АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2003 ГОД

Капкан на деревянных коней

Все журналы \ Номер 4/227 `2003 от 27.01.2003 \ Капкан на деревянных коней

Сергей ЯРЕМЧУК grinder@ua.fm

После публикации статьи «Огненные гардины» наибольший интерес читателей вызвал комплексный продукт eSafe Desktop от компании Aladdin, включающий в себя брандмауэр, антивирус и системный сторож («песочница»). К сожалению, в настоящий момент компания тоже почувствовала интерес к данному продукту — для нас это означает, что он перестал быть бесплатным. В данной статье предлагаю ознакомиться еще с одним подобным (комплексным) ПО от компании Tiny Software (http://www.tinysoftware.com).

Данная компания уже известна благодаря своему персональному брандмауэру. Но сейчас дополнительно в компании разработан охранный модуль, позволяющий отслеживать все потенциально опасные действия —Trojan Trap, который выпускается как отдельный продукт Tiny Trojan Trap 3 и при этом входит в состав Tiny Personal Firewall 3 (отличается от первого только наличием персонального брандмауэра и ценой). Последний после такого апгрейда перестал быть бесплатным, хотя на сайте компании пока еще можно найти бесплатный релиз второй версии (без Trojan Trap ). В Trojan Trap используется новая фирменная технология сертификации ICSA (Сertified Security Technology), которая является неотъемлемой частью Centrally Managed Desktop Security (CMDS) — системы защиты компьютеров, применяемой в Военно-воздушных силах США. Эта технология позволяет защищать как персональные компьютеры, так и сети от воздействия активного содержания (ActiveX, Java и пр.) Для этого применяется технология Sandbox, по-нашему «песочница». Принцип работы стар как мир. Все незарегистрированные в системе или указанные пользователем программы работают в защищенном пространстве (закрытой среде), при этом появляется возможность отслеживать все потенциально опасные действия (Рис. 1) и, что самое приятное, вовремя пресекать их. Если кто помнит, это мы уже проходили еще в первых антивирусах, те тоже просто отслеживали обращения к определенным прерываниям и блокировали наиболее опасные. Так что мы сейчас на новом витке. При этом драйвера, системный реестр и файловая система экранируются и постоянно проверяются, чтобы обеспечить секретность и целостность системы. Все действия сверяются с имеющейся базой данных, подозрительные и нежелательные при этом блокируются. Поэтому такой подход позволяет защитить персональный компьютер не только от преднамеренных, но и от неумышленных действий пользователей, что, по моему мнению, происходит даже чаще. Все .cab-файлы, которые загружаются браузером, сначала распаковываются и проверяются встроенным антивирусом (кстати, модуль антивируса от компании McAfee), после чего пользователю предоставляется информация, исходя из которой он решает, оставить данный файл на компьютере или удалить его. Программа управления встроенным антивирусом позволяет производить проверку локальных дисков по расписанию. Имеется возможность обновления вирусных баз. Если вас не устраивает встроенный антивирус, то можно использовать внешний вирус-сканер. Встроенный в программу администратор кэша (Cache Configuration Manager) (Рис. 2) позволяет очищать информацию из кэша браузера как автоматически, так и вручную, причем возможно сконфигурировать данную операцию только для определенных узлов или браузеров, если их на компьютере установлено несколько. А для того чтобы не громить все подряд, есть опция, позволяющая посмотреть дополнительную информацию о файле, содержащемся в кэше, есть и встроенный фильтр, позволяющим отобрать файлы только с определенным расширением. И естественно, не обошлось без возможности контроля над многострадальными cookies, а для сайтов, имеющих несколько адресов, предусмотрен «режим самообучения». Кстати, очень удобная штука, особенно когда не представляешь даже, к каким ресурсам обращается подопытная программа. Использовать данный режим очень просто. Для начала включите в пункте меню View режим Advanced Mode, после чего станет доступна панель Learnig Mode во вкладке Security. Теперь выберите файл программы (к сожалению, нельзя выбрать папку, например Windows — было бы очень даже неплохо), действия которой вы хотите отследить, и погоняйте программу. При этом Trojan Trap аккуратненько запротоколирует все действия, все вызовы исследуемой программы и создаст новый набор правил для нее. Конечно, чтобы потом сюртучок не жал под мышками, вы должны хорошенько погонять программку — от этого зависит эффективность использования данного режима. Да, раз уже заговорили о доступе к папкам, скажу, что программа позволяет полностью управлять доступом как к отдельным папкам на диске (Рис. 3), так и к отдельным устройствам (CD-ROM, принтер и т.д.) и, естественно, к сетевым ресурсам. Как вы понимаете, для семейства Windows 9x доступны не все режимы, в отличие от систем, построенных на ядре NT. Для файлов, загружаемых с Интернета, можно указать отдельную папку. Аналогично можно ограничить доступ как ко всему реестру в целом, так и к отдельным его веткам.

В TTT и TPF предусмотрен контекстный фильтр, позволяющий ограничить доступ к ресурсам с определенной (скажем так, ненужной) информацией и, что не менее важно, предотвратить утечку информации из внутренних сетей, который настраивается раздельно, как для загружаемых web-страниц, так и для e-mail. Для почты, чтобы не мешать, например, служебной переписке, дополнительно реализована возможность указания узлов, для которых данные правила не действуют. Чтобы активировать данный режим, необходимо просто ввести контрольное слово, которое нужно отслеживать, во вкладке Content Filtering в разделах WWW Content Filtering и E-mail Filtering.

Как уже говорилось, Tiny Personal Firewall дополнительно имеет встроенный брандмауэр, позволяющий полностью контролировать весь трафик, проходящий через компьютер (Рис. 4). Все неизвестные приложения, прежде чем получить доступ в Интернет, должны получить на это разрешение у пользователя. Но здесь возник небольшой парадокс, который относится как к firewall, так и к Trojan Trap (в принципе, эти два компонента, согласитесь чем-то похожи в своей работе, первый контролирует сетевой траффик, а второй — системные вызовы). Все дело в том, что все программы, которые имелись на компьютере до установки на него одного из этих пакетов, автоматически (за редким исключением) считаются безопасными, а ко всем новым программам по умолчанию применяются самые жесткие правила. Поэтому установку TTT и TPF лучше производить на голую систему. А так файрвол как файрвол. Как обычно, есть ряд встроенных правил, которые нельзя удалять, одновременно с тем пользователю предоставлена возможность создавать свои правила для пакетов (традиционно устанавливаются следующие действия: пропустить, пропустить с контролем, удалить, спросить).

Trial-версии всех этих продуктов, работоспособные в течении 30 дней, можно взять с сайта компании. Обратите внимание, есть дистрибутивы, предназначенные только для Windows NT/2000/XP (http://www.tinysoftware.com/tiny/files/apps/tpf3xp2k.exe и trap3xp2k.exe), есть и универсальные, для всех ОС от Microsoft (tpf3.exe и trap3.exe), по адресу http://www.tinysoftware.com/tiny/files/apps/pf2.exeможно еще найти Tiny Personal Firewall 2. Установка всех этих продуктов не должна вызвать трудностей. Но обилие таких возможностей отразилось на эргономике — с настройкой придется хорошенько повозиться. Цена Tiny Trojan Trap 3.0 составляет 29 убитых енотов, а Tiny Personal Firewall 3 — 39. Много это или мало, не знаю, но для небольшой фирмы, наверное, это будет оптимальная покупка. К сожалению, мне не удалось найти какой-либо информации об эффективности данного продукта, ведь даже хорошую идею можно реализовать по-разному. Конечно, найдутся люди, готовые утверждать, что отдельные продукты от таких-то фирм лучше выполняют свою работу. Но продукты хорошо разрекламированных фирм и стоят дорого (часть денег опять же пойдет на рекламу), да и уследить за кучей разнородных программ гораздо труднее, чем за одной. Можно, конечно, поставить хоть десяток антивирусов и др., но идеального оружия нет и, скорее всего, его никто создавать и не будет. Бизнес, однако. Да и слабым местом является как правило не программа, а его величество пользователь (и администратор, конечно). Сколько раз говорилось: обновляйте антивирусные базы, устанавливайте вовремя патчи. Последние истории с вирусами под OS Linux показали, что никто этого не делает. Ну а пользователю сколько ни говори, чтобы не открывал подозрительные файлы, все равно ведь открывает. А то и просто может отключить заботливую программу, чтобы та не тормозила компьютер. Но одно очевидно: продукты, подобные описанному здесь, займут свою нишу на рынке ПО, предназначенного для обеспечения безопасности. Даже такие монстры как фирма Symantec не удержалась, выпустив «комбайн» Symantec Client Security, состоящий из межсетевого экрана, антивирусного средства и системы обнаружения атак (intrusion detection system, IDS). Так что на этом рынке скоро станет совсем тесно. Будем надеяться, конечный пользователь при этом не будет в обиде.

Рекомендуем ещё прочитать:

Капкан на деревянных коней. (№4/227 `2003) Сергей А. Яремчук
Удобный прайс-лист. (№5/228 `2003) Надежда Баловсяк
Многоликий Паскаль. (№12/235 `2003) Валерий Скачко
Популярная XINомеханика. (№21/244 `2003) Сергей А. Яремчук
Микроиконопись. (№31/254 `2003) Дмитрий Кошевой
Легкий сплав для киноманов. (№37/260 `2003) Rocketeer

Предыдущая статья Назад К списку журналов Следующая статья