Доклад: Наказание за поведение

Михаил Брод

Чем грозит появление на компьютере вирусов, знает каждый. Многие сталкивались с попытками проникновения на свой компьютер извне, когда он подключен к Интернету. Возможно, кто-то сталкивался и программами, которые были "подкинуты" на компьютер и фиксировали всю информацию, набираемую на клавиатуре - так называемые "программы-шпионы". Для предотвращения подобных явлений ставятся антивирусные программы, файерволы, программы, обнаруживающие назойливою рекламу и другие программные средства, защищающие ваш компьютер. Но все эти программы основаны на одном принципе - защите от уже известных вредоносных проявлений.

Антивирусные программы проверяют файлы на основе своих справочных баз и алгоритмов, основанных на поиске уже известных сигнатур. Файерволы защищают от атак, которые описаны и заложены в их алгоритм поиска. Аналогичным образом действую и программы, выискивающие рекламу, шпионов, пресекающие иные проникновения на компьютер. И почти никто не рискует заявить о том, что разработанное компанией программное обеспечение готово предотвратить проникновение еще не известных вирусов или защитить от еще не известных атак. Никто, кроме компании StarForce.

Эта компания является экспертом в области защиты игр, образовательного, развлекательного и делового программного обеспечения от копирования и взлома. Компания занимается разработкой комплекса решений по защите интеллектуальной собственности. А некоторое время тому назад она объявила о выпуске совершенно нового программного продукта - Safe'n'Sec. Эта программа - дополнение к уже имеющимся на компьютере средствам защиты, таким, как антивирусные, файерволы и иные программы. В ее основу положен принцип превентивной защиты (или, как ее называют разработчики, проактивной) и обнаружения вредоносного кода. Эти принципы используют анализ поведения программ, в особенности - подозрительных проявлений такого поведения. Это позволяет контролировать и анализировать активность приложений на компьютере пользователя и предотвращать вредоносные действия.

Алгоритмы, использованные в программе, обеспечивают низкий уровень ложных срабатываний и очень редко требуют вмешательства пользователей для защиты компьютера. Программа спокойно "уживается" с уже установленными на компьютере средствами защиты (в моем случае она установлена и работает параллельно с антивирусом DrWeb и файерволом Agnitum Outpost). При этом никаких противоречий в их работе не проявляется.

Основная программа предназначена для отслеживания ненормальной активности программ и приложений, которые могут проявляться при работе на компьютере. К таким действиям можно отнести любые попытки выполнить запись данных в реестр или изменить их, удалить системные файлы или модифицировать те, что не должны изменяться без разрешения пользователя. При этом совершенно неважно, что за программа пытается это сделать, следовательно, отслеживание подобных проявлений не зависит от того, выполняет ли эти действия уже известное в качестве вредоносного приложение или вирус, или неизвестное. Программа Safe'n'Sec будет приостанавливать действия даже вполне "приличных" программ, которые могут выполнять подобные действия.

Так, программа выдает предупреждение при каждом запуске почтового клиента The Bat!, предупреждая о том, что "приложение Kernel32.dll пытается зарегистрироваться на автоматический запуск при старте системы. Это нарушает политику безопасности. Действие потенционально опасно. Вы можете запретить или разрешить как выполнение этого действия, так и всю активность приложения." А в пояснении говорится, почему выдано такое предупреждение - многие вредоносные программы изменяют значение ключа реестра. В ответ на это предупреждение можно установить, какое действие нужно предпринять в данной ситуации - разрешить его или заблокировать. При этом можно выбрать и варианты - применить выбранный результат реагирования только к текущему действию, или к любой аналогичной активности, выполнять проверку при каждом запуске программы, в данной сессии или однократно.

Такие предупреждения можно получать и до того момента, как пользователь зарегистрируется в системе - ведь паразиты не обязательно будут ждать момента регистрации, чтобы начинать свою "подрывную" деятельность. Для того, чтобы пользователь мог получать предупреждения до своей регистрации, нужно установить соответствующую опцию в настройках программы. Если эта опция отключена, любая вредоносная активность, проявившаяся до регистрации пользователя в системе, будет заблокирована (действие по умолчанию). Однако нет полной уверенности в том, что не будет принято за вредоносную активность действие какой-либо полезной программы, без которой система будет функционировать неправильно.

После установки программы она готова к работе. Но только модуль, который отвечает за поиск вредоносного кода и защиту от него, защиту от новых вирусов и хакерских атак. Для того, чтобы проверить файлы на "зараженность" вирусами, нужно установить дополнение - базу данных сигнатур известных вирусов, для чего используются данные от ведущих производителей антивирусных программ. Все параметры защиты от известных вирусов, новых вредоносных программ и хакерских атак в Safe'n'Sec объединены в уровни безопасности. Пользователю не нужно настраивать защиту, достаточно выбрать тот уровень безопасности, который ему подходит. Так, например, в период вирусных эпидемий рекомендуется выбрать самый высокий уровень безопасности. Он обеспечит максимальную защиту данных на компьютере пользователя.

Но основная задача программы Safe'n'Sec - защита данных на компьютере от неизвестных на текущий момент угроз и уязвимостей. Защита от новых угроз и уязвимостей включает в себя три этапа:

Контроль - постоянный мониторинг любой активности на компьютере пользователя: запуск/остановка сервисов, работа установленных на компьютере приложений, действия пользователя и т.д.

Анализ - исследование и обработка последовательности выполняемых приложениями действий.

Заключение - принятие решения относительно вредоносности приложения на основании анализа действий.

Два первых этапа опираются на политики контроля активности, определяющие, что именно контролировать и как анализировать. Заключение о вредоносности приложения выносит интеллектуальный анализатор. При принятии решения используется информация о действиях, выполненных приложением, и их последовательности. Результатом принятия решения является статус, присваиваемый контролируемому приложению. Для анализа состояния системы и активности приложений используются специальные алгоритмы и методики, обеспечивающие высокую скорость принятия решения в отношении приложения. Анализатор выносит заключение о подозрительной активности того или иного приложения, основанием для чего является набор и последовательность выполняемых этим приложением действий. Опасные с точки зрения программы приложения блокируются еще до того, как они смогут нанести вред или нарушить работоспособность компьютера. В зависимости от выбранного уровня безопасности и других настроек, программа либо автоматически блокирует или пропускает действия приложения, либо выдает запрос пользователю для принятия решения им.

Safe'n'Sec обеспечивает не только контроль активности, но и поиск опасного кода в уже размещенных на компьютере файлах. Для этого есть отдельная опция, встраиваемая также в Проводник Windows. Если эту функцию запускать из меню программы, то поиск будет вестись на всех локальных дисках. Через меню Проводника можно проверить любой отдельно взятый раздел, выбрав опцию "Поиск вредоносного кода". Уровень проверки устанавливается в панели настройки - выбирая один из трех возможных вариантов, частичный, строгий и полный. При частичном уровне проверяются только потенциально опасные файлы - исполняемые модули, и файлы, измененные с момента последнего обновления баз. При полной проверке дополнительно проверяются потенциально заражаемые файлы, архивы и почтовые базы.

Все действия программы должны протоколироваться, но в текущей версии эта возможность не реализована. В протокол записывается только действия с файлами, в которых обнаружен вирус или вредоносный код (доступно опять же три варианта действий - пропуск такого файла, помещение в карантин и удаление). Но при этом не отмечается, что же обнаружено в том или ином файле. И здесь, в текущей версии программы, также есть недоработка - при помещении в карантин файлов с одинаковыми именами, более поздний затирает предыдущий. Еще одна недоработка - после перемещения в карантин почтовой базы программы The Bat!, он становится невосстановимым. (Разработчики обещали разобраться с этими недочетами к ближайшему обновлению программы.) И не реализовано пока протоколирование всех обнаруживаемых подозрительных действий, выполняемых на компьютере. А без этого крайне сложно проанализировать источники и происхождение угроз.

Safe'n'Sec поддерживает автоматические обновления через Интернет. Это неплохо - можно будет своевременно получать новые данные. А вот как работать с доверенными и запрещенными программами - непонятно. В документации сказано, что программа "использует списки доверенных и запрещенных приложений, но нигде не говорится и отсутствует в интерфейсе возможность работы с такими списками.

Общий вывод. Программа может быть использована в качестве дополнительного средства защиты от неизвестных угроз, но не нужно по крайней мере на текущем этапе отказываться от привычных антивирусных программ и файерволов.

Список литературы