Когда вы устанавливаете брандмауэр уровня приложений, вам следует также оценить, будут ли пользователи вашей сети использовать программное обеспечение клиента, которое поддерживает службы посредника. Брандмауэр уровня приложений предоставляет возможность легко проследить типы и количество передач данных на вашем сайте. Так как брандмауэры уровня приложений устанавливают определенное физическое разделение между локальной сетью и Интернетом, они отвечают самым высоким требованиям безопасности. Однако, поскольку программа должна анализировать пакеты и принимать решения относительно контроля доступа к ним, брандмауэры уровня приложений неизбежно уменьшают производительность сети. Другими словами, они работают значительно медленнее, чем брандмауэры сетевого уровня.

Если вы решите использовать брандмауэр уровня приложений, вам следует использовать в качестве сервера-посредника более быстрый компьютер.

Брандмауэр уровня связи похож на брандмауэр уровня приложений в том смысле, что оба они являются серверами-посредниками. Различие заключается в том, что брандмауэр уровня связи не требует специальных приложений


для связи между сервером-посредником и клиентом. Как уже упоминалось, брандмауэры уровня приложений требуют специального программного обеспечения сервера-посредника для каждой сетевой службы вроде FTP или HTTP.

Брандмауэр уровня связи создает связь между клиентом и сервером, не требуя того, чтобы приложения знали что-либо о предоставляемой службе. Другими словами, клиент и сервер сообщаются через брандмауэр уровня связи без сообщения с самим брандмауэром. Брандмауэры уровня связи защищают только начальный этап транзакции и не вмешиваются в ее дальнейший ход.

Преимущество брандмауэров уровня связи состоит в том, что они обслуживают большое количество протоколов. Как вы уже знаете, брандмауэр уровня приложений требует отдельного посредника уровня приложений для каждого типа сервиса, который осуществляется брандмауэром. С другой стороны, если вы используете брандмауэр уровня связи для HTTP, FTP или Telnet, вам не требуется менять существующие приложения или добавлять новые серверы-посредники для каждой службы. Брандмауэр уровня связи позволяет пользователям работу с имеющимся программным обеспечением.

В дополнение к этому брандмауэры уровня связи используют только один сервер-посредник. Как и следует ожидать, использование одного сервера-посредника оказывается значительно легче, чем установка нескольких.

Итак, от теории перейдем к практике. Рассмотрим усиление персональной защиты для вашего компьютера с помощью широко известного Agnitum Outpost Firewall 2.1. Это несомненный лидер среди семейства персональных брандмауэров, неоднократно блестяще подтверждавший свою репутацию. Отмечу, что речь идет не о профессиональном брандмауэре, устанавливаемом на сервере,


а именно о персональной защите. Хотя автор имеет опыт использования этой программы и на серверах, все же серверная защита – дело для других программ.

Agnitum Outpost Firewall (http://www.agnitum.com/ products/outpost/) – один из самых молодых представителей данного класса программ. Но, несмотря на свою молодость, является серьезным конкурентом даже для Zone Alarm. He так давно вышедшая из бета-тестирования программа, поселилась на компьютерах у многих пользователей сети Интернет и, похоже, большинство не собирается расставаться с данным программным продуктом.

Широкая популярность программы вполне понятна: мощный файрволл, возможность подключения дополнительных модулей, причем все, что может потребоваться обычному пользователю, уже есть с момента установки, и вдобавок один из решающих моментов при выборе программы – русский интерфейс.

Его можно сравнить с замком на двери вашего дома. Наверняка большинству ваших соседей вы доверяете, не опасаясь, что они вторгнутся в ваш дом, испортят или украдут что-нибудь. Обычно только некоторые из них не заслуживают доверия. Однако, если ваш район является густонаселенным, количество неблагонадежных людей увеличивается.

В Интернете мы наблюдаем сходную ситуацию, только количество соседей исчисляется сотнями миллионов. Лишь небольшой процент от этого количества людей имеет хулиганские наклонности, но это уже много. Outpost Firewall не только закрывает «двери» вашего компьютера, но и делает его невидимым в Интернете. В обычных условиях компьютер пересылает по сети свой адрес. Это как табличка с номером вашего дома или номерной знак вашего автомобиля. Этот адрес могут видеть другие пользователи. Outpost делает его невидимым в Ин-


тернете, в том числе и для хакеров: они просто не смогут определить, что ваш компьютер подключен к сети. Основные достоинства Outpost Firewall:

– защищает компьютер сразу после установки;

– имеет настройки по умолчанию для новых пользова

телей;

– оптимальная защита действует автоматически во вре

мя установки;

– опытные пользователи могут настраивать файрволл

по своему желанию;

– делает компьютер невидимым в сети Интернет;

– защищает открытые порты компьютера от вторжений;

– .пользователь может назначать перечень доверенных

приложений;

– применение подключаемых модулей для повышения

функциональности файрволла;

– блокирует рекламные Интернет-объявления (банне-

ры, или всплывающие окна), которые могут отвле

кать вас или замедлять скорость соединения;

– защищает компьютер от контролирования с удален

ного узла;

– предупреждает пользователя о попытке скрытого

приложения послать «ответный сигнал» хакеру;

– поддерживает все последние версии Windows, сохра

няя свои функции в случае обновления системы;

– для своей работы использует мало системных ресур

сов и существенно не повлияет на производитель

ность вашей системы;

– Журнал Событий позволяет видеть любое событие,

происходящее внутри системы;

– успешно пройдены известные «тесты на уязвимость»;

– многоязыковая поддержка: Outpost Firewall постав

ляется на 14 языках, в том числе и на русском языке.

Внешний вид программы абсолютно ничем не выделяется среди приложений Windows, все строго. Окно программы разбито на три основные части: полоска главного меню вверху; слева находятся основные компоненты, такие как соединения, лог-файлы и подключаемые модули; справа – информационная панель.

Сразу после установки Outpost Firewall следует заглянуть в «Параметры». Там можно определить, нужно ли запускать программу вместе с загрузкой операционной системы, следует ли защищать настройки паролем, добавить основные приложения, которым потребуется обеспечить возможность доступа в Интернет, установить общие правила для «активных» приложений, разобраться с политикой программы и настроить/загрузить дополнительные модули.

Вместе с Outpost Firewall pro идут б дополнительных модулей – Реклама, Содержимое, DNS, Активное содержимое, Защита файлов, Детектор атак:

– Реклама. Модуль служит для очищения HTML-страниц

от навязчивых рекламных баннеров, задача которых по

мнению многих пользователей откусить для себя по

больше трафика. Метод борьбы довольно прост: либо

срезать заранее описанную строчку из html-кода, либо

вырезать рисунок по определенному размеру, который

вы сами можете задать. Если баннер все равно продолжа

ет раздражать, то для этого есть специальная корзина,

в которую обычным переносом его можно отправить;

– DNS. Данный модуль производит сохранения DNS-

имен для последующего использования в модуле Ак

тивное содержимое;

– Активное содержимое. Этот модуль управляет рабо

той следующих элементов: ActiveX; Java-апплеты;

программы на языках Java Script и VB Script; cookie;

всплывающие окна; ссылки (referers), т. е. возмож-

ность получения URL, с которого перешли на данную Web-страницу. Что следует запретить или разрешить, уже решать вам, но очень рекомендую обратить внимание на пункт «Всплывающие окна». Но не стоит забывать, чем больше запретов на содержимое web-страницы вы установили, тем меньше шансов увидеть ее в том виде, в котором планировал ее автор;

– Защита файлов. Модуль предназначен для организации

проверки поступающих на ваш почтовый ящик прикреп

ленных файлов. Вы можете задать проверку файла на

вирусы, либо получить оповещение от Outpost Firewall.

Для каждого типа файлов можно создать свое правило;

– Детектор Атак. Модуль позволяет задать условия, при ко

торых выдается предупреждение, когда на ваш компью

тер совершается атака. Существует три основных уровня:

параноидальный уровень тревоги – предупреждение

выдается в случае, если обнаружено даже единичное

сканирование порта;

обычный уровень тревоги – предупреждение выдается в случае, если осуществляется сканирование нескольких портов или портов с определенными в системе номерами (т. е. в тех ситуациях, которые система распознает как атаку на компьютер); безразличный уровень тревоги – предупреждение выдается в случае однозначной множественной атаки. Для скачивания новых версий компонентов программы с сайта-разработчика удобно воспользоваться системой автоматического обновления, так что у вас всегда будет свежая версия программы.

Итак, если вам необходим непробиваемый персональный брандмауэр с расширенными настройками, полезными подключаемыми модулями и русским интерфейсом, то Outpost Firewall pro для вас.


Outpost Firewall работает со всеми версиями Windows, в том числе и Windows XP. Правда, компания-разработчик требует за все удовольствие 500 руб., но это не повод впадать в отчаяние. Существует бесплатная версия программы, которая лишена некоторых дополнительных функций, но все равно остается прекрасным персональным брандмауэром. Кстати, на мой взгляд 500 руб. вполне реальная сумма для покупки этой программы, особенно тем, кто активно использует Интернет.

Теперь рассмотрим настройку этой программы.

Часть настроек осуществляется непосредственно на стадии установки продукта: Outpost осуществит поиск программ, осуществляющих обмен данными через Сеть, и создаст для них нужные на его взгляд правила. Пользователю предлагается принять данные условия, поставив флаг в переключателе. Список программ, выходящих в Сеть, доступен для просмотра при нажатии кнопки Подробнее.

В показанном на рисунке случае этот список довольно велик. Например, абсолютно не нужно, чтобы, например, Adobe Acrobat без моего ведома соединялся со своим сервером на предмет проверки обновлений, по какой причине и был снят флаг напротив этого продукта: понадобится – включим. Радует, что еще на стадии установки Outpost озаботился созданием правил для всех браузеров почтовых и FTP-клиентов, имеющихся в системе.

На следующем этапе предлагается принять правила для сетевых подключений, если таковые имеются. Любопытство в этом плане удовлетворяется нажатием знакомой кнопки «Подробнее».

Кажущаяся чрезмерная подозрительность Outpost объяснима: если в системе поселился шпионский модуль (помните о взломах «изнутри»?) или другое нежела-


тельное приложение, гораздо проще запретить сетевую активность недруга на самой начальной стадии.

Теперь настроим главные параметры брандмауэра, для чего в меню «Параметры» главного окна выберем команду «Общие» (F2). По умолчанию выбран «Обычный режим» загрузки программы, при котором Outpost включа-


ется каждый раз при загрузке операционной системы и размещает свой значок в область уведомлений.

Для загрузки в фоновом режиме следует отметить одноименный параметр секции «Загрузка»,а если по каким-либо причинам автоматический запуск брандмауэра нежелателен, достаточно включить опцию «Не загружать».

Все настройки программы можно защитить паролем. Я бы не советовал пренебрегать этой возможностью: безопасность компьютера легкомыслия не терпит.

В секции «Защита» паролем нужно отметить опцию «Включить» и при помощи кнопки «Задать» ввести необходимые символы.

Затем в окне параметров перейдем на вкладку «Политики», где указаны 5 режимов работы программы. Режим «Разрешить» даст свободу всем приложениям, которые не были явно запрещены, т. е. не находились в списке «Запрещенных приложений»; в режиме «Блокировать» будут запрещены все приложения, которые явно не разрешены; режим «Запрещать» однозначно закроет выход в сеть всем приложениям, а режим «Отключить» усыпит окончательно всяческую бдительность Outpost Firewall.

По умолчанию выбран режим обучения: в этом случае пользователю каждый раз предлагается либо принять готовое правило для какого-либо приложения (например, для стандартного e-mail клиента), либо самому создать такое правило, либо безоговорочно запретить тому или иному приложению сетевую активность. Этот режим как нельзя более подходит для подавляющего большинства пользователей.

Теперь о настройке приложений и создании правил. Настройкой приложений ведает одноименная вкладка окна параметров (рис. 3). В разделе «Пользовательский уровень» указаны все приложения, которым разрешена


сетевая активность. Но нередко возникают сомнения в том, нужно ли, например, разрешать выход в Сеть для DWWIN.EXE. Чтобы узнать «настоящее имя разведчика», следует выделить имя приложения, нажать кнопку «Изменить» и в выпадающем меню выбрать команду «Создать правило».

В открывшемся окне мне рассказали, что приложение DWWIN.EXE есть не что иное, как Microsoft Application Error Reporting, соединяющееся по протоколу TCP с известным всем сервером. Я предпочитаю обходиться без отправки отчетов об ошибках. Поэтому и запретил запуск DWWIN.EXE командой «Изменить» › «Запретить» запуск этого приложения. Для многих программ в Outpost


изначально заложены оптимальные правила. Например, если вы решили установить и запустить Outlook Express, файрволл тут же предложит разрешить активность этому приложению на основе готового правила именно для данного почтового клиента.

Содержание готового правила нетрудно просмотреть, если пройти знакомым путем: кнопка «Изменить» › команда «Создать правило». Например, для программы CuteFTP Pro файрволл разрешает исходящее соединение для удаленного FTP-сервера по протоколу TCP.

Теперь попробуем на двух конкретных примерах создать правила для приложений. При запуске известного Р2Р-клиента eMule файрволл предлагает пользователю сделать выбор, что делать с этим приложением. В данном случае «ослик» стремится соединиться с IP-адресом 207.44.142.33 через порт 4661 (рис. 4.).


Представим, что это не eMule, а некая программа, которой разрешено выходить в Сеть, но не на всякий адрес. Тогда выберем единственный параметр «Другие» и нажмем кнопку «ОК», после чего откроется окно создания правила с описанием того, что именно пыталась сделать эта программа.

Разумеется, показанная активность mule абсолютно нормальна, более того, нами приветствуется, посему выберем «Разрешить эти данные», после чего у нас будет правило вида EMULE Правило# 1, описывающее и разрешающее именно этот тип активности приложения (рис. 5).


В следующий раз, если активность будет иного рода (другой удаленный адрес, протокол или порт), нужно будет эти манипуляции повторить.


Если же сетевая активность, которая запрашивает выход в Сеть, недопустима (например, нас не устраивает удаленный адрес), то в диалоге редактирования правила следует выбрать «Блокировать». В следующий раз (в нашем примере – в случае другого, угодного IP-адреса) мы можем создать правило, напротив, разрешающее такую активность. В конце концов, когда приложение исчерпает все виды своей типичной активности, у нас будут созданы все правила, описывающее это приложение.

Другой пример: бдительный Outpost предупредил меня о том, что компьютер пытается установить соединение по так называемому IGMP-протоколу с удаленным адресом 224.0.0.22 и предлагает мне подтвердить его право на это. С одной стороны, у меня нет оснований не доверять Outpost, с другой – здесь уже есть над чем подумать.

В данном случае моя операционная система посылает так называемый «широковещательный» пакет с целью сообщить всем компьютерам моей локальной домашней сети о включении моего компьютера, и не более того. Если же у вас нет сети и ваше подключение к провайдеру осуществляется напрямую, то этот пакет и сообщение предназначены именно провайдеру. Другими словами, это не что иное, как активность Windows. Если у вас постоянный IP-адрес и вы не хотите, чтобы в вашей сети знали, что вы «вышли в свет», то такую активность лучше запретить. Что касается адреса 224.0.0.22, то это стандартный адрес, используемый Windows в данном случае: программа маршрутизации периодически посылает запросы рабочей группе для запроса принадлежности той или иной машины к данной локальной сети.

Перейдем к настройке сетевых параметров. Вкладка «Системные». По умолчанию Outpost автоматически нахо-


дит и применяет новые настройки сетевых подключений, разрешая все NetBIOS-соединения. Доверять или нет тому или иному локальному адресу – решать вам (секция «Настройки Сети»).

В секции «ICMP» › «Параметры» расположены настройки для сообщений протокола ICMP, которые передаются при возникновении различных ситуаций, в том числе и ошибочных. Они генерируются программами, анализирующими состояние Сети, в том числе ping и traceroute. Для нормальной работы в Интернете нужно обеспечить прием трех типов ICMP-сообщений («эхо-ответ», «получатель недоступен» и «для датаграммы превышено вре-мя»),и отправку двух («получатель недоступен» и «эхо-запрос»). Прием и отправку остальных сообщений желательно отключить – тогда они будут заблокированы.

Outpost по умолчанию использует именно эти настройки, поэтому ничего перенастраивать не придется. Однако, если вы опытный пользователь и вам необходимо разрешить прием или отправку заблокированных файрволлом ICMP-сообщений, вы без труда сможете это сделать одним щелчком мыши в соответствующем окне настроек (рис. 6).

Режим невидимости включен по умолчанию (секция «Режим работы»), а параметры для редактирования общих правил расположены в одноименной секции. По моему скромному мнению нужды изменять общие правила, заложенные разработчиками, нет.

Как уже говорилось выше, Agnitum Outpost Firewall имеет модульную структуру, т. е. имеет возможность подключать какие-то исполняемые модули. Рассмотрим настройки основных плагинов.

Модуль «Интерактивные элементы» умеет блокировать нежелательные элементы ActiveX, Java-аплеты


и всплывающие окна (по умолчанию разрешено все). Для вызова настроек следует выделить название данного модуля и выбрать команду «Свойства» контекстного меню (рис. 7). Там же можно запретить вызов неугодных URL: вкладка «Исключения» › кнопка «Добавить».

Плагин «Детектор атак» включен по умолчанию и является одним из главных и самых полезных инструментов данного файрволла. В контекстном меню выберем команду «Параметры» и откроем окно настроек детектора атак. При помощи движка установим один из трех уровней тревога, при котором программа выдаст предупреждение.

По умолчанию выбран уровень, при котором атака распознается при сканировании нескольких портов. Не-


лишне отметить опции «Блокировать атакующего», «Блокировать подсеть атакующего» и «Блокировать локальный порт, если обнаружена DoS-атака». Вся информация о попытках подключиться к вашему компьютеру будет отображаться в информационной панели справа. Рассмотрим более подробно два примера из практики.

Если Outpost информирует о запросах на соединение, но показывает нулевые значения для атак и сканирований портов, можно не беспокоиться – это обычная сетевая активность. Конечно, компьютер локальной сети с показываемым в сообщении адресом может быть заражен вирусом. Но это не атака.


Но не всегда жизнь столь безоблачна: на рис. 8. (скриншот из предыдущей версии программы) показан пример реальной атаки RST, причем Outpost мгновенно выдает информацию об IP атакующего и реальном URL.


Настройки модуля «Реклама» дают возможность блокировки рекламы как по HTML-строкам, так и по размеру баннеров (по умолчанию оба параметра включены). Инструмент «Корзина» для рекламы удобен при серфинге: достаточно перетащить неугодный баннер в эту корзину, чтобы навсегда избавить себя от конкретной рекламы.

На вкладке «Общие» в окне параметров можно добавить список доверенных сайтов, баннеры которых не будут блокироваться.

Модуль «Содержимое» позволяет осуществить «тонкую» настройку запрета к тем или иным Интернет-стра-


ницам. На вкладке «Блокировка по содержимому» достаточно ввести «похабные» словеса, чтобы страница, эти строки содержащая, не отображалась браузером: очень полезно для чадолюбивых родителей…

На вкладке «Блокировка Web-сайтов» домашний сисадмин может ввести группу из запретных URL, созерцание которых домашними нежелательно.

Конечно же такой программе необходим журнал, где будут вестись логии работы. Окно Журнала Outpost служит для просмотра текущей информации, предоставляемой файрволлом.

Для вызова «Журнала» нужно открыть меню «Сервис» главного окна и выбрать команду «Просмотр Журнала» либо воспользоваться кнопкой «Показать Журнал» в информационной панели.

Более того, может быть просмотрена вся отчетность о проделанной работе за тот или иной период: например, какие атаки предпринимались (и были ли вообще); какие подозрительные пакеты прошли перед недреманым оком Outpost и пр.

Типичный пример использования Журнала: допустим, что с 10.00 до 18.00 вы находитесь на работе и в это время Интернет используют дети. Если вы захотите узнать, какие сайты посещает молодое поколение – нет ничего проще. Для Internet Explorer (или другого браузера) создаем в Журнале фильтр (кнопка «Создать фильтр») с параметрами показа информации с 10.00 до 18.00 для нужного количества дней, после чего смотрим всю историю соединений.

Ну вот, пожалуй, и все. Хочется также отметить, что иногда во время работы программы возникают окна, где отмечается, что в каких-либо файлах программ произошли изменения и Outpost просит подтвердить право этих программ на доступ к сети. Не надо пугаться – это со-


вершенно обычное дело, связанное с обновлениями программ и изменениями, связанными с работой.

Еще одним часто используемым на рабочих станциях брандмауэром является Zone Alarm. Настройка его ничуть не сложнее, чем настройка Agmitum Outpost.

Процедура установки защитного комплекса Zone Alarm стандартна и не должна вызывать у вас каких-либо затруднений. Все, что требуется от пользователя на этапе инсталляции, – нажимать клавишу «Next». После того как все необходимые файлы будут скопированы на диск, вас попросят ответить на ряд организационных вопросов, например о способе подключения компьютера к Интернету, входит ли он в локальную офисную или домашнюю сеть, а также установлено ли на нем какое-либо антивирусное программное обеспечение.

Теперь переходим непосредственно к настройке программы. Для начала ответим на вопросы «Configuration Wizard». Тут могу рекомендовать следующие варианты ответов: «Anonymously share your security settings with Zone Labs?» (Разрешить ли общий доступ к вашим настройкам безопасности?) – «No, thanks» (зачем нам нужно, чтоб все крутили настройки, – оставим это для себя любимого); «Program AlertAdvisor Settings» (Активировать модуль AlertAdvisor) – «Off»; «Turn on Zone Labs Antivirus» (Включить встроенный антивирус) – «No, leave Zone Labs Antivirus off»; «Prevent junk e-mail from reaching Microsoft Outlook inbox?» (Включить фильтрацию спама? (Для MSOutlook)) – «Yes, block junk e-mail» (Если вы не используете MS Outlook, то отключите эту опцию) и напоследок «Ensure the privacy of your IM» (Обеспечить безопасность переписки через IM-приложения) – «Yes, turn on IM Security». На этом минимальную настройку программы можно считать завершенной. После первого за-


пуска, если компьютер находится в локальной сети, Zone Alarm предложит установить для нее нужный уровень защиты. Здесь на выбор дается два варианта:

– считать локальную сеть доверенной и разрешить всем

пользователям, в ней находящимся, видеть ваш компью

тер и использовать его ресурсы;

– расценивать локальную сеть как обычную внешнюю

сеть, из которой ожидается угроза безопасности.

Ваш выбор зависит от того, какие отношения устано

вились внутри локальной сети, и от политики системно

го администратора (если это не вы).

После активации функции мониторинга программа сразу начинает отслеживать любые обращения к сети. Как только какое-то приложение попытается соединиться с удаленным ресурсом, Zone Alarm оповещает вас об этом. Дальше все очень похоже на вышеописанный Outpost. В том случае, если вы уверены в приложении (например, это почтовый клиент, браузер или ICQ), можно просто нажать «Accept» и тем самым разрешить ему доступ к сети. Если же в чем-то у вас возникли какие-то сомнения, то наилучшим вариантом будет запретить доступ для этого приложения и проверить систему антивирусом.

Открыв главное окно программы, вы увидите в нем множество различных закладок, наибольший интерес для нас представляют следующие три пункта: «Firewall», «Program Control» и «IM Security». Давайте рассмотрим каждый из них.

Раздел «Firewall» предоставляет доступ к управлению текущим уровнем безопасности и всем доверенным зонам. Уровни безопасности имеют три состояния – «Low», «Med», «High». Если у вас есть повод опасаться проникновения злоумышленников на компьютер, то без лишних раздумий устанавливайте наиболее высокий


(High) уровень защиты для внешней сети и средний – для внутренней. Этот шаг позволит вам быть невидимым для любого человека вне вашей локальной сети и одновременно с этим пользователям внутри нее можно будет использовать общие ресурсы вашего компьютера.

В закладке «Program Control» вы можете получить доступ к контролю над любым приложением, которое хотя бы раз попыталось обратиться к ресурсам сети. К примеру, для программы обновления компонентов ACDSee можно разрешить доступ лишь к нужному ей ресурсу, отсекая ее тем самым от любых других потенциально опасных адресов. Здесь можно также изменить режим работы фильтра приложений Zone Alarm с самообучающегося (ведь именно он установлен по умолчанию) на «запрещено все, что не разрешено», при котором блокируются любые приложения, не занесенные в список доверенных.

Опций в разделе E-mail Protection всего три – это «Inbound MaiSafe Protection», «Out bound MailSafe Protection» и, соответственно, «Junk E-mail Filter». Первые две отвечают за проверку всей входящей и исходящей корреспонденции на наличие вирусов, что, конечно, весьма удобно. Единственный минус данного решения состоит в том, что оно работает лишь с тем антивирусом, который поставляется вместе с данной программой, никакие другие продукты, увы, не поддерживаются. Третья опция помогает защитить ваш почтовый ящик от различного рекламного мусора, который в любом случае приходится ежедневно удалять вручную. Если честно, то я советую использовать для борьбы со спамом другие средства, a Zone Alarm использовать по прямому назначению, т. е. как брандмауэр.

Давайте на этом закончим с брандмауэрами и перейдем к следующему пункту безопасности – антивирусам.


5.2. Антивирус

В канун нового 2005 г. аналитики и эксперты в области компьютерной безопасности, оглядываясь на минувший год и подводя его итоги, строят прогнозы. И прогнозы- эти один мрачнее другого.

В уходящем году информация о сетевых атаках, спаме, вирусах, появившихся в том числе и как продукт неутихающей борьбы в среде самих вирусописателей, не сходила с первых полос многих, и не только околокомпьютерных, изданий. Специалисты, анализируя тенденции в развитии сетевой преступности на протяжении уже прошедшего 2004 г., отмечают ее качественный и количественный рост, смену мотивации и взрывной рост возможностей, связанный с широким распространением мобильных устройств и беспроводного доступа.

Что касается наиболее популярного вида компьютерной преступности в уходящем году, то 2004 г. стал годом фишинга. Так его охарактеризовал Стив Пардэм (Steve Purdham), исполнительный директор компании «SurfControl». Его мнение разделяют многие специалисты в области компьютерной безопасности, а также ведущие разработчики. Однако дела не обстояли бы так плохо, если бы за этим ростом не просматривалась кардинальная смена мотивации сетевых преступников.

«На протяжении года мы наблюдали явное смещение акцентов в мотивах, побуждающих писать вирусы, – обращает внимание Грэм Клули (Graham Cluley), главный технический консультант компании Sophos. – Два-три года назад, вплоть до начала 2004 г., речь шла о типичной «обывательской» ментальности детей, которые пытаются причинить вред или произвести впечатление на своих сверстников».


По мнению главного менеджера группы быстрого реагирования ЕМЕА компании «Symantec» «вред и уважение среди сверстников» в качестве движущего мотива сменилось осознанием того, что фишинг, спам, шпионское ПО, вирусы и черви могут принести весьма ощутимую материальную выгоду. Именно поэтому злоумышленники начали объединять свои усилия.

Так, первые случаи фишинга не производили впечатления особенной угрозы, однако в данном случае речь шла о новом явлении, свидетельствовавшем о начале новой эры в области краж персональных данных, чему в немалой степени способствовала растущая мощь шпионского ПО и все большее количество пользователей. Несмотря на то что мошенничеству с использованием приемов фишинга уже не один год, его внезапный рост в прошедшем году свидетельствует о том, что рост числа пользователей, осуществляющих покупки и банковские операции в Сети, сделал фишинг как минимум экономически окупаемым.

Любая преступность по мнению экспертов базируется на трех фундаментальных источниках: мотиве, шансе и наличии возможности.

Рост числа пользователей, оперирующих со своими банковскими счетами через Сеть, дал преступникам отличный шанс, предоставив возможность совершения преступлений этого типа. Ведь деньги жертв – очень неплохой мотив, вы не находите? Сети для рассылки спама с помощью зараженных машин, владельцы которых и не подозревают о том, что они делают, предоставили преступникам такие возможности, что данная тема не сходила с уст специалистов по вопросам компьютерной безопасности на протяжении всего года.


Такие сети являются конечным продуктом деятельности преступного мира, специализирующегося на спаме, вирусах и троянах.

Мощь процессоров зараженных машин и наличие у них широкополосного доступа дает злоумышленникам возможность вбрасывать в Интернет массовые почтовые рассылки в невообразимых количествах. На протяжении всего года и вирусописатели, и спамеры процветали. Некоторые утверждают, что это произошло явно не без помощи организованных преступных сообществ.

Владельцы зараженных машин, сами страдающие от спама, зачастую и не подозревают о том, что сами участвуют в распространении вирусов и нежелательных почтовых рассылок.

«Теперь это большой бизнес, – констатирует Грэм Клули, – а когда в дело вмешивается бизнес, все становится намного омерзительнее». «Сети из зараженных машин являются главным механизмом доставки примерно 70 % спама и практически всего фишинга, – указывает Марк Саннер (Mark Sunner), главный технический специалист компании MessageLabs. – Причины этого вполне очевидны – отправитель писем получает возможность радикально увеличить объем рассылки, сохраняя при этом практически полную анонимность. Это весьма прельщает злоумышленников, так что мы можем полагать, что тенденция останется прежней».

Именно по причине «смычки интересов» угроза и спама, и вирусов стоит теперь как никогда остро. Растущая активность пользователей в онлайне в сочетании с перспективой появления масштабных сетей, связывающих воедино множество мобильных сетевых устройств, экспоненциально повышают уровень угрозы.


«Пока вы находитесь дома, всегда есть шанс того, что кто-либо проникнет в компьютер и причинит вред, однако это еще цветочки, – полагает Стив Пардэм. – С выходом на улицу риск возрастает».

Это справедливо и для нынешней ситуации в ИТ-безо-пасности вообще. Вполне реально обеспечить высокую степень защищенности в офисе, однако растущая мобильность пользователей и увеличение дальности действия беспроводных сетей на протяжении 2004 г. привело к тому, что безопасность уже невозможно гарантировать с уверенностью. Качественный рост мобильности пользователей, отмеченный в уходящем году, привел к исчерпанию ресурсов систем защиты и в многом обессмыслил масштабную работу по защите периметра зданий, проведенную в предыдущие годы. Возрастает негативная роль «человеческого фактора». Он и ранее присутствовал во всех сетевых атаках, однако социальный инжиниринг и подверженность человека ошибкам привели к тому, что отныне этот фактор стал ключевым. Распространение беспроводного доступа и рост потребности в нем, мобильность устройств разных типов и ставшие для специалистов в области ИТ-безопасности настоящим «воплощением зла» модули памяти, подключаемые через USB-порт, привели в совокупности к тому, что концепция обеспечения защиты по периметру осталась в прошлом.

Но даже внутри прежнего периметра безопасность становится весьма сомнительной – в частности, благодаря распространению сервисов по рассылке текстовых сообщений и пиринговых сетей. Компании утрачивают контроль над потоками данных и средствами коммуникации собственных сотрудников. Особенно наглядно продемонстрировало, что компании не имеют представления о том, что творится в их сетях, появление пробле-


мы шпионского ПО в нынешнем его объеме. Масштаб распространенности приложений, крадущих персональные и корпоративные данные – имена пользователей, пароли, персональную информацию, банковские данные, зачастую остается неизвестным простым пользователям. К тому же уровень шпионского ПО не стоит на месте – на смену программам, перехватывающим вводимые с клавиатуры символы, приходит ПО нового поколения, при каждом клике мыши или нажатии кнопки на клавиатуре копирующее изображение экрана компьютера и отсылающее его злоумышленникам.

Угрозу представляет собой не только кража критически важных данных. Обычная несекретная информация в умелых, но недобрых руках также может причинить огромный вред. По мнению специалистов MessageLabs обычные cookies и рекламное ПО, размещаемое на компьютерах пользователей заслуживающими доверия компаниями, сами по себе могут стать целью зловредных программ.

Преступный мир до такой степени поверил в свою безнаказанность, что перестает заботиться даже о сохранении скрытности. Так, от шантажа владельцев сайтов под угрозой взлома сетевого ресурса в 2004 г. особенно страдали онлайновые букмекерские конторы.

Проблема спама – это тема для отдельной книги. В 2004 г. эта напасть и невозможность справиться с ней довела, в частности, поисковую систему Lycos до эмоционального, но по-человечески понятного желания лечить «подобное подобным», предоставив своим пользователям возможность «бомбардировать» спамом тех, кто его рассылает. Очевидно, что в 2005 г. эта проблема не разрешится, а с быстрым распространением смартфонов грозит выйти на качественно новый уровень. Появление «вирусов-концептов» для мобильных телефонов в ухо-


дящем году свидетельствует о том, что над их созданием уже трудится армия вирусописателей.

Думаю, сейчас уже очевидно, что относиться наплевательски к безопасности собственных данных уже нельзя. Пострадать можно очень серьезно. И если ранее можно было проверять свой компьютер антивирусом время от времени, то сейчас совершенно ясно, что имеется необходимость серьезно подумать над антивирусной защитой вашей машины.

Рассмотрим несколько антивирусов, использование которых поможет вам в борьбе со всякой вредоносной «живностью», которая только и ждет шанса поселиться у вас на компьютере.

Какой антивирус лучше? Вечный вопрос и точка преткновения. В этом споре мы обратимся к независимым экспертам, а именно – к самому авторитетному международному изданию по тестированию вирусов Virus Bulletin. В феврале 2005 г. Virus Bulletin провел очередной «чемпионат мира» VB100 % Holders среди антивирусов. Все известные антивирусы состязались в «условиях, приближенных к боевым», на платформе Windows XP Professional. Каждому антивирусу противостояла громадная база вирусов и прочей нечисти. Все программы, которые на 100 % смогли обнаружить и обезвредить «врагов», получают награду VB 100 % award.

По итогам состязаний публикуется список антивирусов, прошедших и не прошедших испытание (в данном’ случае приводятся вирусы для платформы Windows XP Professional). He буду приводить список антивирусов полностью – кому интересно, смотрите сами: http://www.vi-rusbtn.com/vb 100/latest_comparative/index.xml. Если интересно, то можете посмотреть результаты соревнований по каждому конкретному антивирусу. Для этого перейди-


те по ссылкам «История результатов» на страницу статистики того или иного антивируса. У некоторых программ представлены результаты начиная с 1998 г. и операционной системы Windows 95. Я же остановлюсь на наиболее известных и используемых. Статус «PASS» означает, что антивирус прошел все испытания и отловил все предложенные ему вирусы. В строке «Product name» приводится название и версия тестированного продукта.

Итак, смотрим результаты тестирования антивирусов:

Alwil (Avast!)

Status: PASS

Product name: Alwil Avast! 4.5.555

Doctor Web (бывший DialogueScience)

Status: PASS

Product name: Doctor Web Dr.Web 4.32b

Eset (NOD32)

Status: PASS

Product name: Eset NOD32 1.956

H+BEDV (AntiVir)

Status: PASS Product name: H+BEDV AntiVir 6.29.00.03

Kaspersky

Status: PASS Product name: Kaspersky KAV 5.0.277

McAfee Inc. (formerly Network Associates)

Status: FAIL Product name: McAfee VirusScan 8.0.0 4415


Sophos

Status: PASS

Product name: Sophos AntiVirus 3.88.0

Symantec (Norton)

Status: PASS

Product name: Symantec SAV 9.0/0.338

Unasoft

Status: FAIL

Product name: UNA 1.83

VirusBuster

Status: PASS

Product name: VirusBuster VirusBuster 4.7.22

Как видно из результатов данного теста, большинство из современных антивирусов выдержали февральскую проверку. Очень интересно посмотреть еще историю этих проверок для каждого антивируса. Например, посмотрев историю для известного Dr. Web, мы увидим, что он достаточно часто подобные тестирования проваливает. Лично для меня это сигнал о том, что данный пакет не отличается стабильным качеством обновлений и даже имея последние обновления, я не могу быть в нем уверенным. Смотрю историю для H+BEDV (AntiVir), которым пользуюсь последний год. В последний год он явно улучшил свои показатели – до февраля 2004 г. он стабильно проваливал испытания, а последний год выправил положение.

Один из несомненных лидеров в антивирусном деле Symantec Antivirus – ни одного провала с 1999 г. А что вы хотели от качественного и недешевого продукта, да еще и бывшего детища «Norton».


А вот популярнейший в нашей стране антивирус Кас-перского стабильно проходит все испытания только с конца 2003 г. По моим собственным наблюдениям за последние полтора-два года этот антивирус превратился в настоящую машину по убийству вирусов, но рассмотрим его ниже.

Далее я расскажу понемногу о некоторых из этих пакетов. Возможно, мои суждения будут отличаться некоторым субъективизмом, но они не идут вразрез с фактическими данными вышеприведенного теста, проведенного крайне авторитетным изданием.

Я сознательно не останавливаюсь подробно на настройке этих пакетов. Описание этой настройки легко найти в Интернете, да и в большинстве случаев она достаточно интуитивна.

5.2.7. Symantec

Компания «Symantec» была создана в 1982 г. С течением времени она вобрала в себя опыт, знания и(что немало-важно) сотрудников более 17 различных компаний, среди которых такие брэнды, как «Peter Norton Computing Inc» (популярные утилиты для DOS, Windows и Macintosh); «THINK Technologies» (компиляторы THINK С и THINK Pascal для Macintosh); «Zortech Inc» (компиляторы C++ для различных платформ); «Contact Software International» (системы управления бизнес-контактами для DOS, Windows, Macintosh, Newton и HP Palmtops); «Central Point Software» (популярные утилиты для DOS, Windows и Macintosh, утилиты обслуживания сетей и антивирусы).

На сегодняшний день компания «Symantec» занимается разработкой, распространением и послепродажной сервис-


ной поддержкой большого количества прикладного и системного ПО, ориентированных как на отдельных пользователей, так и на корпоративные сети. Программные продукты компании «Symantec» признаны и широко распространены во всем мире. Марка «Symantec» в последние годы – это гарантия высокого качества продуктов. В подавляющем большинстве продукты этой корпорации возглавляют соответствующие сегменты рынка информационных технологий.

Широко известны основные достоинства продуктов «Symantec»-простота и удобство применения, мощность и многообразие возможностей. Вот почему продукты компании «Symantec» отмечены не только многочисленными престижными призами компьютерной индустрии, но и самым главным призом – признанием и уважением покупателей. Не стали исключением и антивирусные продукты этой корпорации. Рассмотрим 2 из них:

– Symantec AntiVirus(tm) Enterprise Edition 8.6;

– Symantec AntiVirus Corporate Edition 8.1.

Symantec AntiVirus Enterprise Edition – полнофунк

циональная антивирусная программа, обеспечивающая

надежную и многоуровневую защиту предприятия на

почтовых и Интернет-шлюзах, сетевых серверах и рабо

чих станциях. Кроме того, это программное обеспечение

позволяет системным администраторам блокировать не

желательные почтовые сообщения, например спам.

В программе Symantec AntiVirus Enterprise Edition используются передовые технологии и средства защиты всех уровней сети, благодаря чему ее применение позволяет избежать трудностей, связанных с построением системы защиты из разрозненных продуктов отдельных производителей. Консоль Symantec System Center, обеспечивающая централизованное управление, позволяет ИТ-специалистам без затруднений развертывать антивирусные реше-


ния, а также создавать, вводить в действие и обновлять политики безопасности, постоянно обеспечивая правильную настройку сетевых серверов и рабочих станций в масштабе всего предприятия вне зависимости от используемых платформ. Кроме того, консоль централизованного управления позволяет системным администраторам проводить аудит сети, обнаруживать незащищенные узлы, уязвимые для вирусных атак, а также определять, какие узлы защищены программным обеспечением Symantec AntiVirus Corporate Edition, McAfee(r) VirusScan(r), Trend Micro Of-ficeScan(tm), Computer Associates(r) и рядом антивирусных продуктов других производителей.

С помощью системы Digital Immune System(tm) программное обеспечение Symantec AntiVirus автоматически выполняет проверку и обнаружение новых вирусов и помещает их в изолятор, обеспечивая быструю, надежную и удобную систему защиты. Кроме того, уникальная межуровневая технология NAVEX(tm), разработанная компанией «Symantec», увеличивает время полезной работы системы и сокращает общие затраты на программное обеспечение, поскольку позволяет добавлять описания вирусов и расширения программных модулей без переустановки ПО или перезагрузки системы. Для повышения быстродействия и безопасности в новой версии программы используются файлы описаний вирусов уменьшенного размера и применяется многопоточная установка на серверы. Кроме того, получившие заслуженное признание программные средства «Symantec» совместимы с Windows(r) 2003, Netware(r) Secure Console и с 64-разрядным оборудованием Intel(r) Itanium(tm) 2, что позволяет внедрять на предприятии новейшие технологии, не нарушая его безопасности. Поддержку Symantec AntiVirus Enterprise Edition, как и всех программных продук-


тов Symantec, осуществляет «Symantec Security Response» – организация, занимающаяся исследованиями и обслуживанием пользователей в сфере Интернет-безопасности и являющаяся мировым лидером в этой области.

Symantec AntiVirus Corporate Edition предоставляет расширяемые, независимые от платформы средства антивирусной защиты для рабочих станций и сетевых серверов в масштабах предприятия.

Усовершенствованные функции безопасности в сочетании с централизованным управлением политиками позволяют системным администраторам создавать логические группы серверов и рабочих станций. Кроме того, администраторам предоставляются возможности разработки и применения политик безопасности, а также блокирования доступа к политикам и параметрам, что позволяет своевременно обновлять системы и поддерживать их правильную настройку.

Консоль централизованного управления позволяет системным администраторам проводить аудит сети, обнаруживать незащищенные узлы, а также определять, какие узлы защищены антивирусным программным обеспечением Symantec AntiVirus Corporate Edition, Computer Associates, McAfee, Panda, Sophos или Trend Micro. Это дает ИТ-специалистам возможность эффективно защитить узлы сети, прежде чем с ними что-либо произойдет, что в свою очередь гарантирует работоспособность систем и продуктивность работы пользователей.

В продукте Symantec AntiVirus Corporate Edition заложен механизм реагирования на вирусные инфекции, использующий предоставляемые компанией «Symantec» данные и обеспечивающий быстрые, надежные и удобные средства обнаружения вирусов, анализа их поведения и лечения поврежденных файлов. Даже при максимальном на-


плыве пользователей во время «эпидемии» разработанная корпорацией «Symantec» масштабируемая архитектура гарантирует быструю доставку всех описаний вирусов, требуемых для обеспечения полной защиты.

С помощью проводимой по запросу в масштабах всего предприятия сплошной антивирусной проверки, команда на проведение которой отдается с центральной консоли управления, достигается быстрая и эффективная нейтрализация вирусов на всех зараженных клиентских ПК и серверах сети.

Единый расширяемый модуль NAVEX с функциями антивирусного осмотра и лечения позволяет развертывать новые описания вирусов и модули расширения, не перезагружая сервер и не устанавливая приложения повторно. В результате увеличивается время бесперебойной работы системы и снижаются затраты на программное обеспечение.

Для повышения быстродействия это программное обеспечение работает с файлами описаний вирусов меньшего размера, а также использует многопоточную установку описаний на серверы. Технология LiveUpdate(tm) повышает степень безопасности, предоставляя системным администраторам возможности автоматического обновления описаний вирусов, включая обновление устаревших описаний.

Пользующееся заслуженным признанием программное обеспечение Symantec совместимо с Windows(r) Server 2003, Netware(r) Secure Console и с 64-разрядным оборудованием Intel(r) Itanium(tm) II, что позволяет внедрять на предприятии новейшие технологии, не нарушая его безопасности.

От себя рекомендую ставить именно Symantec AntiVirus Corporate Edition 9. Очень удобная, универсальная


и достаточно простая система. Может работать как в варианте с антивирусным сервером, так и на отдельно стоящей машине. Единственное, что посоветую от себя, – это отключить систему Live Update.

Из одного инсталлера может ставиться как сервер, так и как клиент. Если ставите на отдельно стоящую машину, то ставьте клиент – обновления значительно меньше по объему, а качать их для обеспечения хорошей антивирусной защиты нужно достаточно регулярно (хотя бы один раз в 2 недели). Если ставите клиент без сервера, то обязательно отметьте опцию «Unmanaged» при установке, тогда ваш антивирус не будет хотеть соединиться с сервером.

5.2.2. «Лаборатория Касперского»

«Лаборатория Касперского» значительно младше корпорации «Symantec». Она была основана в 1997 г. Сегодня это без преувеличения самый известный в России разработчик широкого спектра программных продуктов для обеспечения информационной безопасности: систем защиты от вирусов, спама и хакерских атак. «Лаборатория Касперского» эффективно работает на международном рынке. Центральный офис находится в России, открыты представительства в Великобритании, Франции и США (Калифорния).

Так как современные вредоносные программы – это сложные многофункциональные системы, глубоко интегрированные в Интернет, традиционных антивирусных средств уже недостаточно для обеспечения надежной защиты от внешних угроз. Поэтому «Лаборатория Касперского» разработала персональный межсетевой экран Kaspersky(r) Anti-Hacker и уникальный комплекс фильтрации спама для сетей средних и малых масштабов Kaspersky(r) Anti-Spam.


Клиенты «Лаборатории Касперского» обеспечиваются широким спектром дополнительных услуг, гарантирующих бесперебойную работу продуктов и точное соответствие любым специфическим бизнес-требованиям.

Антивирус Касперского(г) Personal Pro разработан специально для опытных пользователей. Он обеспечивает полномасштабную защиту всех приложений и содержит новые уникальные компоненты и технологии.

Антивирус Касперского(г) Personal Pro постоянно контролирует все источники проникновения вирусов: электронную почту, Интернет, дискеты, компакт-диски и т. п. Программа не допустит присутствия вирусов ни в одном из возможных мест, включая системную память, загрузочные сектора, файлы и почтовые базы. Решение также содержит уникальные технологии защиты документов формата MS Office. Вирусы, находящиеся внутри архивированных и упакованных файлов, часто просто «невидимы» для антивируса. Антивирус Касперского Pro производит проверку архивированных и упакованных файлов более 900 версий, а также лечит файлы в архивах форматов ZIP, CAB, RAR, ARJ. Кроме того, программа позволяет обнаружить вирусную программу даже в файле, подвергавшемся сжатию несколько раз.

Антивирус Касперского(г) Personal Pro защищает компьютер в режиме реального времени, проверяя все файлы непосредственно в момент их запуска, создания или копирования. Антивирус Касперского(г) Personal Pro дает возможность проводить полномасштабную проверку всего содержимого локальных дисков по требованию пользователя или автоматически по расписанию.

Программа работает и с электронной почтой, автоматически проверяя все входящие почтовые сообщения на присутствие вирусов до их поступления в почтовый


ящик и при необходимости осуществляя лечение. Исходящие сообщения также подвергаются проверке в режиме реального времени. Кроме того, программа позволяет проверять почтовые базы различных почтовых клиентов, а также осуществлять лечение в почтовых базах MS Outlook и Outlook Express по требованию. Наиболее тесная интеграция с почтовым клиентом The Bat!.

Антивирус Касперского(г) Personal Pro обеспечивает постоянный контроль над выполняемыми макросами в документах формата MS Office, пресекая все подозрительные действия. Это дает полную защиту практически от любых макровирусов, в том числе неизвестных, не оставляя им ни единого шанса нанести вашему компьютеру вред.

Антивирус(г) Касперского Personal Pro – мощный барьер против потенциально опасных программ, предназначенных для удаленного наблюдения и управления компьютером, но не классифицируемых как вирусы. Это достигается за счет существенного расширения набора баз данных, определяющих программы класса riskware.

В общем и целом данный продукт наших отечественных разработчиков не уступает в эффективности западным коллегам, а по моим личным наблюдениям превосходит абсолютное большинство из них. Эффективность этого пакета, даже настроенного по умолчанию, просто потрясает. «Каспер» имеет в своем распоряжении настолько мощный механизм эвристического анализа, что часто обнаруживает новейшие вирусы со старыми базами.

Обновления – это отдельная песня. Они выходят каждый день. Если качать ежедневные обновления, то объем их – всего несколько килобайт (у каждого). Раз в один-два месяца выходят кумулятивные обновления, которые включают в себя всю базу целиком. Они более объемные. Команда, работающая над этими обновления-


ми, работает очень оперативно. Почти каждый новый вирус заносится в базу в течение суток, а иногда и часов.

Ну и как всегда, в этой бочке меда есть основательная ложка дегтя! При всей своей мощности, эффективности, русифицированности и интуитивности интерфейса этот пакет ужасно тормозит систему. Работа при включенном мониторе этого пакета даже на очень мощном компьютере меня сильно нервировала. Несмотря на все уверения, что новая версия этого антивируса будет очень быстрой, этот антивирус, пожалуй, самый жадный до компьютерных ресурсов. Вот она, расплата за мощнейший эвристический анализ и тщательность проверки файлов. Также у этого пакета, судя по всевозможным тестам, самое большое время проверки файлов.

Еще одна отличительная черта этого пакета – исключительная живучесть и плохая система удаления, которая иногда срабатывает правильно, а иногда просто не работает. Вычистка из системы этого антивируса вручную – занятие муторное и достаточно сложное.

Наверное, учитывая все вышесказанное, нужно рекомендовать использовать этот пакет только в случае крайней необходимости, т. е. при очень высокой опасности заражения системы вирусами или для проверки больших массивов архивов раз в месяц.

5.2.3. H+BEDV AntiVir Personal Edition

Данный антивирус далеко не «самый-самый». Лидером продаж никогда не был. Поместил я его в этот обзор, для того чтобы показать, чего можно добиться в антиви-русостроении, если четко знать, что ты хочешь получить в итоге. А получился добротный и шустрый антивирус,


который в последний год заменил у меня на домашнем компьютере неповоротливого, хотя и мощного, «Каспера».

AntiVir Personal Edition производства небезызвестной «H+BEDV Datentechnik GmbH». Работает под всеми версиями Windows. Одним из его неоспоримых достоинств является его бесплатность. Если все предыдущие антивирусные пакеты стоят денег, да еще и немалых, то персональная версия AntiVir Personal Edition совершенно бесплатна. Вот ссылка на сайт производителя, где можно скачать программу и обновления к ней: http://www.free-av.com/.

Единственное неудобство этой программы, что обновления у нее достаточно «увесистые», но не больше обновлений к Symantec.

Но не только это привлекает к нему внимание многочисленных поклонников. Помимо бесплатности, он еще определяет и удаляет вирусы и троянские программы, имеет хорошо сделанный и отлаженный эвристический анализатор для поиска и удаления макровирусов.

Лично мне нравится его небольшой размер и скромное отношение к системным ресурсам. При всем при этом он отлично справляется со своей прямой задачей, а именно – с отловом вирусов и другой мерзости.

Антивирус резидентно висит в памяти, сканируя все, к чему обращается пользователь, но его можно запустить и для полного сканирования системы. Также у него есть достаточное количество настроек, стандартных для антивирусов. Надо сказать, что у «H+BEDV Datentechnik» есть еще коммерческая версия антивируса, но она, естественно, платная.

Еще этот антивирус привлекает лично меня тем, что его настройки по умолчанию подходят для большинства пользователей. Например, при «накачивании» софтом


машины своих знакомых я ставлю свежую версию этой программы и даже не лезу в настройки. Не помню, чтобы за последние полгода у кого-то были проблемы с вирусами или с самой программой.

Обновления лучше всего производить, скачивая полный инсталлят с сайта производителя, так как движок этого антивируса постоянно переписывается, а обновления пишутся уже под формат нового движка. Это около 4 мегабайт. Перед обновлением обязательно удалите предыдущую версию. Она удаляется очень просто и безболезненно, в отличие от вышеописанного монстроподобного Касперского.

ь

5.3. Критические обновления

Существует класс программ, без которых не сможет обойтись ни один пользователь. Эти программы называются операционными системами. Пожалуй, самыми популярными на данный момент являются операционные системы из «конюшни» компании «Microsoft» – системы семейства Windows (Windows 9x, Windows 2000, Windows XP и т. д.).

К сожалению, как бы не были совершенны языки программирования, при помощи которых создаются те или иные программы, избежать мелких недочетов и неточностей при таких объемах работы практически невозможно. Часто подобные недочеты и неточности могут привести к сбою в работе той или иной программы, а иногда к утечке важной информации.

После того как программный продукт выпущен на рынок, часто выясняется, что в программном продукте имеются ошибки, причем иногда очень серьезные. Чем отзывать назад все экземпляры проданного программного продукта, намного проще и удобнее выпустить некий пакет исправ-


лений, который лечит обнаруженную ошибку. Такое положение характерно не только для насквозь коммерциализированной компании «Microsoft» с ее семейством «Виндо-вых». Такие же обновления регулярно выпускаются практически для всех существующих операционных систем.

Естественно, что такими «дырами» с успехом пользуются хакеры, или вирусописатели. Не стоит полагаться только на брандмауэр, отсекающий попытки врагов поживиться вашими данными. В самих брандмауэрах с периодичностью, наводящей на печальные мысли, находят такие «дыры».

Информацию о том, что выпущен тот или иной пакет исправлений, можно найти на домашней веб-странице компании, выпускающей данную операционку, в Интернете или получить по электронной почте, если вы подписаны на новости этой компании. Для получения полной информации о том, какие «критические обновления» установлены на вашем компьютере (при условии, что у вас на машине стоит Windows, а не что-то другое) и какие необходимо установить, нужно подключиться к Интернету и зайти по определенному адресу в нем, используя веб-браузер (Internet Explorer). Либо нажать кнопку «Пуск» («Start») и выбрать пункт меню «Windows Update», после этого автоматически запустится веб-браузер и загрузится необходимый адрес в Интернете.

Компания «Microsoft» уже выпустила достаточно много программных продуктов. По этой причине на любом компьютере может быть установлена любая из операционных систем, это может быть и Windows 98, а может и Windows ХР на русском языке или на английском. И для каждой из операционных систем имеется свой пакет «критических обновлений». К счастью, технологии, используемые на веб-сайте «Microsoft», избавляют пользователя от поиска нужных ему «критических обновлений», все будет сдела-


но за него. Просто необходимо будет выбрать, какое из обновлений требуется скачать и установить. Более того, если у вас установлена операционная система на русском языке или в качестве системного языка используется русский язык, то краткое описание того или иного пакета «критических обновлений» и весь внешний вид на вебсайте «Microsoft» будет на русском языке.

Если вы впервые посещаете веб-сайт, где находятся все обновления и заплатки, то вам будет предложено установить более новую версию программы, которая осуществляет поиск, закачку и установку «критических обновлений». В этом случае появится дополнительное’ окно, которое попросит вас установить новую версию «Windows Update», в этом окне необходимо нажать кнопку «Yes» («Да»). Лично я предпочитаю не пользоваться автоматикой. Просто в системе Windows она слишком навязчива и считает себя умнее пользователя, а на деле сплошь и рядом выходит совсем наоборот.

Если вы все-таки решите обновлять все автоматически, то, после того как новая версия «Windows Update» установится, в Internet Explorer’e необходимо нажать «Просмотр и поиск обновлений» и перейти к поиску необходимых «критических обновлений».

После этого будет запущен процесс сканирования вашего компьютера. Будет определено, какие «критические обновления» уже установлены, а какие – отсутствуют и требуют установки. Необходимо дождаться окончания этого процесса! Это может занять несколько минут в зависимости от того, какова скорость вашего Интернет-соединения. После этого перед вами появится отчет, в котором будет присутствовать список «исправлений» с кратким описанием каждого из них.


Часто пакет «критических обновлений» занимает довольно большой объем, а в сумме объем всех предлагаемых для установки «исправлений» может быть довольно большим. Поэтому для начала можно ограничиться скачиванием и установкой только некоторых из них, к примеру двух или трех. Остальные можно пока не скачивать. Для этого нажмите на кнопку «Удалить» («Delete») внизу блока, в котором описывается тот или иной пакет «исправлений».


Обратите внимание на цифры чуть выше блока описания, которые показывают объем выбранных вами для скачивания «критических обновлений». Эти цифры будут уменьшаться каждый раз, как вы удаляете из списка какое-нибудь из «исправлений». После того как вы выбрали какие-то из «критических обновлений» и вы хотите скачать и установить их на ваш компьютер, необходимо нажать на кнопку «Установить». После этого выйдет окно «Лицензионного соглашения». Чтобы запустить процесс скачивания и установки выбранного вами пакета исправлений, необходимо нажать кнопку «Я согласен» («I agree»). Теперь необходимо дождаться окон-


чания этого процесса. Вполне вероятно, это может занять довольно длительное время, в зависимости от того, какова скорость’ вашего соединения с Интернетом.

После успешной закачки и установки выбранных об-новлений вам будет предложено перезагрузить компьютер. Это необходимо сделать, для того чтобы произведенные исправления вступили в силу. Для этого нажмите кнопку «Ок», и ваш компьютер перезагрузится самостоятельно.

Для того чтобы полностью обеспечить безопасность вашей информации и обеспечить максимальную эффективность работы вашей операционной системы, придется установить все предлагаемые «критические обновления и исправления». Для этого необходимо повторить весь процесс сначала, т. е. зайти на веб-сайт компании «Microsoft», нажав кнопку «Пуск» («Start») и выбрав «Windows Update», произвести сканирование вашего компьютера, выбрать из списка необходимые «критические обновления», скачать и установить их на ваш компьютер.

Если вы, как и я, не доверяете автоматике скачивать для вас обновления, а хотите иметь дистрибутив обновления, то милости просим на Microsoft Security Bulletin Search no адресу: http://www.microsoft.com/technet/security/current.aspx?productid= 180 amp;servicepac-kid=0 amp;submitl=go amp;isie=yes.

Здесь, выбрав из длиннющего выпадающего списка систему или программу от «Microsoft», вы можете выбрать, среди каких обновлений вы желаете искать. Все обновления здесь разбиты на четыре группы по степени важности: Critical (Критические), Important (Важные), Moderate (Средние), Low (Низкие). Я обычно качаю только критические и важные. Просто нет столько времени качать это все. Обычно этого хватает.


Помните, что время от времени, хотя бы один или два раза в месяц, необходимо посещать веб-сайт компании «Microsoft», для того чтобы контролировать появление новых «критических обновлений». Это поможет вам не оставить ни одной лазейки в безопасности вашего компьютера.

Глава 6. Защита данных на компьютере

Ужасно обидно, когда из-за хакерской атаки виснет компьютер или гибнет операционная система. Обидно, но в большинстве случаев несмертельно. Операционная система переустанавливается с дистрибутива. На машину заливается весь софт (дистрибутивы всегда должны быть под рукой). А может, вы заранее приготовили «образ» диска вашей системы с большинством необходимых вам программ и теперь восстановление занимает у вас минут 15-20, не более?

Гораздо хуже, когда в результате таких атак погибают или крадутся данные. Вот тут уже дело хуже. Конечно же все критические данные должны быть скопированы на отдельные носители и эти копии должны постоянно обновляться. Но дело в том, что злоумышленники могут украсть ваши данные с этих носителей. Это может произойти, даже если машина не подключена к сети, а стоит в офисе или дома. Носители информации могут быть украдены физически. Сам компьютер может быть украден. Тогда вся информация, содержавшаяся на украденных носителях, станет достоянием злоумышленников…

Но есть способы не допустить этого или по крайней мере предельно затруднить извлечение конфиденциальной информации при таких условиях. Информация долж-


на быть шифрована и закрыта паролем – это самый простой и надежный способ.

На данный момент имеются различные системы шифрования данных и способы идентификации пользователя. Они бывают аппаратные или программные. Аппаратные предполагают приобретение дополнительных программно-апппаратных комплексов для осуществления шифрования. Такие устройства стоят весьма ощутимых денег и вряд ли подходят для таких целей дома или в небольшой фирме (разумеется, если вы не занимаетесь разработкой ракетного оружия или не держите у себя сведения о золоте инков). Так что остановим наш выбор на чисто программных системах шифрования и аутентификации пользователя.

Системы шифрования применялись со стародавних времен. Огромное количество информации, не предназначенной для чужих глаз, передавалось в кодированном виде. Параллельно оттачивалось и искусство декодирования… Сейчас с применением математических алгоритмов шифрования криптология (наука о шифровании) вышла на качественно иной уровень.

Сохранить что-либо важное в секрете – большая проблема. Бумаги с вашего стола могут запросто прочитать, а папки на сервере – просмотреть, внедрив вирус на компьютер секретаря. В этом смысле самыми надежными хранителями конфиденциальной информации являются зашифрованные виртуальные диски.

Под понятием «виртуальный диск» подразумевается некое специально выделяемое пространство на винчестере, физически представляющее собой файл-контейнер. При помощи программы, которой он был создан, контейнер можно «монтировать» к операционной системе в качестве обычного логического диска.


Работа с подобным диском ничем не отличается от работы с обычными накопителями. Единственное отличие заключается в том, что виртуальный привод несколько медленнее настоящего. Это обусловлено процессом шифрования файлов, который происходит во время их записи на виртуальный диск, и процессом дешифровки – соответственно, при считывании.

Еще одно преимущество виртуального диска перед другими методами защиты данных заключается в том, что файлы дисков можно переносить с компьютера на компьютер с помощью различных носителей и можно делать их резервные копии на тех же носителях, причем защита их от этого не страдает.

Рассмотрим несколько таких программ и сравним их.

6.1. BestCrypt

Версия: BestCrypt 7.11 Адрес в Интернете: http://www.jetico.com/ Одна из самых известных у нас в стране программ для создания виртуальных шифрованных дисков BestCrypt работает с несколькими алгоритмами, с помощью которых создаются ключи пользователей и выполняется шифровка/дешифровка данных. Если в предыдущих версиях программы использовался алгоритм DES, имеющий длину ключа 56 бит, то в текущей версии применяется более продвинутый AES, у которого это значение составляет 256 бит. Помимо стандарта AES, программой поддерживается и российский алгоритм, соответствующий ГОСТу 28147-89. Поддерживаются также алгоритмы Blowfish и Twofish. При желании пользователь может самостоятельно определить алгоритм, который будет использоваться в программе по умолчанию.


Контейнеры могут создаваться как на локальных, так и на сетевых дисках. Доступ к такому диску можно открыть для нескольких пользователей. При этом совсем не обязательно раздавать всем один и тот же пароль: в программе предусмотрена возможность назначения дополнительных паролей доступа.

Для удобства работы можно создать группы дисков. Контейнеры в них могут объединяться, например, по типу содержащейся в них информации. Для более надежной защиты данных имеется возможность создания защищенного диска внутри уже имеющегося. При создании такого вложенного контейнера для- него можно использовать иной алгоритм шифрования и независимый пароль. В этом случае скрытый контейнер не будет виден в окне Проводника, а содержимое неподключенного контейнера просмотреть не удастся. Предусмотрена и защита от удаления контейнера – утилита Container Guard Utility. Без знания пароля удалить файл виртуального диска не получится. Естественно, защищенными оказываются только контейнеры, находящиеся на компьютере с установленной программой BestCrypt. Контейнеры же, расположенные на сетевых ресурсах, удалить труда не составляет.

На нынешний момент начиная с седьмой версии в программе появилась возможность шифрования файла подкачки операционной системы.

6.2. Dekart Private Disk

Версия: Dekart Private Disk 2.04 Адрес в Интернете: http://www.dekart.com Простой и понятный интерфейс позволяет быстро освоить работу с данной утилитой. В главном окне про-


граммы три основных закладки: «Disk», «Options» и «Recovery». На первой расположены основные органы управления защищенным диском, посредством «Options» можно получить доступ к настройкам программы, a «Recovery» содержит средства для восстановления данных.

Для создания нового виртуального диска нужно перейти на вкладку «Disk» и выбрать соответствующую опцию. В открывшемся окне будет предложено указать размер будущего тома (следует помнить, что в дальнейшем его нельзя будет изменить), его тип (съемный, скрытый, только для чтения), имя диска, место его размещения и букву, под которой он будет отображаться. Потребуется также ввести пароль для доступа к информации. Ограничение- для пароля только одно – он должен содержать не менее пяти символов.

С помощью программы можно создавать резервные копии защищенных дисков, которые при этом будут еще и архивироваться, и впоследствии восстанавливать данные из них. Кроме того, можно сохранить в вид’е отдельного файла ключ шифрования. При помощи него можно будет расшифровать защищенный диск даже в том случае, если вы забыли пароль. Файл, в котором хранится ключ, для надежности можно зашифровать так же, как и основной контейнер.

Среди настроек программы можно выделить возможность автоматического подключения зашифрованных дисков при старте компьютера и присвоение виртуальному диску определенной буквы (на разных компьютерах диск будет обозначаться строго той буквой, которая была присвоена ему при создании, а не той, которую выдаст ему операционная система).


6.3. «Индис»

Версия: «Индис» 2.1

Адрес в Интернете: http://www.lancrypto.com

«Индис» использует для шифрования дисков несколько алгоритмов с высокими скоростными показателями, и пользователь имеет возможность самостоятельно выбирать, с каким из них работать. Например, «Веста4» на компьютере Pentium II с частотой 400 МГц обеспечивает обработку более одного гигабайта данных в секунду. Среди используемых алгоритмов нет тех, которые приняты в качестве государственных, но стоит сказать, что используемый алгоритм «Веста2» принят в качестве стандарта газовой отрасли России.

В начале работы необходимо создать секретный ключ, который будет использоваться для доступа к диску и шифрования данных. Сохранить его можно на различных носителях – на диске в виде файла, на USB Token, устройствах USB iKey и т. п. Созданные ключи можно переносить с одного носителя на другой, делать их резервные копии, защищать паролем. Владелец диска (администратор) может предоставить доступ к нему и другим пользователям, работающим с программой, на основе их личных ключей.

Помня о том, что во время работы конфиденциальная информация из оперативной памяти может перекочевать в файл подкачки, разработчики «Индис» снабдили свое детище функцией кодирования данных при их отправке в SWAP-файл и его очистки при выходе из приложения.

Стоит отметить опцию гарантированного удаления файлов. После ее включения в настройках программы все файлы, которые удаляет пользователь, не подлежат восстановлению. Опцию дублирует пункт «Удалить без-


возвратно», который появляется в контекстном меню Проводника после установки «Индис».

Как и положено, в программе есть возможность резервного копирования данных. Копия зашифрованного диска может создаваться в момент его подключения/отключения или же просто с установленной периодичностью.

6.4. Paragon Encrypted Disk

Версия: Paragon Encrypted Disk 2.0

Адрес в Интернете: http://www.encrypted-disk.com

Программа Paragon Encrypted Disk располагает незатейливым интерфейсом и может работать в качестве системного сервиса, никак не напоминая пользователю о своем присутствии. Ту часть программы, которая отвечает за создание виртуального диска (Encrypted Disk Manager), запускать придется крайне редко: после того как диск создан, доступ к его настройкам можно получить, щелкнув по нему правой кнопкой мыши в Проводнике Windows и выбрав из появившегося контекстного меню пункт «Properties».

Как и предыдущие программы, Paragon Encrypted Disk создает файлы-контейнеры, которые можно размещать на различных носителях и переносить с одного компьютера на другой. Шифрование данных осуществляется с помощью ключа (по умолчанию для его хранения используется дискета) либо пароля. Существенный минус – ключевой файл не защищается паролем, поэтому, выкрав его, злоумышленник сможет получить доступ к информации, размещенной на зашифрованном диске.

Для шифрования данных используется один из двух всемирно известных алгоритмов – Blowfish с 448-битным ключом или Triple DES с 192-битным. Созданные файлы-


контейнеры могут автоматически подключаться в качестве логических дисков при старте системы. На виртуальные диски можно установить атрибут «только для чтения», что удобно в том случае, когда владелец диска хочет разрешить доступ к информации другим пользователям.

6.5. Steganos Security Suite

Версия: Steganos Security Suite 7.0.9 Адрес в Интернете: http://www.steganos.com Steganos Security Suite – это комплект из семи утилит, которые предоставляют разнообразные возможности по защите информации. Но, поскольку нас в контексте данной статьи интересуют только возможности программы по созданию зашифрованных дисков, остановимся на одной из них – Steganos Safe. Размер дисков, создаваемых этой программой, должен быть не меньше 10 Мбайт. Для шифрования информации используется алгоритм AES с размером ключа 256 бит, причем скорость шифровки/дешифровки достаточно велика.

При создании нового диска, естественно, требуется задать пароль доступа к нему. Особенность Steganos Safe заключается в том, что она располагает перечнем обще-употребимых слов, которые опасно использовать в качестве ключа. Если введенное вами слово или выражение попадает в этот «черный список» либо состоит из одних лишь цифр, программа выдаст предупреждение о плохом качестве выбранного пароля.

В комплекте программ Steganos Security Suite есть еще одна утилита, предназначенная для сохранения файлов в защищенных хранилищах на CD-R/RW, DVD и различных картах памяти. После того как виртуальный диск создан


и для него задан пароль, в указанной пользователем директории появится папка «Portable Safe package files». Когда диск скомпонован, запускается процесс его кодирования. После этого в папке «Portable Safe package files» сохраняются файл-контейнер виртуального диска и утилита, при помощи которой его можно монтировать на другом компьютере.

6.6. Zdisk

Версия: Zdisk

Адрес в Интернете: http://www.securit.ru

Наконец, еще одна программа, обеспечивающая создание зашифрованных логических дисков, – это Zdisk. Основной ее отличительной особенностью является то, что размер диска может быть увеличен даже после его создания.

Единственное дополнительное требование для работы с программой – наличие USB-порта. Он потребуется для подключения электронного ключа (iKey 1000) или устройства для чтения смарт-карт (ACR30S). Они понадобятся для хранения ключей шифрования и доступа. Программу Zdisk можно установить на нескольких компьютерах без нарушения лицензионного соглашения – вот только ключ как был, так и останется один на всех.

Для того чтобы начать работать с программой, кроме нее, у вас должен быть либо электронный ключ, либо смарт-карта (в комплект поставки входит один из этих компонентов). Во время установки потребуется выбрать устройство, с которым вы будете работать, и программа установит соответствующий драйвер. После этого при помощи «Мастера первого шага» будет произведена генерация личного ключа. При этом будет создана и его резервная копия.


Процесс создания диска делится на несколько этапов. На первом выбирается существующий логический диск, на котором будет создан файл-контейнер, указывается, будет ли диск автоматически подключаться при старте системы. На втором этапе указывается его размер. Здесь имеется несколько вариантов. Можно указать размер в мегабайтах или в процентах от свободного места на диске-носителе. Размер виртуального диска может быть ограничен объемом свободного пространства, которое должно остаться на логическом диске после его создания. Также можно установить максимальный размер, до которого новый диск может быть расширен.

При следующих шагах создаются пароли и ключи доступа. Сначала основной пароль, который вы будете использовать для подключения к диску. В качестве алгоритма шифрования предлагается использовать собственный алгоритм Zdisk с длиной ключа 128 бит. И под конец вам опять-таки придется принять участие в формировании рабочего ключа создаваемого диска.

Также можно настроить процедуру резервного копирования диска. Этот процесс может выполняться как в ручном, так и в автоматизированном режиме по индивидуальному алгоритму для каждого виртуального

диска.

В программе есть возможность создать пароль, ввод которого приведет к уничтожению ключа и, как следствие, отказу в доступе к информации на защищенном диске-контейнере. Такая функция пригодится в случае, если есть опасение, что вас против желания заставят открыть доступ к информации.

Стоит упоминания и такая функция, как «Красная кнопка». При нажатии определенной комбинации горячих клавиш отключаются все виртуальные диски.


6.7. WinRAR

Версия: WinRAR 3.42

Адрес в Интернете: http://rarlab.com/

Как ни странно, в этот обзор попал и этот известный архиватор. Дело в том, что если вы хотите скрыть инфор-мацию не от профессиональных взломщиков криптоло-гических систем, а просто от окружающих, то достаточ-но заархивировать эти данные и защитить паролем. Даже такая защита затруднит доступ к вашим данным, особенно если пароль будет достаточно длинным и не-предугадываемым, так как обычно такие архивы лома-ются перебором пароля.


Учебно-методическое издание Данилов Павел Петрович

хакинг

И АНТИХАКИНГ

Краткие инструкции для новичков

Книга издается в авторской редакции

Корректор Шушакова Е. Ю. Оригинал-макет Колтуков Р. О.

Познакомиться с книгами издательства вы можете на сайте www.aquarium-zoo.ru. По вопросам оптового приобретения книг

издательства ООО «Аквариум-Принт»

обращаться по e-mail: zooknigi@aquarium-zoo.ru,

Редакция: aquarium@aquarium-zoo.ru

ISBN 5-98435-320-2

Сан. -эпид. закл. № 77.99.24.953.Д.000063.01.05

от 13.01.2005 г.

Подписано в печать с оригинал-макета 26.02.2005 г. Формат 84 х 108 1 /32- Бумага газетная. Печать офсетная. Гарнитура «Peterburg». Усл. печ. л. 6,72. Уч.-изд. л. 5,5. Тираж 5000 экз. Заказ № 1386.

105066, г. Москва, Ольховская ул., д. 16, стр. 6.

Издательство ООО «Аквариум-Принт»

Тел./факс (095) 974-10-12.

Отпечатано в полном соответствии с качеством

предоставленных материалов в ОАО «Дом печати – ВЯТКА».

610033, г. Киров, ул. Московская, 122.


12


Загрузка...