Судьба “интернетчика”

У свободы недетское злое лицо...

“Машина времени”

О существовании хакеров наслышаны все. Однако большинству рядовых пользователей, подключающихся к Интернету с помощью стандартных средств Windows и браузера Internet Explorer, они представляются чем-то далеким и мифическим, так как деятельность их скрытна и незаметна. И только известие о неведомо куда пропавших десяти часах с Интернет-счета заставляет человека поверить в их реальность.

Но формальной власти в Интернете нет и жаловаться некому. Не углядел за паролями - сам виноват. Выход один: надо обезопасить свое рабочее место программами-охранниками. Таких программ существует немало, и хотя защитить от профессиональных кибербандитов они не способны, их использование на домашнем ПК под управлением Windows 9x в 99% случаев позволит дать отпор “уличным хулиганам”. Сегодня считается естественным применение антивирусных программ - таким же должно стать отношение и к подобным системам защиты ПК в Сети.

Сюда относятся программы класса персональных межсетевых экранов (ПМЭ, Personal Firewall). Они контролируют всю сетевую активность ПК, отслеживая состояние портов и попытки подключения к ним из глобальной сети (стремление вредоносных программ проникнуть в локальную Windows-среду), а также фиксируя все программы на ПК, которые без разрешения пытаются выйти в Интернет. Это может быть как стандартный браузер, так и случайно оказавшаяся на компьютере программа-вирус (например, присланная по э-почте и запущенная по незнанию), укравшая пароли и передающая их своему создателю.

Обычно ПМЭ распространяются на коммерческой основе. Стоят они, как правило, от 10 до 50 долл. Но бывают и приятные исключения. Некоторые компании из маркетинговых соображений позволяют использовать свои ПМЭ бесплатно - в частном порядке, на домашнем ПК, для некоммерческих целей.

Интересно, что у человека, впервые установившего ПМЭ, вызывает удивление неожиданно большое (с его точки зрения) число попыток пробраться в его скромный ПК из Интернета. Активность хакеров в значительной мере зависит от провайдера (некоторые компании, предоставляющие доступ в Интернет, запрещают использовать в своих каналах хакерские приложения, выполняющие, например, сканирование портов компьютеров других пользователей). Как говорит личный опыт общения с тремя московскими провайдерами, подозрительные попытки подключения к домашнему ПК фиксируются ПМЭ в среднем один раз в час.

Автор данной статьи перепробовал с десяток подобных ПМЭ и остановился на двух межсетевых экранах, наиболее удобных для персонального использования. Все продукты оценивались с точки зрения простоты их применения и способности защищать от наиболее типичных хакерских атак, хотя есть в этом тестировании определенная доля субъективности (в частности, не проверялся популярный в России AtGuard, поскольку он представляет собой коммерческий продукт, а компания WRQ, его создавшая, более этот ПМЭ не поддерживает и не развивает). Необходимо также отметить, что ПМЭ рассматривались при работе в простейшей сетевой конфигурации (один ПК без локальной сети).

ZoneAlarm (компания ZoneLabe, www.zonelabs.com)

Этот ПМЭ отличается симпатичным дизайном и несложным продуманным интерфейсом. Позволяет блокировать активность любых программ, обращающихся к Windows из Интернета или пытающихся самостоятельно выйти в Сеть с ПК. Достаточно прост в управлении, допускает настройку работы приложений в локальной сети или Интернете (на уровне “разрешить”, “запретить”, “спросить”) и их функционирование в качестве серверов.

Загружается ZoneAlarm как обычное Windows-приложение и теоретически не обеспечивает уровня безопасности, подобного Tiny Personal Firewall (см. ниже), но подавляющему большинству пользователей такой уровень и не требуется. При более-менее подозрительной активности программа выдает на экран красивое окошко - либо с информацией о попытке подключения к компьютеру (сообщая IP-адрес удаленной машины и предлагая на своей Web-странице определить провайдера - владельца этого IP-адреса), либо с вопросом - разрешить или запретить определенному приложению работу в Сети. При постоянной работе с ПК подобный подход со всплывающим окном более удобен и нагляден, нежели простое протоколирование всего трафика, с которым рядовой пользователь разбираться не станет.

На моем ПК изредка возникали конфликты ZoneAlarm с некоторыми FTP-клиентами. Кроме того, если компьютер попадал под активную сетевую атаку или интенсивное сканирование портов (десятки тестов в секунду), то работа ZoneAlarm иногда завершалась с аварийной ошибкой, и тогда в процессе ее перезапуска (3-5 секунд) злоумышленники (точнее, их программы) в принципе могли успеть совершить определенные вредоносные действия.

ZoneAlarm можно порекомендовать массовым пользователям, применяющим для работы в Интернете преимущественно обычные браузеры и почтовые клиенты.

Tiny Personal Firewall (компания Tiny Software, www.tinysoftware.com)

Оригинальное (и, по-моему, не имеющее аналогов для ПМЭ) в технологическом плане решение - Tiny Personal Firewall - активизируется еще до загрузки Windows, размещаясь между адаптером сетевого интерфейса и ОС, что гарантирует защиту ПК на низком уровне и на самых ранних стадиях работы. Ни один сетевой сервис принципиально не может активизироваться до начала функционирования этого ПМЭ!

Для его установки не требуется специальных знаний. После инсталляции ПМЭ запускается автоматически, и в дальнейшем при первом обращении любого приложения с локального ПК к Интернету пользователю будет задан вопрос, следует ли разрешить или запретить доступ к Сети (как и в случае с ZoneAlarm). Браузерам и почтовым клиентам, очевидно, имеет смысл дать постоянное разрешение (чтобы не отвечать на одни и те же вопросы при каждом подключении к Интернету), другие программы можно настроить более тонко.

Tiny Personal Firewall обладает гибкими средствами такой настройки. Он позволяет указать для каждого Интернет-приложения набор правил его работы в Интернете - сетевой протокол (TCP, UDP, ICMP), направление передачи данных (в ПК из Сети, из ПК в Сеть), допустимый диапазон используемых портов и IP-адресов удаленного приложения (например, если FTP-клиент всегда обращается к определенному FTP-серверу, то лучше настроить его на конкретный IP-адрес этого сервера), а также способы протоколирования по каждому правилу. Чтобы под видом стандартного приложения в компьютер не закралась вредоносная программа, контролируемое Tiny Personal Firewall приложение снабжается сигнатурой по профилю сообщения 5 (MD5).

В настоящее время в рамках создания системы централизованной защиты настольных ПК МО США данный продукт устанавливается на 500 тыс. компьютеров в североамериканских ВВС. В него встроена возможность дистанционного администрирования и информирования центрального сервера о фиксируемой активности (в корпоративной поставке). С учетом этой специфики его лучше использовать вместе с другими ПМЭ, контролирующими деятельность самого Tiny Personal Firewall.

Главным недостатком программы можно счесть излишний аскетизм дизайна (на уровне Windows 3.0). Примитивные диалоговые окна, моргающие строки окна состояния, не до конца проработанный интерфейс. Отсутствует справочная система. Коммерческая версия стоит 39 долл., но по своим возможностям ничем не отличается от бесплатной.

Продукт можно посоветовать для применения опытным пользователям, Web-мастерам и дизайнерам, создателям сетевых программ, активно работающим в Интернете.

Совместная работа ZoneAlarm и Tiny Personal Firewall

Работая вместе, эти продукты почти не конфликтуют (конечно, каждый из них сначала попросит дать права доступа в Сеть своему партнеру - их надо выделить по максимуму). Правда, при подключении по телефонным линиям ZoneAlarm, запущенный вместе с Tiny Personal Firewall, иногда блокирует всю сетевую активность и его приходится перезагружать. Но это незначительные издержки в сравнении с потенциальной мощью оборонительной связки ZoneAlarm + Tiny Personal Firewall.

Если вы используете Windows 9x/Me, часто подключаетесь к Интернету и никогда не пробовали применять ПМЭ - обязательно установите эти или подобные программы!

Свобода.NET

Хотя рассмотренные нами бесплатные ПМЭ обеспечивают высокую степень обороны ПК от хакерских атак, они все же представляют собой средства пассивной защиты. А как известно, лучшая защита - это нападение.

Можно не пустить хакеров на свой компьютер, однако не надо забывать, что путешествия в Интернете осуществляются на базе устаревшего и “дырявого” семейства протоколов TCP/IP, а вся передаваемая и принимаемая ПК информация проходит через провайдера, где в обязательном порядке протоколируется (как минимум на уровне IP-адресов посещенных сайтов). Аналогична ситуация и с э-письмами. На основе подобных протоколов можно создать достаточно точный профиль человеческой личности. Провайдеры всерьез гарантируют конфиденциальность такой информации, но оставим эти гарантии на их совести.

Необходимо также отметить проблемы свободного распространения информации в Сети. Любому провайдеру не составляет никакого труда заблокировать доступ пользователей к определенным сайтам. В качестве невеселого примера можно привести законодательство Китая, где обращения к сайтам строго контролируются, а доступ ко множеству международных информационных каналов просто закрыт. Более того, весьма жесткие ограничения на сетевой контент вводятся в Австралии, Германии, Франции, где провайдеры несут ответственность за тематику тех сайтов, для которых они предоставляют хостинг.

Если человека интересуют проблемы защиты личной информации в Интернете и свободного доступа к WWW-данным, ему придется прибегнуть к “тяжелой артиллерии” - более сложным технологическими решениям, нежели ПМЭ.

Рассмотрим вариант Freedom, предлагаемый службой Freedom.Net (www.freedom.net). Она поставляет бесплатный ПМЭ, который после тестирования совместно с ZoneAlarm и Tiny Personal Firewall был отвергнут как часто зависающий и субъективно менее удобный в работе. Кроме того, полный набор возможностей Freedom доступен только после оплаты (50 долл.).

Но Freedom - это не столько ПМЭ, сколько оригинальный сервис, позволяющий полностью скрыть свою активность в Сети от посторонних глаз (в том числе и от провайдера). Например, при попытке обращения браузера к сайту www.pcweek.ru программа Freedom преобразует на локальном компьютере запрос в зашифрованный вид и отсылает его через провайдера на сервер службы Freedom. Там это обращение декодируется, анализируется, выполняется, и результат запроса (снова в зашифрованном виде) возвращается обратно. На ПК с помощью клиента Freedom он распаковывается и передается браузеру, который и воспроизводит Web-страницу www.pcweek.ru. При этом у провайдера будет зафиксирована только серия обращений к серверу Freedom - и все. При желании, конечно, эту информацию можно декодировать (если весь трафик протоколировался, что маловероятно), выяснив реальные IP-адреса и потратив недели (или месяцы) машинного времени, но если человек не нарушает закон, а заботится только о защите личной информации, служба наподобие Freedom выглядит вполне подходящим решением.

Схожим образом с помощью Freedom функционирует и э-почта. Когда почтовый клиент обращается по POP-протоколу к серверу, Freedom-клиент шифрует это письмо, которое на стороне получателя будет автоматически расшифровано (для этого, конечно, нужно, чтобы у него также был установлен Freedom-клиент и доступен ключ для расшифровки).

50 долл. в год - вполне разумная цена за подобные услуги. Правда, Freedom будет более-менее успешно работать в сети с достаточно большой полосой пропускания.

Главный недостаток Freedom заключается в том, что хотя информация становится недоступной местному российскому провайдеру, она будет полностью открыта неведомым канадским владельцам службы Freedom.

Потребность в подобных услугах становится все более актуальной. Может, есть какие-нибудь альтернативные технологические решения? Есть! Например, сайты, объединившиеся в систему SafeWeb (работу которой Китай тоже пытается ограничить). Но наиболее интересным и перспективным выглядит следующее решение. Хакерская группа CDC, известная системой дистанционного управления компьютерами BackOrifice, к июльской конференции по информационной безопасности Defcon в Лас-Вегасе подготовила средство Peekabooty - систему поддержки двусторонней шифрованной связи “точка - точка”. С одного компьютера может быть сформировано сколько угодно подобных прямых соединений, и в сети из таких двусторонних связей удастся свободно распространять любую информацию. Специальные серверы в Peekabooty в отличие от WWW не предусмотрены, а трафик между каждой парой узлов будет паковаться и шифроваться, что сделает практически невозможным протоколирование и анализ деятельности пользователей Peekabooty. Кроме того, в Peekabooty будет реализована технология, напоминающая Freedom: любой желающий сможет открыть доступ к своему Peekabooty-клиенту, чтобы обращаться к сайтам не напрямую, а, как в Freedom, через эти Peekabooty-клиенты (они все же больше похожи на серверы и могут работать и в автоматическом режиме, обрабатывая запросы с помощью интеллектуальных агентов и не ведя при этом никаких протоколов).

На физических серверах в ряде стран, которые CDC называет либеральными, планируется поддержка функционирования общедоступных Peekabooty-клиентов. Немаловажно, что такую сеть внутри Сети при достаточно большом количестве участников и взаимных соединений практически невозможно вывести из строя. Она представляет собой близкий к идеальному вариант распределенной системы, в которой каждый клиент может работать и как сервер, выполняющий обработку и маршрутизацию запросов.

Йеман Акдениц, директор английского Интернет-подразделения организации “Киберправа и киберсвобода”, считает, что хороша любая технология, позволяющая людям свободно обращаться к ресурсам Сети независимо от правительственных ограничений. Другое дело, что власть имущим такая свобода никогда не будет нравиться. Каждому, кто связывает свои интересы, профессию, а нередко и судьбу с Интернетом, это надо четко осознать.

Существуют ли ПМЭ для Windows разработки отечественных компаний, специализирующихся на компьютерной безопасности, которые распространялись бы для домашнего применения бесплатно и без ограничения функциональности? Пишите автору по адресу: sbo@pcweek.ru.