Компьютерная безопастность

1. Использование сигнатур и контрольных сумм. Это самый распространенный метод, основанный на сравнении имеющихся сигнатур с сигнатурами сканируемых файлов.

2. Эвристический анализатор. Эвристика (греч. heurisko - отыскиваю, открываю) – это наука, изучающая продуктивное творческое мышление и использующая специальные методы с целью открытия нового. С помощью эвристики можно распознать вирусную программу по типу выполняемых действий. Иногда эвристический анализатор позволяет детектировать целое семейство одного вируса по заданному алгоритму.

 Современные  эвристические анализаторы позволяют  обнаруживать вредоносные коды  в исполняемых файлах, секторах и памяти, а также новые скрипт-вирусы и вредоносные программы для Microsoft Office (и других программ, использующих VBA) и, наконец, вредоносный код, написанный на языках высокого уровня, таких как Microsoft Visual Basic. Гибкая архитектура и комбинация различных методов позволяет добиться достаточно высокого уровня детектирования новых вредоносных программ. Высокая эффективность эвристического анализатора наблюдается при детектировании эксплойтов.

3. Эмуляция. При данном подходе создается виртуальная среда, в рамках которой эмулируется поведение подозреваемой программы. Позволяет распознавать полиморфные вирусы.

 Кроме того, многие компании имеют свои  уникальные технологии, содействующие  эффективному использованию антивируса. Так в антивирусном "движке" Антивируса Касперского реализован ряд технологий, которые значительно ускоряют проверку объектов и при этом гарантируют сохранение высокого качества детектирования, а также улучшают детектирование и лечение вредоносного программного обеспечения в архивных файлах.

 Технология iChecker позволяет добиться разумного  баланса между надежностью защиты  рабочих станций (особенно серверов) и использованием системных ресурсов  защищаемого компьютера. Благодаря  этой технологии значительно  сокращается время загрузки (до 30-40%) операционной системы (по сравнению с традиционными антивирусными решениями) и время запуска приложений при активной антивирусной защите. При этом гарантируется, что все файлы на дисках компьютера были проверены и не инфицированы. Основная идея данной технологии – не проверять то, что не изменялось и уже было проверено. Антивирусный "движок" ведет специальную базу данных, в которой хранятся контрольные суммы всех проверенных (и неинфицированных) файлов. Теперь, прежде чем отдать файл на проверку, "движок" подсчитывает и сравнивает контрольную сумму файла с данными, хранящимися в базе данных. Если данные совпадают, значит, файл был проверен и повторная проверка не требуется. Стоит заметить, что время, затрачиваемое на подсчет контрольных сумм файла, значительно меньше, чем время антивирусной проверки.

iStreams – это  технология, близкая по смыслу iChecker, которая позволяет исключить  проверку файлов, расположенных  на диске с файловой системой NTFS, не измененных со времени  последней проверки. Для ее реализации используется технология хранения контрольных сумм файлов в дополнительных потоках NTFS.

iCure – технология  лечения инфицированных файлов  в архивах. Благодаря этой технологии  инфицированные объекты внутри  архивных файлов будут успешно  вылечены (или удалены, в зависимости от настроек антивируса) без помощи внешних утилит архивации. На сегодняшний день поддерживаются следующие типы архивов: ARJ, CAB, RAR, ZIP. Благодаря модульной архитектуре и технологии горячего обновления KeepUp2Date пользователь сможет легко обновлять и расширять список поддерживаемых типов архиваторов без перезагрузки антивируса.

iArc – еще  одна технология работы с архивными  файлами. Эта технология улучшает  поддержку многотомных архивов,  которая была реализована в  предыдущих версиях антивирусного "движка" Антивируса Касперского. iArc позволяет проверять многотомные архивы. Теперь Kaspersky Anti-Virus в состоянии обнаружить вирус даже если он будет упакован в многотомный архив, который, в свою очередь, также будет упакован в многотомный архив.

  Детектирование вирусов.

McAfree-          96%

AVK -               93%

Symantec-       85%

Trend Micro-   79%

Eset-                74%

Судя по результатам, Касперский, как и обещал, детектирует  больше всего вредоносного программного обеспечения и лидирует в этом туре, по некоторым позициям, однако, уступая антивирусу McAfee. За передовиками следует Symantec. Ну а в числе отстающих оказались Trend Micro и Eset.

Как показывают результаты тестов, полностью со своей  задачей справились только два антивируса: отечественный продукт Антивирус Касперского и Eset Nod32. Trend Micro занимает первое место с обратного конца. Антивирус Trend Micro вообще в последнее время показывает себя на мировой арене не с лучшей стороны. Сразу вспоминается неприятная история, произошедшая в Японии. Дело в том, что антивирусы Trend Micro стоят на защите в японской железнодорожной компании East Japan Railway Co. 24 апреля 2007 года газета Japan Times сообщила, что компания Trend Micro выпустила обновление, в котором содержался файл с грубой ошибкой. В результате на многих компьютерах железнодорожной компании, а также в некоторых других пострадавших организациях, довольно продолжительное время происходили сбои в работе системы, а сетевые ресурсы вообще были недоступны. Конечно, позже ошибка была исправлена, но все-таки это не образец для работы одного из лидеров антивирусной индустрии. 
 
 
 
 

Сканеры безопастности.

  Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей. Основными пользователями таких систем являются профессионалы: администраторы, специалисты по безопасности и т.д. Простые пользователи тоже могут использовать сканеры безопасности, но информация, выдаваемая такими программами, как правило специфична, что ограничивает возможности ее использования неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей. 

Что в итоге? 

ISS Internet Scanner в описании не нуждается. Он показал себя как всегда на высоком уровне, правда на этот раз уступив пальму первенства XSpider-у.

 

    XSpider оказался бесспорным лидером,  сильно оторвавшись от конкурентов  особенно при поиске уязвимостей  в Windows и Solaris, что особенно приятно при его небольшом размере и бесплатном распространении. Есть большой минус: очень мало выводится информации при выдаче списка уязвимостей, что предполагает высокий уровень знаний и профессионализма у специалиста использующего эту программу.

 

    LanGuard с натяжкой можно назвать сканером  безопасности. Он очень хорошо  работает с NetBios, выдавая список  ресурсов, сервисов и пользователей.  Эта способность сильно отличает  сканер от остальных, но вот  именно только эта. На этом преимущества LanGuard заканчиваются.

 

    ShadowSecurityScanner практически не отстал от ISS. И  это при столь большой разнице  в их цене. У программы простой  интерфейс похожий на интерфейс  сканера Retina. Подробные советы  и рекомендации по устранению уязвимостей легко позволяют справиться с проблемами. Минусы: небольшое количество распознаваемых уязвимостей, гораздо большее потребление системных ресурсов при работе по сравнении с другими сканерами. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Фаерволы(Брендмаузеры)

В этом пункте мы будем пытаться пробить защиту представленных фаерволов, так как их основной функцией и является защита начинки компьютера от стороннего проникновения.

 

Сегодня на суд  общественности предстанут три продукта security-индустрии: ZoneAlarm Internet Security Suite 5.5.094, Kerio Personal Firewall 4.1.1 и OutPost Firewall Pro 4.0. Все они являются персональными файрволами и представляют собой целый набор разнообразных средств. Обязательными в них являются функции защиты компьютера от внешних и внутренних угроз, и сейчас мы узнаем, насколько качественно они реализованы.

 

Тест будет  состоять из двух основных этапов: первый – это тест на устойчивость "изнутри", то есть на способность продукта контролировать активность приложений на локальном компьютере, а второй – на устойчивость "снаружи". На мой взгляд, первая часть гораздо важнее, так как вторая в большей степени зависит от грамотного конфигурирования межсетевого экрана. Но проверка есть проверка, и ее нужно проводить добросовестно. Итак, приступим к экзамену.

 

А что внутри?

 

Чуть ли не главная  задача персональных файрволов –  это контроль сетевой активности приложений. Благодаря этой функции  тучи троянцев и другой гадости не представляют для пользователей  брандмауэров никакой опасности. Но темная сторона силы не дремлет :), и ее адепты придумывать разные хитрые приемы, чтобы получить доступ к интернету. Началась настоящая война.

 

Чтобы узнать, насколько  файрвол готов к ней, мы воспользуемся  несколькими утилитами, имитирующими работу всяческих вредоносных программ при помощи различных технологий. Настройки сетевых экранов, связанные с "исходящей" защитой, были выставлены на максимум, дабы описать полную картину их возможностей. Также по умолчанию браузеру было разрешено обращаться в интернет, то есть при его первой попытке выхода в Сеть мы запоминали выбор (или создавали правило, кому как больше нравится).

 

Первым испытанием стала программка по название Leak Test (http://grc.com/lt/leaktest.htm). Это простой тест на подстановку. Для проверки нужно  просто переименовать эту программу в приложение, которому доверяет стена. Если ей удастся установить соединение, то файрвол  и не делает никаких проверок подлинности. Другими словами, троянец может запросто прикинуться браузером, просто назвав себя его именем. Все трое испытуемых удачно справились с этим коварным обманщиком и распознали измену.

 

Следующим шагом  была утилита TooLeaky (http://tooleaky.zensoft.com), которая  относится к типу launcher. Программа  запускает IE следующей командной  строкой: iexplore.exe http://grc.com/lt/leaktest.htm?PersonalInfoGoesHere. Окно IE скрыто, и пользователь его не видит. Если TooLeaky удалось удачно загрузить бродилку и ей разрешен доступ к 80-му порту (что почти всегда и бывает), то на сервер GRC.com посылается специальное сообщение. Если бы это был троянец, то он явно воспользовался бы этим по-другому. Задача файрвола в этом тесте - не допустить запуска IE. И это испытание прошли все: сразу же засветилось окошко, гласящее, что TooLeaky пытается запустить Internet Explorer.

Теперь усложним задание. Для этого нам понадобится утилита FireHole (http://keir.net/firehole.html). Она бьет сразу по двум местам в безопасности – это и лаунчер, и dll-инжектор. Утилита тоже использует стандартный браузер, но внедряет в него свою dll, а уже после этого пытается установить связь с сервером. Если файрвол начинает выкидывать тревожные окошки, все в порядке. В противном случае в окне программы появится надпись, говорящая, что сообщение отправлено в Сеть и файрвол не справился с поставленной задачей. Устойчивость к лаунчу мы уже проверяли, поэтому тестирование проводилось с уже работающей Opera. Эту проверку прошли все… кроме одного. Кроме Outpost - странно. Но ничего: у него еще будет шанс исправиться.

 

Дальше мы продолжим  мучить наши бедные брандмауэры программой под названием YALTA или Yet Another LeakTest Application (www.soft4ever.com/security_test/En/index.htm), которая имеет два типа тестов: классический и продвинутый. Классический ориентирован на проверку правил доступа к портам по умолчанию, а продвинутый использует специальный драйвер, чтобы посылать пакеты прямо на сетевой интерфейс. Удалось опробовать только первый тест, так как второй работает только под 9x. Для проверки были выбраны порты, рекомендованные разработчиками ЯЛТЫ (21, 53, 67, 1030, 5555). Если файрвол запищит на каждую из попыток посылки пакетов, то испытание можно считать пройденным успешно. Это удалось сделать только ZoneAlarm'у. Kerio потерпел неудачу на 53 порту, а Outpost пропустил пакеты к 53 и 67 портам, но при отправке данных на 53 порт сообщил о неверном DNS-запросе (конечно, "Does it leak?" никак не тянет на DNS-запрос).

 

Следующим препятствием на пути файрволов к совершенству стали pcAudit и pcAudit2 (www.pcinternetpatrol.com). Обе  программы проверяют DLL injection, но вторая отличается от первой тем, что пытается попасть не только в explorer.exe, но и во все другие запущенные в данный момент приложения. И если кому-нибудь из них разрешен доступ в Сеть, то при inject-уязвимости загрузится страничка со списком файлов папки "Мои документы" и скрином экрана (эффектно, неправда ли?). Оба теста провалил Kerio, но Outpost как раз справился. Результаты очень странные: FireHole делал то же самое, а вышло совсем наоборот. Возможно, методы внедрения dll разные. Но будем считать, что Outpost исправился. Да, чуть не забыл: ZoneAlarm выдержал все нападения с честью.

 

Теперь проверим сетевые экраны на process injection. Для  этого воспользуемся Thermite (www.firewallleaktester.com/leaks/thermite.exe). Утилита внедряет свой код непосредственно в адресное пространство удаленного процесса, создавая отдельный поток. В случае удачного внедрения и несрабатывания файрвола, на жестком диске, в директории с термитом, появляется файл securityfocus.html. Kerio снова провалил тест. Остальные справились.