← Октябрь 2004 → | ||||||
2
|
3
|
|||||
---|---|---|---|---|---|---|
5
|
6
|
7
|
8
|
9
|
10
|
|
11
|
13
|
14
|
16
|
17
|
||
19
|
20
|
21
|
22
|
23
|
24
|
|
25
|
26
|
27
|
29
|
30
|
31
|
За последние 60 дней ни разу не выходила
Сайт рассылки:
http://www.webfile.ru/
Открыта:
28-01-2002
Адрес
автора: comp.paper.bestarticles-owner@subscribe.ru
Статистика
0 за неделю
Лучшие статьи журнала «Компьютеры+Программы»
Информационный Канал Subscribe.Ru |
Здравствуйте, уважаемые читатели!
Очередной номер журнала «Компьютеры+Программы» готов. Выбор статьи, которая будет опубликована в этом выпуске, определился голосованием по содержанию номера и анонсам статей. Результаты голосования выглядят следующим образом.
Автор | Статья | Голосов |
---|---|---|
Сильнее угроза — крепче защита | 32 | |
Вторая жизнь старого компьютера | 26 | |
Покупаем цифровую видеокамеру | 25 | |
Арсений ЧЕБОТАРЁВ | Экстремальное программирование и быстрая разработка ПО | 23 |
Цифровые видеокамеры: лучшие устройства месяца | 21 | |
Взгляд на Windows через лупу | 19 | |
Какой ПК вам нужен? | 18 | |
Олег РЕМИЗОВ | Асинхронное взаимодействие между процессами посредством COM Events | 15 |
БЕЗМАЛЫЙ В.Ф., БЕЗМАЛАЯ Е.В. | Чем нас пытаются взломать. Краткий обзор программ-взломщиков паролей | 11 |
Александр ЛОЗОВЮК | GnuPG — OpenSource шифрование и цифровые подписи | 10 |
Новые суперкарты от ATI и nVidia | 10 | |
Арсений ЧЕБОТАРЕВ | Путеводитель по ASUS P4P800 | 9 |
Николай ТКАЧЕНКО | Добавление мультимедийных эффектов в презентацию | 8 |
Владимир КОНОВАЛЕНКО | Новые условия распространения программного обеспечения | 4 |
Таким образом, наибольший интерес у читателей рассылки вызвала статья «Сильнее угроза — крепче защита», которая и предлагается вашему вниманию в этом выпуске. Второе место заняла статья «Вторая жизнь старого компьютера», а третье место — статья «Покупаем цифровую видеокамеру». Их мы опубликуем в следующих выпусках рассылки.
Дорогие читатели! Редакция будет рада узнать ваше мнение о прочитанных статьях. Пишите нам в редакцию по адресу ep_big@comizdat.com.
Сильнее угроза — крепче защита
Мы протестировали 16 инструментов для защиты компьютеров и компьютерных сетей от интернет-червей, вирусов, шпионских программ и хакеров
Ваш компьютер давно уже перестал быть целью интернетовских злоумышленников. Сегодня их цель — вы сами. Преступники, пользующиеся ворованными номерами кредитных карточек и идентификационной информацией, широко используют вирусы и интернет-черви, чтобы заманить своих жертв в ловушку. Вирусы — это лишь одна из возможных угроз. В некоторых спамовых сообщениях электронной почты используются так называемые «рыболовные» схемы, цель которых — заставить получателя раскрыть конфиденциальную банковскую информацию или сообщить номер кредитной карточки. Поддельные рекламодатели создают ложные всплывающие окна, которые, используя слабые места операционной системы, устанавливают на компьютере жертвы шпионские программы.
Поскольку в зону внимания информационной безопасности все чаще попадают вещи более серьезные, чем обычные вирусы, специалисты по компьютерной защите ввели термин malware — «злонамеренное программное обеспечение», которым обозначают любой код, наносящий вред компьютеру или его владельцу. Для эффективного сопротивления посягательству на частную информацию необходима глубокая и хорошо продуманная система обороны, состоящая из нескольких барьеров между злонамеренным ПО и системой. В этом обзоре мы рассмотрим:
- межсетевые экраны;
- вирусные сканеры;
- инструментарий для удаления программ-шпионов;
- пакеты для обеспечения безопасности.
Надеемся, представленный материал поможет вам подобрать себе подходящий арсенал.
Внешний периметр: межсетевые экраны
Первую линию обороны от хакеров, интернет-червей, программ-шпионов и прочих врагов держит межсетевой экран (см. также «Безоговорочная безопасность сети: установка межсетевого экрана для отдельного хоста», К+П №2/2004).
Во многих компаниях и даже в некоторых домашних сетях доступ к интернету осуществляется через общее широкополосное соединение. Для того чтобы выяснить уровень защиты, обеспечиваемый аппаратными межсетевыми экранами, было протестировано две модели маршрутизаторов со встроенными точками доступа: Linksys Wireless-G Broadband Router WRT54G и Microsoft Wireless-G Base Station MN-700. В состав этих маршрутизаторов — в качестве побочного продукта для обработки интернет-трафика — входит простейший межсетевой экран.
Используя трансляцию сетевых адресов (Network Address Translation, NAT) и протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP), маршрутизатор распределяет между компьютерами сети частные IP-адреса, скрывая их таким образом от внешних компьютеров, которые «видят» лишь IP-адрес самого маршрутизатора. Маршрутизатор открывает интернет-порты только если он соответствующим образом настроен или если компьютер сети запросит данные из интернета (например, обратиться к веб-странице).
Маршрутизаторы препятствуют атакам, при которых хакеры используют средства сканирования портов для поиска уязвимых объектов. Если ни одна из систем сети не запрашивала пакеты данных, маршрутизатор просто отбрасывает входящие пакеты. Оба продукта позволяют открыть определенные порты и назначить им IP-адреса предназначенных для этого компьютеров. Этот процесс, известный как пересылка порта (port forwarding), позволяет выделить отдельные серверы для игр в онлайне и посещения веб-сайтов, не открывая доступ к остальным компьютерам сети. В модуле от Microsoft есть еще одна приятная функция: по умолчанию в нем включено WEP-шифрование, для защиты беспроводного трафика генерируется специальный ключ.
Компьютер за брандмауэром
Маршрутизатор защищает от атак извне. Однако некоторые типы злонамеренного программного обеспечения, например интернет-черви, троянские программы и программы-шпионы, работают изнутри. Чтобы прекратить их деятельность, необходим программный защитный экран, установленный непосредственно на компьютере.
Межсетевой экран, настроенный исключительно по принципу полномочий доступа, предупреждает о любой попытке приложения передать данные по сети и позволяет блокировать эту операцию, таким образом обращая внимание администратора на приложения, которые могут оказаться злонамеренными.
Из соображений удобства межсетевые экраны, встроенные в пакеты Panda Platinum Internet Security и Symantec Norton Internet Security 2004, автоматически предоставляют полномочия многим приложениям Windows. Однако такой шаг может привести к нарушению защиты. Например, первоначально продукт Panda, предоставляя доступ службам Windows, оставлял открытым порт 135 — а именно через этот порт проникает печально известный червь Blaster. Правда, когда это выяснилось, ошибка была исправлена.
Встречается и обратный «перегиб»: казалось бы, пакет обеспечения безопасности не может блокировать все подряд — он должен оставлять возможность работы хотя бы для собственных компонентов. Однако оказалось, что в McAfee Internet Security Suite 6 это не так. Например, при попытке отправить письмо программа выдает сообщение о том, что MCSHIELD.EXE
и MGHTML.EXE
(два компонента пакета McAfee) пытаются получить доступ к защищенному файлу — то есть к dat-файлу почтового клиента.
Борьба с «червями»
Sygate Personal Firewall Pro 5.5 и Zone Lab ZoneAlarm Pro 4.5 никогда не были замечены ни в атаке на «своих, чтоб чужие боялись», ни в чрезмерном попустительстве по отношению к другим приложениям. Благодаря этому они предоставляют широкие возможности контроля за системой. Однако если нетерпеливый администратор будет сначала жать на кнопку OK, а уж потом думать, о чем же это его предупреждают, он подвергнет систему большому риску.
Возьмем, к примеру, червь Bagle, который маскируется под Windows Explorer. Когда Bagle пытается передать данные в интернет, межсетевые экраны McAfee, Norton, Sygate и ZoneAlarm фиксируют эту попытку и посылают соответствующий запрос администратору. Если тот проявит достаточно бдительности, то заинтересуется, зачем это вдруг «Проводнику» понадобилось выйти в Сеть. Но если администратор «проспит» тревожный сигнал и просто нажмет OK, придется отвечать за последствия.
Во избежание подобных проблем можно воспользоваться межсетевым экраном с фильтрацией портов (экран такого типа встроен в Windows XP) или с фильтрацией портов и пакетов (как в Trend Micro PC-cillin Internet Security 2004). При фильтрации пакетов межсетевой экран контролирует данные, передаваемые между сетью и компьютером, на предмет подозрительного поведения или наличия известных уязвимых мест. Например, таким образом блокируются попытки «нелегального» доступа к портам, открываемым почтовыми вирусами-червями, для получения инструкций от удаленного хакера.
Вообще-то, в обязанности межсетевого экрана не входит «отлов» червей и нелегальных программ — это дело антивируса. Однако антивирусные сканеры лучше всего работают именно в случаях, когда могут сравнить потенциальный вирус с базой данных уже известных вирусов. Если же вирус «свежий», он зачастую остается нераспознанным, до тех пор пока не будет внесен в базу данных и пока та не будет обновлена на зараженном компьютере. На это может уйти от нескольких часов до нескольких дней (а то и недель — с учетом лени администратора).
Проведенные тесты показали следующие возможности распространенных межсетевых экранов. При попытке программы организовать массовую почтовую рассылку, содержащую ее копии, McAfee и ZoneAlarm блокируют эту операцию независимо от того, рассылаются ли письма все сразу или по очереди. При этом пользователь получает предупреждение. Panda останавливает «червя» иначе: блокирует все исходящие письма, во вложениях которых содержатся исполняемые файлы.
В случае если червь, такой как Bagle, пытается нелегально открыть порт системы и получит инструкции от удаленного хакера, Panda ничего не может сделать. Маршрутизаторы же блокируют это действие, а программные межсетевые экраны, работающие по принципу предоставления полномочий (McAfee, Norton, Sygate и ZoneAlarm) предупредят пользователя о такой попытке. Впрочем, при этом они принимают червя за Windows Explorer и, следовательно, не сообщают, что на самом деле это червь, маскирующийся под «Проводник». Межсетевые экраны с фильтрацией портов PC-cillin и экран Windows XP защищают компьютер тихо и надежно — они самостоятельно блокируют попытки червя получить доступ к порту, не заставляя пользователя гадать над значением предупреждений.
Злонамеренные программы не только по-тихому открывают порты — они могут начисто «оголить» компьютер, отключив систему защиты. Panda, Sygate и ZoneAlarm сопротивляются таким атакам, а вот межсетевой экран Windows XP, McAfee, Norton и Trend Micro под воздействием кода вторжения выключаются. Более того, такой код способен удалить файлы последних трех пакетов.
Программные и аппаратные межсетевые экраны
Межсетевые экраны | Программные | Аппаратные | |||||||
---|---|---|---|---|---|---|---|---|---|
Zone Labs ZoneAlarm Pro 4.5 | Sygate Personal Firewall Pro 5.5 | Trend Micro PC-cillin Internet Security 20042 | Microsoft Windows XP, SP1 Internet Firewall | Panda Platinum Internet Security2 | Symantec Norton Internet Security 20042 | Network associates McAfee Internet Security Suite 62 | Microsoft Wireless-G Base Station MN-700 | Linksys Wireless-G Broadband Router WRT54G | |
Рейтинг | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 1 | 2 |
Тип | на базе полномочий | на базе полномочий | фильтрация портов и пакетов | фильтрация портов | на базе полномочий | на базе полномочий | на базе полномочий | фильтрация портов маршрутизатора | фильтрация портов маршрутизатора |
Цена, у.е.1 | 50 | 403 | 50 | в комплекте с Windows XP Home и Professional | 80 | 70 | 70 | 110 | 135 |
Блокирование отключения | + | + | - | - | + | - | - | + | + |
Блокирование удаления | + | + | - | + | + | - | - | -4 | -4 |
Блокирование открытия порта | + | + | +5 | + | - | + | + | + | + |
Блокирование массовой рассылки червя | + | - | - | - | + | - | + | - | - |
Блокирование простейшего сканирования портов | + | + | + | + | + | + | + | +6 | + |
Блокирование обращения извне к сетевым дискам общего доступа | + | + | + | + | + | + | + | + | + |
Блокирование всплывающих окон Windows Messenger | + | - | + | + | + | + | + | + | + |
Быстродействие | ***** | **** | **** | **** | *** | *** | **** | ***** | ***** |
Удобство использования | ***** | *** | **** | **** | ** | ** | * | ***** | **** |
Комментарии | наилучшее быстродействие; в бесплатной версии отсутствует защита от рассылки червя по почте, защита конфиденциальных данных и др. | высокая модульность предоставляет максимальную свободу опытному пользователю; стандартная настройка обеспечивает высокую степень защиты | предотвращает отправку конфиденциальных данных; инфицированная система изолируется | по умолчанию отключен | в стандартной конфигурации автоматически предоставляется доступ уже установленным приложениям и компонентам Windows | по умолчанию предоставляется доступ к интернету определенным программам | межсетевой экран иногда конфликтует с другими компонентами пакета | по умолчанию включено WEP-шифрование, ключ генерируется автоматически | управляющая консоль включается медленно; шифрование для беспроводной сети по умолчанию отключено |
1 Среднерозничная.
2 Входит в состав пакета (цена указана за весь пакет). 3 Есть бесплатная упрощенная версия. 4 Устанавливается на маршрутизаторе, а не на ПК. 5 Вирус может открыть порт, но попытки доступа извне к компоненту вируса блокируются. 6 При стандартной настройке; допускает пингование. |
Объединенными силами
Маршрутизаторы, такие как модели Linksys и Microsoft, отражают внешние атаки, в то время как программные межсетевые экраны защищают компьютерные системы от вирусов-червей, распространяющихся через диски общего доступа, электронную почту и приложения для обмена файлами, такие как Kazaa и Gnutella. Программные межсетевые экраны — необходимый защитный компонент для ноутбуков, подключаемых не только к защищенной офисной или домашней сети, но и к сетям общего доступа, особенно беспроводным.
Из рассмотренных межсетевых экранов нам больше всего понравились Sygate и ZoneAlarm.
Sygate впечатляет быстродействием и модульной конфигурацией, благодаря которой этот firewall можно настраивать практически как угодно. Правда, некоторые его сообщения способны поставить в тупик, несмотря даже на их подробность. Как, скажите пожалуйста, реагировать на такое предупреждение: «Internet Explorer (IEXPLORE.EXE) is trying to connect to www.microsoft.com (207.46.134.221) using remote port 80 (HTTP - World Wide Web)»? Даже в переводе на русский — «Internet Explorer (IEXPLORE.EXE) пытается соединиться с www.microsoft.com (207.46.134.221) через удаленный порт 80 (HTTP - World Wide Web)» — не совсем понятно…
А вот сообщение ZoneAlarm в той же ситуации вполне ясно: «Do you want to allow Internet Explorer to access the Internet?» — «Разрешаете ли вы доступ Internet Explorer к интернету?». Быстродействие ZoneAlarm не хуже, чем у Sygate, а интерфейс значительно понятнее.
Что же касается пользователей, которым недостает терпения настраивать межсетевой экран, работающий по принципу предоставления полномочий, можно порекомендовать экран с фильтрацией портов, PC-cillin например.
Эффективность антивирусных сканеров1
Антивирусный сканер | Trend Micro PC-cillin Internet Security 20042 | Symantec Norton Internet Security 20042 | Eset NOD32 2 | Panda Platinum Internet Security2 | Network Associates McAfee Internet Security Suite 62 | Grisoft AVG Anti-Virus Professional |
---|---|---|---|---|---|---|
Рейтинг | 1 | 2 | 3 | 4 | 5 | 6 |
Цена, у.е. (продукт/ежегодное обновление) | 50/15 | 70/30 | 39/27 | 80/70 | 70/30 | 333 |
Удобство использования | ***** | *** | *** | **** | * | ** |
Скорость сканирования | **** | * | ***** | ** | ** | **** |
Обнаружение злонамеренного ПО всех видов4 | 92% | 99% | 94% | 92% | 99% | 82% |
Ложные срабатывания5 | 0 | 2 | 31 | 23 | 3 | 16 |
Обнаружение 32-разрядного злонамеренного ПО для Windows | 99% | 100% | 100% | 99% | 100% | 90% |
Обнаружение троянских программ | 76% | 97% | 72% | 72% | 99% | 24% |
Обнаружение 32-разрядных полиморфных вирусов | 99% | 100% | 98% | 89% | 100% | 67% |
Обнаружение нелегальных каналов связи | 66% | 94% | 84% | 80% | 96% | 87% |
Комментарии | располагает функцией защиты веб-почты; бесплатная интернет-база знаний | значительно замедляет включение и отключение ПК; бесплатная интернет-база знаний | занимает мало места, благодаря чему подходит для компьютеров старых моделей | самый дорогой антивирус обзора | использование затруднено из-за конфликтов и программных ошибок | не требует много места и поэтому подходит для старых ПК |
1 По данным исследований лаборатории AV-Test (www.av-test.org).
2 Входит в состав пакета. Цена указана за весь пакет. 3 Лицензия выдается на два года; затем пользователь покупает пакет заново. 4 Обнаружение вирусов на базе VBS-скриптов у всех рассмотренных программ — 100%. 5 На 20000 файлов. |
Внутренняя защита: антивирусы
Несмотря на то, что межсетевые экраны успешно блокируют ряд вирусов, зондирующих сетевые порты, и задерживают некоторые попытки их массового саморазмножения по электронной почте, в системе все равно должен быть антивирусный сканер, который бы останавливал большинство инфекций, попадающих в компьютер через электронную почту и файлы, скачиваемые из интернета. Тем более что обезвредить эту инфекцию может только антивирусный сканер.
Кроме сканеров, входящих в состав описанных выше пакетов по обеспечению безопасности, мы рассмотрели и два самостоятельных продукта: Grisoft AVG Anti-Virus Professional и Eset NOD32 2.
Все эти продукты удовлетворяют минимальным требованиям по «отлову» основных злонамеренных программ, встречающихся в интернете,- тех, что хотя бы дважды упоминаются членами WildList Organization (www.wildlist.com), всемирного общества разработчиков антивирусных программ. Ведь далеко не каждым вирусом действительно можно заразиться через Сеть: из примерно 100 тыс. существующих вирусов в настоящее время всего около 250 встречается в «диком» интернете — остальные существуют только в «лабораторных» условиях.
Оказалось, что качество работы разных сканеров чувствительно зависит от типа вирусов. Например, все отобранные для обзора продукты хорошо справляются с вирусами и червями, действующими в 32-разрядной среде Windows — наиболее распространенным сегодня типом сетевой «инфекции». В этом случае качество распознавания очень высоко — от 90,4% до 100% (см. таблицу «Эффективность антивирусных сканеров»). Однако с троянскими программами, которые распространяются не сами по себе, а при помощи других программ, в том числе вирусов и «червей», дело обстоит похуже. Если сканеры McAfee и Norton задерживают, соответственно, 99% и 95% «троянцев», то AVG — всего 23,5%, что вряд ли можно считать достаточной защитой. Кроме того, троянские программы не включаются в список WildList, почему за ними труднее следить.
Наконец, очень желательно, чтобы антивирусный сканер не поднимал ложную тревогу, подозревая в наличии вируса обычные файлы. В этом смысле лучше всего обстоят дела у PC-cillin, где тест прошел без ложных срабатываний. На другом конце оценочной шкалы находится Eset NOD32 2 — 32 из 20000 файлов. Конечно, это настолько мало, что даже не стоит переводить в проценты, но, с другой стороны, и одного такого случая достаточно, если в результате вместо вируса будет удален нужный файл.
Что делать с новыми «микробами»?
В своей работе антивирусные сканеры опираются, в основном, на точное соответствие известным злонамеренным программам, сигнатуры которых хранятся в базе данных. Впрочем, иногда они «ловят» и новые вирусы, которых нет в базе, используя эвристические алгоритмы. Строго говоря, слово «эвристический» здесь означает возможность идентифицировать неизвестный вирус на основании неких характерных признаков — например, наличия кода, использующего известную «дыру» в операционной системе или приложении. На практике в эвристических алгоритмах поиска вирусов используются различные «нечеткие» схемы распознавания новых модификаций уже известных вирусов с использованием их общих признаков — например, зная признаки вируса Netsky.gen, можно «отловить» его новые варианты вроде Netsky.R.
По данным тестов, наиболее удачными эвристическими алгоритмами обладают McAfee и AVG, идентифицирующие 70,1% и 65,6% файлов, зараженных неизвестными вирусами. Худший результат оказался у NOD32 — 41,4%. В любом случае, это гораздо меньше, чем при распознавании известных вирусов (да и сам процесс проходит куда медленнее), так что основной гарантией своевременного лечения по-прежнему остается регулярное обновление антивирусных баз.
Все программы тестировались в режиме максимально тщательного сканирования. Особый случай с NOD32 — в этой программе предусмотрен повышенный уровень эвристического сканирования (Advanced Heuristics) для электронной почты и веб-трафика, этих основных источников инфекций. Для сканирования жесткого диска этот режим тоже можно использовать, но уже не средствами графического интерфейса, а с помощью недокументированной команды nod32.exe /AH
. В режиме Advanced Heuristics качество сканирования NOD32 возрастает до 53,5%.
К сожалению, все рассмотренные антивирусы успешно распознают новые инфекции лишь в случае, если последние принадлежат к уже известным вирусным «семействам» — при встрече же с совершенно новым вирусом они оказываются бессильными. Например, ни один из сканеров не распознал червя Netsky, пока его сигнатура не была внесена в базу данных.
Таким образом, эвристическое распознавание вирусов по-прежнему ненадежно. Приходится опираться на другие уровни защиты, такие как межсетевые экраны и собственный здравый смысл (см. также «Компьютер на замке», К+П № 5/2004).
Самый удобный сканер
Если бы главным в антивирусном сканере было удобство интерфейса, то лучшим наверняка был бы признан пакет McAfee. Правда, в остальном у McAfee много недостатков: например, ошибки в сценарии обновления, в результате которых программа сообщает, что сканер уже был обновлен, хотя на самом деле это не так.
McAfee, конечно, не единственный пакет с «глюками» — хотя их у него с избытком. Ни одной из рассмотренных программ не удалось более или менее гладко пройти тест на удаление вируса CTX, «троянского коня» Optix и червя Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin: инфекция была полностью удалена без каких-либо повреждений системы. А вот после попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система пришла в негодность.
Самым большим недостатком пакета Norton оказалась его медлительность. Система с установленным в ней Norton'ом запускается и отключается вдвое медленнее, чем при использовании Panda или NOD32 (их влияние на быстродействие вообще наименее заметно). Norton медленнее всех выполняет полное сканирование жесткого диска: проверка HDD (скорость вращения 5400 об/мин; данными занято 575 Мб) на компьютере с Windows XP, Pentium III 800 МГц и 256 Мб RAM длится около 12 минут. Для сравнения: самая быстрая из программ обзора, NOD32, выполняет эту операцию всего за 52 с — но, с другой стороны, Norton лучше распознает вирусы. Следующим по скорости после NOD32 был сканер Panda, у которого эта же задача отняла чуть более 2,5 мин.
Лучшим антивирусом обзора был признан пакет Trend Micro PC-cillin Internet Security 2004, отличающийся не только высоким качеством сканирования и разумной ценой, но также логичным и понятным интерфейсом.
Заполняя пробелы: программы-антишпионы
Эффективность сканеров шпионских программ1
Программа-антишпион | Spybot Search & Destroy | Lavasoft Ad-aware 6 Plus | Network Associates McAfee AntiSpyware | Network Associates McAfee Internet Security Suite 6 | Aluria Spyware Eliminator | Symantec Norton Internet Security 2004 | Trend Micro PC-cillin Internet Security 2004 | Panda Platinum Internet Security 3 | InterMute SpySubtract Pro 2 |
---|---|---|---|---|---|---|---|---|---|
Рейтинг | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
Цена, у.е. (продукт/ежегодное обновление) | бесплатно | 27/- | 40/?2 | 70/303 | 30/- | 69/304 | 49/252 | 80/703 | 30/- |
Удобство использования | **** | ***** | *** | * | *** | *** | ***** | **** | ***** |
Скорость сканирования | *** | *** | ** | * | * | * | - | - | * |
Качество обнаружения и удаления | 57% | 57% | 43% | 14% | 29% | 14% | 0% | 0% | 29% |
Сканирование реестра | + | + | + | + | + | - | - | - | + |
Сканирование памяти | + | +5 | + | + | + | + | + | + | + |
Сканирование выбранных файлов и папок | - | + | - | + | + | + | + | + | - |
Комментарии | сканирование оперативной памяти весьма ограниченно | при сканировании пропускает некоторые ключи реестра; есть монитор ad-ware реального времени | монитор реального времени слабо противодействует инфицированию | хорошо фиксирует текущие изменения реестра, но не сделанные ранее; слабо распознает процессы, ответственные за инфицирование | постоянно «забывает» проверить изменения в реестре; не распознает и не удаляет некоторые инфицированные файлы | хорошо распознает инфекцию, но удаляет ее неэффективно; включает утилиту по защите личных данных в интернете | хорошо распознает шпионские программы, но плохо их удаляет; блокирует отправку в интернет данных, помеченных пользователем как личные | удаление программ-шпионов неэффективно | удаляет данные о последних использованных файлах и историю посещения интернета, затрудняя работу «шпионам» |
1 По данным исследований лаборатории AV-Test (www.av-test.org).
2 Политика обновления еще не определена. 3 Входит в состав пакета. Цена указана за весь пакет. 4 Сканер программ-шпионов является компонентом антивирусной утилиты, которая продается отдельно от пакета за $50. 5 Обнаружение в оперативной памяти компонентов программ класса ad-ware — только в платной версии. |
Спору нет, межсетевые экраны и антивирусные сканеры в вопросе защиты компьютерной системы играют значительную роль. Однако иногда и они пропускают программы, порожденные специфическим спросом, а именно программы-шпионы. Впрочем, в эту категорию входят не только обычные сканеры мыши и клавиатуры, но и, например, «угонщики браузера». Задача этого рода adware (программ для распространения рекламы) — изменение записей системного реестра без ведома пользователя таким образом, чтобы вместо обращения к домашней странице или стандартному поисковому серверу (например, при ошибочном вводе URL) браузер переходил на страницу с рекламной информацией.
Зачастую такие программы принудительной загрузки, используя недостаточную защиту системы, самоинсталлируются при посещении веб-страницы. Например, печально известная утилита Surfbar (она же Junkbar и Pornbar) использует тот факт, что Internet Explorer допускает загрузку исполняемых файлов на компьютер пользователя. Затем она заменяет начальную страницу браузера на www.surferbar.com, заваливает рабочий стол сотней-другой ссылок на порносайты и устанавливает панель с еще несколькими десятками ссылок того же рода. Другие программы-«угонщики» спрашивают разрешения на начало работы — но делают это так, чтобы обманом вынудить пользователя согласиться.
«Чистые» программы-шпионы прослеживают использование интернета — обычно для того, чтобы определить, что именно пользователь делает в онлайне, и предложить ему соответствующую рекламу. Как правило, программы-шпионы сопровождают условно-бесплатные и бесплатные программы. Часто настоящая стоимость таких «бесплатных» программ скрыта в лицензионном соглашении: не читая его, пользователь соглашается на удаленный мониторинг своего компьютера службами, собирающими маркетинговые данные или рассылающими направленную рекламу. Во многих странах сейчас разрабатываются законы, направленные против такой деятельности, однако пока что лучшей защитой являются сканеры-антишпионы.
Мы исследовали пять специальных «антишпионских» пакетов:
- Auria Spyware Eliminator;
- InterMute SpySubtract Pro 2;
- Lavasoft Ad-aware 6 Plus;
- Network Associates McAfee AntiSpyware;
- Spybot Search & Destroy.
Кроме того, были рассмотрены возможности по «отлову» программ-шпионов с помощью антивирусных сканеров и других утилит, входящих в состав следующих пакетов:
- Network Associates McAfee Internet Security Suite 6;
- Panda Platinum Internet Security 3;
- Symantec Norton Internet Security 2004;
- Trend Micro PC-cillin Internet Security 2004.
К сожалению, даже лучшие из них распознают едва больше половины предложенных им образцов шпионских утилит. Так что на данный момент лучшей стратегией является использование сразу нескольких сканеров.
Сканер Norton идентифицировал лишь две из предложенных семи шпионских утилит, PC-cillin и Panda — по одной. При установке антивирусов на уже инфицированный компьютер был обнаружен исполняемый файл, порождавший инфекцию Surfbar — но удалить уже установленную панель ссылок и пиктограммы порносайтов, а также вернуть первоначальную домашнюю страницу не удалось.
Утилита McAfee Privacy Service точно распознает попытки изменить реестр и настоятельно советует пользователю не поддаваться на провокации, однако не обнаруживает в оперативной памяти процессы, порождающие эти действия. Таким образом, не успевает человек отразить одну атаку, как накатывает следующая — словом, жизнь пользователя превращается в сплошную череду предупреждений и отказов, до тех пор пока он наконец не решит, что лучше уж один раз инфицировать компьютер, чем постоянно отрываться от дел.
В отличие от антивирусов, обнаруживающих инфицированные файлы путем сравнения их с сигнатурами злонамеренных программ из базы данных, антишпионские сканеры опираются главным образом на ключи системного реестра. Самые надежные результаты в тестах показали Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus, при этом Spybot лучше удалял поврежденные файлы и восстанавливал значения реестра.
Сканер McAfee AntiSpyware обнаружил три из семи инфекций: Gator, Huntbar и MyFast Access — но полностью удалить смог только две последние.
Самым слабым оказался InterMute SpySubtract Pro 2, который обнаружил лишь один образец программы-шпиона — широко известную панель Gator.
Хорошую защиту в реальном времени обеспечивает компонент Ad-watch из Lavasoft Ad-aware 6 Plus. Он преграждал путь всем «угонщикам браузеров», пытавшимся изменить параметры доступа к интернету. (Правда, Ad-watch не входит в упрощенную версию Ad-aware, распространяемую бесплатно.)
К сожалению, как выяснилось, ни один из протестированных сканеров не обеспечивает 100-процентного распознавания и удаления инфекции. Лучше всего справляются с задачей Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus. В Ad-aware более продуман мониторинг шпионских утилит, да и интерфейс удобнее,- зато Search & Destroy лучше находит и чистит инфицированные файлы.
Эшелонированная оборона
Многоуровневая система, задерживающая атаки и обеспечивающая своевременное резервное копирование данных, состоит из следующих уровней.
Аппаратный маршрутизатор:
- с помощью NAT (Network address Translation, трансляция сетевых адресов,- стандарт Internet, позволяющий использовать в локальной сети различные наборы IP-адресов для внешнего и внутреннего трафика) маскирует IP-адреса, делая неэффективным сканирование портов;
- блокирует поступление из интернета данных, на которые нет разрешения пользователя;
- не защищает систему от большинства злонамеренных программ, таких как «троянские кони», вирусы, почтовые «черви» и шпионский софт.
Программный маршрутизатор:
- предотвращает несанкционированную передачу данных из компьютера в интернет «троянцами» и другими приложениями, установленными без ведома пользователя;
- защищает портативные ПК при работе в беспроводных и других малозащищенных сетях;
- блокирует некоторые злонамеренные программы (но удалить их не в состоянии).
Антиспамерское программное обеспечение:
- блокирует вводящие в заблуждение, жульнические («рыболовные») схемы;
- сокращает работу по фильтрации писем, уменьшая вероятность того, что пользователь случайно второпях активирует вирус, полученный по электронной почте.
Антивирусное программное обеспечение:
- защищает систему от известных вирусов, червей и «троянцев», а также от новых инфекций (но гораздо менее эффективно);
- не защищает систему от программ распространения рекламы (adware), шпионских программ и «угонщиков браузеров».
Антишпионское программное обеспечение:
- защищает от программ класса adware, шпионских программ и «угонщиков браузеров», cookies-сканеров и других интернет-паразитов.
Заключение
В идеале защита от нападений из интернета не должна быть многоуровневой. В почти идеальном случае можно было бы обойтись одним пакетом по обеспечению безопасности или хотя бы комплектом программ от одного производителя. К сожалению, ни один из протестированных пакетов не в состоянии достаточно надежно закрыть все уязвимые места. В частности, ни одним из них не обеспечивается надежное обнаружение и удаление шпионских программ.
В целом, лучшим из рассмотренных пакетов можно признать Trend Micro PC-cillin Internet Security 2004 — за лучший антивирусный сканер и один из лучших межсетевых экранов. В комбинации с бесплатным Spybot Search & Destroy он обеспечил бы достаточный уровень безопасности. А для усиления защиты от шпионских программ можно воспользоваться Lavasoft Ad-aware 6 Plus (все три программы хорошо сочетаются и работают без конфликтов).
Возможностей межсетевого экрана PC-cillin должно быть достаточно для большинства пользователей. Если же захочется чего-то покрепче, можно отключить межсетевой экран PC-cillin и установить Zone Labs ZoneAlarm Pro 4.5 (например, его упрощенную бесплатную версию).
К сожалению, ни один из рассмотренных пакетов не содержит по-настоящему надежной утилиты по борьбе со спамом. Так что придется устанавливать дополнительные продукты.
Задать вопрос
Прислать свою статью для публикации в журнале
Просто поговорить
До следующего выпуска!
Елена Полонская, редактор "К+П"
www.comizdat.com
Перепечатка материалов этой рассылки разрешается только по согласованию с редакцией журнала "Компьютеры+Программы"
http://subscribe.ru/
http://subscribe.ru/feedback/ |
Подписан адрес: Код этой рассылки: comp.paper.bestarticles |
Отписаться |
В избранное | ||