`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Microsoft Antispyware: первая попытка

0 
 
Действительно, проблеме spyware в 2004 г. было уделено огромное внимание. Прежде всего, несколько независимых исследований продемонстрировали всю ее серьезность: все-таки 67% зараженных Windows-компьютеров и в среднем около 30 программ-шпионов на каждом из них -- очень много даже для нынешнего IT-сообщества, привыкшего к вирусам, "червям" и прочей киберзаразе. Конечно, не все они одинаково опасны (в классификации впору запутаться даже профессионалу в области безопасности), однако подобная массовость сама по себе свидетельствует о том, что немало модулей устанавливаются без ведома пользователя, а значит, в перспективе можно ожидать буквально чего угодно. Соответственно, рынок Antispyware-продуктов становится все более заманчивым, неслучайно в 2004 м на него вышли сразу несколько крупных игроков вроде McAfee и Computer Associates, и еще больше -- рангом пониже типа iolo и пр.

Microsoft Antispyware первая попытка
Microsoft Antispyware -- достаточно продвинутая программа, обладающая в числе прочих функциями обновления и самодиагностики
Принципиально, однако, что вина за пандемический характер spyware фактически ложится на Microsoft, оставляющую (пусть и с благими намерениями) в своих приложениях слишком много потенциальных лазеек. И компания, конечно, вынуждена реагировать на данную ситуацию, хотя первоначально какие-то конкретные меры планировались лишь в Longhorn. Возможно, к принятию другого решения подтолкнуло удачное стечение обстоятельств -- не суть важно, гораздо интереснее понять, почему выбор Microsoft пал именно на Giant.

С маркетинговой точки зрения все совершенно очевидно -- небольшая, малоизвестная, но перспективная компания. А с технической? Давайте разберемся. Antispyware -- вполне сложившийся класс программного обеспечения, популярный и достаточно "наукоемкий", похожий, по большому счету, на антивирусы. Действительно, в отличие от персональных брандмауэров (которые предназначены для решения схожих задач), Antispyware-программы ищут шпионские модули по формальным признакам -- тем же файловым сигнатурам, характерным записям в реестре и пр. Соответственно, устроить между ними соревнование не так уж сложно, и с этим делом вполне успешно справились, к примеру, авторы сайта spywarewarrior.com. Стоит ли удивляться, что в вопросах поиска spyware лучшие результаты продемонстрировал именно продукт Giant?

Естественно, множество энтузиастов тут же кинулись перепроверять эти результаты. Скажем, довольно познавательно попеременно запускать друг за другом Microsoft Antispyware и самые популярные программы вроде Ad-aware или Spybot Search & Destroy. В соответствии с данными одного из таких исследований каждый из продуктов был вынужден устранять недоделки своих конкурентов, оставлявших отдельные компоненты или целиком неизвестные им виды spyware, однако наиболее чисто опять же работал именно продукт Microsoft/Giant.

Здесь, правда, нужно четко понимать, что текущее положение дел необязательно однозначно характеризует подобные приложения -- это особенно хорошо демонстрирует Virus Bulletin, в тестированиях которого практически каждый антивирус периодически дает осечки. По-видимому, подобные соревнования необходимо регулярно проводить и для продуктов класса antispyware. Разумеется, Microsoft Antispyware имеет встроенный модуль AutoUpdater, способный периодически обновлять информационную базу программы без вмешательства пользователя -- за время нашего непродолжительного знакомства с текущей бета-версией это происходило уже трижды. Более того, еще Giant попыталась организовать своих клиентов в некое сообщество единомышленников, обменивающихся информацией через сайт SpyNet, и Microsoft сохранила эту практику. С разрешения пользователя на SpyNet отправляются данные о новых подозрительных объектах, которые программа не в состоянии самостоятельно распознать, -- по мере накопления на их основе уточняются алгоритмы Microsoft Antispyware.

Microsoft Antispyware первая попытка
Программа впечатляет количеством "контрольных точек", каждая из которых отвечает за потенциальную лазейку
Естественно, как и в случае с антивирусами, одного поиска по сигнатурам и другим формальным признакам недостаточно. Именно поэтому, скажем, ценятся персональные брандмауэры, пытающиеся взять под контроль используемые spyware коммуникационные каналы, -- они, впрочем, также не идеальны, особенно когда речь заходит о всевозможных встраиваемых модулях. Потому Microsoft Antispyware, как и другие качественные программы данного класса, имеет и резидентную защиту, причем, на наш взгляд, этот модуль также один из лучших.

Вернее, это даже не модуль, а набор так называемых "агентов", каковых пока насчитывается три -- Internet, System и Application. Каждый из них, в свою очередь, следит за несколькими "контрольными точками", соответствующими характерным системным механизмам, эксплуатируемым spyware. Это могут быть dialup-соединения, TCP/IP-стек, различные параметры Internet Explorer, файл hosts, ключи реестра для автозапуска приложений, механизмы инсталляции ActiveX и BHO (Browser Helper Object) -- всего в этом списке на данный момент насчитывается 59 пунктов, и управлять можно каждым по отдельности.

Кроме того, осуществляется контроль за скриптовой активностью, хотя и реализован он гораздо примитивнее, чем, скажем, в Norton Antivirus. К примеру, верифицированные сценарии запоминаются лишь по имени файла, в результате чего будут в дальнейшем допускаться к исполнению даже после любых модификаций. Естественно, это позволит злоумышленнику в ряде случаев достаточно легко обойти данную защиту. Для сравнения -- в продуктах Symantec такие сценарии помечаются специальной уникальной сигнатурой, которая строится на основе контрольной суммы файла, в результате чего обнаруживаются даже малейшие изменения.

Перечисленного до сих пор было бы уже достаточно для того, чтобы признать Microsoft Antispyware одной из лучших программ в своем классе. Однако разработчики (из Giant, программисты Microsoft пока не успели) не поленились создать еще целый раздел специальных инструментов, объединенных названием Advanced Tools и предназначенных для самостоятельного аудита некоторых специфических областей системы. Правда, наиболее ценные утилиты фактически дублируют функциональность апплета Manage Addons, появившегося в Internet Explorer из Windows XP Service Pack 2, с той лишь разницей (довольно, впрочем, принципиальной), что BHO и встраиваемые панели можно полностью удалять. Примерно то же самое относится и к некоторым другим инструментам из комплекта System Explorers -- скажем, менеджерам процессов и автозагрузки, -- которые лишь немногим более информативны, чем стандартные утилиты Windows.

Также здесь имеется довольно интересный инструмент Browser Hijack Restore, призванный автоматически восстанавливать ссылки на различные ресурсы -- домашнюю страницу, поисковый сервис и т. д. Однако из браузеров поддерживается только Internet Explorer, а все URL ведут, естественно, на сайты Microsoft -- за что программа уже успела получить изрядную толику критики от сторонников альтернативы. К счастью, каждый конкретный адрес позволяется редактировать, и ничто не помешает исправить, скажем, www.msn.com на нейтральное about:blank.

И последнее, на что хочется обратить внимание, -- утилита Tracks Eraser, единственная в разделе Privacy Tools и предназначенная, как следует из названия, для удаления следов активности пользователя, как то очистки кэша браузера, файлов cookie или списка последних открытых файлов. Приятной неожиданностью в данном случае оказался весьма представительный спектр поддерживаемого ПО, среди которого и сторонние приложения вроде ICQ, Kazaa, Acrobat Reader и даже Google Toolbar, причем их присутствие на компьютере определяется автоматически и вполне корректно.

Несмотря на то что Microsoft Antispyware доступна для изучения лишь как бета-версия, программа работает довольно надежно и, по-видимому, может быть рекомендована всем без исключения пользователям. Пока она фактически представляет собой оригинальный продукт Giant, перемаркированный и избавившийся от некоторых вспомогательных утилит, -- даже исполняемые модули носят прежние названия, начинающиеся с приставки "Giant". Что привнесут в нее разработчики из Microsoft, предугадать сложно, хотя какие-то недочеты и слабые места видны, что называется, невооруженным глазом, и их, несомненно, стоило бы исправить. Гораздо принципиальнее, однако, как программа будет распространяться. Большинство аналитиков сходятся во мнении, что Microsoft Antispyware следовало бы сделать бесплатной как своеобразную компенсацию за недостаточную защищенность ОС. Хотя не будет ли такой шаг опять расценен как проявление недобросовестной конкуренции? Известно ведь, куда могут завести благие намерения...
0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT