программ, атакующих клиентские системы, эта технология намного превосходит более известные продукты, такие как Lavasoft Ad-Aware и Spybot Search & Destroy.
Технология
Прежде чем начать освоение сферы разработки продуктов, предназначенных для защиты от шпионских программ, компания GIANT создала весьма успешную технологию борьбы со спамом под названием Spam Inspector. Когда в 2003 г. стала очевидной угроза несанкционированного доступа к информации, разработчики GIANT переключились на эту проблему. Выяснилось, что, хотя программы-шпионы имеют некоторые схожие со спамом характеристики, борьба с этой напастью должна вестись скорее в режиме упреждения и не может полагаться на базу данных описаний, использование которой часто лежит в основе продуктов, предназначенных для борьбы со спамом. Шпионские программы, атакующие браузер или всю систему и донимающие пользователя рекламой, незаметно меняют системные настройки, получают доступ к конфиденциальной информации и сегодня становятся одним из самых неприятных видов электронных атак, отчасти благодаря плохой защите браузера Microsoft Internet Explorer (IE).
Специалисты компании GIANT создали программу, которая ведет борьбу с программами-шпионами на нескольких уровнях. Во-первых, подобно другим продуктам этой направленности, данная технология включает сканер с ручным запуском, выявляющий и удаляющий шпионские программы, проникшие в систему. Во-вторых, в программе реализован монитор, в режиме реального времени предотвращающий установку разрушительных программ в системе. При обнаружении изменений в реестре в режиме загрузки или других параметрах конфигурации этот инструмент предупреждает пользователя и дает возможность подтвердить или блокировать выявленное изменение, так как оно может сигнализировать об электронной атаке. Наконец, что важнее всего, продукт GIANT (теперь продукт Microsoft) в вопросе выявления шпионских программ полагается на опыт, накопленный сообществом пользователей. Когда пользователь разрешает или закрывает доступ к конкретным приложениям, происходит обновление базы данных, размещенной в глобальной сети (Spynet.com) и содержащей информацию, получаемую от пользователей, которые сообщают сведения об опасных программах. Это позволяет более эффективно распознавать атаки шпионского характера. Кроме того, поскольку в компании GIANT ранее уже велась работа над созданием более удобной в управлении и развертывании корпоративной версии продукта, интегрируемой с Active Directory (AD), запланированной к выпуску в
2005 г., вариант продукта, ориентированный на предприятия, вероятно, будет готов уже к концу этого года.
Использование Windows AntiSpyware
Сейчас технология Windows AntiSpyware доступна в виде открытой бета-версии по адресу http://www.microsoft.com/spyware. Программа практически идентична последней версии GIANT, выпущенной в конце 2004 г. Продукт выполняет сканирование и удаление шпионских программ. Реализовано несколько вариантов проверки, которая может проводиться в углубленном режиме (все файлы и каталоги) и в более широко используемом интеллектуальном режиме (только общие точки входа шпионских программ). Кроме того, непрерывно отслеживаются изменения конфигурации системы, которые могут сигнализировать об электронной атаке.
Технология Windows AntiSpyware включает несколько передовых инструментов, хотя в доступной сегодня бета-версии реализовано лишь подмножество усовершенствованного инструментария, разработанного GIANT. В бета-версии поддерживаются функция System Explorers, позволяющая просматривать и изменять системные параметры, настройка которых в других обстоятельствах часто трудна или невозможна; функция Browser Hijack Restore, обеспечивающая возврат в исходное состояние настроек браузера, подвергшегося электронной атаке, и функция защиты конфиденциальности Tracks Eraser, удаляющая следы деятельности пользователя в приложениях и системных службах, таких как Adobe Acrobat Reader, Microsoft Windows Common Dialog и Google Toolbar.
Выпущенная GIANT версия технологии AntiSpyware также включала функцию System Inoculation, выполнявшую поиск слабых мест в системе безопасности, и утилиту Secure File Shredder, позволявшую полностью уничтожать файлы с компьютера с соблюдением рекомендаций, предусмотренных Министерством юстиции США в отношении безопасного уничтожения информации. Вероятно, к концу бета-тестирования продукта компания Microsoft вернет две упомянутые функции в программу.
Лицензирование, цены и сроки
Программа Windows AntiSpyware функционирует в среде Windows Server 2003, Windows XP и Windows 2000. К моменту написания этой статьи компания Microsoft пока не предоставила информацию о вариантах лицензирования и ценах на окончательную версию продукта.
Рекомендации
Оценка существующих технологий борьбы со шпионскими программами, начатая в середине 2004 г. в условиях роста числа электронных атак шпионского характера, показала, что наилучшим вариантом является GIANT AntiSpyware. Новое приобретение компании Microsoft позволяет надеяться на дальнейшее совершенствование этой технологии. Корпоративная версия, вероятно, появится ближе к концу 2005 г., и, если она будет так же хороша, как и клиентский вариант, организации, использующие системы Windows, получат отличную технологию обеспечения безопасности, которую им стоит безотлагательно начать осваивать.
Редактор новостей в Windows IT Pro. Готовит еженедельные выпуски Windows IT Pro UPDATE, а также ежедневные выпуски новостей WinInfo. С ним можно связаться по адресу: thurott@win2000mag.com