Компьютерная безопастность - реферат

МОУ ”Гуманитарно-Педагогический Лицей”

КОМПЬЮТЕРНАЯ БЕЗОПАСТНОСТЬ

Сделано учеником 11Б класса

Елизаровым Никитой.

2009

Содержание

1. Вступление.

2. История развития компьютерных технологий и вирусов.

3. Антивирусы.

· Описание.

Тестирование.

4 . Сканеры безопасности.

· Описание.

· Тестирование.

5. Фаерволы.

· Тестирование

6. О создателе.

7. Список литературы и источники.

Вступление

Что ж я хочу рассказать вам о компьютерной защите. Наверняка многие из вас слышали о вирусах, троянах, эксплоитах и тому подобному. И, разумеется, вы слышали и о защите против этих “программ”. Да вы не ослышались вирусы, трояны, эксплоиты и тому прочее это все программы. Разница, которая отделяет вирусы от других программ, например игр, ничтожно мала. Нормальные “программы” служат на нас, а все что описано выше против нас. Естественно наша жизнь была бы невыносима, если бы все это свободно кочевало из компьютера в компьютер. Поэтому и существуют программы-защитники.

В своей работе я начинаю с истории середины 50 годов 20 века и заканчиваю нашим временем. Именно на этот период выпадает начало развитие компьютерных технологий и компьютера в целом. Примерно в тоже время появляются первые труды по “вирусам”. На тот момент эти труды делались с благими целями на пользу человечества, часть этих трудов легла в основы по робототехнике, часть перешла на алгоритмы некоторых современных вычислительных программ, часть дала ход нанотехнологиям, увы, некоторые труды послужили основой создания вирусов и их дальнейшему развитию.

Перебирая материал и переписываясь с иностранными друзьями, я получал информацию, из которой и проследил путь развития компьютерных технологий и вирусов в частности. В вирусологии я подробно привожу историю развития и хронологию. Развитие вредоносных программ дало толчок для развития программ защиты, которые на данный момент каждый может назвать хотя бы несколько штук.

Моя работа исследовательская и исследование состоит в тестировании некоторых защитных программ на “вшивость”. Это как с консервами – вроде на вид все чинно и пристойно, но на поверку может попасться и гадость. В одиночку делать эту работу очень тяжело, поэтому я привлек людей со стороны для обеспечения тестирования должными знаниями и оборудованием. Собирая материал, я формировал его в виде веб - сайта, который в ближайшее время собираюсь выложить в интернет. Дизайн может быть не на высоте, но дизайнеров хороших найти не удалось.

История развития компьютерных технологий и вирусов.

Мнений по поводу рождения первого компьютерного вируса очень много. Нам доподлинно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были.

Несмотря на это, сама идея компьютерных вирусов появилась значительно раньше. Отправной точкой можно считать труды Джона фон Неймана по изучению самовоспроизводящихся математических автоматов. Эти труды стали известны в 1940-х годах. А в 1951 г. знаменитый ученый предложил метод, который демонстрировал возможность создания таких автоматов. Позднее, в 1959 г., журнал "Scientific American" опубликовал статью Л.С. Пенроуза, которая также была посвящена самовоспроизводящимся механическим структурам. В отличие от ранее известных работ, здесь была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Позднее, по следам этой статьи другой ученый - Ф.Ж. Шталь - реализовал модель на практике с помощью машинного кода на IBM 650.

Необходимо отметить, что с самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать мир, сделать его более приспособленным для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике и искусственному интеллекту. И в том, что последующие поколения злоупотребили плодами технического прогресса, нет вины этих замечательных ученых.

В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

На этом теоретические исследования ученых и безобидные упражнения инженеров ушли в тень, и совсем скоро мир узнал, что теория саморазмножающихся структур с не меньшим успехом может быть применена и в несколько иных целях.

Но что же толкнуло человека на создание вредоносных программ? И главное кто их создает? Ответ на этот, сложный на первый взгляд, вопрос лежит на поверхности.

Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространялась и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов.

Вторую группу создателей вирусов также составляют молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных веб-сайтов, ориентированных на обучение написанию компьютерных вирусов. На подобных веб-ресурсах можно найти подробные рекомендации по методам проникновения в систему, приемам скрытия от антивирусных программ, способам дальнейшего распространения вируса. Часто здесь же можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.

«Хулиганские» вирусы в последние годы становятся все менее и менее актуальными (несмотря на то, что, на смену повзрослевшим тинэйджерам-хулиганам каждый раз приходит новое поколение тинэйджеров) — за исключением тех случаев, когда такие вредоносные программы вызвали глобальные сетевые и почтовые эпидемии. На текущий момент доля подобных вирусов и троянских программ занимает не более 10% «материала», заносимого в антивирусные базы данных. Оставшиеся 90% гораздо более опасны, чем просто вирусы.

Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.

Отдельно стоит четвертая группа авторов вирусов — «исследователи», довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны». Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика — попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.

С появлением и популяризацией платных интернет-сервисов (почта, WWW, хостинг) компьютерный андеграунд начинает проявлять повышенный интерес к получению доступа в сеть за чужой счет, т. е. посредством кражи чьего-либо логина и пароля (или нескольких логинов/паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.

В начале 1997 года зафиксированы первые случаи создания и распространения троянских программ, ворующих пароли доступа к системе AOL. В 1998 году, с распространением интернет-услуг в Европе и России, аналогичные троянские программы появляются и для других интернет-сервисов. До сих пор троянцы, ворующие пароли к dial-up, пароли к AOL, коды доступа к другим сервисам, составляют заметную часть ежедневных «поступлений» в лаборатории антивирусных компаний всего мира.

Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты интернет-услуг. Характерен тот факт, что по мере удешевления интернет-сервисов уменьшается и удельное количество таких троянских программ.

«Мелкими воришками» также создаются троянские программы других типов: ворующие регистрационные данные и ключевые файлы различных программных продуктов (часто — сетевых игр), использующие ресурсы зараженных компьютеров в интересах своего «хозяина» и т. п.

Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно или неосознанно создают вредоносные программы с единственной целью: получить чужие деньги (рекламируя что-либо или просто воруя их), ресурсы зараженного компьютера (опять-таки, ради денег — для обслуживания спам-бизнеса или организации DoS-атак с целью дальнейшего шантажа).

Виды хакерской деятельности

Обслуживание рекламного и спам-бизнеса — один из основных видов деятельности таких хакеров. Для рассылки спама ими создаются специализированные троянские proxy-сервера, которые затем внедряются в десятки тысяч компьютеров. Затем такая сеть «зомби-машин» поступает на “черный” интернет-рынок, где приобретается спамерами. Для внедрения в операционную систему и дальнейшего обновления принудительной рекламы создаются утилиты, использующие откровенно хакерские методы: незаметную инсталляцию в систему, разнообразные маскировки (чтобы затруднить удаление рекламного софта), противодействие антивирусным программам.

Вторым видом деятельности подобных вирусописателей является создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных (а если повезет — то и с корпоративных) «электронных кошельков» или с обслуживаемых через интернет банковских счетов. Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину».

Третьим видом криминальной деятельности этой группы является интернет-рэкет, т. е. организация массированной DoS-атаки на один или несколько интернет-ресурсов с последующим требованием денежного вознаграждения за прекращение атаки. Обычно под удар попадают интернет-магазины, букмекерские конторы — т. е. компании, бизнес которых напрямую зависит от работоспособности веб-сайта компании.

Вирусы, созданные этой категорией «писателей», становятся причиной многочисленных вирусных эпидемий, инициированных для массового распространения и установки описанных выше троянских компонентов.

Системы навязывания электронной рекламы, различные «звонилки» на платные телефонные номера, утилиты, периодически предлагающие пользователю посетить те или иные платные веб-ресурсы, прочие типы нежелательного программного обеспечения — они также требуют технической поддержки со стороны программистов-хакеров. Данная поддержка требуется для реализации механизмов скрытного внедрения в систему, периодического обновления своих компонент и противодействия антивирусным программам.

Очевидно, что для решения данных задач в большинстве случаев также используется труд хакеров, поскольку перечисленные задачи практически совпадают с функционалом троянских программ различных типов.

По исследованиям, произведенным на сайтах антивирусных программ сейчас оных насчитывается более 20 тысяч и это с начала появления компьютера – всего лишь за 37 лет и каждый день появляется от 6 до 9 новых вирусов в день. Поэтому люди начали ограждать компьютеры от такой информации. Поэтому и появились антивирусы и фаерволы.

В 1969 году в США была создана первая глобальная компьютерная сеть, прародитель современной Интернет, ARPANET (Advanced Research Projects Agency Network). Она объединяла четыре ведущие научные центра США и служила для быстрого обмена научной информацией. Не удивительно, что уже в начале 1970-х в ARPANET появился первый вирус, умеющий распространяться по сети. Он назывался Creeper и был способен самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине. На зараженных компьютерах вирус обнаруживал себя сообщением "I'M THE CREEPER: CATCH ME IF YOU CAN". Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper . По сути, это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по компьютерной сети и в случае обнаружения на машине вируса Creeper, уничтожал его.

В 1984 году вышли в свет первые антивирусные программы - CHK4BOMB и BOMBSQAD. Их автором был Энди Хопкинс (Andy Hopkins). Программы анализировали загрузочные модули и позволяли перехватывать запись и форматирование, выполняемые через BIOS. На то время они были очень эффективны и быстро завоевали популярность.

Первую настоящую глобальную эпидемию вызвал в 1986 году вирус Brain . Он был написан двумя братьями-программистами Баситом Фарук и Амжадом Алви (Basit Farooq Alvi и Amjad Alvi) из Пакистана с целью определения уровня компьютерного пиратства у себя в стране: вирус заражал загрузочные сектора, менял метку диска на "(с) Brain" и оставлял сообщение с именами, адресом и телефоном авторов. Отличительная черта Brain - умение подставлять незараженный оригинал вместо реальных данных при попытке просмотра пользователем инфицированного загрузочного сектора (так называемая стелс-технология). В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал.

В этом же году произошло еще одно знаменательное событие. Немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem , был продемонстрирован на форуме компьютерного андеграунда - Chaos Computer Club (декабрь 1986 года, Гамбург, ФРГ). По результатами исследований Бюргер выпустил книгу "Computer Viruses. The Disease of High Technologies", послужившую толчком к написанию тысяч компьютерных вирусов, частично или полностью использовавших описанные автором идеи.

В следующем 1987 году был написан первый по-настоящему вредоносный вирус - Lehigh . Он вызвал эпидемию в Лехайском университете (США), где в то время работал Фрэд Коэн. Lehigh заражал только системные файлы COMMAND.COM и был запрограммирован на удаление всей информации на инфицированном диске. В течение нескольких дней было уничтожено содержимое сотен дискет из библиотеки университета и личных дискет студентов. Всего за время эпидемии было заражено около четырех тысяч компьютеров. Однако за пределы университета Lehigh не вышел.

Mike RoChenle - псевдоним автора первой известной вирусной мистификации . В октябре 1988 года он разослал на станции BBS большое количество сообщений о вирусе, который передается от модема к модему со скоростью 2400 бит/с. В качестве панацеи предлагалось перейти на использование модемов со скоростью 1200 бит/с. Как это ни смешно, многие пользователи действительно последовали этому совету.

В ноябре 1988 года случилась глобальная эпидемия червя Морриса . Небольшая программа, написанная 23-летним студентом Корнельского университета (США) Робертом Моррисом, использовала ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun Microsystems. С целью незаметного проникновения в вычислительные системы, связанные с сетью ARPANET, использовался подбор паролей (из списка, содержащего 481 вариант). Это позволяло маскироваться под задачу легальных пользователей системы. Однако из-за ошибок в коде безвредная по замыслу программа неограниченно рассылала свои копии по другим компьютерам сети, запускала их на выполнение и таким образом забирала под себя все сетевые ресурсы. Червь Морриса заразил по разным оценкам от 6000 до 9000 компьютеров в США (включая Исследовательский центр NASA) и практически парализовал их работу на срок до пяти суток. Общие убытки были оценены в минимум 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов. Ущерб был бы гораздо больше, если бы червь изначально создавался с разрушительными целями. Роберт Моррис также стал первым человеком, осужденным за написание и распространение компьютерных вирусов - 4 мая 1990 года состоялся суд, который приговорил его к 3 годам условно, 400 часам общественных работ и штрафу в 10 тысяч долларов США.

Примечательно, что в том же году, когда случилась эпидемия червя Морриса, известный программист Питер Нортон (Peter Norton) высказался резко против существования вирусов. Он официально объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Это показывает сколь низка была культура антивирусной безопасности в то время.

Тогда же, в 1988, вышла первая широко известная антивирусная программа английским программистом Аланом Соломоном (Alan Solomon) и называлась Dr. Solomon's Anti-Virus Toolkit . Она завоевала огромную популярность и просуществовала вплоть до 1998 года, когда компания Dr. Solomon была поглощена другим производителем антивирусов - американской Network Associates (NAI).

В декабре 1989 года разразилась первая эпидемия троянской программы - Aids Information Diskette. Ее автор разослал около 20000 дискет с вирусом по почтовым адресам в Европе, Африке и Австралии, похищенным из баз данных Организации всемирного здравоохранения и журнала PC Business World. После запуска вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы все файлы на диске становились недоступными, кроме одного - с сообщением, предлагавшим прислать $189 на указанный адрес. Автор троянца, Джозеф Попп, признанный позднее невменяемым, был задержан в момент обналичивания чека и осужден за вымогательство. Фактически, Aids Information Diskette - это первый и единственный вирус, для массовой рассылки, использовавший настоящую почту.

В том же году был обнаружен вирус Cascade, вызывающий характерный видеоэффект - осыпание букв на экране. Примечателен тем, что послужил толчком для профессиональной переориентации Евгения Касперского на создание программ-антивирусов, будучи обнаруженным, на его рабочем компьютере. Уже через месяц второй инцидент (вирус Vacsina) был закрыт при помощи первой версии антивируса -V, который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro.

Вскоре после этого, в конце 1990, несмотря на громкое заявление Питера Нортона, прозвучавшее двумя годами ранее и где он авторитетно заявлял о надуманности проблемы вирусов, вышла первая версия антивирусной программы Norton AntiVirus.

Первый общедоступный конструктор вирусов VCL (Virus Creation Laboratory), представляющий собой графическую среду для разработки вирусов для операционной системы MS DOS, появился в июле 1992 года. Начиная с этого момента, любой человек мог легко сформировать и написать вирус. Этот год также положил начало эпохи вирусов для Windows - был создан первый вирус, поражающий исполняемые файлы Microsoft Windows 3.1. Однако поскольку Win.Vir эпидемии не вызвал, его появление осталось практически незаметным.

OneHalf , очень сложный вирус, обнаруженный в июне 1994 года, вызвал глобальную эпидемию во всем мире, в том числе в России. Он заражал загрузочные сектора дисков и COM/EXE-файлы, увеличивая их размер на 3544, 3577 или 3518 байта, в зависимости от модификации. При каждой перезагрузке зараженного компьютера зашифровывались два последних незашифрованных ранее цилиндра жесткого диска. Это продолжалось до тех пор, пока весь винчестер не оказывался зашифрованным. Встроенная стелс-процедура позволяла вирусу при запросе зашифрованной информации производить расшифровку на лету - следовательно, пользователь долгое время пребывал в неведении. Единственным визуальным проявлением вируса было сообщение "Dis is one half. Press any key to continue...", выводившееся в момент достижения количеством зашифрованных цилиндров диска половины от их общего числа. Однако при первой же попытке лечения, после вылечивания загрузочных секторов диска, вся информация на винчестере становилась недоступной, без возможности восстановления. Популярности этого вируса в России поспособствовала компания Доктор Веб, которая выпустила новую версию своего антивируса, анонсировав его как средство от OneHalf. Однако на практике после лечения загрузочных секторов от этого вируса, Dr.Web забывал расшифровать информацию на диске и восстановить ее было уже невозможно.

Следующий год запомнился инцидентом в корпорации Microsoft. В феврале 1995 года, в преддверии выпуска новой операционной системы Windows 95, была разослана демонстрационная дискета, зараженная загрузочным вирусом Form. Копии этого диска получили 160 бета-тестеров, один из которых не поленился провести антивирусную проверку. Вслед за Microsoft отличились журналы PC Magazine и Computer Life, которые разослали своим подписчикам дискеты, зараженные загрузочными вирусами Sampo и Parity_Boot соответственно.

В августе 1995 появился Concept - первый вирус, поражавший документы Microsoft Word.

До февраля 1997 года считалось, что операционная систем Linux неуязвима перед вирусами, пока не появился Linux.Bliss . В марте того же года были зафиксированы первые случаи использования возможностей электронной почты - ShareFun , по совместительству первый макро-вирус для MS Word 6/7, распространялся с помощью почтовой программы MS Mail.

Первая утилита удаленного администрирования - BackOrifice, Backdoor.BO - была обнаружена в августе 1998 года. Единственное ее отличие от обычных программ для удаленного управления - это несанкционированная установка и запуск. Действие утилиты сводилось к скрытому слежению за системой: ссылка на BackOrifice отсутствовала в списке активных приложений, но при этом зараженный компьютер был открыт для удаленного доступа. Фактически, на зараженные компьютеры предоставлялся свободный вход для других вредоносных программ. Впоследствии возник целый класс вирусов - червей, размножение которых базировалось на оставленных BackOrifice дырах.

Август 2000 года ознаменовался завоеванием вирусами мобильных устройств - вирус Liberty заражал карманные компьютеры Palm Pilot с операционной системой PalmOS.

Таким образом, как мы видим, вирусы размножаются не по дням, а по часам захватывая все новые территории - сначала это были загрузочные сектора, потом оперативная память, жесткий диск и сменные носители, а теперь активно захватывается территория мобильных платформ. Но также создаются и антивирусы и фаерволы (по закону физики – на действие всегда найдется противодействие).

Антивирусы

На данный момент защит очень много, но все ли они хороши? Многие пользуются Антивирусом Касперского, считая его залогом безопасности, некоторые пользуются Антивирусом “Panda”, а кто-то предпочитает “Доктор Web”. Мнений много, как и рекомендаций на то, что все эти антивирусы тоже хороши само собой хорошо, но ничто не спасет от вируса написанного ПРОФЕССИОНАЛОМ и только вчера выпущенного в интернет. С таким вирусом будут мучаться неделю или больше - меньше, в зависимости от профессионализма вирусописателя. Вторую часть защиты составляет фаервол или как его зовут по научному – брендмаузер. Брендмаузеров немного, но все они хороши в бою за свой компьютер. Но не думайте, что если брендмаузер хорош, то его не возможно обойти. Брендмаузер такая же программа и написала людьми, а им свойственно ошибаться. Хороши фаерволы OutpustFirewallPro и наш незабвенный Брендмаузер Касперского но они программые а значит их код все таки можно как ни будь но изменить (теоретически это возможно и многие доказали это на практике). Гораздо лучшую защиту представляют аппаратные фаерволы, но есть но. Весомое но. Такие фаерволы вшиваются в дорогие высокоскоростные модемы, так что если вы сидите на Dial-up’е то не надейтесь что там, в модемной коробке окажется фаервол и спасет вас в случае чего, нет. Однако в противовес цене такие фаерволы отличаются незавидной стойкостью и очень мало кому под силу взломать такую защиту (если вас заказали, то никакая защита не спасет – вас все равно взломают, а остальное лишь вопрос времени), но как я сказал программы, пишут люди, отсюда вывод додумайте сами.

Запомните, нет такой защиты, которая давала бы 100% защиту, а если такие появятся, говорите их авторам в глаза что они лжецы. Существуют и вообще малоизвестные, но чрезвычайно полезные программы по проверке защиты как Xspider на данный момент вышла v.7,5. Список программ я предоставлю в конце а также их инсталляторы можно будет найти в архиве. Xspider сканер портов на уязвимости используемые из библиотек. Он просканирует ваш компьютер и составит список уязвимостей, но самое главное предоставит советы как их исправлять. Минус данной программы то, что в демо-версии:

1. Отсутствует система ежедневного онлайнового обновления

2. Отсутствуют потенциально опасные проверки на DoS-уязвимости

3. Проверки содержимого Веб серверов на предмет SQL инъекций, инъекций кода, получения файлов и т.д. не содержат детали

4. Отсутствует целый ряд проверок, использующих оригинальные эвристические механизмы

5. Отсутствуют проверки, связанные с использованием различных словарей

6. Планировщик заданий имеет полноценный интерфейс, но не сохраняет созданные расписания

7. Генерируемые отчеты содержат только резюме по реальному сканированию, в теле отчета — стандартный демонстрационный фрагмент

8. История сканирований доступна только для общего просмотра, старые результаты нельзя использовать для последующей работы.

А интерфейс Xspider 7.5 выглядит очень приятно!

В меню “Файл ” находятся

Создать (в смысле новую задачу – открывается еще одно окно).
Открыть (сохраненную ранее задачу).
Сохранить.
Сохранить как…

В меню “Правка ” находятся

Добавить хост (вводим IP-адрес проверяемого компьютера).
Удалить хост (удалить введенный IP-адрес).
Добавить диапазон (если компьютер находится в сети то можно ввести диапазон адресов, причем первые три нижних окошка копируют данные из трех верхних окошек, а четвертое окно остается белым, вот там и вводим диапазон(0-255)).
Мастер добавления хостов (Мы можем задавать параллельное сканирование разных IP-адресов)

В меню ”Вид ” находятся

Сканирование
Уязвимости
История сканирования

В меню ”Профиль ” находятся

Редактировать
Выбрать
Новый
Удалить

Остальное все стандартно. В меню ”Сервис” находятся настройки отчетов и настройки программы. В настройках находятся 3 вкладки: “Обновление”, “Протокол обновлений” и “Общие”, он, так как у меня стоит демо-версия то, думаю, что, и настройки тоже урезаны.

Теперь перейдем к проверке компьютера на предмет так называемых “дыр”.

Запустить проверку проще простого, для этого надо в меню “Правка ” выбрать меню “Добавить хост” Потом вводим IP-адрес проверяемого компьютера. Можно также проверять сайты для этого вместо IP-адреса можно вводить адрес самого сайта без http://www. Наверное возникнет вопрос: ”А как же узнать IP-адрес?”Для этого в меню пуск - стандартные открываем программукомандная строка (WindowsXP) и дальше открывается окно и там вводим команду ipconfig . Появится несколько строчек, та, которая начинается “ IP адрес” и нужная нам строка там и значится наш ip-адрес. Переписываем или запоминаем этот адрес и вводим в поле “Введите ip-адрес или доменное имя” потом в меню ”Сканирование” – старт. Процесс сканирования может занимать значительное время в зависимости от загруженности сайта и скорости канала. У меня проверка в первый раз выдала огрехи настройки системы а некоторые порты оказалисьзаблокированными. Если у вас так же то не пугайтесь – часть обязанностей по охране берет антивирус, он же и блокирует порты – так безопастней.

А цена лицензионной версии составляет примерно …. в общем, она очень большая и переваливает за 10 тысяч рублей. Также есть другие сканеры портов, но они для профессионалов и вам пока недоступны (Пример:Nmap).

Также надо соблюдать некоторые правила, невыполнение которых сведет на нет все ваши усилия по обеспечению безопасности

1. Не шастайте где попало, так как нарваться на любую дрянь, заложенную в код страницы очень просто.

2. По возможности не отключайте фаервол без необходимости.

3. Если скачиваете незнакомые файлы, то рекомендую качать их в карантинную зону вашего антивируса и после проверки выпускать на волю.

Интерфейс Антивируса Касперского v.6.0.2.614 тоже очень приятен. Вообще интерфейс – залог успеха программы, ведь никто не хочет сидеть в командной строке с толстенной книжкой команд и тщательно их выписывать – кому угодно осточертеет. Люди тогда поищут программу с интерфейсом покрасивее пусть у нее даже будет поменьше функций!

Самые главные изменения со времен v.5.3 это конечно интерфейс. Очень сильно поменялась механика чисел (появились такие функции как мини фаервол, и поменялся каталог баз данных по вирусам, а также методики их поиска).

В боковом меню находятся 3 основных категории.

1) Защита.

а) Файловый антивирус. (Соответственно проверяет файлы на наличие вирусов.)

б) Почтовый антивирус. (Проверяет на вирусы все входящие и исходящие сообщения электронной почты.)

в) Веб – антивирус. (Препятствует проникновению вирусов на компьютер через протокол HTTP.)

г) Проактивная защита. (Позволяет противостоять неизвестным вирусам, а также контролировать запуск выбранных программ и допуск к системному реестру.)

2) Поиск вирусов.

а) Критические области. (Проверяет оперативную память, загрузочные сектора на наличие вирусных или троянских модулей.)

б) Мой компьютер. (Жесткие диски + оперативную память + загрузочные сектора.)

в) Объекты автозапуска. (оперативную память + загрузочные сектора + объекты автозагрузки)

3) Сервис.

а) Обновление.

б) Файлы данных. (Здесь хранятся отчеты о работе приложений, файлы на карантине а также копии зараженных файлов)

в) Аварийный диск. (Создание Аварийного диска позволяющего восстановить систему после вирусной атаки когда невозможно провести начальную загрузку.!! Для этого требуется программа PEBuilderv.3.1.3 или выше а также установочный диск вашей операционной системы и конечно пишущий привод.)

г) Поддержка. (Поддержка по техническим вопросам или прочим вопросам с консультантами тех поддержки Касперского.)

Итак, начнем наше исследование с описания возможностей антивирусных программ.

При поражении объектов вирус, использующий шифрование, преобразует свой код в шифрованную последовательность данных

S = F (T), где

T – базовый код вируса;

S – зашифрованные коды вируса;

F – функция шифрования вируса, произвольно выбирающаяся из некоторого множества преобразований {F}.

Для детектирования и лечения полиморфных вирусов используется способ редуцированной маски. Его суть: выбирается преобразование R зашифрованных кодов вируса S, такое, что результат преобразования (то есть некоторая последовательность данных S') не будет зависеть от ключей преобразования F. То есть вот так:

S = F (T)

S' = R (S) = R ( F (T) ) = R' (T).

При применении преобразования R к всевозможным вариантам шифрованного кода S результат S' будет постоянным при постоянном T. В итоге получаем, что идентификация пораженных объектов проходит так: в качестве редуцированной маски выбирают S' и к пораженным объектам преобразования применяют R.

Первое, что бросается в глаза (и что известно далеко не всем), – огромное количество операционных систем, поддерживаемых большинством антивирусов, а также интеграция осей с различными приложениями. Обидно только, что компания Symantec совсем не уделяет внимания *nix-системам.

Самым быстрым в плане сканирования файлов оказался Dr.Web, за ним - Symantec Antivirus. Неплохие результаты показали Антивирус Касперского и Nod32 Antivirus. Зато у Dr.Web и Symantec отсутствует детектирование SpyWare, шпионского программного обеспечения, которое собирает информацию о компьютере и пользователе.

По частоте обновлений лидером является Антивирус Касперского. Ежечасно! Это вполне объяснимо: "Лаборатория Касперского" позиционирует себя как разработчика с самым высоким рейтингом детектирования вредоносных программ и мгновенной реакцией на возникновение вирусных эпидемий. А вот компании Symantec и McAfee, видимо, не считают нужным торопиться при вспышке новых вирусов. Позор, господа, стыдитесь!

Поскольку представленные антивирусы являются корпоративными, все они имеют средства удаленного администрирования и управления. Одна из новомодных функций - возможность обнаружения вирусов в архивах. Такая способность имеется у всех представленных антивирусов, но удалять и лечить зараженные объекты способны далеко не все. С этой задачей справляются только Антивирус Касперского и McAfee Antivirus. Последний, правда, способен чистить исключительно архивы типа zip с одноуровневой глубиной вложения.

Описав возможности антивирусов, окинем взором их недостатки!

Dr.Web

- Иногда Dr.Web ничего не находит на зараженном компьютере .

- Частая блокировка ключей (конечно, это не касается лицензионных пользователей, а пиратам так и надо).

- При обновлении часто возникает сообщение "Ошибка получения файла версий", которая уже никого не удивляет.

- При использовании Apache некоторые скрипты перестают корректно выполнять свою работу. Такое бывает при использовании Spider Guard от Dr.Web.

McAfee

- При установке McAfee Office наблюдается нестабильная работа, видимо, из-за множественности одновременно запускаемых программ (по умолчанию пять). Сократив их количество, можно добиться более-менее стабильной работы.

- Сбои при запуске модуля отчетов Discover Pro.

- Компонент McAfee VirusScan's WebScanX подключается в explorer.exe. Когда Explorer используется для просмотра каталогов и основной каталог пользователя расположен на сетевом ресурсе, WebScanX вызывает несколько .dll-файлов в основном каталоге пользователя. Нападающий может внедрить произвольный код в эти dll, который будет выполнен на системе пользователя с системными привилегиями.

- При сканировании сформированных особым образом архивов в формате LHA в движке антивируса возникает ошибка переполнения буфера, после чего нападающий получает возможность выполнить на машине вредоносный код.

Eset

- Eset NOD32 не всегда может определить точное название вируса, номер его версии и т.д.

- В антивирусе Eset's NOD32 для UNIX-систем существует ошибка, приводящая к переполнению буфера. Локальный пользователь может получить root-привилегии.

- Существуют редкие ложные срабатывания. Но и одного такого случая достаточно, если в результате вместо вируса удален нужный файл.

Symantec

- Редкие обновления большого размера (обычно не менее 4 Мб).

- При попытке просканировать на наличие вирусов с локальной машины антивирус выдает ошибку 0х2. Однако при сканировании этого же компьютера через Symantec System Center Console все идет нормально.

- Существует уязвимость в обработке UPX сжатых файлов. Уязвимость вызвана ошибкой в модуле антивируса DEC2EXE.

- Symantec обнаруживает многие вирусы, но нормально убить их, не то что лечить, ему вряд ли удастся.

- Медленнее всех выполняет полное сканирование жесткого диска.

Антивирус Касперского

- Не самый быстрый антивирус, но, видимо, за качество приходится платить.

- Существовала бага с обработкой zip-архивов. Суть в том, что для каждого находящегося в архиве объекта zip хранит две копии заголовка (local/central directory), содержащего, среди прочего, реальный размер распакованного файла. Если злоумышленник в обоих заголовках укажет значение размера равным нулю, то антивирусный сканер ошибочно посчитает объект слишком маленьким для проверки и пропустит его (пофиксено после огласки, следует добавить ради справедливости).

- Неудачная четвертая версия, ее продукты отличаются непродуманным и совершенно недружелюбным для пользователя интерфейсом.

- Антивирус Касперского все-таки удаляет многие вирусы, даже не пытаясь лечить их.

Trend Micro

- По умолчанию к папке установки Trend Micro Office Scan и соответствующему разделу реестра дается полный доступ группе Everyone.

- Выпуск "сырых" (непроверенных) обновлений, приводящих к нарушению работы системы, проблемам доступа к сетевым ресурсам и др.

- Некорректная обработка сформированных особым образом архивов в формате ARJ. Для реализации нападения злоумышленнику необходимо вставить в локальный заголовок архива чрезмерно длинное имя файла. Если атака пройдет успешно, будет выполнен произвольный вредоносный код на удаленном компьютере.

- Когда Trend Micro PC-cillin Internet Security выдает предупреждения пользователю, она создает HMTL-файл в каталоге временных файлов на целевой системе и затем загружает файл через Microsoft Internet Explorer. Удаленный пользователь может создать специально сформированный zip-архив и HTML, который заставит браузер целевого пользователя загрузить zip-файл. Затем, когда программное обеспечение Trend Micro сгенерирует предупреждение для zip-файла (что он содержит некоторый злонамеренный код), будет выполнен произвольный код сценария, содержащийся в zip-файле.

- Слабая техническая поддержка, российская версия портала Trend Micro на английском языке.

Высокие технологии

На какие только ухищрения не идут злоумышленники при написании своих детищ, но антивирусные разработчики тоже не сидят на месте и используют различные методы детектирования. Вот основные:

1. Использование сигнатур и контрольных сумм . Это самый распространенный метод, основанный на сравнении имеющихся сигнатур с сигнатурами сканируемых файлов.

2. Эвристический анализатор . Эвристика (греч. heurisko - отыскиваю, открываю) – это наука, изучающая продуктивное творческое мышление и использующая специальные методы с целью открытия нового. С помощью эвристики можно распознать вирусную программу по типу выполняемых действий. Иногда эвристический анализатор позволяет детектировать целое семейство одного вируса по заданному алгоритму.

Современные эвристические анализаторы позволяют обнаруживать вредоносные коды в исполняемых файлах, секторах и памяти, а также новые скрипт-вирусы и вредоносные программы для Microsoft Office (и других программ, использующих VBA) и, наконец, вредоносный код, написанный на языках высокого уровня, таких как Microsoft Visual Basic. Гибкая архитектура и комбинация различных методов позволяет добиться достаточно высокого уровня детектирования новых вредоносных программ. Высокая эффективность эвристического анализатора наблюдается при детектировании эксплойтов.

3. Эмуляция. При данном подходе создается виртуальная среда, в рамках которой эмулируется поведение подозреваемой программы. Позволяет распознавать полиморфные вирусы.

Кроме того, многие компании имеют свои уникальные технологии, содействующие эффективному использованию антивируса. Так в антивирусном "движке" Антивируса Касперского реализован ряд технологий, которые значительно ускоряют проверку объектов и при этом гарантируют сохранение высокого качества детектирования, а также улучшают детектирование и лечение вредоносного программного обеспечения в архивных файлах.

Технология iChecker позволяет добиться разумного баланса между надежностью защиты рабочих станций (особенно серверов) и использованием системных ресурсов защищаемого компьютера. Благодаря этой технологии значительно сокращается время загрузки (до 30-40%) операционной системы (по сравнению с традиционными антивирусными решениями) и время запуска приложений при активной антивирусной защите. При этом гарантируется, что все файлы на дисках компьютера были проверены и не инфицированы. Основная идея данной технологии – не проверять то, что не изменялось и уже было проверено. Антивирусный "движок" ведет специальную базу данных, в которой хранятся контрольные суммы всех проверенных (и неинфицированных) файлов. Теперь, прежде чем отдать файл на проверку, "движок" подсчитывает и сравнивает контрольную сумму файла с данными, хранящимися в базе данных. Если данные совпадают, значит, файл был проверен и повторная проверка не требуется. Стоит заметить, что время, затрачиваемое на подсчет контрольных сумм файла, значительно меньше, чем время антивирусной проверки.

iStreams – это технология, близкая по смыслу iChecker, которая позволяет исключить проверку файлов, расположенных на диске с файловой системой NTFS, не измененных со времени последней проверки. Для ее реализации используется технология хранения контрольных сумм файлов в дополнительных потоках NTFS.

iCure – технология лечения инфицированных файлов в архивах. Благодаря этой технологии инфицированные объекты внутри архивных файлов будут успешно вылечены (или удалены, в зависимости от настроек антивируса) без помощи внешних утилит архивации. На сегодняшний день поддерживаются следующие типы архивов: ARJ, CAB, RAR, ZIP. Благодаря модульной архитектуре и технологии горячего обновления KeepUp2Date пользователь сможет легко обновлять и расширять список поддерживаемых типов архиваторов без перезагрузки антивируса.

iArc – еще одна технология работы с архивными файлами. Эта технология улучшает поддержку многотомных архивов, которая была реализована в предыдущих версиях антивирусного "движка" Антивируса Касперского. iArc позволяет проверять многотомные архивы. Теперь Kaspersky Anti-Virus в состоянии обнаружить вирус даже если он будет упакован в многотомный архив, который, в свою очередь, также будет упакован в многотомный архив.

Детектирование вирусов.

McAfree- 96%

AVK - 93%

Symantec- 85%

Trend Micro- 79%

Eset- 74%

Судя по результатам, Касперский, как и обещал, детектирует больше всего вредоносного программного обеспечения и лидирует в этом туре, по некоторым позициям, однако, уступая антивирусу McAfee. За передовиками следует Symantec. Ну а в числе отстающих оказались Trend Micro и Eset.

Как показывают результаты тестов, полностью со своей задачей справились только два антивируса: отечественный продукт Антивирус Касперского и Eset Nod32. Trend Micro занимает первое место с обратного конца. Антивирус Trend Micro вообще в последнее время показывает себя на мировой арене не с лучшей стороны. Сразу вспоминается неприятная история, произошедшая в Японии. Дело в том, что антивирусы Trend Micro стоят на защите в японской железнодорожной компании East Japan Railway Co. 24 апреля 2007 года газета Japan Times сообщила, что компания Trend Micro выпустила обновление, в котором содержался файл с грубой ошибкой. В результате на многих компьютерах железнодорожной компании, а также в некоторых других пострадавших организациях, довольно продолжительное время происходили сбои в работе системы, а сетевые ресурсы вообще были недоступны. Конечно, позже ошибка была исправлена, но все-таки это не образец для работы одного из лидеров антивирусной индустрии.

Сканеры безопастности.

Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей. Основными пользователями таких систем являются профессионалы: администраторы, специалисты по безопасности и т.д. Простые пользователи тоже могут использовать сканеры безопасности, но информация, выдаваемая такими программами, как правило специфична, что ограничивает возможности ее использования неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.

Что в итоге?

ISS Internet Scanner в описании не нуждается. Он показал себя как всегда на высоком уровне, правда на этот раз уступив пальму первенства XSpider-у.

XSpider оказался бесспорным лидером, сильно оторвавшись от конкурентов особенно при поиске уязвимостей в Windows и Solaris, что особенно приятно при его небольшом размере и бесплатном распространении. Есть большой минус: очень мало выводится информации при выдаче списка уязвимостей, что предполагает высокий уровень знаний и профессионализма у специалиста использующего эту программу.

LanGuard с натяжкой можно назвать сканером безопасности. Он очень хорошо работает с NetBios, выдавая список ресурсов, сервисов и пользователей. Эта способность сильно отличает сканер от остальных, но вот именно только эта. На этом преимущества LanGuard заканчиваются.

ShadowSecurityScanner практически не отстал от ISS. И это при столь большой разнице в их цене. У программы простой интерфейс похожий на интерфейс сканера Retina. Подробные советы и рекомендации по устранению уязвимостей легко позволяют справиться с проблемами. Минусы: небольшое количество распознаваемых уязвимостей, гораздо большее потребление системных ресурсов при работе по сравнении с другими сканерами.

Фаерволы(Брендмаузеры)

В этом пункте мы будем пытаться пробить защиту представленных фаерволов, так как их основной функцией и является защита начинки компьютера от стороннего проникновения.

Сегодня на суд общественности предстанут три продукта security-индустрии: ZoneAlarm Internet Security Suite 5.5.094, Kerio Personal Firewall 4.1.1 и OutPost Firewall Pro 4.0. Все они являются персональными файрволами и представляют собой целый набор разнообразных средств. Обязательными в них являются функции защиты компьютера от внешних и внутренних угроз, и сейчас мы узнаем, насколько качественно они реализованы.

Тест будет состоять из двух основных этапов: первый – это тест на устойчивость "изнутри", то есть на способность продукта контролировать активность приложений на локальном компьютере, а второй – на устойчивость "снаружи". На мой взгляд, первая часть гораздо важнее, так как вторая в большей степени зависит от грамотного конфигурирования межсетевого экрана. Но проверка есть проверка, и ее нужно проводить добросовестно. Итак, приступим к экзамену.

А что внутри?

Чуть ли не главная задача персональных файрволов – это контроль сетевой активности приложений. Благодаря этой функции тучи троянцев и другой гадости не представляют для пользователей брандмауэров никакой опасности. Но темная сторона силы не дремлет :), и ее адепты придумывать разные хитрые приемы, чтобы получить доступ к интернету. Началась настоящая война.

Чтобы узнать, насколько файрвол готов к ней, мы воспользуемся несколькими утилитами, имитирующими работу всяческих вредоносных программ при помощи различных технологий. Настройки сетевых экранов, связанные с "исходящей" защитой, были выставлены на максимум, дабы описать полную картину их возможностей. Также по умолчанию браузеру было разрешено обращаться в интернет, то есть при его первой попытке выхода в Сеть мы запоминали выбор (или создавали правило, кому как больше нравится).

Первым испытанием стала программка по название Leak Test (http://grc.com/lt/leaktest.htm). Это простой тест на подстановку. Для проверки нужно просто переименовать эту программу в приложение, которому доверяет стена. Если ей удастся установить соединение, то файрвол и не делает никаких проверок подлинности. Другими словами, троянец может запросто прикинуться браузером, просто назвав себя его именем. Все трое испытуемых удачно справились с этим коварным обманщиком и распознали измену.

Следующим шагом была утилита TooLeaky (http://tooleaky.zensoft.com), которая относится к типу launcher. Программа запускает IE следующей командной строкой: iexplore.exe http://grc.com/lt/leaktest.htm?PersonalInfoGoesHere. Окно IE скрыто, и пользователь его не видит. Если TooLeaky удалось удачно загрузить бродилку и ей разрешен доступ к 80-му порту (что почти всегда и бывает), то на сервер GRC.com посылается специальное сообщение. Если бы это был троянец, то он явно воспользовался бы этим по-другому. Задача файрвола в этом тесте - не допустить запуска IE. И это испытание прошли все: сразу же засветилось окошко, гласящее, что TooLeaky пытается запустить Internet Explorer.

Теперь усложним задание. Для этого нам понадобится утилита FireHole (http://keir.net/firehole.html). Она бьет сразу по двум местам в безопасности – это и лаунчер, и dll-инжектор. Утилита тоже использует стандартный браузер, но внедряет в него свою dll, а уже после этого пытается установить связь с сервером. Если файрвол начинает выкидывать тревожные окошки, все в порядке. В противном случае в окне программы появится надпись, говорящая, что сообщение отправлено в Сеть и файрвол не справился с поставленной задачей. Устойчивость к лаунчу мы уже проверяли, поэтому тестирование проводилось с уже работающей Opera. Эту проверку прошли все… кроме одного. Кроме Outpost - странно. Но ничего: у него еще будет шанс исправиться.

Дальше мы продолжим мучить наши бедные брандмауэры программой под названием YALTA или Yet Another LeakTest Application (www.soft4ever.com/security_test/En/index.htm), которая имеет два типа тестов: классический и продвинутый. Классический ориентирован на проверку правил доступа к портам по умолчанию, а продвинутый использует специальный драйвер, чтобы посылать пакеты прямо на сетевой интерфейс. Удалось опробовать только первый тест, так как второй работает только под 9x. Для проверки были выбраны порты, рекомендованные разработчиками ЯЛТЫ (21, 53, 67, 1030, 5555). Если файрвол запищит на каждую из попыток посылки пакетов, то испытание можно считать пройденным успешно. Это удалось сделать только ZoneAlarm'у. Kerio потерпел неудачу на 53 порту, а Outpost пропустил пакеты к 53 и 67 портам, но при отправке данных на 53 порт сообщил о неверном DNS-запросе (конечно, "Does it leak?" никак не тянет на DNS-запрос).

Следующим препятствием на пути файрволов к совершенству стали pcAudit и pcAudit2 (www.pcinternetpatrol.com). Обе программы проверяют DLL injection, но вторая отличается от первой тем, что пытается попасть не только в explorer.exe, но и во все другие запущенные в данный момент приложения. И если кому-нибудь из них разрешен доступ в Сеть, то при inject-уязвимости загрузится страничка со списком файлов папки "Мои документы" и скрином экрана (эффектно, неправда ли?). Оба теста провалил Kerio, но Outpost как раз справился. Результаты очень странные: FireHole делал то же самое, а вышло совсем наоборот. Возможно, методы внедрения dll разные. Но будем считать, что Outpost исправился. Да, чуть не забыл: ZoneAlarm выдержал все нападения с честью.

Теперь проверим сетевые экраны на process injection. Для этого воспользуемся Thermite (www.firewallleaktester.com/leaks/thermite.exe). Утилита внедряет свой код непосредственно в адресное пространство удаленного процесса, создавая отдельный поток. В случае удачного внедрения и несрабатывания файрвола, на жестком диске, в директории с термитом, появляется файл securityfocus.html. Kerio снова провалил тест. Остальные справились.

Copycat (http://mc.webm.ru) делает то же самое, что и Thermite, но не создает поток для своего кода. Испытание пройдено успешно всеми.

Далее в нашем арсенале появляется Wallbreaker (www.firewallleaktester.com). Утилита проводит четыре теста. Первый использует explorer.exe для вызова IE. Таким образом, получается, что браузер запустила не "вредоносная" программа, а проводник, и в случае доверия к нему со стороны файрвола информация с компьютера просочится в Сеть. Второе испытание по-хитрому запускает IE. Как сказал разработчик, "Это достаточно известная шутка, но многие firewalls на ней прокалываются". Третий тест – это модификация первого, но для вызова IE он использует следующую цепочку: Wallbreaker.exe-> cmd.exe-> explorer.exe-> iexplore.exe. Четвертый - расширение третьего теста. Wallbreaker, установивший запланированную задачу, использует AT.exe, который в свою очередь выполнит задачу через svchost. Цепочка такова: Wallbreaker.exe-> AT.exe-> svchost.exe-> cmd.exe-> explorer.exe-> iexplore.exe. Для добавления задания создается bat-файл с произвольным именем. Чтобы тест полноценно сработал, нужно чтобы планировщик задач Windows был запущен. Правда, ничто не мешает сделать это какой-нибудь вредоносной программе самой. Четвертое испытание провалили все, а Outpost ухитрился осрамиться на втором.

Теперь мы попробуем провернуть фокус с саморестартингом. В этом нам поможет Ghost (www.firewallleaktester.com). Когда мы запускаем какое-нибудь приложение, для которого не установлены правила доступа в Сеть, файрвол при помощи WinAPI-функций получает PID и имя процесса, приостанавливает его и предлагает пользователю выбрать его дальнейшую судьбу. Ghost же, как только передает сведения о себе, сразу "убивает" себя и тут же снова стартует. Затем он запускает IE и передает на сервер указанную в начале теста строку. Если файрвол не следит за дочерними процессами или просто не успевает сработать вовремя, мы будем лицезреть страничку с наполовину затертыми IP-адресами таких же счастливых обладателей сетевых экранов. Это серьезное испытание прошли все: и ZoneAlarm, и Outpost, и Kerio Personal Firewall.

Следующая программа называется DNS tester (www.klake.org/~jt/dnshell). В операционных системах w2k/WinXP имеется сервис DNS-клиента, который выполняет все DNS-запросы. Само собой, файрвол должен доверять этой службе (svchost.exe) по умолчанию, иначе для серфинга нам пришлось бы запоминать не имена сайтов типа www.xakep.ru, а их IP-адреса. DNS tester использует эту службу, чтобы передать данные на сервер (вовсе не DNS). Троянцы вполне могут послать пароли и еще что-нибудь своему хозяину. Как ни проста и ни опасна такая идея, сопротивляться программе, реализующей ее, смог только ZoneAlarm.

Последней внутренней проверкой стал Surfer (www.firewallleaktester.com/leaks/surfer.exe). Утилита создает скрытый десктоп, затем запускает в нем IE, не передавая ему никакого url'а. После этого стартует новая копия IE, а первая уничтожается. Протокол url передается через DDE новой копии браузера. Все эти хитрые манипуляции были сделаны потому, что многие файволы контролируют прямой вызов ShellExecute или CreateProcess. Как оказалось, не зря мучились авторы утилиты: Outpost завалил финальный экзамен, а Kerio и ZoneAlarm устояли.

Итак, все тесты пройдены, и для окончательного прояснения картины внутренней безопасности предлагаю посмотреть на таблицу, в которой сведены результаты всех тестов испытуемых экранов.

Бесспорным лидером объявляем ZoneAlarm Security Suite . Kerio и Outpost - примерно на равных. Однако стоит обратить внимание на то, что Kerio практически совершенно не устойчив к inject'у, а у Outpost'а, хоть он и проваливался на некоторых тестах, не наблюдалось никаких тенденций к неудачам.

А что снаружи?

Следующим этапом проверки наших файрволов будет сканирование портов. Повторюсь, что успех в преодолении этого испытания зависит в большей степени от пользователя, а не от сетевого экрана, поскольку всегда есть возможность настроить правила доступа к портам настолько криво, что любой чуть грамотный хакер поломает систему за пять минут. Поэтому для чистоты эксперимента были оставлены нетронутыми настройки, отвечающие за доступ к машине извне. Многие разработчики конфигурируют свои продукты по умолчанию так, чтобы сразу после инсталляции ими можно было пользоваться. По их мнению, стандартная конфигурация подходит большинству пользователей.

Теперь выберем инструменты для проверки. Первый попавшийся мне онлайн-сканер располагался на www.pcflank.com. Собственно, на этом сайте собрано шесть тестов, позволяющих испытать защиту компьютера в Сети со всех сторон. Первый из них – это Stealth Test. Он проверяет машину на "видимость" в интернете. Для этого используются такие технологии сканирования, как TCP ping, TCP NULL, TCP FIN, TCP XMAS и UDP scanning. Вторая онлайн-утилита представляет собой продвинутый сканер портов. Он имеет довольно много настроек: техника скана (TCP connect или TCP SYN), выбор диапазона портов и др. Еще один инструмент для проверки privacy – браузер сканер. Он проверяет, сколько персональной информации отсылает обозреватель интернета :) на удаленный сервер. Еще имеется тест на троянцы и эксплойт-тест. Мы будем использовать Quick test, который включает в себя продвинутый скан портов, браузер-тест и троян-тест, однако, замечу, для нашей задачи подошел бы и простой скан портов, так как троянцев на моей машине нет, а проверять бродилку не входит в поставленную задачу. Итак, выбираем ссылку Quick test, читаем подробности теста, жмем кнопочку Start test и ждем некоторое время в зависимости от скорости соединения с Сетью, обычно не больше трех минут. Томительные секунды прошли, и что же мы видим? Тест на троянцев прошли все файрволы (еще бы!), со сканированием портов тоже справились все, а privacy check "на пять" не сдал никто. Outpost был хуже всех, но есть подозрение, что это легко лечится грамотной настройкой.

Я не стал задерживаться на этом ресурсе дольше и пошел искать еще что-нибудь, чем можно проверить наши экспонаты. И, как ни странно, нашел. http://scan.sygate.com - онлайн-сервисы для проверки сетевых экранов, причем от производителя одного из них, к сожалению, не включенных в этот обзор. Нам сходу предлагается пройти проверку, которая соберет некоторую информацию о машине и попробует просканить порты. Жмем на кнопочку Scan now и ждем; через несколько секунд загружается страничка, на которой, кроме версии браузера и операционной системы, ничего нет. Тест не определил имя компьютера и запущенные сервисы, значит, файрволы справились.

Но на этом я не успокоился и решил попробовать Stealth scan. Этот тип проверки сканирует порты следующих служб: FTP DATA – 20, FTP – 21, SSH – 22, SMTP – 25, NetBIOS – 139, Server Message Block – 445 и др. Здесь все справились "на отлично", все порты были жестко заблокированы.

Для того чтобы полностью убедиться в силе стандартных настроек, я отправился на www.hackerwatch.org. Здешний набор тестов не так многообразен, как на предыдущих ресурсах, но порт-сканер есть. Им мы и воспользуемся. Жмем на соответствующую пимпочку и видим, что он проверяет все те же порты разных сервисов, и все испытуемые файрволы также удачно справились с этим заданием.

На этом я решил остановиться. Ясно, что персональные файрволы справляются с внешними угрозами гораздо лучше, чем с внутренними. Все продукты показали высокий уровень зашиты компьютера от сетевых атак и сканирования.

Подведение итогов

Вот мы и провели проверку основных функций персонального файрвола. Все разработчики заявляют, что их продукты могут то и то, но не говорят, насколько качественно реализованы эти возможности. Несколько лет назад тесты на "течи" провалили бы практически все брандмауэры. Тогда воротилы security-индустрии просто делали вид, что таких проблем не существует, и упорно закрывали глаза на результаты независимых испытаний. Но времена изменились, и программисты всерьез занялись своей работой.

Вопрос "какую стену выбрать" – это, конечно, личное дело. Существует множество подобных приложений, но они должны обязательно подвергаться подобным экзаменам. Мы выбрали три самых популярных файрвола, они заслуженно завоевали почет и уважение пользователей. Каждый из них представляет собой не просто ПФ, а целый комплекс по обеспечению безопасности машины в Сети. В ZoneAlarm Security Suite, например, включено средство, предохраняющее переговоры в IM. Также фишкой Alarm'а является то, что к любому предупреждению файрвола можно получить подробное разъяснение на официальном сайте. Причем для этого совсем не обязательно долго бродить по html-страничкам - нужно просто кликнуть на кнопочке "Инфо" в тревожном окошке.

Outpost тоже очень хорош. Помимо стандартных для всех персональных сетевых экранов функций (резка всплывающих окон, сохранение конфиденциальной информации и т.д.), к нему можно прикручивать дополнительные программные модули.

Kerio Personal Firewall прост в настройке и достаточно надежен, к тому же он имеет возможность перехвата запуска абсолютно всех приложений, а не только тех, которые хотят в Сеть.

Список литературы и ресурсов:

http://www.securitylab.ru
http://xakepok.org (судя по расширению сайт правительственный прим.ред)
http://www.web-hack.ru
http://www.oxfordjournals.org/ (сайт не правительственный, но Оксфорд достаточно силен чтобы держать сайт подобного уровня прим.ред)
http://www.lib.ox.ac.uk/olis/
http://www.ouls.ox.ac.uk/bodley
http://www.intuit.ru/department/security/antiviruskasp/
Журнал “IT-спец”.
http://www.itspecial.ru/
Журнал “Hard’n Soft”