузера і може виявити дуже складні загрози, які часто не здатні побачити традиційні методи.
Загрози «Нульового дня» та невиправлені вразливості
Одним із минулих, доданих компанією захисних доповнень, є додатковий шар захисту проти загроз «Нульового дня» та невиправлених уразливостей. Використовуючи безсигнатурний захист, програма перехоплює дзвінки System API та захищає від завантажень шкідливого програмного забезпечення. Ця технологія називається Un-Authorized Download Protection (UXP). Вона є останньою межею опори всередині екосистеми захисту від мережевих загроз. Це дозволяє продукту «прикрити» невідомі та непропатчені вразливості без використання сигнатур. Ця технологія увімкнена за умовчанням, і вона знаходиться у всіх продуктах, випущених з моменту дебюту Norton 2010.
Захист від невиправлених уразливостей у ПЗ
Шкідливі програми найчастіше встановлюються без відома користувача, використовуючи вразливість у ПЗ. Мережевий захист компанії Symantec надають додатковий захист, що називається Generic Exploit Blocking (GEB). Незалежно від того, чи встановлені останні оновленнячи ні, GEB «в основному» захищає основні уразливості від експлуатації. Уразливості в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролю ActiveX, або QuickTime зараз повсюдно поширені. Generic Exploit Protection була створена методом «зворотного інжинірингу», з'ясувавши, яким чином ворожість могла бути використана в мережі, надаючи при цьому спеціальний патч мережевому рівні. Одна-єдина GEB або сигнатура вразливості, здатна надати захист від тисяч варіантів зловредів, нових та невідомих.
Шкідливі IP та блокування доменів
Мережевий захист компанії Symantec також включає можливість блокування шкідливих доменів і IP-адрес, при цьому зупиняючи шкідливо ПЗ і трафік від відомих шкідливих сайтів. Завдяки ретельному аналізу та оновленню бази веб-сайтів відділом STAR, Symantec надає захист від постійно мінливих загроз у режимі реального часу.
Поліпшений опір до Ухилення
Додано підтримку додаткових кодувань, щоб поліпшити ефективність детекту атак за допомогою технік шифрування, таких як base64 і gzip.
Виявлення мережного аудиту для застосування політик використання та ідентифікації витоку даних
Мережевий IPS може бути використаний для ідентифікації додатків та інструментів, які можуть порушити корпоративну політику використання, або для запобігання витоку даних через мережу. Є можливим виявити, попередити або запобігти трафіку на зразок IM, P2P, соціальних медіа, або іншого «цікавого» виду трафіку.
STAR Intelligence Communication Protocol
Технологія мережного захисту сама не працює. Двигун обмінюється даними з іншими сервісами захисту за допомогою протоколу STAR Intelligence Communication (STAR ICB). Двигун Network IPS з'єднується з двигуном Symantec Sonar, а потім з двигуном Внутрішньої Репутації (Insight Reputation). Це дозволяє надати більш інформативний та точний захист.
У наступній статті ми розглянемо рівень "Поведінковий аналізатор".
За матеріалами Symantec
Антивірус має бути встановлений кожному ПК з Windows. Довгий час це вважалося золотим правилом, проте сьогодні експерти з IT-безпеки сперечаються про ефективність захисного програмного забезпечення. Критики стверджують, що антивіруси не завжди захищають, а іноді навіть навпаки – через недбалу реалізацію здатні утворити проломи у безпеці системи. Розробники ж таких рішень протиставляють цій думцівражаючі цифри заблокованих атак, а відділи маркетингу продовжують запевняти у всеосяжному захисті, який забезпечують їхні продукти.
Істина лежить десь посередині. Антивіруси працюють небездоганно, проте їх повально не можна назвати марними. Вони попереджають про безліч загроз, але для максимально можливого захисту Windows їх недостатньо. Для вас як для користувача це означає наступне: можна або викинути антивірус у кошик для сміття, або сліпо йому довіритися. Але так чи інакше, він лише один з блоків (нехай і великий) у стратегії безпеки. Ми забезпечимо вас ще дев'ятьма такими «цеглинками».
Загроза безпеки: антивіруси
> Що говорять критики Нинішню суперечку про антивірусні сканери спровокував колишній розробник Firefox Роберт О'Каллахан. Він стверджує: антивіруси загрожують безпеці Windows і мають бути видалені. Єдиний виняток – захисник Windows від Microsoft.
> Що кажуть розробники Творці антивірусів, у тому числі Kaspersky Lab, як аргумент наводять вражаючі цифри. Так, у 2016 році ПЗ з цієї лабораторії зареєструвало та запобігло близько 760 мільйонів інтернет-атак на комп'ютери користувачів.
> Що думає CHIP Антивіруси не повинні вважатися ні пережитком, ні панацеєю. Вони лише цеглинка в будівлі безпеки. Рекомендуємо використовувати компактні антивіруси. Але не варто сильно морочитися: Захисник Windows цілком підійде. Ви можете використовувати навіть прості сканери сторонніх розробників.
Вибрати правильний антивірус
Ми, як і раніше, переконані, що Windows неможлива без антивірусного захисту. Вам потрібно лише вибрати правильний продукт. Для користувачів "десятки" це може бути навіть вбудований Windows Defender. Незважаючи на те, що під час наших тестів він показав не найкращий ступінь розпізнавання, він ідеальний і, що найважливіше, без будь-яких проблем безпеки вбудований в систему. Крім того, компанія Microsoft доопрацювала свій продукт у оновленні Creators Update для Windows 10 та спростила його керування.
У антивірусних пакетів інших розробників ступінь розпізнавання найчастіше вищий, ніж у Захисника. Ми боремося за компактне рішення. Лідером нашого рейтингу на Наразіє Kaspersky Internet Security 2017. Ті ж, хто може відмовитись від таких додаткових опцій, як батьківський контрольі менеджер паролів повинні звернути свою увагу на більш бюджетний варіант від «Лабораторії Касперського».
Слідкувати за оновленнями
Якщо для забезпечення безпеки Windows потрібно було вибирати лише один захід, ми б однозначно зупинилися на оновленнях. У цьому випадку мова, зрозуміло, йдеться в першу чергу про апдейти для Windows, але не тільки. Установлене програмне забезпечення, зокрема Office, Firefox та iTunes, також слід регулярно оновлювати. У Windows отримати системні оновлення відносно легко. І в "сімці", і в "десятці" патчі встановлюються автоматично при налаштуваннях за замовчуванням.
У випадку з програмами ситуація не може, оскільки далеко не всі з них так само легко оновити, як Firefox і Chrome, в які вбудована функція автоматичного апдейта. Утиліта SUMo (Software Update Monitor) підтримає вас у вирішенні цього завдання та повідомить про наявність оновлень. Споріднена програма DUMo (Driver Update Monitor) виконає ту ж роботу для драйверів. Обидва безкоштовні помічники, однак, лише інформують вас про нові версії - завантажувати їх і встановлювати вам доведеться самостійно.
Налаштувати брандмауер
Вбудований у Windows брандмауер добре справляється зі своєю роботою і надійно блокує всі запити. Однак він здатний на більше - його потенціал не вичерпується конфігурацією за умовчанням: встановлені програмимають право без попиту відкривати порти у брандмауері. Безкоштовна утиліта Windows Firewall Control дасть вам руки більше функцій.
Запустіть її і в меню Profiles встановіть фільтр на Media Filtering. Завдяки цьому брандмауер контролюватиме і вихідний трафік по заданому набору правил. Які заходи туди входитимуть, ви встановлюєте самі. Для цього в нижньому лівому куті екрана програми натисніть іконку записки. Так ви зможете переглянути правила та одним кліком видати дозвіл окремій програміабо її заблокувати.
Використовувати особливий захист
Оновлення, антивірус та браундмауер - про цю велику трійку заходів безпеки ви вже подбали. Прийшов час тонкого налаштування. Проблема додаткових програм під Windows часто полягає в тому, що не використовуються всі запропоновані захисні функції системи. Утиліта проти експлойтів, така як EMET (Enhanced Mitigation Experience Toolkit) додатково посилює встановлене ПЗ. Для цього натисніть на "Use Recommended Settings" і дозвольте програмі працювати автоматично.
Зміцнити шифрування
Ви можете значно посилити захист персональних даних їх шифруванням. Навіть якщо ваша інформація потрапить у чужі руки, хороше кодування хакеру зняти не вдасться, принаймні не відразу. У професійних версіях Windowsвже передбачена утиліта BitLocker, що налаштовується через Панель керування.
Альтернативою для всіх користувачів стане VeraCrypt. Ця програма з відкритим кодом є неофіційним наступником TrueCrypt, підтримка якого припинилася кілька років тому. Якщо мова йделише про захист особистої інформації, ви можете створити зашифрований контейнер через пункт Create Volume. Виберіть опцію «Create an encrypted file container» та дотримуйтесь вказівок Майстра. Доступ до готового сейфа з даними здійснюється через Провідник Windows як до звичайного диска.
Захист користувача облікових записів
Багато вразливостей залишаються невикористаними хакерами лише тому, що робота на комп'ютері здійснюється з-під стандартного облікового запису з обмеженими правами. Таким чином, для повсякденних завдань вам також слід налаштувати таку обліковий запис. У Windows 7 це здійснюється через Панель керування та пункт «Додавання та видалення облікових записів користувача». У «десятці» клацніть «Параметри» та «Облікові записи», а потім виберіть «Сім'я та інші люди».
Активувати VPN поза межами дому
Будинки в бездротової мережіваш рівень безпеки високий, оскільки тільки ви контролюєте, хто має доступ до локальної мережі, а також несете відповідальність за шифрування та коди доступу. Все інакше у випадку з хотспотами, наприклад,
у готелях. Тут Wi-Fi розподіляється між сторонніми користувачами, і на безпеку мережного доступу ви не здатні вплинути. Для захисту рекомендуємо використовувати VPN (Virtual Private Network). Якщо вам потрібно просто переглянути сайти через точку доступу, достатньо буде вбудованою VPN в останньої версіїбраузера Opera. Встановіть браузер і натисніть «Безпека» в «Налаштуваннях». У розділі "VPN" поставте прапорець для "Увімкнути VPN".
Відрізати бездротові з'єднання, що не використовуються.
ok Результат ситуації можуть вирішити навіть деталі. Якщо ви не користуєтеся такими з'єднаннями, як Wi-Fi та Bluetooth, просто відключіть їх і тим самим закрийте потенційні лазівки. У Windows 10 найпростіше це зробити через Центр сповіщень. "Сімка" пропонує для цієї мети на Панелі керування розділ "Мережеві підключення".
Керувати паролями
Кожен пароль повинен використовуватися лише один раз, а також містити спеціальні знаки, цифри, великі та великі літери. І ще бути максимально довгим – найкраще з десяти та більше символів. Принцип безпеки, що забезпечується паролем, сьогодні досяг своїх меж, оскільки користувачам доводиться дуже багато пам'ятати. Отже, там, де це можливо, слід замінювати такий захист іншими способами. Візьмемо, наприклад, вхід до Windows: якщо у вас є камера з підтримкою технології Windows Hello, використовуйте для авторизації метод розпізнавання облич. Для інших кодів рекомендуємо звернутися до менеджерів паролів, таких як KeePass, які слід захистити потужним паролем.
Убезпечити особисту сферу у браузері
Для захисту своєї конфіденційності в Мережі існує багато способів. Firefox ідеально підійде розширення Privacy Settings. Встановіть його та налаштуйте на «Full Privacy». Після цього браузер не видасть жодної інформації про вашу поведінку в Інтернеті.
Рятувальний круг: бекап
> Бекапи дуже важливі Резервне копіюваннявиправдовує
себе не лише після зараження вірусом. Воно добре зарекомендувало себе і при виникненні проблем з апаратним забезпеченням. Наша порада: один раз зробіть копію всієї Windows, а потім додатково і регулярно - бекапи всіх важливих даних.> Повне архівування Windows Windows 10 отримала у спадок від «сімки» модуль «Архівування та відновлення». За допомогою нього ви створите резервну копіюсистеми. Ви також можете скористатися спеціальними утилітами, наприклад, True Image або Macrium Reflect.
> Захист файлів True Image та платна версія Macrium Reflect здатні зробити копії певних файлівта папок. Безкоштовною альтернативоюдля архівування важливої інформаціїстане програма Personal Backup.
ФОТО: компанії-виробники; NicoElNino/Fotolia.com
Як захистити комп'ютер від віддаленого доступу? Як заборонити доступ до комп'ютера через браузер?
Як захистити свій комп'ютер від віддаленого доступузазвичай думають тоді, коли вже щось трапилося. Але природно, це неправильне рішення для людини, яка займається будь-якою своєю діяльністю. Та й усім користувачам бажано обмежити доступ до свого комп'ютера для сторонніх. І в цій статті ми не обговорюватимемо спосіб встановлення пароля для входу на комп'ютер, а подивимося варіант, як заборонити доступ до комп'ютера з локальної мережі, або з іншого комп'ютера, якщо вони підключені до однієї мережі. Така інформація буде особливо корисною для нових користувачів ПК.
І так, у операційній системі Windows існує функція, яка називається “Віддалений доступ”. І якщо вона не вимкнена, цим можуть користуватися інші юзери, щоб отримати контроль над вашим компом. Навіть якщо Ви керівник і Вам потрібно стежити за співробітниками, тоді природно, Вам потрібен доступ до їх ПК, але свій потрібно закрити, щоб ці ж співробітники не дивилися Ваше листування з секретаркою - загрожує…
| Пн | Вт | Ср | Чт | Пт | Сб | Нд |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 | |||||
РЕКЛАМА
Як зазвичай розкручуються проекти онлайн. Зазвичай, сео копірайтери намагаються вбухати в текст якнайбільше пошукових запитів, схиляючи їх у
Розуміння головних нюансів, що відрізняють підроблені айфони від справжніх виробів, допоможе заощадити гроші та уникнути покупки у недбайливих продавців. На що
