Персональная безопасность в Internet

Вопросы персональной безопасности в Internet практически одинаково касаются и корпоративных, и домашних пользователей. В большинстве случаев организации ограничиваются установкой централизованного брандмауэра, защищающего (в той или иной степени) Internet-серверы и локальную сеть от вторжения извне. Хотя сама по себе идея брандмауэров достаточно хороша и неплохо зарекомендовала себя на протяжении многих лет, централизованная архитектура и характеристики Internet-протоколов не позволяют организовать на ее основе защиту изнутри, т. е. на уровне индивидуальных компьютеров. Действительно, что помешает непосвященному пользователю загрузить на свой компьютер зараженную вирусом программу, которая затем распространится по всей локальной сети. Понятно, что домашние пользователи находятся даже в более худшем положении, и далеко не только потому, что не защищены корпоративным брандмауэром.

Безопасность в Internet, в том числе и персональная, — проблема комплексная, поэтому давайте вначале разберемся с теми видами угроз, которые поджидают пользователя в Internet.

Реальные угрозы

Пожалуй, самая известная и очевидная для большинства пользователей опасность — вирусы. Мало кто не слыхал душераздирающих историй о CIH, Melissa и прочих "паразитах". Тем не менее многими эти истории воспринимаются как нечто в духе сериала "Секретные материалы": звучит фантастически, происходит с посторонними людьми, а основная цель — запугать обывателя и сорвать куш на очередной волне паранойи. Автор статьи и сам скептически относится к проблемам вирусов (хотя предохраняться не забывает), считая, что большинство эксцессов вызваны низкой информационной культурой, отсутствием соответствующих знаний и бездумными поступками. Что, впрочем, не помешало мне встретиться с вирусом буквально накануне подготовки материала.

Его прислал по электронной почте какой-то злоумышленник (причем из организации, которая занималась подготовкой солидной международной научной конференции). Сообщение было якобы от местного администратора (т. е. из моего же домена), и в нем предлагалось (на испанском и английском языках) проверить свою систему на готовность к наступлению 2000 г. с помощью вложенной программы. Естественно, в файле находился вирус (по классификации Norton Antivirus — Win95.Fix2001), причем это было понятно даже без всяких проверок. В целом, трюк достаточно примитивный, и на него вряд ли попадется осведомленный пользователь, однако совершенно непонятно, как поведет себя в подобной ситуации подросток или человек, далекий от компьютерных технологий. Во всяком случае, это был лишний повод воочию убедиться в существовании проблемы и необходимости определенной защиты.

Отдельного рассмотрения заслуживают так называемые программы-"вандалы", которые не являются вирусами в "классическом" понимании. Основные отличия состоят в том, что "вандалы" умеют самостоятельно запускаться и вовсе не стремятся к собственному размножению (т. е. путем заражения других файлов), что существенно усложняет их обнаружение традиционными антивирусными средствами. Это могут быть Java-апплеты, элементы управления ActiveX, встроенные в HTML-страницы сценарии, различные подключаемые модули и т. д.; нередко они приобретают самые причудливые формы и выполняют самые различные задачи. Например, в 1998 г. "вандал" в виде элемента управления ActiveX взаимодействовал с популярной на Западе бухгалтерской программой Quicken для незаконного перечисления денег со счетов ничего не подозревающих пользователей.

Одна из разновидностей "вандалов" (нередко их также рассматривают как отдельный класс) — так называемые "троянские кони" (или на профессиональном сленге — "троянцы"), т. е. программы, тем или иным способом (как правило, под видом полезных и безопасных утилит) проникающие в ваш компьютер и либо передающие в Internet интересующую хакеров конфиденциальную информацию (именно так, например, работала программа Picture.EXE, позволившая в 1999 г. злоумышленникам получить информацию об учетных записях и паролях многих пользователей America Online), либо обеспечивающая на локальном компьютере "дыру" для вторжения извне (пожалуй, самый нашумевший пример — Back Orifice).

Безопасность в Internet имеет и множество других, на первый взгляд, менее значительных аспектов. Дети и подростки могут не только набрести в Internet на Web-узел с неподходящим содержимым, но и познакомиться (в различных конференциях, форумах и "чат"-каналах) с различными злоумышленниками, что может закончиться весьма плачевно (примеры подобных эксцессов периодически мелькают в прессе). В пресловутых файлах cookie могут сохраняться демографические и другие данные, которые, хоть и не являются конфиденциальными в полном смысле этого слова, однако вовсе не предназначены для всеобщего обозрения.

Моя хата с краю

Учитывая характер приведенных примеров и другой информации, регулярно появляющихся в прессе и Internet, у читателей может создаться впечатление, что описанные проблемы актуальны, в основном, для Запада, где вовсю развивается электронная коммерция, бесплатно подключают к Internet, применяются кредитные карточки и т. д. Однако кое-что интересное найдется и на компьютерах отечественных пользователей — например, учетная запись для подключения к Internet-провайдеру. Не следует также забывать, что далеко не всегда злоумышленники преследуют корыстные цели, и ваш компьютер может стать просто полигоном для обкатки очередных хакерских технологий или демонстрации чьих-то "способностей".

Впрочем, многие любители бесплатных программ смогут убедиться, что подобные проблемы иногда оказываются гораздо ближе и ощутимее, чем представляется на первый взгляд. Речь пойдет о программных модулях Aureate, распространяемых одноименной фирмой (недавно переименованной в Radiate) для встраивания в бесплатные программы, существующие за счет отображения на пользовательском компьютере рекламных баннеров. Сама по себе идея действительно хороша, и многие (в том числе и я) действительно предпочтут созерцать рекламу, чем выкладывать реальные деньги. Больше того, приложение Aureate создано вполне официальной организацией, распространяется совершенно легально и действительно позволяет мелким разработчикам ПО поправить свое финансовое положение.

Но есть и другая сторона медали — при всей своей явной полезности Aureate явно обладает многими признаками "троянского коня" и выполняет ряд действий, о которых не осведомлены ни пользователи, ни, вероятно, многие из применивших эту технологию разработчиков:

• Aureate устанавливается вместе с обычным ПО ("носителем"), но ничего не сообщает о себе;
• на самом деле программа также подключается к броузеру;
• она выполняется независимо от того, запущено ли приложение, в которое встроены ее модули;
• она не удаляется и остается активной даже после деинсталляции приложения;
• все действия Aureate выполняются без уведомления пользователя.

На самом деле Aureate не просто отображает рекламные баннеры в особом окне программы, но также отслеживает, какие из них привлекли внимание пользователя (в том числе и в броузере), и передает соответствующие данные на сервер Radiate. На основе этой информации проводятся некоторые статистические исследования, и в дальнейшем конкретным пользователям (каждый из них получает собственный персональный идентификатор) будет предоставляться реклама, способная вызвать у них наибольший интерес. Официальные лица из Radiate утверждают (и независимые эксперты с этим, в принципе, согласились), что никакая другая информация, тем более частного характера, не используется, хотя в момент регистрации программы-носителя (выполняющейся, кстати, опять же через Radiate) анонимный профиль пользователя однозначно ассоциируется с его именем и номером кредитной карточки.

Еще раз хочется подчеркнуть, что Aureate не является настоящим "троянским конем" и не представляет реальной опасности для конфиденциальной информации пользователей. Данный пример важен, скорее, как прецедент — не зря им серьезно заинтересовались такие известные в компьютерном мире личности, как Стив Гибсон (разработчик ПО, в том числе известной программы для профилактического обслуживания и восстановления информации на жестких дисках SpinRite, автор нескольких книг и многочисленных публикаций) и Брайан Ливингстон (автор бестселлеров "Секреты Windows", ведущий рубрики в журнале "InfoWorld"). Во-первых, однозначно оценить все действия программы не так-то просто. Во-вторых, учитывая повсеместное распространение технологий обновления ПО через Internet, нет никакой гарантии, что когда-либо Aureate и подобные программы не начнут делать что-то менее невинное, чем сбор информации о просматриваемой рекламе.

Безусловно, далеко не всем нравится идея, что кто-то тайно отслеживает ваши (пусть и самые тривиальные) действия. В лучшем случае чувствуешь себя в роли теленка из известного детского мультфильма — "Мама, меня посчитали!", а в худшем — можно вспомнить и о Большом Брате. Aureate уже встроена в сотни программ, в частности Advanced Call Center, CuteFTP, GetRight, Go!Zilla, LapLink FTP, Net Vampire, NetCaptor, ReGet, WinEdit, Zip Express (я выбрал те, которыми в разное время пользовался сам), и инсталлирована примерно на 17 млн. компьютеров во всем мире (по информации Radiate).

Как уже говорилось, эти модули остаются даже после полной деинсталляции программы-носителя. Проверить присутствие Aureate в конкретной системе можно разными способами — существуют определенные признаки, однако лучше воспользоваться утилитой OptOut (grc.com/files/optout.exe), разработанной Стивом Гибсоном. Эта Windows-программа занимает всего 32 KB (поскольку, как и все программы Гибсона, написана на чистом ассемблере), но умеет не только обнаруживать Aureate, но и полностью удалять ее из системы (т. е. и файлы с жесткого диска, и соответствующие записи из реестра). Естественно, пока вы пользуетесь программой-носителем, эти действия могут быть расценены как некорректные — вы ведь перестанете получать рекламу, да и некоторые программы (например, NetVampire) после этого просто отказываются работать.

Предохраняйтесь!

Даже если все вышесказанное не убедило читателя в реальности различных угроз из Internet, и он по-прежнему убежден, что их сегодня не существует, это вовсе не значит, что их не будет завтра. Своим бурным и практически бесконтрольным развитием Internet создает чрезвычайно благоприятную почву для различного рода "киберкриминалов", и с течением времени явно просматривается тенденция к усугублению подобных проблем. Причин тому довольно много, вот только наиболее очевидные:

• удешевление доступа в Internet приводит к удлинению среднего сеанса связи (речь, естественно, идет об индивидуальных пользователях), что дает злоумышленникам значительно больше шансов подыскать ключ к вашей конкретной системе несмотря на использование динамической IP-адресации и другие традиционные меры защиты;
• насыщенность содержимого Web-страниц интерактивными компонентами, сценариями и Java-апплетами создает благоприятную среду для распространения вирусов, "вандалов" и других злонамеренных программ;
• развитие электронной коммерции привлекает в Internet множество злоумышленников. По этой же причине все большую ценность приобретают демографические данные, которые добываются всевозможными правдами и неправдами (с помощью тех же cookie);
• Internet из чисто научного проекта превращается в глобальную развлекательную платформу, что привлекает к ней менее подготовленных пользователей, в том числе детей, представляющих из себя первоочередную мишень для всякого рода злоумышленников.

Безусловно, все перечисленное — проблемы роста, и многие специалисты и целые организации изучают и предлагают возможные способы обеспечения безопасности, но до глобальных решений еще далеко. Между тем фактически любая сетевая технология изначально подразумевает некоторые механизмы и средства защиты. Для ActiveX это, например, сертификаты — лучше, конечно, чем ничего. Существуют, впрочем, примеры их подделки, не говоря о том, что даже подлинный сертификат не может дать полной гарантии защиты. Модель безопасности Java более изощренная (хоть и носит название "песочница"), однако все зависит от ее конкретной реализации. Сколько раз уже Microsoft "штопала" свою Java-машину? Одним словом: как нет абсолютного оружия, так не может быть и абсолютной защиты. Даже в такой хорошо изученной области, как антивирусное ПО: что раньше попадет на ваш ПК, новая разновидность вируса или база с его сигнатурой?

Конечно, в распоряжении каждого пользователя имеется целый арсенал средств защиты, часть из которых встроена в броузеры и другие программы. Использование сookie, сценариев, апплетов, макросов можно попросту отключить, однако при этом нередко теряется существенная часть функциональности (обычно уже оплаченная). Разнообразие же угроз требует комплексного подхода. В последнее время все большую популярность завоевывают технологии персональных брандмауэров, в сочетании с традиционными средствами защиты информации позволяющие построить достаточно эффективную систему безопасности.

Norton Internet Security 2000. Из всех решений подобного класса этот продукт обладает наиболее полным списком функций. Во-первых, он фактически представляет собой симбиоз двух пакетов: собственно Norton Internet Security 2000 и Norton Antivirus 2000 — одного из наиболее популярных и авторитетных антивирусов (см. "Компьютерное Обозрение", № 36, 1999). Во-вторых, Norton Internet Security 2000 впервые появился в конце прошлого года, т. е. фактически представляет собой релиз 1.0 (ну, благодаря Live Update, быть может, — 1.0х), однако это не должно вызывать у пользователей традиционного недоверия к первой версии. Дело в том, что в основу этого ПО заложены технологии и программный код из достаточно известной и популярной программы AtGuard фирмы WRQ, лицензированные в конце прошлого года Symantec. Именно этот компонент формирует центральную часть Norton Internet Security 2000 — персональный брандмауэр, в соответствии со своим названием, отслеживающий все входящие и исходящие попытки соединения и допускающий только те, которые могут считаться "безопасными".

Разделение программ на "агнцев" и "козлищ" происходит на основе особых правил, запрещающих либо разрешающих соединение, исходя из целого ряда параметров, в числе которых: название приложения или системной службы, номер порта, адреса локального и удаленного серверов. Определенный набор правил — разрешающие работу популярным броузерам и почтовым клиентам и запрещающие деятельность известных "троянских коней" — входит в состав Norton Internet Security 2000, дополнительные — могут формироваться автоматически либо добавляться пользователем.

Хороший пример — блокировка исходящих сообщений Aureate. Для этого нужно в реестре найти ключ HKEY_CLASSES_ROOTSoftwareAureateAdvertising и выписать значение параметра Default Server. Теперь осталось только создать новое "запрещающее" правило (в диалоговом окне OptionsAdvanced Options, на вкладке Firewall) для выявленного адреса и при желании включить протоколирование. Таким образом, не блокируется отображение рекламы и не нарушается работоспособность программ-носителей, а совесть пользователя остается кристально чистой.

В силу своих традиционных обязанностей брандмауэр просматривает каждый пакет данных, благодаря чему можно решать множество интересных прикладных задач. Например, в Norton Internet Security 2000 реализована функция отсечения рекламы, причем список источников можно легко пополнить, просто перетянув баннер на пиктограмму Trashcan в соответствующем окне приложения, имеется также возможность блокирования файлов cookie, в том числе и избирательного (существенное дополнение по сравнению с возможностями современных броузеров).

Защита конфиденциальности также обеспечивается за счет проверки информации, передаваемой в заголовках пакетов и полях форм (например, на тот случай, если ваше чадо захочет с кем-то поделиться адресом, номером телефона или более существенными данными). Логичным дополнением ко всем перечисленным возможностям оказываются и функции родительского контроля за посещаемыми узлами и используемым ПО, впрочем, я не ощутил принципиальных преимуществ перед стандартными механизмами того же Internet Explorer 5 — вероятно, для этого нужно вникать в большие тонкости, не являющиеся для меня пока что актуальными.

Norton Internet Security 2000 умеет также работать с протоколами IPX и NetBEUI, обеспечивает исчерпывающее протоколирование, поддерживает несколько учетных записей (одна из которых принадлежит супервизору, ответственному за все программные настройки). Как и все продукты Symantec, Norton Internet Security 2000 отлично оформлено и организовано, вся информация подается в удобочитаемом виде (некоторые окна чрезвычайно напоминают AtGuard). Приложение интегрируется с Norton System Suite и использует общую систему Live Update. Есть, правда, и недостатки: во-первых, Norton Internet Security 2000 работает только под управлением Windows 9х, а во-вторых, является коммерческим продуктом — $60 за коробочную версию. Впрочем, Symantec свободно распространяет полнофункциональную пробную версию (размером более 40 MB!), так что все желающие могут самостоятельно оценить, стоит ли программа этих денег. Если же абстрагироваться от финансовых вопросов, то Norton Internet Security 2000 — безусловно, лучший выбор среди аналогичных по возможностям продуктов.

ZoneAlarm 2. Компания Zone Labs распространяет свой продукт совершенно бесплатно (www.zonelabs.com, размер дистрибутива около 1,5 MB). Фактически ZoneAlarm 2 — лишь одна из возможных реализаций оригинальной запатентованной технологии мониторинга сетевого трафика TrueVector (которая и представляет основную коммерческую ценность). Как и любой демонстрационный продукт, ZoneAlarm 2 лишен каких бы то ни было "наворотов", но это как раз и сыграло положительную роль. Программа совершенно проста в применении, не требует от пользователя практически никаких "углубленных" знаний и при этом обеспечивает вполне приличную функциональность.

Никто не пройдет незамеченным мимо ZoneAlarm 2

ZoneAlarm 2 организует только персональный брандмауэр и, в первую очередь, направлена на решение "внутренних" проблем, которые, в принципе, и представляют наибольшую угрозу для индивидуальных пользователей (для корпоративных пользователей, как правило, защищенных промышленными брандмауэрами, это фактически единственная угроза). Internet-трафик контролируется на уровне приложений — не нужно разбираться с портами, IP-адресами, протоколами и прочей дребеденью. Как только любая программа пытается получить доступ в Internet, на экране появляется соответствующее сообщение, и пользователь может либо раз и навсегда разрешить/запретить подобные действия, либо отложить это на потом и принимать решение в каждом конкретном случае.

Кроме того, можно оперативно, буквально одним щелчком мыши полностью заблокировать Internet-соединение, что весьма пригодится в определенных нештатных ситуациях. Эта же операция может осуществляться автоматически, после определенного периода простоя ПК и Internet-соединения.

Несмотря на достаточную простоту, ZoneAlarm 2 исполнена вполне пристойно: удобный и приятный интерфейс, обновление через Internet (хотя и не такое элегантное, как у Live Update, но зато с автоматическим уведомлением о наличии новой версии), статистика локального трафика. Все это позволяет рекомендовать программу как идеальное средство для непрофессиональных пользователей, не желающих разбираться в технических подробностях. Однако в этом случае придется отдельно уделить внимание антивирусному контролю и разобраться с технологиями обеспечения безопасности (cookie, родительский контроль и пр.), встроенными в броузеры. Еще один недостаток — отсутствие административной защиты настроек самой программы, т. е. ограничить с ее помощью дееспособность юного дарования вряд ли удастся.

eSafe Desktop 2.2. Эта программа создана компанией eSafe (подразделение Aladdin Knowledge Systems, известного разработчика продуктов для защиты информации) и имеет достаточно длинную предысторию. Во всяком случае, в 1999 г. она признавалась одним из лучших продуктов для защиты информации. Сегодня, несмотря на ужесточившуюся конкуренцию на этом рынке, такая оценка имеет не меньше прав на существование — с недавних пор персональная версия распространяется совершенно бесплатно (www.ealaddin.com/esafe/desktop/index.asp, размер дистрибутива около 10 MB)! При этом eSafe Desktop представляет собой полнофункциональный продукт, обеспечивающий самые разнообразные виды защиты.

В его состав входит достаточно мощная антивирусная программа, состоящая из сканера, работающего по запросу и проверяющего файлы и архивы на локальных жестких дисках; монитора, отслеживающего вирусоподобные действия, и эвристического анализатора, способного обнаруживать еще неизвестные штаммы. Функциональность антивируса базируется на нескольких оригинальных технологиях. Macro Terminator используется для поиска макровирусов, в том числе еще неизвестных, за счет поиска характерных блоков кода (в основном, на VBA). Ghost Machine обеспечивает обнаружение полиморфных вирусов, которые шифруют или изменяют свой код. Для этого в отдельной виртуальной машине имитируется специфическая деятельность, заставляющая вирусы среагировать и "открыть" свой код. SmartScan отслеживает изменения в исполняемых файлах, источником которых обычно является деятельность вируса. Для эвристических механизмов также используется концепция "приманок" — специальных небольших файлов, которые могут быть изменены только вирусами. Имеется также особый модуль, подключаемый к броузеру и проверяющий все программы и апплеты уже в процессе их загрузки.

Защита от программ-"вандалов" также усиливается за счет технологии Sandbox II. Вместо того чтобы опираться на поиск известных сигнатур, она базируется на концепции так называемой "песочницы" (заимствованной из мира Java). Фактически "песочница" представляет собой некую безопасную область, в которой разрешено выполняться программе. Все загруженные приложения проходят определенный период карантина, когда их деятельность отслеживается и протоколируется. Любые попытки непроверенного ПО выполнить сомнительные операции (изменить системные файлы и т. п.) блокируются, и пользователь получает соответствующее предупреждение.

Модуль персонального брандмауэра отслеживает весь Internet-трафик, блокирует доступ к сомнительным узлам (определяющимся на основе присутствия ключевых слов в адресе или Web-страницах), запрещает отправку конфиденциальной информации в HTML-формах и электронных сообщениях. Брандмауэр также осуществляет мониторинг IP-портов, которые могут использоваться "троянскими конями" и другими опасными программами. Для каждого порта можно создать правило, разрешающее или запрещающее обращение через него к конкретным IP-адресам.

Кроме того, программа совместима с Windows 9x/NT/2000, имеет русскоязычный интерфейс (переведена даже справочная система, хотя работа явно не доведена до конца — текст состоит из русско-английских фрагментов и даже содержит некоторые комментарии переводчика), несколько конфигурационных мастеров, средства администрирования и защиты настроек. Имеется также совершенно необходимая для этого класса ПО функция обновления через Internet (хотя она и не работает через proxy-сервер). Все это действительно позволяет считать eSafe Desktop одной из наиболее полезных и функциональных программ, хотя интерфейс ее далеко не так интуитивен, как, например, у Norton Internet Security 2000, и начинающий пользователь может легко запутаться в многочисленных настройках и технических понятиях. Впрочем, одно несомненное преимущество — бесплатность — со счетов сбросить нельзя, тем более для такого многофункционального продукта.

На самом деле персональных брандмауэров с более или менее аналогичной функциональностью существует предостаточно. Проблема лишь в том, что большинство из них, не обладая какими-либо исключительными возможностями, являются коммерческими продуктами. Довольно неплохо, например, себя зарекомендовали программы серии ConSeal — настолько, что их разработчик (компания Signal9) был приобретен McAfee, а ConSeal Private Desktop превратился в Personal Firewall (распространяется только по подписке). Кстати, сам факт того, что такие гранды мира утилит и антивирусов, как McAfee и Symantec, обратили свое внимание на рынок персональных брандмауэров, говорит о нарастающем интересе к этому классу продуктов и их реальной востребованности. Среди коммерческого ПО для конечных пользователей безусловным лидером (что уже подтверждено статистикой продаж) является Norton Internet Security 2000, и, вероятно, многие конкурирующие проекты в ближайшее время канут в Лету. Основная же цель этого материала — не популяризация конкретных программных продуктов, а попытка привлечь внимание к достаточно серьезным проблемам. Любому пользователю Internet стоит посетить Web- страницу, вроде grc.com/x/ne.dll?bh0bkyd2, на которой можно проверить реальный уровень защищенности (или беззащитности) вашего компьютера перед различного рода угрозами, ознакомиться с дополнительной информацией, испытать в действии различные средства обеспечения персональной безопасности (в первую очередь, бесплатные) и сделать соответствующие выводы.