Каждому из нас не раз приходилось сталкиваться с различными угрозами для безопасности личной информации. Попробуем классифицировать вредоносное программное обеспечение.

Виды вредоносного ПО

Количество всевозможных угроз для пользователя, работающего за компьютером, впечатляет. Существует множество вирусов, шпионского программного обеспечения, "троянского" софта, сетевых и почтовых "червей" и т.д. Рассмотрим подробнее каждый из этих видов.

Вирусы

Программы, заражающие другие программы путем добавления в них своего кода, чтобы получить управление при запуске зараженных файлов. Скорость распространения вирусов немного ниже, чем у червей.

"Троянские" программы

Строго говоря, данная категория программ может быть отнесена к вирусам. В нее входят программы, осуществляющие различные действия, не санкционированные пользователем: сбор информации и ее передачу злоумышленнику, разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера, использование ресурсов компьютера в своих целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети).

Черви

Данная категория вредоносного ПО не дописывается к исполнимому коду, а рассылает себя на сетевые ресурсы. К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

• проникновения на удаленные компьютеры;
• запуска своей копии на удаленном компьютере;
• дальнейшего распространения на другие компьютеры сети.

Для своего распространения сетевые черви используют всевозможные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.

Большинство известных сетевых червей распространяется в виде файлов: вложений в электронные письма, ссылок на зараженный файл на каком-либо веб- или FTP-ресурсе, в ICQ- и IRC-сообщениях, в виде файла в каталоге обмена P2P и т.п.

Некоторые сетевые черви (так называемые "бесфайловые" или "пакетные") распространяются в виде сетевых пакетов, проникая непосредственно в память компьютера и активизируя свой код.

Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют различные методы: приемы социального инжиниринга (например, сопровождение электронным письмом, призывающим открыть вложенный файл), недочеты в конфигурации сети (к примеру, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и их приложений.

Некоторые сетевые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, содержат троянские функции или способны заражать выполняемые файлы на локальном диске, то есть имеют свойства троянской программы и/или компьютерного вируса.

Хакерские утилиты

Программы, предназначенные для нанесения какого-либо вреда программному обеспечению (подбор паролей, удаленное управление и т.д.). Программы данного класса не являются ни вирусами, ни "троянскими конями" и не наносят вреда компьютерам, на которых они установлены, но при этом могут использоваться для проведения атаки на другие компьютеры и на чужую информацию.

К данной категории программ относятся:

• утилиты автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (так называемые "конструкторы");
• программные библиотеки, разработанные для создания вредоносного ПО;
• хакерские утилиты сокрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов).

Программы-шпионы (spyware)

Программное обеспечение, использование которого может нанести вред информации пользователя. Под термином "spyware" в подавляющем большинстве случаев подразумевается целое семейство программ, в которое входят программы дозвона, утилиты для закачивания файлов из интернета, различные серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, PSW-утилиты, средства удаленного администрирования, программы-шутки. Иногда в семейство spyware включают еще и рекламные коды (adware), которые могут демонстрировать рекламные сообщения, подставлять, изменять результаты поиска и любыми доступными способами продвигать рекламируемый сайт.

Если подходить к терминологической проблеме академически, то все перечисленные выше типы программ следует называть "riskware". На русском языке это слово означает "условно опасные программы" — то есть такие, которые могут причинить вред информации пользователя.

Реактивная защита

В настоящее время большинство программного обеспечения, применяющегося в секторе защиты информации, можно отнести к так называемому уровню реактивной защиты — то есть необходимо хотя бы одно заражение, чтобы добавить описание (сигнатуру) угрозы к существующим базам угроз. Это в полной мере относится и к антивирусной защите, и к персональным межсетевым экранам.

Работа антивирусов и персональных межсетевых экранов основывается на использовании известных сигнатур вирусов (атак). При этом периодически базы обновляются.

Превентивная защита

Превентивная защита заключается в том, что проводится не анализ кода объекта, а анализ его поведения. Причем не важно, какая это угроза — вирус, "троянская" программа, хакерская атака или другое.

Данный тип защиты является незаменимым при новых угрозах, сигнатур которых еще нет в базах. Рассмотрим подробнее программное обеспечение такого типа на примере Safe’n’Sec от компании "Star Force" (Россия).

Установка и активация

Установка Safe’n’Sec не требует какой-либо предварительной настройки операционной системы. Единственное, что нужно, это убедиться, что ваша система удовлетворяет аппаратным и программным требованиям программы.

Аппаратные требования

• Процессор Intel Pentium с частотой не ниже 400МГц или совместимый;
• не менее 64Мб оперативной памяти;
• не менее 20Мб свободного места на жестком диске.

Программные требования

Операционная система:

• Microsoft Windows XP Home Edition with Service Pack1 или выше,
• Microsoft Windows XP Professional Edition with Service Pack1 или выше,
• Microsoft Windows 2000 Professional with Service Pack2 или выше;
• Microsoft Internet Explorer 5.0 или выше.

Процедура установки

Процедура установки реализована с помощью мастера. По окончании инсталляции необходимо произвести активацию (необходимо соединение с интернетом), каковая происходит при первом запуске программы. Без активации программа работать не будет.

Активация Safe’n’Sec

Понятно, что следует производить регулярное обновление продукта. К сожалению, следует признать, что авторы Safe’n’Sec не продумали вопрос обновления своей программы при наличии неустойчивого канала связи с интернетом — при обрыве связи докачка обновлений не производится, обновление следует закачивать заново полностью. Будем надеяться, что в дальнейших реализациях этот вопрос будет продуман.

Обновление программы Safe’n’Sec

Консоль управления Safe’n’Sec

Программа функционирует в фоновом режиме. Сообщение от Safe’n’Sec выводится на экран только в том случае, если ситуация требует принятия решения пользователем.

Пример сообщения программы Safe’n’Sec

Стоит отметить, что для работы с программой необходим высокий уровень технических знаний. То есть, обычному пользователю с обычным уровнем знаний о работе операционной системы данный продукт может принести больше вреда, чем пользы. Бесконечные сообщения об угрозах — как действительных, так и мнимых — могут вызвать больше раздражения, чем реальной пользы.

Защита от новых вирусов и хакерских атак

Защита от новых угроз включает в себя три этапа.

1. Контроль: постоянный мониторинг любой активности на компьютере пользователя (запуск/остановка любых сервисов, работа установленных приложений и т.д.).
2. Анализ: исследование и обработка последовательности выполняемых приложениями действий.
3. Заключение: принятие решения относительно вредоносности приложения на основании анализа действий.

Результатом принятия решения является статус, присваиваемый приложению:

• вредоносное приложение — приложение, наносящее вред данным на компьютере; такое приложение заносится в список запрещенных приложений;
• приложение не вредоносно (независимо от статуса такое приложение остается под контролем Safe’n’Sec).

Политика контроля приложений

Политика контроля — набор правил, на основании которых осуществляется контроль активности приложений и их анализ, а также выносится заключение о вредоносности приложения. В Safe’n’Sec предусмотрены три уровня политики контроля активности.

Они различаются по степени жесткости:

• жесткая политика обеспечивает полный контроль любой активности на компьютере пользователя; контролю подвергаются все действия, в том числе и действия самого пользователя;
• строгая политика (установлена по умолчанию);
• доверительная политика является наиболее мягкой, при ней контролируется только потенциально опасная активность.

Настройка программы Safe’n’Sec

Вывод

По итогам эксплуатации программного обеспечения Safe’n’Sec можно сделать следующие выводы.

Данное ПО должно использоваться на персональном компьютере опытного пользователя, имеющего навыки администрирования собственного компьютера. Оно позволяет значительно снизить уровень угроз, особенно новых.

Если же говорить о недостатках, то стоит отметить высокий уровень ложных срабатываний, отсутствие докачки при обновлении программного обеспечения и повышенные требования к уровню подготовки пользователя.