Журнал "Компьютерра" №705
Шрифт:
Следующее поколение защит основывается на модели "поведенческих сигнатур", имеет общее название blacklisting HIPS или expert HIPS и является невольным продолжением традиций антивирусных решений. То есть защита анализирует последовательность поведенческих шагов программ с шаблонами (сигнатурами) поведения известных зловредов и выносит вердикт. Защита практически не мешает обычной повседневной работе, но имеет типичные недостатки всех антивирусных решений - ложные срабатывания на легитимном ПО и несрабатывания на зловредном. Кроме того, подобные системы все же перекладывают принятие окончательного решения на самого пользователя (не все из них, но ложные срабатывания тогда хуже контролируются) и предъявляют некоторые требования к его технической подготовленности. Типичные примеры - Kaspersky PDM, Norton Antibot, PC Tools Threatfire.
Модель "белых списков" в мире безопасности не нова, например, компания Microsoft внедряет цифровые подписи в
мир программного обеспечения довольно давно. Кроме того, есть несколько реализаций данной
Если все описанные выше поведенческие защиты были основаны на переработанных, но уже известных и апробированных моделях из мира PC security, то следующий класс продуктов безопасности пришел, скорее, из мира разработки ПО. Речь идет о системах, общее название которых - sandbox HIPS (Host Intrusion Prevention System), "песочница". В основе их построения - модель разделения всех приложений в системе на "доверенные" и "недоверенные" и предположение о том, что зловредное ПО проникает лишь через процессы, работающие с небезопасными сегментами Интернета и потенциально опасными файлами оттуда: то есть через браузеры, почтовые, IM-, IRC-, P2P- и мультимедиа-клиенты. Доверенные приложения (например, системные процессы) работают как обычно, недоверенные - ограничены в правах на потенциально опасные операции (например, установка драйвера). Никаких всплывающих окон с вопросами, перекладывающими принятие решения на пользователя, здесь нет, потенциально опасные действия недоверенных приложений просто блокируются согласно внутренним предустановленным правилам.
Максимум, что можно увидеть, - редкие короткие уведомительные сообщения (на самом деле, и такие системы могут заблокировать "хороший" софт, ошибочно отнеся его к "недоверенным", поскольку четких критериев разделения, увы, не существует.
– Прим. ред.). Требования к технической подготовке пользователя практически отсутствуют. Также, ограниченно, можно безопасно устанавливать неизвестное, новое ПО как недоверенное для его пробы. Разделяют sandbox HIPS с виртуализацией файловой системы и реестра и без оных (или имеющих их в минимальном объеме). Те "песочницы", что имеют виртуализацию файловой системы и реестра, нуждаются в постоянной очистке контейнера виртуализации из соображений безопасности. Sandbox HIPS без виртуализации проще в повседневной эксплуатации.
Недостатки подобных систем - необходимость помнить, как именно будет запущен только что выкачанный из Интернета инсталлятор нового приложения. Типичные примеры - DefenseWall HIPS (без виртуализации), SandboxIE (с виртуализацией).
Если же мы вспомним Windows Vista UAC, то эта модель есть не самый удачный, с моей точки зрения, вариант смеси модели classical HIPS и sandbox HIPS. Так что же предложат нам антивирусные компании для защиты от зловредного ПО в ближайшие несколько лет? По моему личному мнению, это будет смесь из sandbox HIPS и элементов "белого списка". Дело в том, что основная проблема антивирусной индустрии - временной лаг между началом распространения новой модификации зловредного ПО и добавлением соответствующей сигнатуры в базу данных. Если заполнять его blacklisting HIPS, получится то же самое, что есть сейчас, только вид сбоку, поскольку данный вид также зависит от (да, поведенческих, но тем не менее!) сигнатур, да и зачастую будет забрасывать пользователя своими вердиктами с просьбой подтвердить их или опровергнуть. Если же это будут whitelisting HIPS, то постоянные всплывающие окна на неподписанных приложениях также сведут эффективность данной системы на нет. Только системы, построенные на основе sandbox HIPS, могут похвастаться отсутствием раздражающих окон с вопросами, отсутствием перекладывания ответственности за принятие окончательного решения на пользователя и очень высоким интегральным уровнем защиты, способной удерживать зловредное ПО внутри "недоверенной" зоны до тех пор, пока соответствующая сигнатура не будет добавлена в антивирусную базу.
Сигнатурный метод обнаружения обойти очень просто - достаточно перепаковать программу или изменить значения ключа шифрования. Поэтому даже технически плохо подготовленный злоумышленник,
имея "конструктор" вредоносной программы, может создать сотни новых ее экземпляров. Для обхода же проактивных технологий, особенно основанных на анализе поведения программ, требуется менять алгоритм работы программы. Это под силу только достаточно квалифицированным вирусописателям, поэтому принципиально новые модификации вредоносных программ появляются значительно реже". То есть это "не тоже самое". По моему мнению, эффективным не может быть только один из рассмотренных подходов. Лучшие защитные решения в дальнейшем будут совмещать в себе технологии защиты на основе Black-list- и White-list-подходов; также будут совместно использоваться эвристические и сигнатурные технологии. Эффективность бинарного деления (хороший/плохой, разрешать все/запрещать все) явно недостаточна для обеспечения безопасности в современном сложном и быстроменяющемся мире. Эта концепция сменится парадигмой гибкой защиты, в которой и категорий ПО будет несколько (например, известный хороший, известный плохой, неизвестный доверенный, известный недоверенный), и работа ПО будет ограничиваться гибко - набор разрешенных операций будет гибко настраиваемым, что позволит эффективно бороться с вредоносным программным обеспечением, при этом не блокируя работу нормального, хоть и похожего на подозрительный, софта.НИКОЛАЙ ГРЕБЕННИКОВ,
ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ДЕПАРТАМЕНТА ИННОВАЦИОННЫХ ТЕХНОЛОГИЙ "ЛАБОРАТОРИИ КАСПЕРСКОГО"
МЫСЛИ: Зеркало жизни
Автор: Илья Щуров Voyager
Каюсь: вот уже несколько лет я провожу довольно много времени в Википедии - причем в основном занимаюсь не написанием статей, а чтением различных обсуждений и эпизодическим в них участием. Чтобы как-то оправдаться перед самим собой (а также перед друзьями и коллегами) за потраченное время, на протяжении всех этих лет я делаю вид, что не просто читаю флейм от безделья, а усердно собираю материал для статьи, рассказывающей о том, как устроена свободная энциклопедия изнутри. Наверное, эта отговорка работала бы еще очень долго, если бы не статья Бёрда Киви в позапрошлом номере, вынудившая меня все-таки оторваться от своего увлекательного занятия и приступить к написанию "нашего ответа Чемберлену".
Помимо разбора конкретного инцидента с участницей SlimVirgin, о котором я затрудняюсь сказать что-либо определенное [Впрочем, на основании некоторой неофициальной информации и своих ощущений от работы в проекте, скорее склоняюсь к тому, что SlimVirgin все-таки просто подставили недоброжелатели - надеюсь, к концу статьи станет понятно, почему я так думаю], в статье Киви была нарисована довольно мрачная картина внутреннего устройства и порядков Википедии вообще. Мне приходилось видеть подобные описания не раз и не два: в основном со стороны бывших участников Википедии, ушедших из проекта и объявивших "священную войну" его сообществу. Не вступая в прямую полемику, которая кажется мне совершенно излишней, я попробую рассказать и о другой точке зрения на Википедию как на социальное явление.
В своей книге "Код и другие законы киберпространства" (www.codev2.cc) Лоуренс Лессиг, известный нашим читателям по проекту Creative Commons, анализирует регулирование "киберпространств" - различных площадок в Интернете, пользователи которых как-то взаимодействуют между собой, - начиная от списков рассылки и форумов и заканчивая многопользовательскими ролевыми играми. Одним из таких пространств является и Википедия.
Лессиг выделяет четыре главных механизма регулирования социумов: архитектура (физическое устройство среды), общепринятые нормы, закон и рынок. Эти механизмы работают как в "реальном мире", так и в Сети. В последнем случае устройство среды определяется кодом - тем софтом, который обеспечивает жизнь сообщества. Мы будем обсуждать первые три фактора регулирования, поскольку аналога рынка в Википедии нет.
"Физической средой" здесь является вики-движок, особенности архитектуры которого определяют "нижний уровень" регулирования проектом точно так же, как физические законы нашего мира влияют на способы управления нашим обществом. Мы уже писали о вики как о технологии, но я позволю себе напомнить ее основные свойства в социальном контексте.
Минимализм. Пространство, на котором развиваются события, - это просто набор (гипер)текстовых страниц с несложной разметкой и некоторыми вспомогательными механизмами по иллюстрированию, добавлению шаблонов и пр. На уровне кода это пространство практически не структурировано и достаточно универсально. Например, отсутствуют специальные средства для организации голосований, обсуждения происходят путем последовательной правки одной вики-страницы и т. д.
Свобода. Отсутствуют механизмы ограничения действий пользователей, привычные для других киберпространств. Нет "встроенного" понятия "собственности" - например, ваше сообщение на форуме может быть отредактировано другим человеком, и "среда" не будет этому препятствовать. Некие представления о власти в систему встроены (технические флаги, открывающие дополнительные возможности), но они довольно примитивны и тоже слабоструктурированы. Единственный технический способ ограничения свободы участников обладает весьма неизбирательным действием - это либо блокировка учетной записи пользователя (технически запрещающая ему править любые страницы), либо блокировка страницы от изменений (запрещающая править страницу всем пользователям-неадминистраторам) [Полублокировку страницы, запрещающую править страницу анонимным участникам, мы скромно опустим].