Как бороться с ”вандалами”
Александр Судов
Интернет, будучи важнейшим источником информации, одновременно угрожает ее сохранности. Такие задачи, как предотвращение несанкционированного доступа и борьба с вирусами, обычно решаются с помощью системы паролей, корпоративных брандмауэров и прокси-серверов, шифрования данных и антивирусных программ. Однако с развитием технологий, подобных Java и ActiveX, открывающих неограниченные возможности управления ресурсами компьютера, появился новый тип враждебных программ. Они несут хаос и разрушение, т. е. ведут себя как настоящие вандалы, за что и получили название вандальных.
Что же представляют собой программы-вандалы, как они проникают в компьютер и как с ними бороться?
Деструктивные возможности вандальных программ практически ничем не ограничены и зависят только от фантазии разработчика. Если действие вирусов проявляется главным образом в нарушении работы приложений и потере данных, то вандальные программы могут выполнять более сложные действия, например сканировать диски в поисках ценной информации и передавать эту информацию на другой компьютер в Интернет, редактировать имеющиеся базы данных, динамически подменять Web-страницы, производить махинации с модемом и банковскими счетами.
Враждебные мини-программы могут содержаться в приложениях электронной почты, в Web-страницах, просматриваемых браузером, в файлах, копируемых с удаленного сервера по соединению FTP, а также в документах, принимаемых из Интернет с помощью технологий push и pull.
К электронной почте могут быть прикреплены документы и программы, зараженные вирусами и содержащие программы-вандалы. Если пользователь щелкнет мышью на прикрепленной программе, она тут же будет исполнена.
Чтобы сделать Web-страницы более привлекательными, в них включают небольшие программы, использующие технологии Java и ActiveX, а с появлением нового стандарта MIME-2 станет возможно запустить любую программу, включенную в Web-страницу. Эти программы автоматически загружаются и исполняются на компьютере пользователя. Они имеют полный доступ к файлам на жестком диске и поэтому представляют большую потенциальную опасность. Конечно, можно отключить загрузку Java и ActiveX в браузере, но это ограничит свободу обмена информацией. Специальные дополнения к браузерам, предназначенные для использования мультимедийных эффектов, которые могут быть автоматически загружены и инсталлированы на компьютере пользователя, также создают дополнительную угрозу безопасности.
Новые технологии pull, push и netcasting дают возможность пользователю автоматически принимать информацию от различных провайдеров, часто ее используют и для обновления программных продуктов. Нет никакой гарантии, что распространяемое таким способом ПО не заражено вирусом и не содержит вандальные программы, причем провайдер может и не подозревать об этом.
Было бы наивно полагать, что источником враждебных программ могут быть только сайты с плохой репутацией. К сожалению, были случаи, когда хакеры проникали на общеизвестные узлы и подменяли содержащиеся там Web-страницы. Так, в августе 1996 г. на сайте ЦРУ и в октябре на сайте Министерства юстиции в течение двух дней высвечивалась надпись “Department of Mis-justice”!
Очевидно, что пользователи, подключенные к Интернет, вынуждены принимать меры для защиты содержимого своего компьютера от несанкционированного доступа извне. Многие из них установили на свои компьютеры новейшие антивирусные системы, надежно защищающие их от вирусов. Однако методы, применяемые для борьбы с ними, не пригодны, когда в атаку идут вандальные программы.
Чем же отличаются вандальные программы от вирусов и почему антивирусная защита бессильна против них? Подобно своему биологическому тезке, вирусная программа способна многократно дублировать себя, записывая свой код в файлы на диске, при этом она не всегда проявляет свою враждебность. Для обнаружения уже известных вирусов в файлах на диске пользуются специальными таблицами, содержащими характерные коды вирусов. Такая проверка называется сканированием. Для поиска новых вирусов, информация о которых в таблице отсутствует, применяется другой метод - используется программа-резидент. Обычно в процессе своей работы программы обращаются к ресурсам компьютера не непосредственно, а через средства операционной системы, контролирущей распределение памяти и размещение файлов на диске. Вирусы же, как правило, обращаются к ресурсам компьютера напрямую, минуя ОС. Если в память компьютера поместить специальную программу-резидент, которая следит за действиями остальных программ, то она сможет зафиксировать появление вируса.
С вандальными программами дело обстоит по-другому. Они не обладают способностью размножаться и формально вирусами не являются. Вандальные программы всегда имеют враждебный характер. Они написаны на языках макроуровня, распространяются в текстовом виде и активизируются сразу же после загрузки в компьютер. Антивирусный сканер для борьбы с ними бесполезен. Метод использования программы-резидента, контролирующий доступ приложений к ресурсам компьютера, также не годится. Например, программа-вандал может удалить какой-либо файл, обратившись к стандартным средствам ОС, а программа-резидент посчитает такое действие законным.
Для защиты корпоративных сетей от нападок из Интернет часто используют корпоративные брандмауэры. Однако они не могут противостоять вандальным программам, так как контролируют поток информации только из внешнего источника. Здесь же проникновение идет изнутри, так как вандальная программа запускается на локальном компьютере пользователя и имеет те же права доступа, как и любое другое приложение.
Очевидно, что традиционная антивирусная защита устарела. Для обнаружения программ-вандалов необходим новый подход.
Средства защиты в браузерах
Компании Microsoft и Netscape, понимая ту потенциальную опасность, которую несут технологии Java и ActiveX, предлагают несколько возможных вариантов защиты. Так, для контроля за выполнением Java-приложений в ПО Netscape используется изолированная область памяти компьютера, так называемая Java-“песочница” (sandbox), куда помещают Java-аплеты и за пределы которой им выходить не разрешается. Недостатком этого метода защиты является ограничение функциональных возможностей Java, поэтому в последних версиях комплекта разработчика Java Development Kit компании JavaSoft Java-аплетам уже разрешено выходить за пределы “песочницы”, например, для доступа к файлам на диске.
Элементы управления ActiveX в отличие от Java-аплетов могут непосредственно обращаться к жесткому диску и различным системным службам, что создает еще большую угрозу безопасности. Для защиты от враждебных ActiveX в Internet Explorer используют методы цифрового сертификата и “зоны доверия” в Интернет.
Цифровой сертификат, выдаваемый рядом компаний, подтверждает, что ActiveX-приложение имеет надежный источник. Internet Explorer проверяет наличие сертификата и может блокировать загрузку файлов без подписи.
Однако сам сертификат еще не гарантирует безопасности. Сертифицирующие органы лишь проверяют предысторию организации, разработавшей продукт, а реальная его проверка на враждебность не производится. Достаточно однажды сертифицировать какой-либо продукт, и все последующие получат сертификат почти автоматически. Кроме того, сертификацию не проходят подключаемые модули, продукты push-технологии и электронной почты. Цифровая подпись никоим образом не может составить основу модели безопасности, поэтому пользователи не должны полагаться только на нее, они должны быть информированы о том, что используемые ими программы делают.
Концепция “зоны доверия”, т. е. списка надежных Web-узлов, поддерживается, начиная с Internet Explorer 4.0. IE Administration Kit 4.0 дает возможность системным администраторам определять эти зоны, а также круг задач, разрешенных Java-аплетам для выполнения. Эта концепция также не лишена недостатков. Во-первых, не ясно, как пользователям поступать в отношении других узлов. Во-вторых, подключение к “надежному” узлу еще не гарантирует безопасности, ведь хакеры могут взломать его систему защиты и поместить на нем враждебные программы, а разработчики уже научились подделывать цифровую подпись.
В настоящее время идет интеграция Java-среды и цифровой сертификации. Так, предлагается сертифицировать не только элементы ActiveX, но и Java-аплеты, в Internet Explorer вводится изолированная среда, аналогичная Java-“песочнице” Netscape, а для сертифицированных Java-аплетов разрешается выход за пределы этой среды. Но даже в измененном виде предложенные методы не могут полностью решить свою основную задачу - обеспечить безопасность при просмотре Web-страниц, не ограничивая свободу пользователя.
Продукты для комплексной защиты от враждебных программ
Очевидно, что, разрабатывая защиту от программ-вандалов, нельзя руководствоваться упрощенным подходом, блокируя загрузку всех неизвестных программных кодов и пропуская лишь проверенные аплеты. Это только ограничивает возможности применения новейших технологий и само по себе не гарантирует безопасности. Следует придерживаться индивидуального подхода, проверяя на лояльность каждый аплет. Уже сейчас несколько фирм занимаются разработкой программ такого класса. Среди них CyberMedia, Finjan, Network Associates*, eSafe и Internet Security Systems.
CyberMedia (Санта-Моника, шт. Калифорния, www.cybermedia.com)
ПО PC Guard Dog выявляет различные типы враждебных Java- и ActiveX-программ, включая “Троянского коня”, блокирует cookies, защищает от вирусов в электронной почте и загружаемых файлах, предотвращает попытки несанкционированного доступа к данным, контролирует подключение модема, производит фильтрацию нежелательных Web-узлов. Ориентировочная стоимость продукта - $100, включая его обновление в течение года. Программа предназначена для небольших офисов и индивидуальных пользователей.
Требования к системе: процессор i486 или выше, ОС Windows 95, 8 Mб оперативной памяти и 4 Mб на жестком диске.
Finjan (Санта-Клара, шт. Калифорния, www.finjan.com)
Фирма Finjan представляет семейство продуктов для защиты от такой потенциальной опасности, как промышленный шпионаж, манипуляции с электронной почтой, несанкционированный доступ к ресурсам компьютера, а также от других враждебных действий, нарушающих нормальную деятельность организации. Оно содержит ПО SurfinShield для рабочих станций и ПО SurfinGate для сервера.
SurfinGate обеспечивает защиту важнейших ресурсов локальной сети уже при входе в нее. С его помощью можно задать набор правил, вытекающих из политики информационной безопасности, принятой в организации, и контролировать их выполнение. Эти правила могут быть установлены как для организации в целом, так и для отдельных ее подразделений и индивидуальных пользователей. SurfinGate позволяет администратору сети определить круг разрешенных действий для каждого приложения (доступ к файлам, ресурсам сети, памяти и т. д.), проверяет Java и ActiveX и регистрирует в специальном журнале информацию, включающую источник их происхождения и степень возможного риска. SurfinGate может быть установлен не только на входе в корпоративную сеть, но и на отдельных ее участках, чтобы обеспечить дополнительный уровень их защиты, причем управлять участками благодаря использованию архитектуры клиент-сервер можно с одной консоли.
Необходимые ресурсы: Pentium, 32 Мб ОЗУ, ОС Windows 95 или NT 4.x. Серверное приложение занимает 13 Мб, а управляющая программа - 11 Mб.
Сейчас можно ознакомиться с предварительной версией ПО SurfinCheck, упрощенного варианта SurfinGate. SurfinCheck выполняет функции быстрого сканера для Java и ActiveX. Это ПО предназначено для малого и среднего бизнеса, которые относительно терпимы к риску и не нуждаются в серьезной защите с помощью SurfinGate. Стоимость SurfinCheck для 10 рабочих станций составляет $695 (SurfinGate на 50 UNIX-пользователей стоит $6250).
Программа SurfinShield версии 2.0 выполняет функции персонального брандмауэра. Она предотвращает загрузку подозрительных Java-аплетов, сверяясь с базой данных, которую постоянно модифицирует, и блокирует те аплеты, которые пытаются нарушить ранее заданные правила, т. е. работает как фильтр. При этом на экран выдается предупреждение, которое дублируется звуковым сигналом. Степень риска определяется по специальной шкале и также отражается на экране, как и число загруженных аплетов и используемые ресурсы компьютера.
SurfinShield работает под управлением Windows 95/NT3.51/ NT4.0, Linux 1.2/1.3, Solaris 2.4 и совместима с браузерами Netscape Navigator 2.x, 3.x или Microsoft Internet Explorer 3.0, требует 800 Kб на жестком диске. Недостатком этой программы является то, что она не поддерживает работу с приложениями ActiveX. Их поддержка включена в SufingShieldXtra, модернизированный вариант SurfinShield. В настоящее время SurfinShieldXtra работает в среде Windows 95 и занимает 2 Мб на диске, стартовая цена - $100 - $150.
Network Associates (www.nai.com)
В ближайшее время фирма Network Associates намеревается выпустить WebScanX версии 3.1.0, антивирусный программный продукт с расширенными возможностями для сканирования враждебных ActiveX- и Java-аплетов. Каждый загружаемый объект проходит сверку с постоянно обновляемым списком опасных приложений и может блокировать им доступ к ресурсам компьютера. Даже если загруженный объект не вызыват подозрений, за ним продолжается наблюдение. Обновление списка предполагается осуществлять на основе push-технологии. Стоимость WebScanX составляет $39, а полный пакет Virus Scan Security Suite, в состав которого WebScanX входит, - $79.
Internet Security Systems (Атланта, www.iss.net)
RealSecure - ПО для сервера (начальная стоимость - $5000), которое не только анализирует каждую попытку проникновения в сеть, останавливает вторжение и делает соответствующую запись в журнале регистрации, являясь мощным дополнением к брандмауэрам, но и помогает определить наиболее уязвимые места в защите корпоративной сети. Работает под управлением Windows NT 4.0, SunOS 4.1.x, Solaris 2.3 и выше, Linux 1.3 и выше.
ПО RealSecure предназначено для управления большими потоками данных, проходящими через корпоративную сеть. Оно легко конфигурируется и обладает широкими возможностями: предотвращает проникновение хакеров внутрь корпоративной сети, создает дополнительный уровень защиты, располагаясь за брандмауэром. Отличительным свойством этого продукта является то, что он предлагает решение для всей корпоративной сети в целом, контролируя ее функционирование в различных точках. Информация о том, что происходит в сети, может быть представлена в текстовом или графическом виде, а также отправлена по электронной почте.
RealSecure состоит из двух компонентов: фильтр, который “наблюдает” за потоками информации в сети, и графический интерфейс администратора, служащий для контроля за состоянием сети и конфигурации системы. Если фильтр не требует много ресурсов и установки специального компьютера, то графический интерфейс лучше разместить на отдельной рабочей станции.
Фильтр отслеживает информацию о событиях в сети и передает ее системе графического интерфейса. Одной из приятных особенностей интерфейса является то, что при попытке хакера проникнуть в сеть, информация на экране может отображаться в том же виде, как ее должен был бы видеть хакер. Это помогает администратору принять решение, игнорировать ли событие или что-то предпринять.
Одним из важнейших свойств RealSecure является то, что он препятствует применению хакерами таких методов проникновения в корпоративную сеть сквозь брандмауэры, как подмена IP-адресов. RealSecure контролирует также протоколы высокого уровня - HTTP, FTP, NFS, NIS, SMTP - и останавливает атаки изнутри корпоративной сети.
Методы выявления атак базируются как на контроле за выполнением ранее установленных правил RealSecure, так и на выявлении “статистических аномалий”. Последний прием основан на том, что поведение всех пользователей в сети, т. е. частота их обращения к определенным ресурсам, является предсказуемым параметром и любое отклонение числа обращений от среднего значения может означать факт атаки.
В случае появления угрозы RealSecure может: 1) предупредить администратора, используя управляющую консоль или электронную почту; 2) следить за событием, получая соответствующую информацию; 3) удалить событие, прервав связь с его источником; 4) запустить сценарий, заранее определенный пользователем.
Как видно, RealSecure является сложным программным продуктом, предназначенным для защиты корпоративных сетей от нападений из Интернет. В описании ПО RealSecure, правда, не уточняется, каким образом контролируется выполнение Java- и ActiveX-приложений. По-видимому, задача администратора заключается в установлении порядка загрузки каждого из приложений, исходя из той информации, которая доступна на уровне графического интерфейса.
Esafe Technologies (Пельброк-Пайнс, шт. Флорида, www.esafe.com)
ПО eSafe Protect 1.0 - это интегрированное решение для настольного компьютера, предназначенное для борьбы с угрозами из Интернет. Программный пакет включает средства защиты от враждебных программ, вирусов и атак хакеров, контроль доступа в Интернет и шифрование данных. eSafe Protect гарантирует, что никакие “вандалы” не смогут свободно войти в ваш компьютер, удалить файлы или отформатировать диск, переслать данные в другие компьютеры.
Функционально eSafe Protect можно разделить на три компонента: защита ресурсов, коммуникационный фильтр и антивирусная программа. Для защиты ресурсов в памяти создается изолированная область, аналогичная Java-“песочнице”, предназначенная для запуска программных приложений. eSafe Protect не ограничивает свободу обмена информацией, не запрещает загрузку всех неизвестных программных кодов Java и ActiveX, а помещает их в “песочницу”, где они находятся под пристальным наблюдением программы. Если загруженная программа попытается выполнить недозволенную операцию, ее действие немедленно блокируется. Каждое приложение, впервые загружаемое в компьютер, должно пройти период проверки, карантин, длящийся от 1 до 30 дней, в течение которого оно изучается. Вся информация, полученная в течение этого времени, заносится в журнал. В дальнейшем программа выполняется уже вне изолированной области, однако ей дозволены только разрешенные действия, перечень которых определяется на основе журнальных записей. Данный метод защиты ресурсов является универсальным. Он позволяет противостоять не только существующим, но и новым типам враждебных программ.
Коммуникационный фильтр выполняет функции персонального брандмауэра, контролирущего весь входящий и исходящий TCP/IP-трафик. Каждый IP-адрес можно можно наделить определенными правами, например, ограничив доступ в Интернет в определенные часы или к некоторым Web-узлам. Фильтр также помогает определить перечень файлов, которые следует пересылать в зашифрованном виде.
Антивирусная система eSafe Protect обеспечивает полную защиту от вирусов благодаря применению сертифицированного NCSA антивирусного модуля ViruSafe.
Существующая версия eSafe Protect для Windows 95 требует 8 Мб ОЗУ и 5 Мб на жестком диске (цена $69). Версия для корпоративных пользователей (eSafe Protect Pro) и версия для Windows NT ожидаются в ближайшее время.
Что выбрать?
Подведем некоторые итоги и посмотрим, какие же продукты защиты лучше всего выбрать. Такие довольно дорогие системы, требующие установки отдельного компьютера, как SurfinGate и RealSecure, предназначены для корпоративных сетей и обеспечивают требуемый уровень защиты. Более дешевый сканер SurfinCheck представляется недостаточно надежным. Пользователей, вероятно, заинтересует, что фирма Internet Security Systems, производитель RealSecure, предлагает также целый набор уже хорошо зарекомендовавших себя пакетов для обнаружения слабых мест в брандмауэрах, Web-узлах, сетях intranet и системных ресурсах. Думается, что при прочих равных условиях стоит отдать предпочтение именно Real Secure.
На индивидуальных пользователей ориентированы SurfinShield, SurfinShieldXtra и eSafe Protect. Что касается других продуктов, то CyberDog существует пока в бета-версии, а система защиты Network Associates только анонсирована. Недостатком SurfinShield является то, что эта программа не обеспечивает защиту от ActiveX, поэтому устанавливать ее имеет смысл только на Linux и Solaris, где SurfinShield пока не имеет конкурентов. Две другие системы, SurfinShieldXtra и eSafe Protect, работающие пока только под Windows 95, контролируют также элементы ActiveX. Однако если функции SurfinShieldXtra ограничиваются только фильтрацией ActiveX- и Java-аплетов, то eSafe Protect дает комплексное решение проблем безопасности в одном продукте, включая персональный брандмауэр, систему антивирусной защиты и шифрования данных. Используемая в нем технология проверки ActiveX- и Java-аплетов в реальном времени является настолько универсальной, что позволяет без каких бы то ни было ее изменений осуществлять проверку любых приложений, включая технологии push, plug-in и Netcasting. ПО eSafeProtect может быть рекомендовано для применения индивидуальными пользователями и в небольших офисах в качестве основного средства защиты, а в крупных организациях - для повышения надежности уже имеющейся системы безопасности на уровне рабочих станций. * Фирма Network Associates образована в результате слияния McAfee, Network General и еще нескольких фирм
К Александру Судову, специалисту из НПО “Прикладная логистика”, можно обратиться по телефону: (095) 955-5396.