Лаборатория Касперского в прошлом году представила свой новый продукт — Kaspersky Internet Security 2009 (KIS 2009), предназначенный для защиты домашних компьютеров пользователей. Не стоит думать, что это очередное улучшение уже достаточно давно известного продукта. Пользователям предложено решение, основанное на новом антивирусном ядре, имеющее многие нововведения. В этой статье я постараюсь коротко описать их и высказать свои впечатления от использования данного продукта.
Прежде всего, хотелось бы отметить принципиально новый подход к защите информации — ограничение прав доступа программ к ресурсам системы, что позволяет предотвратить проведение несанкционированных действий с помощью вредоносных программ. Перечислим нововведения KIS 2009.
-
Новое ядро антивируса.
-
В состав KIS 2009 включен новый компонент «фильтрация активности», что позволило уменьшить количество обращений KIS к пользователю за счет применения списков доверенных приложений (whitelisting). Кроме того, стоит отметить, что с помощью данного компонента можно контролировать доступ приложений к конфиденциальным данным, файлам и папкам.
-
Проверка наличия уязвимых мест операционной системы и приложений позволит уменьшить вероятность заражения вредоносными программами.
-
Новый мастер «Восстановление после заражения», который предназначен для восстановления после атаки вредоносного программного обеспечения.
-
Компонент «Виртуальная клавиатура» позволит обеспечить безопасный ввод информации с клавиатуры.
-
Мастер устранения следов активности позволит удалить информацию о действиях пользователя за компьютером.
-
Добавлена проверка трафика ICQ и MSN.
Хотелось бы отметить и новый интерфейс самого приложения, который удивит пользователя, привыкшего к KIS 7.0, однако адаптация проходит довольно быстро. Рассмотрим некоторые нововведения подробнее.
Фильтрация активности
Настроить фильтрацию приложений можно с помощью меню«Контроль приложений»,«Фильтрация активности»,«Настройка» (см.экран 1)
Следует отметить, что для корректной работы необходимо соединение с Internet, ведь при первом запуске приложения компонент отправляет контрольную сумму исполняемого файла в базу контрольных сумм приложений, хранящуюся на серверах «Лаборатории Касперского». Если соответствующие контрольные суммы совпадают, приложение попадает в группу «Доверенные».
Фильтрация активности вычисляет рейтинг опасности приложения, позволяющий классифицировать приложения, не имеющие цифровой подписи. С точки зрения безопасности продукт делит все приложения на три группы.
Заведомо безопасные. Это приложения, разработанные известными производителями программного обеспечения и снабженные цифровыми подписями. Таким приложениям разрешены любые действия в системе. Заведомо опасные. В эту группу попадают все угрозы, известные на момент проверки.
Неизвестные. К данной группе относятся приложения без цифровой подписи. Такие приложения не обязательно являются нежелательными, однако принять однозначное решение можно только после запуска и анализа.
Таким образом, функция «Фильтрация активности» регистрирует действия, совершаемые приложениями, и регулирует их деятельность в зависимости от того, к какой группе они относятся, т. е. регламентируется доступ к:
-
файлам и папкам;
-
разделам реестра;
-
сетевым адресам;
-
сетевым пакетам;
-
устройствам;
-
среде исполнения.
При обращении приложения к ресурсу «Фильтрация активности» проверяется наличие у приложения необходимых прав доступа. Затем данная функция выполняет действие, заданное правилом.
Проверка уязвимых мест в системе и приложениях
Компонент «Анализ безопасности» появился лишь в версии KIS 2009. Он предназначен для поиска слабых мест в установленных приложениях, а также повреждений и ошибок в настройках операционной системы и браузера, причиной которых может быть активность вредоносных программ, сбои и т. д. Поиск уязвимых мест проводится с помощью баз уязвимостей компании Secunia. В ходе поиска проверяется наличие обновлений для операционной системы и таких программ как Opera, Firefox, Adibe Reader и т. д.
Результатом работы мастера являются прямые ссылки на обновления соответствующих продуктов. Кроме того, мастер отслеживает настройки Internet Explorer на наличие потенциальных уязвимых мест. Следует учесть, что проверяются только приложения, установленные в Program Files.
Восстановление после заражения
Данный компонент предназначен для устранения последствий заражения и рекомендуется к запуску после лечения компьютера, дабы пользователь смог убедиться, что все угрозы и повреждения устранены.
В процессе работы мастер проверяет, нет ли в системе повреждений, причиной которых может быть заражение вредоносными программами, а также применение некорректных оптимизаторов системы.
Результатом работы мастера является список действий, которые необходимо выполнить для устранения повреждений. Все найденные при этом повреждения группируются в зависимости от опасности, которую они представляют. Для каждой группы существует набор действий, которые необходимо выполнить.
Все действия подразделяются на:
-
настоятельно рекомендуемые действия — повреждения представляют серьезную проблему;
-
рекомендуемые действия — повреждения могут представлять потенциальную опасность;
-
дополнительные действия — предназначены для устранения некритичных на данный момент повреждений системы, которые в дальнейшем могут поставить безопасность компьютера под угрозу.
Мастер устранения следов активности
Еще один новый компонент — мастер устранения следов активности. Он предназначен для удаления информации об активности пользователя, которая может храниться в системе в виде:
-
истории посещения Web-сайтов;
-
истории запуска приложения;
-
истории поисковых запросов;
-
истории открытия и сохранения файлов различными приложениями;
-
записей в системном журнале Microsoft Windows;
-
временных файлов и т. д.
Очень часто пользователь не обладает необходимыми навыками и знаниями для предотвращения кражи информации из подобных файлов, поэтому и был создан соответствующий компонент.
Как видите, сотрудники «Лаборатории Касперского» потрудились на славу. Отдельно хотелось бы сказать о том, что разработчикам наконец-то удалось разрушить миф о «тяжеловесности» антивирусов от «Лаборатории Касперского». Так, по моему мнению, скорость работы антивирусного сканера увеличилась почти в 7 раз, почти вполовину уменьшилось время загрузки системы и сократилось время, затрачиваемое на копирование файлов.
Однако, как обычно, не все так гладко, как хотелось бы. У пользователей появились другие затруднения. Самое главное изменение состоит в том, что теперь пользователь должен сам принимать решение о надежности той или иной программы. А вот здесь кроется основная проблема. Ведь на сегодня, и тут специалисты в области информационной безопасности со мной наверняка согласятся, основной угрозой информационной безопасности для домашних пользователей (а продукт предназначен именно для них) являются сами пользователи. Как вы думаете, у всех ли хватит терпения отвечать на вопросы вроде заданного на экране 2?
С точки зрения специалиста по ИТ, этот диалог вполне обычен. А вот требования к пользователям возросли. И хотя вопросы будут возникать все реже и реже в силу градации приложений по степени их надежности, но тем не менее они останутся. Особенно на компьютерах любителей игр. Поэтому пользователям можно лишь посоветовать внимательнее читать документацию к продукту.
Вторым пунктом, вызывающим у меня вопросы, является функция «Родительский контроль». С одной стороны, он стал работать гораздо более жестко и логично, чем в KIS 7.0, но с другой — количество ложных срабатываний эвристического анализа текстов меньше не стало. Иногда полезные сайты не открываются, а страницы с нежелательным содержимым оказываются доступными. Это в свою очередь заставит родителей просматривать отчет о посещенных чадом сайтах и в случае некорректного срабатывания «Родительского контроля» добавлять соответствующие сайты в черный или белый список соответственно.
В целом могу сделать следующий вывод: несмотря на возросшие требования к пользователям, очевидно, что на рынке программного обеспечения для защиты от угроз появился новый эффективный продукт, который очень быстро завоевывает популярность у пользователей!
Владимир Безмалый (Vladimir_Bezmaly@ec.bms-consulting.com) — руководитель программы подготовки администраторов информационной безопасности «Академии БМС Консалтинг». MVP Windows Security