—ильн≥ше загроза - м≥цн≥ше захист

ћ≤Ќ≤—“≈–—“¬ќ ќ—¬≤“» ≤ Ќј” » ” –јѓЌ»

 –ј—ЌќƒќЌ—№ »… ѕ–ќћ»—Ћќ¬ќ ≈ ќЌќћ≤„Ќ»…  ќЋ≈ƒ∆

–еферат

з предмету: Ђ≤нформац≥йна безпекаї

Ќа тему: Ђ—ильн≥ше загроза - м≥цн≥ше захистї

—тудента групи 1ќ ≤—ћ-06

ѕетренко ћихайла

ѕерев≥рила: ƒрок≥на “. ћ.

 раснодон

2009

«овн≥шн≥й периметр: м≥жмережев≥ екрани

ѕершу л≥н≥ю захисту в≥д хакер≥в, ≥нтернет-черв'¤к≥в, програм-шпигун≥в ≥ ≥нших ворог≥в тримаЇ м≥жмережевий екран.

” багатьох компан≥¤х, ≥ нав≥ть у де¤ких домашн≥х мережах доступ до ≥нтернету зд≥йснюЇтьс¤ через загальне широкосмугове з'Їднанн¤. ƒл¤ того щоб з'¤сувати р≥вень захисту, ¤кий забезпечуЇтьс¤ апаратними м≥жмережевим екранами, ми протестували дв≥ модел≥ маршрутизатор≥в з вбудованими точками доступу: Linksys Wireless-G Broadband Router WRT54G ≥ Microsoft Wireless-G Base Station MN-700. ƒо складу цих маршрутизатор≥в ¤к поб≥чного продукту дл¤ обробки ≥нтернет-траф≥ку входить найпрост≥ший м≥жмережевий екран.

¬икористовуючи трансл¤ц≥ю мережевих адрес (Network Address Translation, NAT) ≥ протокол динам≥чноњ конф≥гурац≥њ хоста (Dynamic Host Configuration Protocol, DHCP), маршрутизатор розпод≥л¤Ї серед комп'ютер≥в мереж≥ приватн≥ IP-адреси, приховуючи њх таким чином в≥д зовн≥шн≥х комп'ютер≥в, ¤к≥ "бачать" т≥льки IP - адресу самого маршрутизатора. ћаршрутизатор в≥дкриваЇ ≥нтернет-порти т≥льки в тому випадку, ¤кщо його так налаштувати, або ¤кщо комп'ютер мереж≥ запрошуЇ дан≥ з ≥нтернету (наприклад, звертаЇтьс¤ до веб-стор≥нц≥).

ћаршрутизатори перешкоджають атакам, при ¤ких хакери використовують засоби скануванн¤ порт≥в дл¤ пошуку вразливих об'Їкт≥в. якщо жодна ≥з систем мереж≥ не запрошувала пакети даних, маршрутизатор просто в≥дкидаЇ вх≥дн≥ пакети. ќбидва продукти дозвол¤ють в≥дкрити певн≥ порти ≥ призначити њм IP-адреси призначених дл¤ цього комп'ютер≥в. ÷ей процес, в≥домий ¤к пересиланн¤ порту (port forwarding), дозвол¤Ї вид≥лити окрем≥ сервери дл¤ ≥гор в онлайн≥ ≥ в≥дв≥дуванн¤ веб-сайт≥в, не в≥дкриваючи доступ до ≥нших комп'ютер≥в мереж≥. ” модул≥ в≥д Microsoft Ї ще одна приЇмна функц≥¤: за замовчуванн¤м у ньому включено WEP-шифруванн¤; дл¤ захисту бездротового траф≥ку генеруЇтьс¤ спец≥альний ключ.

 омп'ютер п≥д захистом програмного брандмауера

ћаршрутизатор захищаЇ в≥д атак ззовн≥. ѕроте де¤к≥ типи зловмисного програмного забезпеченн¤, так≥ ¤к ≥нтернет-черв'¤ки, тро¤нськ≥ програми ≥ програми-шпигуни, працюють зсередини. ƒл¤ того, щоб припинити њх д≥¤льн≥сть, необх≥дний програмний захисний екран, встановлений безпосередньо на комп'ютер≥.

Ѕрандмауер, налаштований виключно за принципом повноважень доступу, попереджаЇ про будь-¤к≥й спроб≥ програми передати дан≥ по мереж≥ ≥ дозвол¤Ї блокувати цю операц≥ю, таким чином звертаючи увагу адм≥н≥стратора на додатки, ¤к≥ можуть ви¤витис¤ зловмисними.

« м≥ркувань зручност≥ м≥жмережев≥ екрани, вбудован≥ в пакети Panda Platinum Internet Security ≥ Symantec Norton Internet Security 2004 автоматично надають повноваженн¤ багатьом додаткам Windows. ѕроте такий крок може призвести до порушенн¤ захисту. Ќаприклад, спочатку продукт Panda, надаючи доступ служб Windows, залишав в≥дкритим порт 135 - саме через цей порт у комп'ютер проникаЇ сумно в≥домий черв'¤к Blaster. ўоправда, коли це було в≥дм≥чено, помилка була виправлена.

«устр≥чаЇтьс¤ ≥ зворотний "перегин": здавалос¤ б, пакет забезпеченн¤ безпеки не може блокувати все п≥др¤д - в≥н повинен залишити можлив≥сть роботи хоча б дл¤ власних компонент≥в. ќднак, ви¤вилос¤, що в McAfee Internet Security Suite 6 це не так. Ќаприклад, при спроб≥ в≥дправити лист по електронн≥й пошт≥ програма видаЇ пов≥домленн¤ про те, що MCSHIELD.EXE ≥ MGHTML.EXE (два компоненти пакета McAfee) намагаютьс¤ отримати доступ до захищеного файлу - тобто до dat-файлу поштового кл≥Їнта.

Ѕоротьба з черв'¤ками

Sygate Personal Firewall Pro 5.5 ≥ Zone Lab ZoneAlarm Pro 4.5 н≥коли не були пом≥чен≥ н≥ в атац≥ на "своњх, щоб чуж≥ бо¤лис¤", н≥ у надм≥рному потуранн≥ по в≥дношенню до ≥нших додатк≥в. «авд¤ки цьому вони надають широк≥ можливост≥ контролю за системою. ќднак ¤кщо нетерпл¤чий адм≥н≥стратор буде спочатку тиснути на кнопку OK, а пот≥м думати, про що ж це його попереджають, то в≥н поставить систему великому ризику.

¬≥зьмемо, наприклад, черв'¤к Bagle, ¤кий маскуЇтьс¤ п≥д Windows Explorer.  оли в≥н намагаЇтьс¤ передати дан≥ в ≥нтернет, м≥жмережев≥ екрани McAfee, Norton, Sygate ≥ ZoneAlarm ф≥ксують це ≥ дають адм≥н≥стратору в≥дпов≥дний запит. якщо той про¤вить досить пильност≥, то зац≥кавитьс¤, нав≥що це ѕров≥днику раптом знадобилос¤ вийти в ћережу. јле ¤кщо адм≥н≥стратор "проспить" тривожний сигнал ≥ просто натисне OK, то буде сам в≥дпов≥дати за насл≥дки.

ўоб уникнути под≥бних проблем можна скористатис¤ м≥жмережевим екраном з ф≥льтрац≥Їю порт≥в (екран такого типу вбудований в Windows XP) або з ф≥льтрац≥Їю порт≥в ≥ пакет≥в, ¤к у Trend Micro PC-cillin Internet Security 2004. ѕри ф≥льтрац≥њ пакет≥в м≥жмережевий екран контролюЇ передача в обох напр¤мках м≥ж мережею та комп'ютером, на предмет в≥домих уразливих м≥сць або п≥дозр≥лоњ повед≥нки. Ќаприклад, таким чином блокуютьс¤ спроби "нелегального" доступу до порт≥в, що в≥дкриваЇтьс¤ поштовими в≥русами-хробаками, дл¤ отриманн¤ ≥нструкц≥й в≥д в≥ддаленого хакера.

¬загал≥-то в обов'¤зки брандмауера не входить "вилов" хробак≥в ≥ нелегальних програм - це справа антив≥руса. ќднак антив≥русн≥ сканери краще всього працюють тод≥, коли можуть пор≥вн¤ти потенц≥йний в≥рус з базою даних вже в≥домих в≥рус≥в. якщо ж в≥рус "св≥жий", то в≥н часто залишаЇтьс¤ нерозп≥знаним до тих п≥р, поки не буде внесено в базу даних ≥ поки вона не буде поновлена на зараженому комп'ютер≥. Ќа це може п≥ти в≥д к≥лькох годин до дек≥лькох дн≥в, а з урахуванн¤м л≥н≥ адм≥н≥стратора - ≥ тижн≥в.

ѕроведен≥ тести показали наступн≥ можливост≥ поширених м≥жмережевих екран≥в. ѕри спроб≥ програми орган≥зувати масову поштове розсиланн¤, що м≥стить њњ коп≥њ, McAfee ≥ ZoneAlarm блокують цю операц≥ю незалежно в≥д того, чи розсилаютьс¤ листи все в≥дразу або по черз≥, при цьому користувач отримуЇ попередженн¤. Panda зупин¤Ї "хробака" ≥накше: блокуЇ вс≥ вих≥дн≥ листи, що м≥ст¤ть у вкладенн¤х виконуван≥ файли.

якщо ж черв'¤к, такий ¤к Bagle, намагаЇтьс¤ нелегально в≥дкрити порт системи та отримаЇ ≥нструкц≥њ в≥д в≥ддаленого хакера, Panda н≥чого не може зробити. ћаршрутизатори ж блокують цю д≥ю, а програмн≥ м≥жмережев≥ екрани, работающ≥епо принципом наданн¤ повноважень, - McAfee, Norton, Sygate ≥ ZoneAlarm - попереджають про нього користувача. ¬т≥м, при цьому вони беруть хробака за Windows Explorer, не пов≥домл¤ючи, що насправд≥ це черв'¤к, що маскуютьс¤ п≥д ѕров≥дник. ћ≥жмережев≥ екрани з ф≥льтрац≥Їю порт≥в PC-cillin ≥ екран Windows XP захищають комп'ютер тихо ≥ над≥йно - вони сам≥ блокують спроби хробака отримати доступ до порту, не змушуючи користувача гадати над значенн¤м попереджень.

«ловмисн≥ програми не т≥льки по-тихому в≥дкривають порти - вони можуть начисто "оголити" комп'ютер, в≥дключивши систему захисту. Panda, Sygate ≥ ZoneAlarm чин¤ть оп≥р таким атакам, але м≥жмережевий екран Windows XP, McAfee, Norton та Trend Micro вимикаютьс¤ п≥д впливом коду вторгненн¤ - б≥льше того, такий код здатний видалити файли останн≥х трьох пакет≥в.

ќб'Їднаними силами

ћаршрутизатори, так≥ ¤к модел≥ Linksys ≥ Microsoft, в≥дображають зовн≥шн≥ атаки, в той час ¤к програмн≥ м≥жмережев≥ екрани захищають комп'ютерн≥ системи в≥д в≥рус≥в-хробак≥в, що поширюютьс¤ через диски загального доступу, електронну пошту ≥ додатки дл¤ обм≥ну файлами, так≥ ¤к Kazaa ≥ Gnutella. ѕрограмн≥ м≥жмережев≥ екрани - необх≥дний захисний компонент дл¤ ноутбук≥в, що п≥дключаютьс¤ не т≥льки до захищеноњ оф≥сноњ або домашньоњ мереж≥, а також до мереж загального доступу, особливо бездротовим.

« розгл¤нутих м≥жмережевих екран≥в нам найб≥льше сподобалис¤ Sygate ≥ ZoneAlarm. Sygate впачатл¤ет швидкод≥Їю ≥ модульноњ конф≥гурац≥Їю, завд¤ки ¤к≥й його можна налаштовувати практично ¤к завгодно. ўоправда, де¤к≥ його пов≥домленн¤ здатн≥ поставити в глухий кут, незважаючи на деталь. як, наприклад, реагувати на таке попередженн¤: "Internet Explorer (IEXPLORE.EXE) is trying to connect to (207.46.134.221) using remote port 80 (HTTP - World Wide Web)"? Ќав≥ть у переклад≥ на рос≥йську - "Internet Explorer (IEXPLORE.EXE) намагаЇтьс¤ з'Їднатис¤ з www.microsoft.com (207.46.134.221) через в≥ддалений порт 80 (HTTP - World Wide Web)" не зовс≥м зрозум≥ло ... ј ось пов≥домленн¤ ZoneAlarm в т≥й же ситуац≥њ ц≥лком ¤сно: "Do you want to allow Internet Explorer to access the Internet?" - "„и дозвол¤Їте ви доступ Internet Explorer до ≥нтернету?".

Ўвидкод≥¤ ZoneAlarm не г≥рше, н≥ж у Sygate, а ≥нтерфейс значно зрозум≥л≥ше. “им же, кому не вистачаЇ терп≥нн¤ настроювати м≥жмережевий екран, що працюЇ за принципом наданн¤ повноважень, можна порекомендувати екран з ф≥льтрац≥Їю порт≥в, такий ¤к PC-cillin.

¬нутр≥шн¤ безпека: антив≥руси

Ќезважаючи на те, що м≥жмережев≥ екрани усп≥шно блокують р¤д в≥рус≥в, зондувальних мережев≥ порти, ≥ затримують де¤к≥ спроби њх масового саморозмноженн¤ по електронн≥й пошт≥, в систем≥ все одно необх≥дний антив≥русний сканер, ¤кий би зупин¤в б≥льш≥сть ≥нфекц≥й, що потрапл¤ють у комп'ютер через електронну пошту та файли, скачувати з ≤нтернету. «нешкоджувати цю ≥нфекц≥ю може т≥льки антив≥русний сканер.  р≥м сканер≥в, що вход¤ть до складу описаних вище пакет≥в по забезпеченню безпеки, ми розгл¤нули два самост≥йних продукту: Grisoft AVG Anti-Virus Professional ≥ Eset NOD32 2.

¬с≥ ц≥ продукти в≥дпов≥дають м≥н≥мальним вимогам по "вилову" основних зловмисних програм, що зустр≥чаютьс¤ в ≥нтернет≥ - тих, що хоча б дв≥ч≥ згадуютьс¤ членами WildList Organization (www.wildlist.com), всесв≥тн≥м сусп≥льством розробник≥в антив≥русних програм. јдже далеко не кожним в≥русом справд≥ можна заразитис¤ через ћережу: з приблизно 100000 ≥снуючих в≥рус≥в в даний час всього близько 250 зустр≥чаютьс¤ в "дикому" ≥нтернет≥; ≥нш≥ ≥снують т≥льки в "лабораторних" умовах. ¬и¤вилос¤, що ¤к≥сть роботи р≥зних сканер≥в в≥дчутно залежить в≥д типу в≥рус≥в. Ќаприклад, вс≥ в≥д≥бран≥ дл¤ огл¤ду продукти добре справл¤ютьс¤ з в≥русами ≥ черв'¤ками, що д≥ють в 32-розр¤дноњ середовищ≥ Windows - найб≥льш поширеним сьогодн≥ типом мережевий "≥нфекц≥њ". ¬ цьому випадку ¤к≥сть розп≥знаванн¤ дуже високо - в≥д 90,4 до 100%

ќднак з тро¤нськими програмами, ¤к≥ поширюютьс¤ не сам≥ по соб≥, а за допомогою ≥нших програм, у тому числ≥ в≥рус≥в та "хробак≥в", справа йде г≥рше: ¤кщо сканери McAfee ≥ Norton затримують в≥дпов≥дно 99% ≥ 95% "тро¤нц≥в", то AVG - всього 23,5%, що навр¤д чи можна вважати достатн≥м захистом.  р≥м того, тро¤нськ≥ програми не включаютьс¤ в список WildList, через що за ними важче стежити. Ќарешт≥, дуже бажано, щоб антив≥русний сканер не п≥дн≥мав помилкову тривогу, п≥дозрюючи в на¤вност≥ в≥русу звичайн≥ файли. ” цьому сенс≥ найкраще йдуть справи у PC-cillin, де тест пройшов без помилкових спрацьовувань; на ≥ншому к≥нц≥ шкали - Eset NOD32 2, з 32 з 20000 файл≥в. «вичайно, це наст≥льки мало, що нав≥ть не варто перераховувати у в≥дсотках, а й одного такого випадку достатньо, ¤кщо в результат≥ зам≥сть в≥русу буде видалено потр≥бний файл.

ўо робити з новими "м≥кробами"?

” своњй робот≥ антив≥русн≥ сканери спираютьс¤ в основному на точну в≥дпов≥дн≥сть в≥домим зловмисних програм, сигнатури ¤ких збер≥гаютьс¤ в баз≥ даних. ¬т≥м, ≥нод≥ вони "ловл¤ть" ≥ нов≥ в≥руси, ¤ких а баз≥ немаЇ, використовуючи евристичн≥ алгоритми. —трого кажучи, слово "евристичний" тут означаЇ можлив≥сть ≥дентиф≥кувати нев≥домий в≥рус на п≥дстав≥ ¤кихось характерних ознак - наприклад, коду, що використовуЇ в≥дому "д≥ру" в операц≥йн≥й систем≥ або додатку. Ќа практиц≥ в евристичних алгоритмах пошуку в≥рус≥в використовуютьс¤ р≥зн≥ "неч≥тк≥" схеми розп≥знаванн¤ нових модиф≥кац≥й вже в≥домих в≥рус≥в з використанн¤м њх сп≥льних ознак - наприклад, знаючи ознаки в≥русу Netsky.gen, можна "в≥дловити" його нов≥ вар≥анти на зразок Netsky.R.

«а даними тест≥в, з розгл¤нутих програм найб≥льш вдалими евристичний алгоритм волод≥ють McAfee ≥ AVG, що ≥дентиф≥кують 70,1% ≥ 65,6% файл≥в, заражених нев≥домими в≥русами; найг≥рший результат ви¤вивс¤ у NOD32 - 41,4%. ≤ в будь-¤кому випадку, це набагато менше ≥ пов≥льн≥ше, н≥ж при розп≥знаванн≥ в≥домих в≥рус≥в, тому що основним засобом своЇчасного л≥куванн¤, ¤к ≥ ран≥ше залишаЇтьс¤ регул¤рне оновленн¤ антив≥русних баз.

¬с≥ програми тестувалис¤ в режим≥ максимально ретельного скануванн¤. ќсобливий випадок був NOD32: у ц≥й програм≥ передбачений п≥двищений у пор≥вн¤нн≥ з жорстким диском р≥вень евристичного скануванн¤ Advanced Heuristics дл¤ електронноњ пошти та веб-траф≥ку, цих основних джерел ≥нфекц≥й. ƒл¤ скануванн¤ жорсткого диска цей режим теж можна використовувати, але не засобами граф≥чного ≥нтерфейсу, а за допомогою недокументован≥ команди nod32.exe / AH. ” режим≥ Advanced Heuristics ¤к≥сть скануванн¤ NOD32 зростаЇ до 53,5%.

Ќа жаль, вс≥ розгл¤нут≥ антив≥руси усп≥шно розп≥знають нов≥ ≥нфекц≥њ т≥льки в тому випадку, ¤кщо останн≥ належать до вже в≥домих на в≥русний "домами", але ви¤вл¤ютьс¤ безсил≥ при зустр≥ч≥ з абсолютно новим в≥русом. Ќаприклад, жоден з сканер≥в не розп≥знав хробака Netsky, поки його сигнатура не була внесена до бази даних.

“аким чином, евристичне розп≥знаванн¤ в≥рус≥в, ¤к ≥ ран≥ше ненад≥йно. ƒоводитьс¤ спиратис¤ на ≥нш≥ р≥вн≥ захисту, так≥ ¤к м≥жмережев≥ екрани ≥ власний здоровий глузд.

Ќайб≥льш зручний сканер

якби головним в антив≥русному сканер≥ було зручн≥сть ≥нтерфейсу, то кращим пакетом напевно був би визнаний McAfee. ѕравда, в ≥ншому у McAfee багато недол≥к≥в - наприклад, помилки в сценар≥њ оновленн¤, в результат≥ ¤ких програма пов≥домл¤Ї, що сканер вже був оновлений, у той час ¤к насправд≥ це не так.

McAfee, звичайно, не Їдиний пакет з "глюками" - хоча њх у нього й багато. ∆одна з розгл¤нутих програм не пройшла гладко тест на видаленн¤ в≥русу CTX, "тро¤нського кон¤" Optix ≥ хробака Mydoom.A. Ќайкраще впоравс¤ з очищенн¤м комп'ютера PC-cillin - ≥нфекц≥¤ була повн≥стю зн¤то, а система не пошкоджена. ѕ≥сл¤ спроб McAfee, NOD32 й Panda видалити CTX (безусп≥шно) система прийшла в непридатн≥сть.

Ќайб≥льшим недол≥ком пакету Norton ви¤вилас¤ його пов≥льн≥сть.  оли в систем≥ встановлений цей пакет, вона запускаЇтьс¤ ≥ в≥дключаЇтьс¤ удв≥ч≥ пов≥льн≥ше, н≥ж при використанн≥ Panda або NOD32, вплив ¤ких на швидкод≥ю найменш пом≥тно. Norton пов≥льн≥ше вс≥х виконуЇ повне скануванн¤ жорсткого диска - перев≥рка диска з≥ швидк≥стю обертанн¤ 5400 об / хв, дан≥ на ¤кому займають 575 ћб, на комп'ютер≥ з Windows XP, Pentium III 800 ћ√цб 256 ћб RAM, триваЇ близько 12 хв. Ќайшвидша з програм огл¤ду, NOD32, виконуЇ цю операц≥ю всього за 52 с. (ўоправда, Norton краще розп≥знаЇ в≥руси.) Ќаступним за швидк≥стю п≥сл¤ NOD32 був сканер Panda, впоравс¤ ≥з завданн¤м трохи б≥льше н≥ж за 2,5 хв.

 ращим антив≥русом огл¤ду був визнаний пакет Trend Micro PC-cillin Internet Security 2004: ц¤ програма в≥др≥зн¤Їтьс¤ не т≥льки ¤к≥сним скануванн¤м ≥ розумною ц≥ною, але також лог≥чним ≥ зрозум≥лим ≥нтерфейсом.

«аповнюючи прогалини: програми-антишпигуни

Ѕезперечно, м≥жмережев≥ екрани ≥ антив≥русн≥ сканери в≥д≥грають значну роль у захист≥ комп'ютерноњ системи. ќднак ≥нод≥ вони пропускають програми, породжен≥ специф≥чними попитом, а саме програми-шпигуни. ¬т≥м, до ц≥Їњ категор≥њ вход¤ть не т≥льки звичайн≥ сканери мишки ≥ клав≥атури, а й, наприклад, "викрадач≥ браузера" - р≥д adware (програм дл¤ розповсюдженн¤ реклами), завданн¤м ¤кого Ї зм≥на запис≥в системного реЇстру без в≥дома користувача так, щоб зам≥сть зверненн¤ до домашньоњ стор≥нц≥ або стандартного пошукового сервера (наприклад, при помилковому введенн≥ URL) браузер переходив на стор≥нку з рекламною ≥нформац≥Їю.

Ѕагато так≥ "викрадач≥в", зван≥ також програмами примусовоњ завантаженн¤, використовуючи недостатню захист системи, часто само≥нсталл≥руютс¤ при в≥дв≥дуванн≥ веб-стор≥нки. Ќаприклад, сумно в≥дома утил≥та Surfbar (вона ж Junkbar ≥ Pornbar) використовуЇ той факт, що Internet Explorer допускаЇ завантаженн¤ виконуваних файл≥в на комп'ютер користувача. ѕот≥м вона зам≥н¤Ї початкову стор≥нку браузера на www.surferbar.com, завалюЇ робочий ст≥л сотнею-другий посилань на порносайти ≥ встановлюЇ панель з ще к≥лькома дес¤тками посилань того ж роду. ≤нш≥ програми-"викрадач≥в" питають дозволу на початок роботи, але в такий спос≥б, щоб обманом змусити користувача погодитис¤.

„ист≥" програми-шпигуни простежують використанн¤ ≥нтернету - здеб≥льшого дл¤ того, щоб визначити, ¤к≥ що користувач робить в онлайн≥, ≥ запропонувати йому в≥дпов≥дну рекламу. як правило, програми-шпигуни супроводжують умовно-безкоштовн≥ та безкоштовн≥ програми. „асто справжн¤ варт≥сть таких "безкоштовних" програм прихована в њх л≥ценз≥йн≥й угод≥: не читаючи його, користувач погоджуЇтьс¤ на в≥ддалений мон≥торинг свого комп'ютера службами, ¤к≥ збирають маркетингов≥ дан≥ або розсилати спр¤мовану рекламу. –≥зн≥ крањни зараз розробл¤ють закони проти такоњ д≥¤льност≥, проте поки що найкращим захистом Ї сканери-антишпигуни.

ћи досл≥джували п'¤ть спец≥альних "ант≥шп≥онск≥х" пакет≥в:

Auria Spyware Eliminator,

InterMute SpySubtract Pro 2,

Lavasoft Ad-aware 6 Plus,

Network Associates McAfee AntiSpyware,

Spybot Search & Destroy.

“акож були розгл¤нут≥ можливост≥ по "вилову" програм-шпигун≥в за допомогою антив≥русних сканер≥в ≥ ≥нших утил≥т, що вход¤ть до складу таких пакет≥в:

Network Associates McAfee Internet Security Suite 6,

Panda Platinum Internet Security 3,

Symantec Norton Internet Security 2004,

Trend Micro PC-cillin Internet Security 2004.

Ќа жаль, нав≥ть найкращ≥ з них розп≥знають ледь б≥льше половини з ус≥х запропонованих ним зразк≥в шпигунських утил≥т. ¬ даний час найкращою стратег≥Їю Ї використанн¤ в≥дразу дек≥лькох сканер≥в.

—канер Norton ≥дентиф≥кував лише два ≥з запропонованих семи шпигунських утил≥т, PC-cillin ≥ Panda - по одн≥й. ѕри установц≥ антив≥рус≥в на вже ≥нф≥кований комп'ютер був ви¤влений виконуваний файл, ¤ка породжувала ≥нфекц≥ю Surfbar, але видалити вже встановлену панель посилань ≥ п≥ктограми порносайт≥в, а також повернути на м≥сце перв≥сну домашню стор≥нку не вдалос¤. ”тил≥та McAfee Privacy Service точно розп≥знаЇ спроби зм≥нити реЇстр ≥ наст≥йно радить користувачев≥ не п≥ддаватис¤ на провокац≥њ, але не ви¤вл¤Ї в оперативн≥й пам'¤т≥ процеси, ¤к≥ породжують ц≥ д≥њ. “аким чином, не встигне користувач в≥дбити одну атаку, ¤к накочуЇ наступна, ≥ його житт¤ перетворюЇтьс¤ на суц≥льну низку попереджень ≥ в≥дмов, до тих п≥р, поки в≥н нарешт≥ не вир≥шить, що краще один раз ≥нф≥кувати комп'ютер, н≥ж пост≥йно в≥дриватис¤ в≥д справ.

Ќа в≥дм≥ну в≥д антив≥рус≥в, що ви¤вл¤ють ≥нф≥кован≥ шл¤хом пор≥вн¤нн¤ њх з сигнатурами зловмисних програм з бази даних, антишпигунськ≥ сканери спираютьс¤ головним чином на ключ≥ системного реЇстру. Ќайб≥льш над≥йн≥ результати в тестах показали Spybot Search & Destroy ≥ Lavasoft Ad-aware 6 Plus, але Spybot краще видал¤в пошкоджен≥ файли ≥ в≥дновлював значенн¤ реЇстру.

—канер McAfee AntiSpyware ви¤вив три з семи ≥нфекц≥й - Gator, Huntbar ≥ MyFast Access, - але повн≥стю видалити зм≥г т≥льки дв≥ останн≥. —лабк≥ше вс≥х ви¤вивс¤ InterMute SpySubtract Pro 2, ¤кий знайшов т≥льки один зразок програми-шпигуна - широко в≥дому панель Gator.

’орошу захист у реальному час≥ забезпечуЇ компонент Ad-watch з Lavasoft Ad-aware 6 Plus. ¬≥н перекривав шл¤х вс≥м "викрадачам браузер≥в", ¤к≥ намагалис¤ зм≥нити параметри доступу до ≥нтернету. (ўоправда, Ad-watch не входить до розповсюджуЇтьс¤ безкоштовно спрощену верс≥ю Ad-aware.)

Ќа жаль, ¤к з'¤сувалос¤, н≥ один з протестованих сканер≥в не забезпечуЇ 100-процентного розп≥знаванн¤ ≥ видаленн¤ ≥нфекц≥њ. Ќайкраще справл¤ютьс¤ ≥з завданн¤м Spybot Search & Destroy ≥ Lavasoft Ad-aware 6 Plus. ” Ad-aware краще орган≥зований мон≥торинг шпигунських утил≥т ≥ зручн≥ше ≥нтерфейс, зате Search & Destroy краще знаходить ≥ чистить ≥нф≥кован≥ файли.

¬исновки

¬ ≥деальному випадку захист в≥д напад≥в з ≥нтернету не повинна бути багатор≥вневою. ” майже ≥деальному випадку можна було б об≥йтис¤ одним пакетом ≥з забезпеченн¤ безпеки або хоча б комплектом програм одного виробника. Ќа жаль, жоден з протестованих пакет≥в не закриваЇ ус≥ вразлив≥ м≥сц¤ досить над≥йно. «окрема, жоден з них не забезпечуЇ над≥йне ви¤вленн¤ ≥ видаленн¤ шпигунських програм.

¬ ц≥лому, кращим з розгл¤нутих пакет≥в можна визнати Trend Micro PC-cillin Internet Security 2004 - за кращий антив≥русний сканер ≥ один з кращих м≥жмережевих екран≥в. ” комб≥нац≥њ з безкоштовним Spybot Search & Destroy в≥н забезпечив би достатню безпеку. ƒл¤ посиленн¤ захисту в≥д шпигунських програм можна скористатис¤ Lavasoft Ad-aware 6 Plus (ус≥ три програми добре поЇднуютьс¤ один з одним ≥ працюють без конфл≥кт≥в). ћожливостей брандмауера PC-cillin повинно бути достатньо дл¤ б≥льшост≥ користувач≥в. якщо ж захочетьс¤ чогось м≥цн≥ше, можна в≥дключити м≥жмережевий екран PC-cillin ≥ встановити Zone Labs ZoneAlarm Pro 4.5 (наприклад, спрощену безкоштовну верс≥ю).

Ќа жаль, жоден з розгл¤нутих пакет≥в не м≥стить по-справжньому над≥йноњ утил≥ти по боротьб≥ з≥ спамом. ƒл¤ цього доводитьс¤ встановлювати додатков≥ продукти.

≈шелонована оборона

Ѕагатор≥внева система, що затримуЇ атаки ≥ забезпечуЇ своЇчасне резервне коп≥юванн¤ даних, складаЇтьс¤ з наступних р≥вн≥в.

јпаратний маршрутизатор:

за допомогою NAT (Network address Translation, трансл¤ц≥¤ мережевих адрес, - стандарт Internet, що дозвол¤Ї використовувати в локальн≥й мереж≥ р≥зн≥ набори IP-адрес дл¤ зовн≥шнього ≥ внутр≥шнього траф≥ку) маскуЇ IP-адреси, робл¤чи неефективним скануванн¤ порт≥в.

блокуЇ надходженн¤ даних з ≥нтернету, на ¤к≥ немаЇ дозволу користувача;

не захищаЇ систему в≥д б≥льшост≥ зловмисних програм, таких ¤к "тро¤нськ≥ кон≥", в≥руси, поштов≥ "черв'¤ки" ≥ шпигунськ≥ програми.

ѕрограмний маршрутизатор:

запоб≥гаЇ несанкц≥оновану передачу даних з комп'ютера до мереж≥ ≥нтернет "тро¤нц¤ми" та ≥ншими додатками, встановленими без в≥дома користувача;

захищаЇ портативн≥ ѕ  при робот≥ в бездротових та ≥нших малозахищених мережах;

блокуЇ де¤к≥ зловмисн≥ програми, але не в змоз≥ њх видалити.

јнтиспамерськ≥ програмне забезпеченн¤:

блокуЇ що ввод¤ть в оману, шахрайськ≥ ( "рибальськ≥") схеми;

скорочуЇ роботу з ф≥льтруванн¤ лист≥в, зменшуючи ймов≥рн≥сть того, що користувач випадково посп≥хом активуЇ в≥рус, отриманий по електронн≥й пошт≥.

јнтив≥русне програмне забезпеченн¤:

захищаЇ систему в≥д в≥домих в≥рус≥в, хробак≥в ≥ "тро¤нц≥в", але менш ефективна проти нових ≥нфекц≥й;

не захищаЇ систему в≥д програм поширенн¤ реклами (adware), шпигунських програм ≥ "викрадач≥в браузер≥в".

јнт≥шп≥онское програмне забезпеченн¤:

захищаЇ в≥д програм класу adware, шпигунських програм ≥ "викрадач≥в браузер≥в", cookies-сканер≥в ≥ ≥нших ≥нтернет-паразит≥в.