`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Персональные брандмауэры в стиле "пэчворк"

0 
 

О персональных брандмауэрах мы пишем регулярно. Тема животрепещущая и непреходящая: то разработчики новую версию выпустят, то хакеры пощекочут нервы очередной выходкой -- как Кокошенька с Тотошенькой из известного произведения К. Чу-ковского. Но действительно интересные поводы, вызывающие желание провести собственное исследование, случаются нечасто...
На сей раз поводом для написания статьи послужило известие для бета-тестеров ZoneAlarm Pro о том, что новая версия программы успешно борется с трюком TooLeaky ("Компьютерное Обозрение", # 5, 2002). Как мы уже неоднократно отмечали, отсутствие подобных механизмов сводит на нет ценность персональных брандмауэров -- внушаемое ими чувство защищенности оказывается совершенно ложным. Хотя соответствующие хакерские инструменты пока еще не были обнаружены (и даже не анонсированы), дамоклов меч постоянно висит над головами пользователей.

Персональные брандмауэры в стиле "пэчворк"
ZoneAlarm побеждает оба хакерских трюка...
Персональные брандмауэры в стиле "пэчворк"
Интересно, однако, что в списке нововведений окончательной (3.7.098) версии ZoneAlarm ни TooLeaky, ни аналогичные утилиты не упоминаются вовсе. Вместо этого присутствует более расплывчатая формулировка "advanced hardening of operating system & network vulnerabilities" -- с одной стороны, менее обязывающая, с другой -- вроде бы дающая надежды на максимально универсальный механизм.

Таким образом, "лед тронулся", и разработчики по крайней мере перестали изображать испуганного страуса, игнорируя само наличие проблем с их ПО. Соответственно, вполне резонно задаться вопросом, насколько эффективны новые средства защиты, и от каких именно угроз они способны нас оградить. Около года назад подобное исследование проводил сайт PC Flank, правда, тогда ситуация была заведомо негативной, и авторы, по большому счету, лишь уточняли, насколько она плоха. Мы же, уловив положительную тенденцию, постараемся в первую очередь выделить хоть что-то обнадеживающее.


Рекогносцировка

Собственно все изобретенные до сегодняшнего дня трюки (за исключением разве что самых примитивных) можно подразделить на две основные категории: использующие различные системные механизмы для скрытого запуска легитимных программ и фактически реализующие собственный TCP/IP-стек (и обходящие таким образом системный).

Несмотря на концептуальную возможность вторых, их широкое распространение и применение кажутся маловероятными. Это достаточно сложная работа даже при условии использования готовых драйверов, что и демонстрирует утилита Outbound, которая по неизвестным причинам отказывается работать в Windows XP. Подобные инструменты ближе, как говорится, к "индпошиву", чем к "ширпотребу", и при этом (во всяком случае, по результатам PC Flank) они отнюдь не самые эффективные. Так стоит ли (с точки зрения хакера) овчинка выделки?

Реализовать же обмен информацией посредством, скажем, броузера, запуская его с помощью соответствующих системных вызовов либо OLE-механизмов, по силам даже новичкам -- это совершенно стандартная задача. При этом Internet Explorer (как минимум его ядро) гарантированно присутствует на всех Windows-компьютерах, и программа может его использовать без какой бы то ни было подготовки (установки драйверов и пр.). Собственно, здесь нечего и обсуждать -- достаточно еще раз обратиться к утилите TooLeaky, доступной в исходных текстах и, судя по всему, по-прежнему остающейся наиболее "труднопобедимой".

Еще пару предварительных наблюдений стоит сделать из исследования PC Flank. Прежде всего нужно различать возможности программы как таковые и ее готовность к их реализации out-of-box, т. е. сразу после инсталляции. К сожалению, в погоне за "дружелюбием" по отношению к среднестатистическому пользователю практически все разработчики готовы принести в жертву даже весьма принципиальные аспекты безопасности. Каждый из персональных брандмауэров для борьбы с упомянутыми угрозами требует соответствующей настройки, нередко довольно неочевидной.

Обращает на себя внимание и неожиданная расстановка сил на этом рынке. Оказывается, вовсе не обязательно признанные лидеры предлагают лучшие продукты, во всяком случае, когда речь идет исключительно о техническом совершенстве. Скажем, как ни заботится Symantec o функциональности и usability своего ПО, Norton Personal Firewall стабильно "пасет задних" в вопросах борьбы с более или менее нестандартными трюками. По результатам PC Flank абсолютным лидером оказалась малоизвестная (до поры до времени) разработка Look'n'Stop Firewall, которая, будучи самой компактной среди конкурентов (менее 500 KB), тем не менее содержит полный комплект драйверов, отслеживающих всю потенциально опасную активность. Правда, модуль Application Filtering стали по умолчанию включать только в последнюю версию, но зато он еще год назад (!) пресекал все известные "обходные маневры".

Итак, мы решили исследовать сегодняшнюю "боеспособность" трех, как нам кажется, самых популярных персональных брандмауэров -- ZoneAlarm, Norton Personal Firewall и Outpost. Безусловно, существует огромное число других аналогичных разработок, однако ввиду совершеннейшей простоты методики мы предлагаем всем желающим самостоятельно проверить свое любимое ПО (а результатами поделиться, скажем, в форумах ITC Online). В качестве же тестов (в силу изложенных выше соображений) были выбраны TooLeaky и FireHole.


ZoneAlarm 3.7.098

Персональные брандмауэры в стиле "пэчворк"
...а Norton Personal Firewall -- только один
Начнем, пожалуй, с ZoneAlarm, поскольку именно этот продукт послужил поводом для написания статьи. Как известно, с год назад во всех версиях брандмауэра появились средства контроля за программными компонентами ("Компьютерное Обозрение", # 23, 2002). Мы их условно отнесли к "микроуровню", поскольку речь шла исключительно о "встраиваемых" модулях -- dll, plug-in, add-on и пр. В этом же понимании утилиты вроде TooLeaky работают гораздо "выше", на "макроуровне". Тем не менее разработчики из ZoneLabs наконец-то "дотянулись" и до них.

Найти соответствующие настройки можно через центр управления, вкладку Program Control и одноименную группу параметров. По умолчанию здесь выбран режим безопасности Medium, и Advanced Application Control, как нетрудно обнаружить, щелкнув на кнопке Custom, отключен, т. е. его нужно активизировать специально (при выборе режима High это происходит автоматически). К вящей радости после этого ZoneAlarm совершенно четко и неотвратимо отлавливала и TooLeaky, и FireHole, а заодно и все остальные программы, действующие подобным же образом. Следовательно, и разработчики, и пользователи имеют полное право торжествовать и трубить победу -- по крайней мере, до изобретения очередных трюков.

Однако есть и своя ложка дегтя: дело в том, что доступен данный механизм только в версиях Plus и Pro. Бесплатная же лишена не только его, но и многочисленных "тонких" настроек, а следовательно, и соответствующей функциональности. Хуже всего, что со временем отличий становится все больше, а их характер -- все принципиальнее.


Norton Personal Firewall 2003

Второй участник нашего "тестирования" -- брандмауэр Norton Personal Firewall, существующий и как отдельный продукт, и как составная часть Norton Internet Security. Кажется невероятным, что ПО компании, славящейся именно качеством и интеллектуальностью своих разработок, постоянно попадает под град критики, причем в совершенно нелепых ситуациях. Вспомните хотя бы "первый звоночек" Стива Гибсона -- LeakTest, когда банального переименования файла оказывалось достаточно для преодоления защиты.

Впрочем, определенный прогресс все же присутствует, что мы и отмечали в обзоре последней версии ("Компьютерное Обозрение", # 44, 2002). Формально Symantec реализовала полноценный (т. е. на "микро-" и "макроуровнях") контроль за программными компонентами даже раньше ZoneLabs, однако, как мы выяснили еще в прошлый раз, TooLeaky по-прежнему удается "просачиваться" в Internet. А вот FireHole все же блокируется -- ее активность Norton Personal Firewall выявляет вполне непринужденно. Говорит же это о том, что соответствующий драйвер пока перехватывает не все системные функции и механизмы, ответственные за запуск внешних программ.

Поскольку в тестировании PC Flank предыдущая версия брандмауэра Symantec получила совершенно низкие оценки, мы дополнительно решили испробовать утилиту Yalta (в Windows XP работает только стандартный тест). Norton Personal Firewall 2003 прошел большинство тестов, за исключением одного, использующего порт 53. Впрочем, это не обязательно свидетельствует об уязвимости, поскольку Yalta не предполагает контроля за реальной доставкой пакетов. В любом случае существенные улучшения несомненны.


Outpost

Брандмауэр Outpost -- относительно новая разработка, хотя довольно сложная нумерация (текущая версия 1.0.1817.1645) затрудняет понимание того, как часто вносятся исправления/дополнения и насколько принципиален их характер. Тем не менее продукт уже завоевал немалую популярность -- в первую очередь благодаря своей компактности и дополнительным возможностям. Собственно, поэтому мы и решили включить его в данный обзор.

К сожалению, с момента исследования PC Flank ситуация не улучшилась ни на йоту: в современном состоянии Outpost оставляет незамеченными проделки и TooLeaky, и FireHole. Это особенно обидно потому, что с функциями "классического" брандмауэра программа справляется прекрасно. Дополнительная странность проекта состоит в том, что столь превозносимая самими разработчиками модульность оказалась абсолютно не востребованной.

Некоторую надежду дает готовящаяся версия 2.0, среди снимков которой несложно разглядеть окно компонентного контроля ("микроуровень"), но дата ее выхода пока не названа даже примерно -- не уйдет ли к тому времени поезд?


В результате...

Следует признать, что за последний год ситуация значительно улучшилась, и озабоченные безопасностью пользователи могут спать гораздо спокойнее. Похоже, что все разработчики персональных брандмауэров движутся в одном направлении, хотя и с разной скоростью. К сожалению, наиболее полную защиту сегодня обеспечивают лишь коммерческие продукты. Пожалуй, единственный открытый вопрос: насколько универсальны реализованные в них механизмы, и не появятся ли завтра новые, более изощренные хакерские трюки?
0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT