Троянская война продолжается


Один из наших читателей как-то попросил (фактически огорошил): "Больше пишите о недостатках". Откровенно говоря, позитивная информация кажется мне предпочтительней. Во всяком случае, полезней: узнал — применил. Если же в каком-то ПО недочетов набирается на целую статью, то, может, проще вовсе не обращать на него внимания? Однако безопасность — такая сфера, где недостатки играют сегодня чуть ли не главную роль. А незнание их чревато крайне неприятными проблемами.


Человек охотно верит во все хорошее. Например в то, что персональные брандмауэры
способны раз и навсегда надежно защитить его компьютер от всевозможных "троянских
коней". Действительно, идея фильтрации исходящего трафика при всей своей
простоте кажется весьма эффективной. Хитроумный драйвер обнаруживает обращение
в Internet очередной программы и выдает исчерпывающую информацию (модуль, удаленный
адрес, используемые порты и т. д.), на основе которой пользователь принимает осознанное
решение.

Потому-то подобные программы давно уже стали привычными средствами защиты на ПК большинства "продвинутых" пользователей. Причем многие (по крайней мере, с базовой функциональностью для персонального применения) распространяются совершенно бесплатно — разработчики декларируют, что основной их задачей является обеспечение максимальной безопасности и спокойствия в Internet. В конце концов от нашествия почтовых "червей" и DoS-атак страдают не столько легкомысленные пользователи, сколько Internet-сообщество в целом.



Все достоинства налицо —
русский язык и модульная архитектура

Более того, список доступных персональных брандмауэров постоянно пополняется.
Пример — программа Outpost, разработанная компанией Agnitum,
достаточно давно объявившей священную войну "троянцам". Ее сканер Tauscan
был признан экспертами PC
Flank лучшим
. Кстати, почетное второе место досталось антивирусу Касперского,
а не менее популярный Norton Antivirus, как ни странно, "выступил" хуже
всех (правда, исследовались не самые последние версии пакетов). Одним словом,
есть все шансы получить что-то действительно интересное.

По большому счету, принципиальных моментов всего два. Во-первых, программа добротно переведена на русский язык, причем это относится не только к интерфейсу, но и ко всей документации. Учитывая, что Outpost в значительной мере рассчитана на малоподготовленных пользователей, факт весьма примечательный. Во-вторых, в ней применяется модульная архитектура. Практически вся "дополнительная" функциональность (а в современном состоянии это детектор атак, блокираторы рекламы, активного наполнения Web-страниц и сайтов по их содержимому) реализуется в виде подключаемых модулей. Ценность такого подхода очевидна — сторонние разработчики (и даже сами пользователи, обладающие достаточными навыками программирования) могут усовершенствовать приложение, воспользовавшись свободно распространяемым SDK.

В остальном возможности Outpost довольно традиционны — отдельная конфигурация (фактически отмена всех ограничений) для локальной сети, правила уровня приложений, подробное протоколирование, ведение статистики, пополнение списка источников нежелательных баннеров и пр. Коммерческая Pro-версия дополнительно позволяет определять глобальные правила (к примеру, разрешить любой обмен информацией через порт proxy-сервера) и создавать различные конфигурации для нескольких пользователей, т. е. по своей функциональности приближается к Norton Internet Security.



К сожалению, современные
брандмауэры против таких трюков бессильны

Ситуация (для пользователей) вроде бы самая благоприятная — выбирай, устанавливай,
пользуйся и наслаждайся безопасностью. Однако именно такая видимая "тишь
да гладь" и не дает покоя некоторым пытливым умам. Почин, как известно, был
положен Стивом Гибсоном ("Компьютерное
Обозрение", # 48, 2000
). Совершенно примитивный трюк, маскирующий "злоумышленную"
программу под стандартный ftp-клиент, обманул почти все персональные брандмауэры
за исключением ZoneAlarm.

Интересно, что если одни разработчики, вроде Symantec, действительно поспешили
внедрить в свои продукты механизмы идентификации программ по специальным сигнатурам,
другие ограничились борьбой непосредственно с LeakTest. К примеру, BlackICE Defender
компании Network ICE попросту блокирует весь трафик к узлу, используемому этой
утилитой. Подробности и новую (хотя и эксплуатирующую прежний принцип) версию
LeakTest можно найти на сайте
Гибсона
.

Но это было только начало. В конце прошлого года сразу несколько исследователей
предложили методики, способные обмануть практически все современные персональные
(и не только) брандмауэры. Самая элементарная из них заключается в использовании
"троянскими конями" стандартного HTTP-трафика. Злоумышленный модуль
обращается к специально оформленному Web-сайту и получает все необходимые директивы
в обычном HTML. Насколько эффективным может быть такой обмен (несмотря на очевидные
накладные расходы), наглядно демонстрируют некоторые программы удаленного управления
вроде RemotelyAnywhere и GoToMyPC ("Компьютерное
Обозрение", # 15, 2001
).

Понятно, что при всей своей простоте трюк может оказаться крайне действенным. Однако в чистом виде он большинство персональных брандмауэров не обманет, поскольку обычно те все же фиксируют приложения, генерирующие даже самый стандартный трафик (хотя здесь опять-таки могут сыграть злую шутку некоторые их "интеллектуальные" возможности вроде автоматически создаваемых правил). Поэтому следующий логический шаг состоит в определенном совмещении этой идеи с методикой Гибсона.



Быть может, именно этот подход
позволит построить действительно надежную защиту?

И решение выглядит настолько естественно и обескураживающе, что даже непонятно,
почему оно не пришло в голову первым. Небольшая программа TooLeaky,
разработанная Бобом Сандлингом (Bob Sundling), организует весь обмен информацией
через Internet с помощью обычного Internet Explorer. Возможности автоматизации
броузера Microsoft прекрасно известны, достаточно лишь вспомнить количество броузеров-надстроек
вроде NeoPlanet, NetCaptor и др. Впрочем, с таким же успехом можно было бы использовать
и Netscape, и, скорее всего, многие другие программы. Как отметил автор TooLeaky:
"Если какое-либо верифицированное брандмауэром приложение обеспечивает возможности
управления собой из внешних программ, реальная ценность защиты равна нулю".

Действительно, несколько имевшихся в нашем распоряжении персональных брандмауэров тест TooLeaky провалили с треском. Да, собственно, иначе и быть не могло — результат вполне предсказуем, слишком уж все просто и очевидно.

Соответственно, план по недостаткам выполнен. Другое дело, как их правильно интерпретировать — ведь многие вопросы остаются открытыми. В первую очередь: действительно ли по-прежнему стоит пользоваться персональными брандмауэрами? Откровенно говоря, многие специалисты поспешили поставить крест на этом виде защиты. На мой взгляд, это не совсем правильно.

Во-первых, на абсолютную безопасность надеяться просто наивно. Тем не менее даже в современном состоянии (далеком от идеала) эти программы способны защитить компьютеры пользователей от многих напастей. В том числе — от "традиционных" "троянских коней", всевозможных ad- и spy-ware и прочего излишне активного ПО.

Кроме того, наиболее эффективная защита обеспечивается одновременным использованием
брандмауэра и антивируса. Это — стандартная рекомендация (хотя также не дающая
100%-ной гарантии), и грех ею не воспользоваться, поскольку свободно распространяемые
антивирусы (пусть и не самые совершенные) все еще существуют. Относительно неплох
бесплатный AntiVir Personal,
а отсутствующие у него средства проверки электронной почты можно компенсировать
с помощью Vcatch.



В принципе, поймать хитрецов
вроде TooLeaky можно, главное — реализовать универсальный механизм

Во-вторых, защитные методики также не стоят на месте. Возможно, реноме персональных
брандмауэров смогут восстановить какие-то дополнительные технологии. Например
— поведенческие блокираторы или "песочницы" вроде применяемых в eSafe
Desktop
и SurfinGuard.
Правда, их нынешнее состояние (в контексте обсуждаемых проблем) также оставляет
желать лучшего. Фактически единственный отрадный момент — реакция SurfinGuard
на запуск нового внешнего процесса при работе TooLeaky в "зоне безопасности".
Тем не менее сама идея, реализованная в этих программах, кажется весьма здравой.

По-видимому, также необходим контроль за доступом к объектной модели Internet Explorer и других броузеров, поддерживающих OLE Automation и прочие средства автоматизации (как это было сделано с Outlook и Outlook Express), и какие-то ограничения на использование командной строки. В общем, фантазировать здесь можно бесконечно, но главное — ясно, что ситуация не безнадежна. Слово за разработчиками. Кстати, вероятно, именно описанные события стали причиной отсрочки выхода очередной версии ZoneAlarm.

Еще один довольно неоднозначный момент — нужно ли обнародовать программы, подобные TooLeaky, тем более с исходными текстами. Мнения, как всегда, разделились. Одни считают, что это только активизирует злоумышленников, другие упирают на то, что вопросы безопасности (во всех подробностях) должны быть достоянием не только специалистов, но и широкой общественности.

В данном случае публикация кода TooLeaky кажется совершенно непринципиальной. Идея настолько проста, что практически любой программист средней руки способен самостоятельно реализовать ее на практике. С другой стороны, чтобы превратить TooLeaky в настоящего "троянского коня", потребуется еще немало интеллектуальной работы. Зато каждый желающий может оценить подлинную опасность данной проблемы и сделать необходимые выводы. Во всяком случае понятно, что расслабляться еще не время, а самой надежной защитой по-прежнему остаются знания и здравый смысл.