Марк Джозеф Эдвардс
09.11.2005
Проблема шпионского программного обеспечения становится все более острой. Чтобы решить ее, необходимо определить способы защиты и выбрать из разнообразных типов продуктов наиболее подходящие для конкретных условий. Полезно также собрать информацию о поставщиках современных централизованно управляемых решений антишпионажа. Тем, кто мало знаком с программами антишпионажа, рекомендую прочитать врезку «Что такое шпионская программа?».
Защититься от проникновения шпионских программ можно, если выделить достаточно средств на обучение пользователей и взять на вооружение решения антишпионажа. Шпионские программы похожи на вирусы, «троянских коней» и «червей», поэтому защищаться от них можно методами, которые подсказывает здравый смысл. Пользователям следует остерегаться неизвестных программ, какими бы привлекательными они ни казались. Нужно также проявлять известную осторожность по отношению к незнакомым Web-узлам, особенно с JavaScript, ActiveX и другими элементами управления на базе Web, с помощью которых легко установить шпионские программы. Многие почтовые клиенты располагают встроенными функциями обработки и вывода на экран HTML-контента, и пользователям следует остерегаться любых непрошеных сообщений электронной почты.
Иногда зараженную шпионскими программами систему можно узнать по характерным особенностям поведения: замедленная реакция при вводе данных с клавиатуры; брандмауэры время от времени выдают всплывающие предупреждения; в журналах появляются записи о запросах доступа к незнакомым сайтам Internet со стороны неизвестных прикладных программ; записи журналов свидетельствуют о попытках установить соединение с данным компьютером из узла с неизвестным IP-адресом; снижение системной и сетевой производительности; появление в системе подозрительных файлов.
Пользователи должны сообщать об этих аномалиях администраторам для более подробного изучения.
Существует три основных способа поиска и удаления шпионских программ. Решения антишпионажа выполняют активное сканирование в реальном времени, пассивное сканирование или комбинируют эти методы. Сканирование в реальном времени предотвращает заражение путем проверки входящего контента на сетевом шлюзе или внутреннем сетевом компьютере. Активное сканирование обеспечивает превентивную защиту. Пассивное сканирование — процесс проверки объектов, уже имеющихся в системе. Сканирование выполняется по расписанию или запускается вручную. Продукты с пассивным сканированием реагируют на возникшую опасность. И в активных, и в пассивных сканерах используются базы данных сигнатур; этот метод похож на используемый в антивирусных программах. В таких решениях также могут применяться специальные методы обнаружения, в частности поиск имен файлов или разделов реестра, обычно используемых шпионскими программами.
В некоторых решениях для борьбы со шпионажем анализируется потенциальное поведение различных типов контента. Анализ поведения — превентивный метод, обычно применяемый в реальном времени при фильтрации контента. Например, анализируя сценарии, можно определить их способность проникать в известные уязвимые места или выполнять подозрительные операции, в частности обращаться к реестру, системным файлам или копировать файлы. Программа может проверять контент на предмет наличия подозрительных файлов, например вредных DLL или исполняемых файлов.
Большинство поставщиков программ антишпионажа используют метод сравнения последовательностей (на основе сигнатур, имен файлов и разделов реестра); столь же эффективными могут быть и системы анализа поведения.
Решения антишпионажа размещаются аналогично антивирусным программам. Их можно установить на шлюзах или хост-компьютерах, таких как серверы или настольные системы.
Решения на периметре сети защищают корпоративную сеть, фильтруя шпионские программы, прежде чем они достигнут серверов или настольных компьютеров. Как правило, управлять шлюзовыми решениями гораздо проще, так как шлюзов на предприятии наверняка меньше, чем серверов и настольных систем. Другое преимущество шлюзовых решений — активное сканирование, благодаря которому шпионские программы удается уничтожить, прежде чем они достигнут систем во внутренней сети. Шлюзовые решения могут быть только программные. Потребитель покупает аппаратные средства или сетевое устройство отдельно.
Многие поставщики решений по безопасности встраивают функции борьбы со шпионажем в существующие продукты. Например, поставщики программ для борьбы с вирусами, фильтрации контента, обнаружения несанкционированного доступа и брандмауэров предлагают функции антишпионажа в качестве дополнительных служб или автономных продуктов. Всегда, когда возникает проблема безопасности, универсальное решение представляет собой потенциальную единую точку отказа, а неполадки могут сильно повлиять на общую безопасность.
Если бюджет предприятия достаточно велик, то следует построить эшелонированную оборону с шлюзовым, серверным и настольным уровнями. Использование решений от одного или нескольких поставщиков — эффективный подход, в результате которого значительно повышается процент обнаруженных «шпионов». Одно решение антишпионажа может выявлять вредителей, неуловимых для другого.
Даже при развертывании централизованно управляемых инструментов борьбы со шпионажем на шлюзовом, серверном и настольном уровнях полезно держать в запасе популярные бесплатные автономные программы на случай, если централизованно управляемые решения не смогут обнаружить и удалить шпионское программное обеспечение определенного типа. Такая ситуация может возникнуть, если новая разновидность вредителя проникнет сквозь оборонительные редуты, прежде чем поставщик подготовит способ для борьбы с ним. Два распространенных автономных инструмента — Spybot Search & Destroy (http://www.safernetworking.org/en/download) и Ad-Aware SE Personal Edition (http://www.lavasoftusa.com/software/adaware) компании Lavasoft. Оба они весьма эффективны и предоставляются бесплатно.
Мне никогда не приходилось встречаться со шпионскими программами, которые никак нельзя удалить, однако такая ситуация, несомненно, возможна. В этом случае придется отстроить всю пораженную систему заново. Свежая резервная копия или стандартизированный образ системы помогут сократить до минимума время и усилия по восстановлению, так что этими надежными мерами не следует пренебрегать.
Сделать выбор бывает нелегко, в первую очередь из-за большого количества вариантов. Простой способ сузить круг поиска — определить заранее, будет ли на предприятии применяться решение от одного поставщика или допустимо использовать решения нескольких производителей, а также выбрать тип продукта — программный либо специализированное устройство. Еще один фактор — нельзя ли приобрести решение у одного из существующих поставщиков? Например, если на предприятии есть программы для борьбы с вирусами, обнаружения несанкционированного доступа и брандмауэр, то полезно связаться с поставщиками и выяснить, есть ли среди их продуктов средства защиты от шпионажа. Весьма вероятно, что такие решения есть и развернуть их будет гораздо проще.
Если планируется использовать специализированное решение, предназначенное исключительно для борьбы со шпионажем, то девять возможных решений приведены в табл. . Два из перечисленных продуктов располагают дополнительными функциями обнаружения «троянских коней» и программ регистрации нажатий на клавиши. Подходящий вариант для пользователей Microsoft Internet Security and Acceleration (ISA) Server — продукт WebMonitor for ISA Server компании GFI Software, интегрируемый с решениями BitDefender, которые упрощают карантин шпионских программ.
Более гибкие решения, которые фильтруют множество различных типов контента и обеспечивают другие функции безопасности (например, блокируют URL, управляют пропускной способностью канала связи, фильтруют сценарии и элементы управления ActiveX), — продукты серии ProxySG компании Blue Coat Systems, Hercules Enterprise Vulnerability Management Suite фирмы Citadel Security Software, Webwasher CSM Suite компании CyberGuard, Internet 1Box компании Finjan Software, LANDesk Security Suite фирмы LANDesk Software, eScan Enterprise Edition компании MicroWorld Technologies, Prevx Enterprise фирмы Prevx, NetChk Spyware компании Shavlik Technologies, семейство PRO компании SonicWALL и Websense Enterprise.
Единственные известные мне поставщики, которые на сегодня предлагают специализированные устройства, — Blue Coat Systems, Finjan Software, Fortinet, SonicWALL, Symantec. Каждое их этих решений защищает не только от шпионажа.
По данным компании Blue Coat Systems, продукты семейства ProxySG защищают от шпионских программ, обнаруживают вирусы в Web-трафике и контролируют IM-клиентов и одноранговые (P2P) сети. Устройства ProxySG обеспечивают управление пропускной способностью канала связи, фильтрацию URL и управление безопасностью контента, удаляя или заменяя контент определенных видов. Устройства ProxySG блокируют доступ к URL известных сайтов распространения шпионского программного обеспечения; даже если шпионская программа каким-то образом проникнет в сеть, ей не удастся «позвонить домой», и она будет бесполезна для своих хозяев.
Компания Finjan Software описывает Internet 1Box как устройство блокировки на базе поведенческих характеристик, независимое от баз данных сигнатур. Поэтому оно может защитить сеть от известных и неизвестных типов вторжения без постоянной модернизации. Internet 1Box обеспечивает брандмауэр, защиту от вирусов, фильтрацию URL, защиту от спама и шпионских программ. Кроме того, данное устройство защищает удаленных клиентов.
FortiGate Antivirus Firewall компании Fortinet обеспечивает сетевую защиту от шпионажа и вирусов, обнаруживает и предотвращает несанкционированный доступ, помогает организовать VPN и управлять трафиком малых/домашних офисов, малых и средних предприятий и крупных учреждений. FortiClient компании Fortinet обеспечивает аналогичную защиту на настольном уровне.
В зависимости от структуры и нужд конкретной сети, компания SonicWALL предлагает несколько различных устройств серии PRO. Устройства располагают брандмауэром, функциями предотвращения несанкционированного доступа, защиты от вирусов и шпионажа.
Устройства Symantec Network Security 7100 Series защищают от шпионских программ, вирусов, «червей» и «троянских коней». Хорошее вспомогательное средство — система Symantec DeepInsight Early Warning System, которая предупреждает о потенциальных угрозах, прежде чем они достигнут конкретной сети. Система предупреждения идентифицирует новые потенциальные угрозы с помощью сети датчиков в режиме, близком к реальному времени.
Независимо от предпочтительного типа решения, необходимо приобрести пробные экземпляры наиболее подходящих продуктов и провести тщательное тестирование, чтобы убедиться в их пригодности для конкретной сетевой среды. При оценке программных решений следует обратить внимание на системную производительность, так как одни решения могут быть более требовательными к системным ресурсам, чем другие. А выбирая решение на основе шлюза или специализированного устройства, нужно обязательно проверить сетевую производительность.
Другой фактор — возможность администратора управлять и настраивать определения шпионских программ. Из-за особенностей компонентов или функциональности некоторые полезные программы могут быть ошибочно отнесены к разряду шпионских. Поэтому следует подумать о решении, которое позволяет настроить или отменить определенные признаки «шпионов», если эти признаки мешают работе полезных программ.
При знакомстве с решениями (см. таблицу) следует помнить, что Microsoft недавно приобрела фирму GIANT Company Software, которая выпускает одно из лучших решений для борьбы со шпионскими программами. После покупки продукт был переименован в Microsoft Windows AntiSpyware и в настоящее время проходит бета-тестирование. Во время подготовки данной статьи в продаже не было версии данного продукта, пригодной для использования на предприятии, поэтому в таблице он отсутствует.
Однако Microsoft планирует в итоге выпустить корпоративную версию продукта и предоставить автономную настольную версию бесплатно. Было бы интересно протестировать корпоративную версию в сети предприятия. Для решения Microsoft необходима Windows 2000 или более поздняя версия.
Любопытно, что в основе CounterSpy компании Sunbelt лежит технология GIANT. Компания Microsoft приобрела GIANT после того, как Sunbelt заключила соглашение с GIANT, поэтому Microsoft обязана предоставлять сигнатуры шпионских программ для CounterSpy до июня 2007 г. После этой даты Sunbelt будет самостоятельно заниматься подготовкой и распространением сигнатур.
Рынок программ антишпионажа быстро растет. Зная принципы работы шпионских программ и методы обнаружения «шпионов» с помощью различных инструментов, администратор сможет выбрать наиболее эффективный тип продукта для своих нужд. После этого с помощью таблицы можно найти поставщиков решений данного типа.
Марк Джозеф Эдвардс - Старший редактор Windows IT Pro. Автор еженедельного бюллетеня Security UPDATE (http://www.windowsitpro.com/email), рассылаемого подписчикам по электронной почте. Сетевой инженер и автор книги Internet Security with Windows NT (издательство 29th Street Press). mark@ntsecurity.net
| Поставщик | Решение антишпионажа | Описание |
| Aladdin Knowledge Systems (http://www. aladdin.com) | eSafe | Программное решение обеспечивает защиту от шпионских программ, вирусов, фильтрацию Web-контента, электронной почты и другие функции. |
| Aluria Software (http://www. aluriasof-tware.com) | Spyware Eliminator | Программное решение исключительно для борьбы со шпионажем. |
| Blue Coat Systems (http://bluecoat.com) | Семейство ProxySG | Специализированные устройства для защиты от шпионажа, вирусов, контроля над IM-клиентами и P2P-программами, фильтрации URL, управления безопасностью контента и других целей. |
| Citadel Security Software (http://www. citadel.com) | Hercules Enterprise Vulnerability Management Suite | Программное решение безопасности для борьбы со шпионажем, наряду с защитой от нежелательных сетевых служб, некорректно настроенных служб, учетных записей со слабыми паролями, известных атак и других опасностей. |
| Computer Associates (http://www3. ca.com) | eTrust PestPatrol Anti-Spyware Corporate Edition | Программное решение для борьбы со шпионажем, которое защищает также от распределенных нападений типа "отказ в обслуживании" (Distributed Denial of Service, DDoS), регистраторов нажатий на клавиши, "троянских коней" и других опасностей. |
| CyberGuard (http://www.cy-berguard.com) | Webwasher CSM Suite | Программная система фильтрации контента для защиты от шпионажа, вирусов, вредоносных программ и других угроз. |
| eEye (http://www. eeye.com) | Digital Security Blink | Программное решение располагает брандмауэром, функциями обнаружения несанкционированного доступа и защиты от шпионажа, а также другими возможностями. |
| EMCO Software (http://www. emco.is) | Network Malware Cleaner | Программное решение исключительно для защиты от шпионажа. |
| Eset (http://www. nod32.com) | NOD32 | Программное решение обеспечивает защиту от вирусов и шпионажа. |
| F-Secure (http://www.f-secure.com) | Anti-Spyware | Программное решение представляет собой выпущенную под другой маркой популярную технологию антишпионажа AdAware Professional компании Lavasoft. |
| Finjan Software (http://www. finjan.com) | Internet 1Box | Специализированное устройство располагает брандмауэром, функциями защиты от вирусов и спама, фильтрации URL, борьбы со шпионажем на локальных и удаленных машинах. |
| Fortinet (http://www.for-tinet.com) | Семейство FortiGate Antivirus Firewall | Специализированные устройства с функциями защиты от вирусов, шпионажа, обнаружения и блокирования несанкционированного доступа, организации VPN и управления трафиком в малых/домашних офисах, средних и малых предприятиях, а также крупных учреждениях. |
| FortiClient | Программное решение с такими же функциями, как у FortiGate, но на настольном уровне. | |
| FutureSoft (http://www.dci-series.com) | DynaComm i:scan | Программный пассивный сканер для удаления "шпионов", одноранговых программ и программ отслеживания файлов. |
| GFI Software (http://www. gfi.com) | WebMonitor for ISA Server | Программное решение, которое интегрируется с решениями BitDefender, упрощает организацию карантина шпионских программ и обеспечивает защиту от других типов вредного загружаемого контента. |
| GreenBorder Technologies (http://www.green-border.com) | GreenBorder Professional Edition | Программное решение, ориентированное на Microsoft Internet Explorer (IE) и клиентов Microsoft Outlook. Защищает от шпионажа и вирусов, а также от вредных элементов управления ActiveX, опасных модулей расширения и других угроз. |
| Kaspersky Lab (http://www. kaspersky.com/ extraavup-dates?chapter= 146235724) | Kaspersky Anti-Virus, SuperSecure Database Option | Дополнительная база данных для программы Kaspersky Anti-Virus защищает от шпионского программного обеспечения, разрушительного программного кода, автоматического набора номера, программ backdoor и других угроз. |
| LANDesk Software (http://www. landesk.com) | LANDesk Security Suite | Программное решение обеспечивает защиту от шпионажа, наряду с управлением исправлениями, политикой безопасности (в том числе доступом к приложениям), и другие функции. |
| Lavasoft (http://www. lavasoft.com) | Ad-Aware SE Enterprise 2005 | Программное решение исключительно для борьбы со шпионажем. |
| McAfee (http://www. networkas-sociates.com) | Anti-Spyware Enterprise | Программный модуль расширения для антивирусного решения компании; защищает от шпионских программ, "троянских коней", программ нажатия на клавиши и других угроз. |
| MicroWorld Technologies (http://www. mwti.net) | eScan Enterprise Edition | Программное решение для борьбы со шпионажем, которое обеспечивает также защиту от вирусов, фильтрацию почтового мусора, всплывающей рекламы, располагает брандмауэром NetBIOS и другими функциями. |
| Norman (http://www. norman.com) | Ad-Aware Professional Edition | Программное решение антишпионажа для домашнего использования, которое также защищает от сбора данных, навязчивой рекламы, некоторых традиционных "троянских коней", программ автоматического набора номера, вредоносных программ и следящих компонентов. |
| Omniquad (http://www.om-niquad.com) | AntiSpy Enterprise Edition | Программное решение защищает от шпионажа, регистраторов нажатий на клавиши и других угроз. |
| Panda Software (http://enterprises. pandasoftwa-re.com) | EnterpriSecure | Программное решение для защиты от шпионажа и вирусов, фильтрации спама и Web-контента и других угроз. |
| Prevx (http://www. prevx.com) | Prevx Enterprise | Программное решение для защиты от шпионажа, вирусов, вредоносного программного кода и других угроз. |
| Shavlik Technologies (http://www. shavlik.com) | NetChk Spyware | Программное решение, интегрируемое с HFNetChkPro компании Shavlik Technologies для защиты от шпионского программного обеспечения. |
| SonicWALL (http://www.so-nicwall.com) | Семейство PRO | Специализированное устройство защищает от шпионажа, вирусов, предотвращает несанкционированный доступ и располагает брандмауэром. |
| Sophos (http://www. sophos.com) | AntiVirus for Windows | Программное решение для защиты от шпионажа и вирусов. |
| Sunbelt Software (http://sunbelt-software.com) | CounterSpy Enterprise | Программное решение для защиты исключительно от шпионажа. |
| Symantec (http://enter-prisesecurity.-symantec.com) | Symantec Client Security | Исчерпывающее программное решение, располагает функциями защиты от шпионажа, вирусов, несанкционированного доступа и брандмауэром. |
| Symantec AntiVirus Corporate Edition | Программное решение для защиты от шпионажа и вирусов. | |
| Symantec Network Security 7100 Series | Специализированное устройство, обнаруживает и блокирует соединения, устанавливаемые шпионскими и рекламными программами из зараженных компьютеров с серверами сбора информации. | |
| Tenebril (http://www. tenebril.com) | SpyCatcher Enterprise | Программное решение для защиты исключительно от шпионажа. |
| Trend Micro (http://www. trendmicro.com) | Anti-Spyware | Программное настольное решение для защиты исключительно от шпионажа (в прошлом - SpySubtract Enterprise Edition компании InterMute) |
| OfficeScan Anti-Spyware Suite | Программное интегрированное решение клиент/сервер для фильтрации URL и защиты предприятий от шпионских программ, вирусов и других угроз. | |
| InterScan Web Security Suite | Программное шлюзовое решение обеспечивает защиту от шпионажа, вирусов, других разновидностей вредоносных программ и фильтрацию URL. | |
| Webroot Software (http://www. webroot.com) | Spy Sweeper Enterprise | Программное решение для защиты исключительно от шпионажа. |
| Websense (http://www. websense.com) | Websense Enterprise | Программное решение защищает от шпионских программ, регистраторов нажатий на клавиши, попыток использовать ложные URL, разрушительного мобильного программного кода и других угроз. |
| XBlock Systems (http://www. xblocksys-tems.com) | X-Cleaner Enterprise Edition | Программное решение антишпионажа, которое также защищает от "троянских коней", регистраторов нажатий на клавиши и других угроз. |
Шпионским программным обеспечением называются любые программы, которые следят за использованием компьютера, собирают информацию или извлекают конфиденциальные данные без явного согласия пользователя. Например, шпионская программа может запоминать посещаемые пользователем Web-узлы и время посещений, регистрировать все нажатия на клавиши или выполнять несанкционированную инвентаризацию установленного программного обеспечения.
Некоторые виды шпионских программ затем передают собранную информацию в централизованное хранилище. Например, шпионские программы одного типа могут предупредить своего владельца, что пользователь компьютера запустил конкретную программу. «Шпионы» других видов могут готовить лазейки для проникновения в систему или настраивать модем на передачу платных звонков, оплачивать которые придется обладателю пораженного компьютера. Другие программы, в частности некоторые одноранговые приложения обмена файлами, можно отнести к числу шпионских (в зависимости от политики конкретной компании), так как с их помощью по сети можно извлекать с компьютера файлы без согласия владельца.
Шпионские программы проникают в компьютеры различными способами. Несомненно, самый распространенный — через сценарии, выполняемые в Web-браузерах или клиентах электронной почты. Еще один путь проникновения шпионских программ в компьютер — при установке программных пакетов. Например, некоторые программисты преднамеренно распространяют шпионское программное обеспечение, проектируя для этого «полезные» приложения с единственной целью заставить пользователя установить скрытых в них «шпионов». Аналогично, полезная программа, такая как видеопроигрыватель DivX, может быть преднамеренно изменена для показа фильмов в формате DivX и одновременно — для распространения шпионской программы.