ведет собственную жизнь, а пиктограмма сети в панели задач Windows или статусные лампы модема DSL светятся, или даже на экране возникают всплывающие окна, причем когда пользователь по своей воле не входил в сеть. Пользователь, быть может, когда-нибудь и обратит внимание на то, что производительность его компьютера резко упала и что в менеджере задач появились незнакомые приложения. Обычно же начинают беспокоиться, лишь когда приходит огромный счет за телефон или система обеспечения безопасности подает соответствующие сигналы. Быть может, его внимание привлечет также то, что последняя больше не работает и не может быть инсталлирована заново.
КРАДУЩАЯСЯ ОПАСНОСТЬ
Такие признаки указывают на новый тип опасности: на растущее число приложений, которые без уведомления инсталлируются на компьютере. Нежелательное программное обеспечение располагается примерно посредине между добром и злом. Оно привлекает полезными функциями, однако в тайне шпионит за пользователем или ведет иную вредоносную деятельность. Защита от таких программ сопряжена с немалыми трудностями. Действие подобного нежелательного программного обеспечения (grayware) может быть разным (см. Таблицу 1).
Однако не всегда оно наносит вред (поэтому его иногда именуют «условно вредоносным»). Это может быть, к примеру, программное обеспечение для повышения эффективности работы поисковых машин. Однако принципиально важно то, что оно устанавливается на компьютер без ведома пользователя. Его негативное воздействие простирается от назойливого мелькания всплывающих рекламных окон, снижения производительности и нежелательного изучения пользовательского профиля вплоть до серьезного ущерба рабочему месту или сети. Наибольшую угрозу представляют шпионаж и кража конфиденциальных клиентских данных. Тем самым такое ПО несет в себе гораздо более широкий спектр угроз, чем традиционные вирусы и получившие распространение в последнее время фишинг и фарминг.
С помощью нежелательного программного обеспечения реализуется все больше угроз новым профессиональным и уже весьма организованным сообществом компьютерных взломщиков, причем их уже не привлекает выведение из строя сетей и вычислительных мощностей исключительно из спортивного интереса. Теперь цели иные — главным образом коммерческие и криминальные.
Вероятность заражения велика. В случае нежелательного программного обеспечения часто не требуется никаких специальных действий, чтобы оно осталось на ПК, в то время как для инфицирования вирусом чаще всего необходимо по крайней мере открыть вложение в электронную почту. При фишинге или фарминге пользователя побуждают сообщить свои персональные данные при помощи либо якобы авторизованных электронных писем, либо поддельных страниц. Стать невольным владельцем нежелательного программного обеспечения очень легко: достаточно посетить определенную страницу Web. Однако условно бесплатные программы, свободно распространяемые программные средства и все более популярные предложения совместного использования файлов и сети загрузки, к примеру Bittorrent, также представляют собой некоторый риск заражения. Содержимое, которое часто менеджер загрузки копирует небольшими пакетами, не может быть проверено антивирусными сканерами на шлюзе.
ПОЛНАЯ ГАММА ОТТЕНКОВ СЕРОГО
Многочисленные виды нежелательного программного обеспечения оказывают различное воздействие. Adware, которое часто распространяется с бесплатным программным обеспечением, вызывает появление столь нелюбимых всплывающих окон. Игры служат главным образом для забавы. Шутки изменяют настройки без нанесения ущерба системе — примером может послужить смена установленных обоев в Windows. Более опасно нежелательное программное обеспечение для одноранговых сетей (Peer-to-Peer, Р2Р), когда загружаются большие файлы. С их помощью можно получать внушительные объемы деловых данных, а также нелегальные музыку и фильмы.
Злоумышленникам нежелательное программное обеспечение служит для определения поведения пользователя. С точки зрения последнего, программы могут быть полезными, однако они нарушают его персональную информационную свободу.
К нежелательным программам такого рода относятся подключаемые модули для сбора информации о поведении в Internet или иных данных. Шпионское ПО записывает данные о действиях пользователя и анализирует их. Та же цель может быть достигнута при помощи Browser Helper Objects (BHO) или поддельной панели инструментов. Первая инсталлируется в рамках другого приложения в качестве библиотеки DLL, так что обнаружить ее довольно сложно. Вторая манипулирует функциями меню браузера в целях наблюдения.
Другие приложения могут принести новые опасности. Очень часто модификации подвергается программа набора номера (dialer). Хакеры манипулируют браузером Web, изменяя меню «Избранное» и «Закладки» пользователя или указывая в опциях новые стартовые страницы. Некоторые из них изменяют настройки DNS системы с тем, чтобы перевести ее на сомнительные серверы DNS. К таким опасным средствам относятся и инструменты для управления сетью: среди прочего они изменяют сетевые параметры, деактивируя настройки безопасности. Программы для загрузки могут постоянно загружать все новые приложения из Internet без уведомления пользователя. Наибольшую опасность представляют собой регистраторы нажатий клавиш (keylogger), поскольку они протоколируют любые манипуляции с клавиатурой и передают вовне пароли и номера PIN. Наконец, инструменты для удаленного администрирования позволяют сделать так, что пользователь полностью теряет контроль над своим рабочим местом — им управляет злоумышленник.
ЗАЩИТНЫЕ МЕРЫ
Защита против нежелательного программного обеспечения должна быть многоуровневой. Опасности угрожают с разных сторон. Каждый пользователь должен сам задуматься о своем поведении в Web, поскольку причиной заражения становится часто беспечное обращение с Internet. Администратору же предстоит выбрать, будет ли он защищать отдельные рабочие места на базе хоста или отражать опасности централизованно на шлюзе. В корпоративных сетях с большим количеством настольных компьютеров реализовать на практике защиту клиентов при помощи антивирусного программного обеспечения или персональных брандмауэров достаточно сложно. Кроме того, всегда есть опасность, что интеллектуальное нежелательное программное обеспечение деактивирует локальные средства защиты или пользователь сам сделает это по неосторожности.
Но и ближайшая альтернатива построения централизованной защиты на базе сети для блокирования доступа предлагает лишь ограниченную безопасность. Ноутбук, или КПК с выходом в Internet, или инфицированный мобильный носитель данных автоматически обходят защиту на входе, когда они локально подключаются к сети пользователем, который, возможно, обладает правами администратора. Применительно к инфраструктуре повысить безопасность можно только при условии применения целого комплекса мер: ответственного поведения в Internet, программной защиты мобильных клиентов и централизованного сетевого решения.
ФИЛЬТРЫ НЕЖЕЛАТЕЛЬНОГО ПО КОМБИНИРУЮТ РАЗНЫЕ ТЕХНОЛОГИИ
Однако при проверке содержимого в поисках возможного нежелательного программного обеспечения ключевое значение наряду с вопросом «где» имеет и вопрос «как», поскольку для эффективного противодействия нежелательному ПО защита сети должна учитывать разные элементы. К ним относятся брандмауэр с контекстной проверкой, модуль VPN и контроль пропускной способности (см. Рисунок 1).
Содержимое сетевого трафика необходимо глубоко и интенсивно анализировать. Динамическая система предотвращения угроз, к примеру, объединяет проверку сигнатур вирусов, обнаружения и предотвращения вторжений, а также — с учетом появления все новых угроз и неизвестных атак — эвристические методы и раскрытие аномалий в Web. Для нахождения в отдельных пакетах фрагментированного и спрятанного нежелательного программного обеспечения важно проверять весь контент. Существенным элементом является поэтому тривиальная проверка полноты передачи данных в рамках сеанса (Stateful Inspection), после чего связанные отрывки собираются в правильной последовательности (Content Reassembly). Нежелательное программное обеспечение часто обнаруживается на основании нарушения предписанных протокольных шаблонов (Communication Protocol) или некорректной семантики приложений (Application Protocol). Кроме того, вся полезная нагрузка сеанса должна проверяться на незнакомое содержимое и неизвестные приложения (Content Inspection). Контроль активности, наконец, позволяет отслеживать все действия в рамках сеанса (Activity Inspection), поскольку постоянно работающее в фоновом режиме приложение выглядит подозрительно (см. Рисунок 1).
ЗАКЛЮЧЕНИЕ
Многоуровневые структуры, широкомасштабный анализ содержимого и бдительное око пользователя позволяют построить действенную защиту от нежелательного, т. е. выполняющегося без ведома пользователя, программного обеспечения. Противо-действие ему должно быть гибким и многоуровневым, как и сама опасность.
Франк Вайзель — региональный менеджер компании Fortinet. С ним можно связаться по адресу: wj@lanline.awi.de.
? AWi Verlag