Сильнее угроза — крепче защита
Мы протестировали 16 инструментов для защиты компьютеров и
компьютерных сетей от интернет-червей, вирусов, шпионских программ и
хакеров.
Целью нынешних интернетовских злоумышленников уже давно перестал
быть ваш компьютер. Сегодня их цель — вы сами. Преступники,
пользующиеся украденными номерами кредитных карточек и
идентификационной информацией, широко используют вирусы и
интернет-червей, чтобы заманить в ловушку свои жертвы. Вирусы — это
только одна из возможных угроз. В некоторых спамовых сообщениях
электронной почты используются так называемые "рыболовные" схемы,
направленные на то, чтобы заставить получателя такого письма
раскрыть конфиденциальную банковскую информацию или сообщить номер
кредитной карточки. Поддельные рекламодатели создают ложные
всплывающие окна, которые, используя слабые места операционной
системы, устанавливают на компьютере жертвы шпионские программы.
Поскольку в сферу внимания информационной безопасности все чаще
попадают более серьезные вещи, чем обычные вирусы, специалисты по
компьютерной защите ввели термин malware — "злонамеренное
программное обеспечение", которым обозначают любой код, наносящий
вред компьютеру или его обладателю. Для сопротивления посягателям на
частную информацию пользователя необходима глубокая и хорошо
продуманная система обороны, состоящая из нескольких барьеров между
злонамеренным ПО и системой. В этом обзоре мы рассмотрим:
- межсетевые экраны,
- вирусные сканеры,
- инструментарий для удаления программ-шпионов
- пакеты для обеспечения безопасности.
Надеемся, представленный материал поможет вам подобрать себе
подходящий арсенал.
Внешний периметр: межсетевые экраны
Первую линию обороны от хакеров, интернет-червей,
программ-шпионов и прочих врагов держит межсетевой экран.
Во многих компаниях, и даже в некоторых домашних сетях доступ к
интернету осуществляется через общее широкополосное соединение. Для
того чтобы выяснить уровень защиты, обеспечиваемый аппаратными
межсетевыми экранами, мы протестировали две модели маршрутизаторов
со встроенными точками доступа: Linksys Wireless-G Broadband Router
WRT54G и Microsoft Wireless-G Base Station MN-700. В состав этих
маршрутизаторов в качестве побочного продукта для обработки
интернет-трафика входит простейший межсетевой экран.
Используя трансляцию сетевых адресов (Network Address
Translation, NAT) и протокол динамической конфигурации хоста
(Dynamic Host Configuration Protocol, DHCP), маршрутизатор
распределяет среди компьютеров сети частные IP-адреса, скрывая их
таким образом от внешних компьютеров, которые "видят" только
IP-адрес самого маршрутизатора. Маршрутизатор открывает
интернет-порты только в том случае, если его так настроить, или если
компьютер сети запрашивает данные из интернета (например, обращается
к веб-странице).
Маршрутизаторы препятствуют атакам, при которых хакеры используют
средства сканирования портов для поиска уязвимых объектов. Если ни
одна из систем сети не запрашивала пакеты данных, маршрутизатор
просто отбрасывает входящие пакеты. Оба продукта позволяют открыть
определенные порты и назначить им IP-адреса предназначенных для
этого компьютеров. Этот процесс, известный как пересылка порта (port
forwarding), позволяет выделить отдельные серверы для игр в онлайне
и посещения веб-сайтов, не открывая доступ к остальным компьютерам
сети. В модуле от Microsoft есть еще одна приятная функция: по
умолчанию в нем включено WEP-шифрование; для защиты беспроводного
трафика генерируется специальный ключ.
Компьютер под защитой программного межсетевого экрана
Маршрутизатор защищает от атак извне. Однако некоторые типы
злонамеренного программного обеспечения, такие как интернет-черви,
троянские программы и программы-шпионы, работают изнутри. Для того
чтобы прекратить их деятельность, необходим программный защитный
экран, установленный непосредственно на компьютере.
Межсетевой экран, настроенный исключительно по принципу
полномочий доступа, предупреждает о любой попытке приложения
передать данные по сети и позволяет блокировать эту операцию, таким
образом обращая внимание администратора на приложения, которые могут
оказаться злонамеренными.
Таблица - программные и аппаратные межсетевые
экраны
Из соображений удобства межсетевые экраны, встроенные в пакеты
Panda Platinum Internet Security и Symantec Norton Internet Security
2004 автоматически предоставляют полномочия многим приложениям
Windows. Однако такой шаг может привести к нарушению защиты.
Например, первоначально продукт Panda, предоставляя доступ службам
Windows, оставлял открытым порт 135 — именно через этот порт в
компьютер проникает печально известный червь Blaster. Правда, когда
это было замечено, ошибка была исправлена.
Встречается и обратный "перегиб": казалось бы, пакет обеспечения
безопасности не может блокировать все подряд — он должен оставлять
возможность работы хотя бы для собственных компонентов. Однако,
оказалось, что в McAfee Internet Security Suite 6 это не так.
Например, при попытке отправить письмо по электронной почте
программа выдает сообщение о том, что MCSHIELD.EXE и MGHTML.EXE (два
компонента пакета McAfee) пытаются получить доступ к защищенному
файлу — то есть к dat-файлу почтового клиента.
Борьба с червями
Sygate Personal Firewall Pro 5.5 и Zone Lab ZoneAlarm Pro
4.5 никогда не были замечены ни в атаке на "своих, чтоб чужие
боялись", ни в чрезмерном попустительстве по отношению к другим
приложениям. Благодаря этому они предоставляют широкие возможности
контроля за системой. Однако если нетерпеливый администратор будет
сначала жать на кнопку OK, а потом думать, о чем же это его
предупреждают, то он подвергнет систему большому риску.
Возьмем, к примеру, червь Bagle, который маскируется под Windows
Explorer. Когда он пытается передать данные в интернет, межсетевые
экраны McAfee, Norton, Sygate и ZoneAlarm фиксируют это и дают
администратору соответствующий запрос. Если тот проявит достаточно
бдительности, то заинтересуется, зачем это Проводнику вдруг
понадобилось выйти в Сеть. Но если администратор "проспит" тревожный
сигнал и просто нажмет OK, то будет сам отвечать за последствия.
Во избежание подобных проблем можно воспользоваться межсетевым
экраном с фильтрацией портов (экран такого типа встроен в
Windows XP) или с фильтрацией портов и пакетов, как в Trend
Micro PC-cillin Internet Security 2004. При фильтрации пакетов
межсетевой экран контролирует данные, передаваемые в обоих
направлениях между сетью и компьютером, на предмет известных
уязвимых мест или подозрительного поведения. Например, таким образом
блокируются попытки "нелегального" доступа к портам, открываемым
почтовыми вирусами-червями, для получения инструкций от удаленного
хакера.
Вообще-то в обязанности межсетевого экрана не входит "отлов"
червей и нелегальных программ — это дело антивируса. Однако
антивирусные сканеры лучше всего работают тогда, когда могут
сравнить потенциальный вирус с базой данных уже известных вирусов.
Если же вирус "свежий", то он часто остается нераспознанным до тех
пор, пока не будет внесен в базу данных и пока она не будет
обновлена на зараженном компьютере. На это может уйти от нескольких
часов до нескольких дней, а с учетом лени администратора — и недель.
Проведенные тесты показали следующие возможности распространенных
межсетевых экранов. При попытке программы организовать массовую
почтовую рассылку, содержащую ее копии, McAfee и ZoneAlarm блокируют
эту операцию независимо от того, рассылаются ли письма все сразу или
по очереди; при этом пользователь получает предупреждение. Panda
останавливает "червя" иначе: блокирует все исходящие письма,
содержащие во вложениях исполняемые файлы.
Если же червь, такой как Bagle, пытается нелегально открыть порт
системы и получит инструкции от удаленного хакера, Panda ничего не
может сделать. Маршрутизаторы же блокируют это действие, а
программные межсетевые экраны, работающиепо принципу предоставления
полномочий, — McAfee, Norton, Sygate и ZoneAlarm — предупреждают о
нем пользователя. Впрочем, при этом они принимают червя за Windows
Explorer, не сообщая, что на самом деле это червь, маскирующийся под
Проводник. Межсетевые экраны с фильтрацией портов PC-cillin и экран
Windows XP защищают компьютер тихо и надежно — они сами
блокируют попытки червя получить доступ к порту, не заставляя
пользователя гадать над значением предупреждений.
Злонамеренные программы не только по-тихому открывают порты — они
могут начисто "оголить" компьютер, отключив систему защиты. Panda,
Sygate и ZoneAlarm сопротивляются таким атакам, но межсетевой экран
Windows XP, McAfee, Norton и Trend Micro выключаются под
воздействием кода вторжения — более того, такой код способен удалить
файлы последних трех пакетов.
Объединенными силами
Маршрутизаторы, такие как модели Linksys и Microsoft, отражают
внешние атаки, в то время как программные межсетевые экраны защищают
компьютерные системы от вирусов-червей, распространяющихся через
диски общего доступа, электронную почту и приложения для обмена
файлами, такие как Kazaa и Gnutella. Программные межсетевые экраны —
необходимый защитный компонент для ноутбуков, подключаемых не только
к защищенной офисной или домашней сети, но также к сетям общего
доступа, особенно беспроводным.
Из рассмотренных межсетевых экранов нам больше всего понравились
Sygate и ZoneAlarm. Sygate впачатляет быстродействием и модульной
конфигурацией, благодаря которой его можно настраивать практически
как угодно. Правда, некоторые его сообщения способны поставить в
тупик, несмотря на подробность. Как, например, реагировать на такое
предупреждение: "Internet Explorer (IEXPLORE.EXE) is trying to
connect to (207.46.134.221) using remote port 80 (HTTP –
World Wide Web)"? Даже в переводе на русский — "Internet Explorer
(IEXPLORE.EXE) пытается соединиться с http://www.microsoft.com/ (207.46.134.221) через
удаленный порт 80 (HTTP – World Wide Web)" не совсем понятно… А вот
сообщение ZoneAlarm в той же ситуации вполне ясно: "Do you want to
allow Internet Explorer to access the Internet?" — "Разрешаете ли вы
доступ Internet Explorer к интернету?".
Быстродействие ZoneAlarm не хуже, чем у Sygate, а интерфейс
значительно понятнее. Тем же, кому недостает терпения настраивать
межсетевой экран, работающий по принципу предоставления полномочий,
можно порекомендовать экран с фильтрацией портов, такой как
PC-cillin.
Внутренняя защита: антивирусы
Несмотря на то, что межсетевые экраны успешно блокируют ряд
вирусов, зондирующих сетевые порты, и задерживают некоторые попытки
их массового саморазмножения по электронной почте, в системе все
равно необходим антивирусный сканер, который бы останавливал
большинство инфекций, попадающих в компьютер через электронную почту
и файлы, скачиваемые из интернета. Обезвредить эту инфекцию может
только антивирусный сканер. Кроме сканеров, входящих в состав
описанных выше пакетов по обеспечению безопасности, мы рассмотрели
два самостоятельных продукта: Grisoft AVG Anti-Virus Professional и
Eset NOD32 2.
Таблица - эффективность антивирусных сканеров
Все эти продукты удовлетворяют минимальным требованиям по
"отлову" основных злонамеренных программ, встречающихся в интернете
— тех, что хотя бы дважды упоминаются членами WildList Organization
(http://www.wildlist.com/), всемирным обществом
разработчиков антивирусных программ. Ведь далеко не каждым вирусом
действительно можно заразиться через Сеть: из примерно 100000
существующих вирусов в настоящее время всего около 250 встречаются в
"диком" интернете; остальные существуют только в "лабораторных"
условиях. Оказалось, что качество работы разных сканеров
чувствительно зависит от типа вирусов. Например, все отобранные для
обзора продукты хорошо справляются с вирусами и червями,
действующими в 32-разрядной среде Windows — наиболее
распространенным сегодня типом сетевой "инфекции". В этом случае
качество распознавания очень высоко — от 90,4 до 100% (см. таблицу "Эффективность антивирусных сканеров").
Однако с троянскими программами, которые распространяются не сами
по себе, а посредством других программ, в том числе вирусов и
"червей", дело обстоит похуже: если сканеры McAfee и Norton
задерживают соответственно 99% и 95% "троянцев", то AVG — всего
23,5%, что вряд ли можно считать достаточной защитой. Кроме того,
троянские программы не включаются в список WildList, отчего за ними
труднее следить. Наконец, очень желательно, чтобы антивирусный
сканер не поднимал ложную тревогу, подозревая в наличии вируса
обычные файлы. В этом смысле лучше всего обстоят дела у PC-cillin,
где тест прошел без ложных срабатываний; на другом конце шкалы —
Eset NOD32 2, с 32 из 20000 файлов. Конечно, это настолько
мало, что даже не стоит пересчитывать в процентах, но и одного
такого случая достаточно, если в результате вместо вируса будет
удален нужный файл.
Что делать с новыми "микробами"?
В своей работе антивирусные сканеры опираются в основном на
точное соответствие известным злонамеренным программам, сигнатуры
которых хранятся в базе данных. Впрочем, иногда они "ловят" и новые
вирусы, которых а базе нет, используя эвристические алгоритмы.
Строго говоря, слово "эвристический" здесь означает возможность
идентифицировать неизвестный вирус на основании неких характерных
признаков — например, кода, использующего известную "дыру" в
операционной системе или приложении. На практике в эвристических
алгоритмах поиска вирусов используются различные "нечеткие" схемы
распознавания новых модификаций уже известных вирусов с
использованием их общих признаков — например, зная признаки вируса
Netsky.gen, можно "отловить" его новые варианты вроде Netsky.R.
По данным тестов, из рассмотренных программ самыми удачными
эвристическими алгоритмами обладают McAfee и AVG, идентифицирующие
70,1% и 65,6% файлов, зараженных неизвестными вирусами; худший
результат оказался у NOD32 — 41,4%. И в любом случае, это гораздо
меньше и медленнее, чем при распознавании известных вирусов, так что
основным средством своевременного лечения по-прежнему остается
регулярное обновление антивирусных баз.
Все программы тестировались в режиме максимально тщательного
сканирования. Особый случай представлял собой NOD32: в этой
программе предусмотрен повышенный по сравнению с жестким диском
уровень эвристического сканирования Advanced Heuristics для
электронной почты и веб-трафика, этих основных источников инфекций.
Для сканирования жесткого диска этот режим тоже можно использовать,
но не средствами графического интерфейса, а с помощью
недокументированной команды nod32.exe /AH. В режиме Advanced
Heuristics качество сканирования NOD32 возрастает до 53,5%.
К сожалению, все рассмотренные антивирусы успешно распознают
новые инфекции только в том случае, если последние принадлежат к уже
известным вирусным "семействам", но оказываются бессильны при
встрече с совершенно новым вирусом. Например, ни один из сканеров не
распознал червя Netsky, пока его сигнатура не была внесена в базу
данных.
Таким образом, эвристическое распознавание вирусов по-прежнему
ненадежно. Приходится опираться на другие уровни защиты, такие как
межсетевые экраны и собственный здравый смысл.
Самый удобный сканер
Если бы главным в антивирусном сканере было удобство интерфейса,
то лучшим пакетом наверняка был бы признан McAfee. Правда, в
остальном у McAfee много недостатков — например, ошибки в сценарии
обновления, в результате которых программа сообщает, что сканер уже
был обновлен, в то время как на самом деле это не так.
McAfee, конечно, не единственный пакет с "глюками" — хотя их у
него и много. Ни одна из рассмотренных программ не прошла гладко
тест на удаление вируса CTX, "троянского коня" Optix и червя
Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin —
инфекция была полностью удалена, а система не повреждена. После
попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система
пришла в негодность.
Самым большим недостатком пакета Norton оказалась его
медлительность. Когда в системе установлен этот пакет, она
запускается и отключается вдвое медленнее, чем при использовании
Panda или NOD32, влияние которых на быстродействие наименее заметно.
Norton медленнее всех выполняет полное сканирование жесткого диска —
проверка диска со скоростью вращения 5400 об/мин, данные на
котором занимают 575 Мб, на компьютере с Windows XP,
Pentium III 800 МГцб 256 Мб RAM, длится около
12 мин. Самая быстрая из программ обзора, NOD32, выполняет эту
операцию всего за 52 с. (Правда, Norton лучше распознает
вирусы.) Следующим по скорости после NOD32 был сканер Panda,
справившийся с задачей немногим более чем за 2,5 мин.
Лучшим антивирусом обзора был признан пакет Trend Micro PC-cillin
Internet Security 2004: эта программа отличается не только
качественным сканированием и разумной ценой, но также логичным и
понятным интерфейсом.
Восполняя пробелы: программы-антишпионы
Спору нет, межсетевые экраны и антивирусные сканеры играют
значительную роль в защите компьютерной системы. Однако иногда они
пропускают программы, порожденные специфическим спросом, а именно
программы-шпионы. Впрочем, в эту категорию входят не только обычные
сканеры мыши и клавиатуры, но и, например, "угонщики браузера" — род
adware (программ для распространения рекламы), задачей которого
является изменение записей системного реестра без ведома
пользователя так, чтобы вместо обращения к домашней странице или
стандартному поисковому серверу (например, при ошибочном вводе URL)
браузер переходил на страницу с рекламной информацией.
Многие такие "угонщики", называемые также программами
принудительной загрузки, используя недостаточную защиту системы,
часто самоинсталлируются при посещении веб-страницы. Например,
печально известная утилита Surfbar (она же Junkbar и Pornbar)
использует тот факт, что Internet Explorer допускает загрузку
исполняемых файлов на компьютер пользователя. Затем она заменяет
начальную страницу браузера на http://www.surferbar.com/, заваливает рабочий стол
сотней-другой ссылок на порносайты и устанавливает панель с еще
несколькими десятками ссылок того же рода. Другие
программы-"угонщики" спрашивают разрешения на начало работы, но
таким способом, чтобы обманом вынудить пользователя согласиться.
"Чистые" программы-шпионы прослеживают использование интернета —
обычно для того, чтобы определить, какие что пользователь делает в
онлайне, и предложить ему соответствующую рекламу. Как правило,
программы-шпионы сопровождают условно-бесплатные и бесплатные
программы. Часто настоящая стоимость таких "бесплатных" программ
скрыта в их лицензионном соглашении: не читая его, пользователь
соглашается на удаленный мониторинг своего компьютера службами,
собирающими маркетинговые данные или рассылающими направленную
рекламу. Разные страны сейчас разрабатывают законы против такой
деятельности, однако пока что лучшей защитой являются
сканеры-антишпионы.
Мы исследовали пять специальных "антишпионских" пакетов:
- Auria Spyware Eliminator,
- InterMute SpySubtract Pro 2,
- Lavasoft Ad-aware 6 Plus,
- Network Associates McAfee AntiSpyware,
- Spybot Search & Destroy.
Также были рассмотрены возможности по "отлову" программ-шпионов с
помощью антивирусных сканеров и других утилит, входящих в состав
следующих пакетов:
- Network Associates McAfee Internet Security Suite 6,
- Panda Platinum Internet Security 3,
- Symantec Norton Internet Security 2004,
- Trend Micro PC-cillin Internet Security 2004.
К сожалению, даже лучшие из них распознают едва больше половины
из всех предложенных им образцов шпионских утилит. В настоящее время
лучшей стратегией является использование сразу нескольких сканеров.
Сканер Norton идентифицировал лишь две из предложенных семи
шпионских утилит, PC-cillin и Panda — по одной. При установке
антивирусов на уже инфицированный компьютер был обнаружен
исполняемый файл, порождавший инфекцию Surfbar, но удалить уже
установленную панель ссылок и пиктограммы порносайтов, а также
вернуть на место первоначальную домашнюю страницу не удалось.
Утилита McAfee Privacy Service точно распознает попытки изменить
реестр и настоятельно советует пользователю не поддаваться на
провокации, но не обнаруживает в оперативной памяти процессы,
порождающие эти действия. Таким образом, не успеет пользователь
отразить одну атаку, как накатывает следующая, и его жизнь
превращается в сплошную череду предупреждений и отказов, до тех пор
пока он наконец не решит, что лучше один раз инфицировать компьютер,
чем постоянно отрываться от дел.
Таблица - эффективность сканеров шпионских
программ
В отличие от антивирусов, обнаруживающих инфицированные путем
сравнения их с сигнатурами злонамеренных программ из базы данных,
антишпионские сканеры опираются главным образом на ключи системного
реестра. Самые надежные результаты в тестах показали Spybot Search
& Destroy и Lavasoft Ad-aware 6 Plus, но Spybot лучше удалял
поврежденные файлы и восстанавливал значения реестра.
Сканер McAfee AntiSpyware обнаружил три из семи инфекций — Gator,
Huntbar и MyFast Access, — но полностью удалить смог только две
последние. Слабее всех оказался InterMute SpySubtract Pro 2,
обнаруживший только один образец программы-шпиона — широко известную
панель Gator.
Хорошую защиту в реальном времени обеспечивает компонент Ad-watch
из Lavasoft Ad-aware 6 Plus. Он преграждал путь всем "угонщикам
браузеров", пытавшимся изменить параметры доступа к интернету.
(Правда, Ad-watch не входит в распространяемую бесплатно упрощенную
версию Ad-aware.)
К сожалению, как выяснилось, ни один из протестированных сканеров
не обеспечивает 100-процентного распознавания и удаления инфекции.
Лучше всего справляются с задачей Spybot Search & Destroy и
Lavasoft Ad-aware 6 Plus. В Ad-aware лучше организован мониторинг
шпионских утилит и удобнее интерфейс, зато Search & Destroy
лучше находит и чистит инфицированные файлы.
Заключение
В идеальном случае защита от нападений из интернета не должна
быть многоуровневой. В почти идеальном случае можно было бы обойтись
одним пакетом по обеспечению безопасности или хотя бы комплектом
программ одного производителя. К сожалению, ни один из
протестированных пакетов не закрывает все уязвимые места достаточно
надежно. В частности, ни один из них не обеспечивает надежное
обнаружение и удаление шпионских программ.
В целом, лучшим из рассмотренных пакетов можно признать
Trend Micro PC-cillin Internet Security 2004 — за
лучший антивирусный сканер и один из лучших межсетевых экранов. В
комбинации с бесплатным Spybot Search & Destroy
он обеспечил бы достаточную безопасность. Для усиления защиты от
шпионских программ можно воспользоваться Lavasoft Ad-aware 6
Plus (все три программы хорошо сочетаются друг с другом и
работают без конфликтов). Возможностей межсетевого экрана PC-cillin
должно быть достаточно для большинства пользователей. Если же
захочется чего-то покрепче, можно отключить межсетевой экран
PC-cillin и установить Zone Labs ZoneAlarm Pro 4.5
(например, упрощенную бесплатную версию).
К сожалению, ни один из рассмотренных пакетов не содержит
по-настоящему надежной утилиты по борьбе со спамом. Для этого
приходится устанавливать дополнительные продукты.
Эшелонированная оборона
Многоуровневая система, задерживающая атаки и обеспечивающая
своевременное резервное копирование данных, состоит из следующих
уровней.
Аппаратный маршрутизатор:
- с помощью NAT (Network address Translation, трансляция сетевых
адресов, — стандарт Internet, позволяющий использовать в локальной
сети различные наборы IP-адресов для внешнего и внутреннего
трафика) маскирует IP-адреса, делая неэффективным сканирование
портов.
- блокирует поступление данных из интернета, на которые нет
разрешения пользователя;
- не защищает систему от большинства злонамеренных программ,
таких как "троянские кони", вирусы, почтовые "черви" и шпионские
программы.
Программный маршрутизатор:
- предотвращает несанкционированную передачу данных с компьютера
в интернет "троянцами" и другими приложениями, установленными без
ведома пользователя;
- защищает портативные ПК при работе в беспроводных и других
малозащищенных сетях;
- блокирует некоторые злонамеренные программы, но не в состоянии
их удалить.
Антиспамерское программное обеспечение:
- блокирует вводящие в заблуждение, жульнические ("рыболовные")
схемы;
- сокращает работу по фильтрованию писем, уменьшая вероятность
того, что пользователь случайно второпях активирует вирус,
полученный по электронной почте.
Антивирусное программное обеспечение:
- защищает систему от известных вирусов, червей и "троянцев", но
менее эффективно против новых инфекций;
- не защищает систему от программ распространения рекламы
(adware), шпионских программ и "угонщиков браузеров".
Антишпионское программное обеспечение:
- защищает от программ класса adware, шпионских программ и
"угонщиков браузеров", cookies-сканеров и других
интернет-паразитов.
Автор: Елена Полонская
Источник: www.comizdat.com
|