Защита сайтов против тайных каналов

Защититься против тайных каналов можно в двух местах: на конечном компьютере и в сети. На конечном компьютере нужно стремиться в первую очередь предотвратить получение доступа атакующими на сайты (особенно с правами администратора). Операционная система должна быть укреплена за счет безопасной конфигурации и регулярной установки обновлений (патчей). Без высокого уровня доступа атакующие не установят серверную часть тайного канала, чтобы «разворачивать» пакеты, пересылаемые по тайному каналу.

К сожалению, не существует защиты, эффективной на 100%. Даже при укрепленной операционной системе атакующие способны получить доступ и установить в системе сервер тайного канала. Чтобы обеспечить быстрое обнаружение такого сервера, системные администраторы должны знать процессы, выполняющиеся в критических системах (в системах, доступных из Internet, и на особо важных внутренних машинах). Периодически просматривая список процессов, администратор может проверить, какие процессы активизированы в системе. Если обнаружен необычный процесс, нужно исследовать его, чтобы определить, почему он выполняется, особенно если он инициирован с привилегиями супервизора. Если у этого процесса на важном сервере нет никакой законной функции, его необходимо заблокировать.

Знать, какие процессы «нормальны» для вашей системы, непросто и не гарантирует от ошибок. Я понимаю, что очень трудно отследить все, что выполняется в системах, когда у вас сотни или тысячи пользователей. Однако в случае систем с открытым доступом (почтовые, Web- и DNS-серверы и т.д.) вы определенно должны знать цель запуска каждого процесса и, если запускается новый процесс, исследовать его как можно скорее.