Игры в песочнице

В последнее время заметно участились случаи выявления несостоятельности традиционных и вроде бы в прошлом неплохо себя зарекомендовавших "защитных" программ. То антивирусы, оказывается, пропускают некоторые штаммы известных почтовых "червей", то персональные брандмауэры пасуют перед совершенно тривиальным трюком. Можно долго искать причины этого явления, однако, независимо от результатов, рано или поздно придется задаться вопросом "что делать?". По-видимому, нужны какие-то качественно новые решения и методы, и с одним из наиболее перспективных мы сегодня и познакомимся.

Все защитные меры принято делить на реактивные и превентивные. Первые предлагают лекарство уже после обнаружения болезни -- к таковым, например, относятся современные антивирусы. Сегодня регистрируется появление очередного почтового "червя", завтра Kaspersky Lab, Symantec и иже с ними выпускают необходимое обновление. Проблема, однако, в том, что эпидемия, скорее всего, уже началась, и усилия направляются в основном на то, чтобы она не переросла в пандемию. Большинство же увещеваний специалистов о необходимости аккуратного использования электронных коммуникаций (своего рода e-гигиене) звучат как глас вопиющего в пустыне. Ежедневно вычищая из своего почтового ящика до десятка всевозможных klez-ов, полученных от совершенно незнакомых людей из самых невероятных доменов, убеждаюсь в этом воочию. Откуда у них мой электронный адрес? Не иначе как со страниц сайта ITC Online...

Потому-то необходимость хоть каких-то превентивных средств не вызывает сомнений. Они и существуют, в общем-то, испокон веку. Некоторые антивирусы во времена DOS "вакцинировали" исполняемые файлы, а изменения MBR жесткого диска контролируются до сих пор любым добротным ПО, хотя о "бутовых" вирусах, кажется, давно уже ничего не слышно. Всякие поведенческие блокираторы и эвристические механизмы призваны обнаруживать доселе неизвестные виды, но только те, что используют относительно "традиционные" механизмы. Например, персональные брандмауэры долгое время считались универсальным средством против "троянцев", однако недавние исследования продемонстрировали их полную, если не сказать вопиющую, несостоятельность.

Но как происходит "заражение" компьютерной системы любым видом киберинфекции? Так или иначе на жестком диске появляется новый исполняемый модуль, который рано или поздно обязательно осуществит какие-то сомнительные действия: начнет исследовать реестр или работать с другими файлами, попытается выйти в Internet и т. д. В таком поверхностном описании это -- действительно универсальный механизм. Ключевых моментов здесь два: новая (доселе неизвестная или просто не получившая соответствующих полномочий) программа и сомнительные (потенциально опасные) действия. Вот тут-то и должны на помощь прийти...

"Песочницы"

При правильном использовании большинство "песочниц" пресекут TooLeaky

Термин этот прекрасно известен в мире Java, и в данном контексте смысл его практически не изменяется. Это некая программа (в первую очередь -- набор драйверов), перехватывающая обращения к опасным системным функциям, проверяющая при этом определенные условия и по результатам блокирующая некоторые действия. Естественно, этот механизм весьма непрост, поэтому эффективность конкретных продуктов может заметно отличаться.

eSafe Desktop 3.1

На самом деле eSafe Desktop представляет собой комплексный продукт, в который входят антивирус, персональный брандмауэр и модуль "песочницы". Хотя подобные "комбайны" должны быть оптимальным выбором для конечного пользователя, в данном случае это отнюдь не очевидно, поскольку каждый отдельный компонент далек от совершенства. К тому же недавно eSafe Desktop перестал быть бесплатным (при этом ничего нового в нем не прибавилось). Что касается собственно "песочницы", то она в первую очередь рассчитана на охрану файловой системы. Также системный монитор может отследить определенные виды деятельности вроде попыток смены начальной страницы Internet Explorer или установки нового драйвера. Вероятно, это окажет дополнительную помощь в борьбе с "традиционными" вирусами, но никакими настройками не удалось научить программу усматривать что-то предосудительное в действиях TooLeaky. Поэтому eSafe Desktop приводится здесь исключительно в качестве примера -- скорее, отрицательного.

SafeTnet 3.01.89

SafeTnet предельно проста как в использовании, так и в настройке

Прежде всего нужно сказать, что данный продукт несколько "сыроват". Во всяком случае, при активизации SafeTnet упорно не дает работать Microsoft Word XP. Впрочем, подобных выходок можно ожидать и от другого аналогичного ПО -- отладить системный драйвер не так уж просто. В остальном же программа базируется на несложных идеях и решениях, поэтому вполне может быть рекомендована домашним (читай -- малосведущим) пользователям. Однако для организации действительно эффективной защиты им придется -- и это совершенно необходимо -- выработать для себя определенные правила поведения и неукоснительно их придерживаться (к сожалению, документация в ее нынешнем виде в этом вопросе не поможет).

Прежде всего драйвер SafeTnet контролирует работу только известных ему Internet-клиентов: броузеров, менеджеров загрузки, почтовых программ и пр. Соответственно все незнакомое ПО попросту игнорируется и может делать все что угодно. Скажем, пробная версия, загруженная пару месяцев назад (3.01.80), оказалась незнакомой с моим Internet Explorer, вероятно, из-за установленных заплаток. Проблема решилась после инсталляции свежей сборки. Стало быть, осмотрительный пользователь должен заранее ознакомиться со списком совместимости и раз и навсегда определиться со своим Internet-арсеналом.

Зато известные программы попадают под весьма надежный колпак: SafeTnet контролирует все, что загружается с их помощью, -- от сценариев до исполняемых файлов. Функциональность активного наполнения Web-страниц можно ограничивать с помощью привычного механизма политик (оформленного в духе "зон" Internet Explorer), а исполняемые программы и системные скрипты попадают в ту самую "песочницу". Полный список перехватываемых SafeTnet вызовов не приводится, однако порождение нового процесса в их числе точно есть -- TooLeaky блокируется, хотя и с некоторыми оговорками.

Дело в том, что контроль осуществляется исключительно по "территориальному" принципу: загруженная программа считается сомнительной лишь до тех пор, пока вы ее не переместите в другую папку или не переименуете. Недочет столь существенный, сколь же и очевидный. По сути, остался один-единственный шаг -- вычислять и проверять уникальные сигнатуры (как давно уже делают современные персональные брандмауэры и другие защитные программы). Пока же пользователю придется использовать для программ из Internet жестко закрепленные папки.

Загружаемые документы Microsoft Office проверяются на наличие в них макросов. При их последующем открытии SafeTnet будет следить за работой "родительских" приложений. Впрочем, проверить этот механизм не удалось -- ввиду описанной выше ошибки.

Вывод же можно сделать такой: после определенной доработки (которую, надеемся, создатели программы не заставят долго ждать) SafeTnet действительно будет полезна в качестве дополнения к привычным антивирусу и персональному брандмауэру. Следует, однако, учитывать, что внимание SafeTnet не распространяется на приложения, поступающие на компьютер через локальную сеть или дискеты.

SurfinGuard Pro 5.7 beta 2

К сожалению, подробности политик SurfinGuard нигде не расшифровываются

Данная программа уже несколько раз так или иначе попадала в наше поле зрения, поэтому в слишком подробном описании не нуждается. В отличие от eSafe Desktop она по-прежнему остается бесплатной, хотя и находится в состоянии перманентного бета-тестирования. При этом работает, в общем-то, достаточно надежно, однако нет-нет да и "порадует" каким-нибудь мелким нюансом.

Принцип работы SurfinGuard Pro аналогичен SafeTnet: контролируется загрузка программ и активного наполнения только через известные Internet-клиенты. Однако список их значительно шире, даже при том что он не блещет актуальностью: к примеру, заявлена поддержка Outlook Express только до версии 5.5, но несложно установить, что на деле "под колпак" попадает и 6.0. Еще одно несомненное преимущество SurfinGuard Pro перед SafeTnet -- контроль за подозрительными программными модулями даже после их переименования или перемещения.

Кроме того, имеется специальный "безопасный" режим (реализуемый с помощью пиктограммы на Рабочем столе и контекстного меню в Windows Explorer) для выполнения любых вызывающих сомнение приложений. Правда, ни из документации, ни из окна настроек нельзя выяснить, какие именно виды деятельности подлежат мониторингу. Во всяком случае, некоторые операции с реестром и файловой системой разрешаются даже без оповещения пользователя. Но запуск внешних программ отслеживается, поэтому TooLeaky выловить все же удается.

Trojan Trap 3.0

Сложность настройки Trojan Trap сполна компенсируется широтой возможностей

Tiny Software знакома пользователям благодаря своему персональному брандмауэру, и, по-видимому, одна из первых откликнулась на призывы к поиску принципиально новых комплексных способов защиты. Во всяком случае, разработанный ею модуль "песочницы", в чистом виде носящий название Trojan Trap, также встроен в новую версию Tiny Personal Firewall 3.0, которая, правда, из-за этого перестала быть бесплатной (однако релиз 2.0 распространяется на прежних условиях). Кроме того, и в Trojan Trap, и в Tiny Personal Firewall 3.0 дополнительно встроены сканирующие модули от McAfee с возможностью обновления антивирусных баз.

В отличие от предыдущих программ Trojan Trap позиционируется как инструмент администратора. Действительно, данная разработка сложнее в настройке и в определенных ситуациях может оказать совершенно неожиданное влияние на работу компьютера. Скажем, параметры по умолчанию для Internet Explorer (Trojan Trap "знает" и некоторые другие популярные приложения) могут заблокировать внешний менеджер загрузок и другую полезную функциональность. Кроме того, идеология программы подразумевает более или менее тщательный контроль со стороны пользователя -- для этого специальный агент постоянно протоколирует все происходящее в системе.

Зато и возможностей открывается гораздо больше. Система следит за обращениями к реестру, службам и драйверам ОС, контролирует наиболее опасные (потенциально) вызовы API, в том числе запуск внешних задач и работу с файловой системой.

Собственно "песочница" функционирует на основе особых правил (политик), которые могут применяться как к отдельным приложениям, так и к предопределенным группам. Несколько странно, что сразу после установки Trojan Trap все присутствующие в системе программы (кроме тех, что распознаются индивидуально) считаются безопасными и получают полную свободу действий. Впрочем, любую из них можно запускать "под колпаком", если воспользоваться контекстным меню Windows Explorer. Зато к новым исполняемым модулям (независимо от того, откуда они появились) по умолчанию применяются самые жесткие правила.

Если же пользователь уверен в благонадежности новой программы, он может запустить ее в специальном "режиме обучения". При этом Trojan Trap протоколирует всю ее деятельность и создает отдельный комплект правил. Естественно, чтобы вновь созданная "песочница" не оказалась слишком тесной, программу необходимо изрядно "погонять" во всех режимах, дабы задействовать максимум функциональности.

Также Trojan Trap контролирует работу активного наполнения Internet: скриптов, апплетов, ActiveX-элементов. Например, когда последние загружаются броузером, CAB-пакет автоматически разворачивается и проверяется антивирусом. Затем на основании предоставленной Trojan Trap информации пользователь разрешает или запрещает его использование. Кроме того, имеется механизм фильтрации Internet-контента: Web-страниц, почтовых сообщений, файлов cookie и пр.

Панацея?

Как видно, идея использования механизма "песочницы" как одного из основных средств обеспечения локальной безопасности постепенно завоевывает себе место под солнцем. Но окажется ли этот метод панацеей? Вроде бы хорошо продуманная и организованная система способна своевременно оповестить о многих опасных событиях, которые в противном случае окажутся попросту незамеченными (ближе всех к такому идеалу подходит Trojan Trap). Однако нужно учитывать, что при этом бремя ответственности ложится не только на ПО, но и на пользователя. Последний должен выработать некую культуру работы с компьютером, а в определенных ситуациях принимать ответственные решения, требующие понимания происходящего.

К сожалению, человеческий фактор всегда будет оставаться "самым слабым звеном". Поэтому мода на более однозначные (и, стало быть, жесткие) методы вряд ли когда-нибудь пройдет. Недаром Microsoft опять возвращается к идее распространения антивируса в составе своих ОС, а сторонние специалисты постоянно ищут более надежные и оригинальные решения.

К примеру, продукт компании Abtrusion Security AB попросту запрещает запуск не прошедших авторизации исполняемых модулей (отнюдь не только EXE). Разработчики немного лукавят, описывая преимущества своей программы перед стандартными средствами Windows NT/2000/XP, -- во всяком случае, механизм, встроенный в последнюю версию ОС (и доступный через редактор групповых политик), также позволяет контролировать DLL, VBX и другие типы файлов, вычислять их хэш-код и пр. Другое дело, что Abtrusion Protector автоматизирует большинство операций: самостоятельно авторизует текущее содержимое жестких дисков и выполняет мониторинг последующих инсталляций. Соответственно, в каком бы виде и каким бы образом ни попал программный код в систему, выполнен он может быть только с вашего позволения.

Впрочем, и у этого подхода недостатков хоть отбавляй: и ощутимое замедление запуска больших приложений, и очевидная необходимость дополнительной проверки инсталляционных пакетов и пр. Поэтому на абсолютную (в том числе и с точки зрения гибкости) защиту уповать не приходится, а будущее, по-видимому, за комплексными системами в духе eSafe Desktop и Tiny Personal Firewall 3.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365