15 лет назад 26 января 2005 в 20:57 269

Из средств персональной защиты в прошедшем году наиболее значимо обновились два гиганта рынка компьютерной безопасности: NIS от Symantec и антивирус “Лаборатории Касперского”. Самое время оценить достоинства и недостатки новых версий этих продуктов.

Речь пойдет о мультифункциональном программном пакете Norton Internet Security 2005 (www.symantec.com) и аналогичной по назначению линейке продуктов “Лаборатории Касперского” (www.avp.ru): “Антивирус Касперского Personal Pro 5.0” и Kaspersky Anti-Hacker 1.5. Кроме того, нам удалось познакомиться с будущей версией программы Kaspersky AntiSpam, которая войдет в состав пакета Kaspersky Security Suite (релиз – в середине декабря 2004 года) – прямого конкурента NIS 2005.

ФАЙЕРВОЛЛЫ

Norton Personal Firewall
К сожалению, в Norton Internet Security 2005 отсутствует выборочная установка компонентов, если не считать отключаемый модуль родительского контроля Parental Control. Таким образом, для нормального функционирования системы использование конкурирующих антивирусов и брандмауэров при работе с NIS 2005 исключено. Русификация интерфейса также отсутствует.

Настройки всех компонентов NIS 2005 выведены в одном окне

В новую версию пакета входит компонент Outbreak Alert, включенный по умолчанию и предупреждающий о возникновении новых вирусных эпидемий и прочих угроз. Деятельность этого нововведения довольно спорна: например, сразу после инсталляции NIS 2005, Outbreak Alert предупреждает о беззащитности Windows перед семейством вирусов Beagle и предлагает немедленно загрузить нужное обновление. В этом случае возникает вопрос о корректности работы утилиты Live Update, в настройках которой решительно невозможно определить, с какой периодичностью происходит автоматическое обновление.

Действительно нужная функция файерволла, появившаяся еще в NIS 2004, расположена в настройках брандмауэра на вкладке Locations. Благодаря модулю Network Detector у пользователя есть возможность дифференцировать настройки NIS для различных сетей и в зависимости от работы в той или иной сети автоматически выбирать нужные параметры: например, настройки безопасности, созданные для работы в домашней сети, не годятся при Wi-Fi-соединении в интернет-кафе.

Более того: если для какой-либо программы создано правило, привязанное к определенному сетевому интерфейсу (например, при работе в офисе), то для другого сетевого интерфейса теперь не требуются лишние манипуляции при создании правила – достаточно установить флажок, и оно автоматически будет распространяться и на другой интерфейс, выбранный пользователем.

Это очень здорово: в NIS 2004 необходимость создавать правила заново для каждой сети раздражала до невозможности. Кстати, в NIS 2005 наконец-то стало возможно управлять ICMP-трафиком каждой программы в отдельности, например, разрешая или запрещая пингование определенным утилитам. Раньше ICMP управлялся только глобально – для всех программ сразу.

Благодаря Network Detector можно дифференцировать настройки брандмауэра для различных сетей

К сожалению, набор стандартных правил для типичных программ, активно использующих сетевые подключения, так и не появился в новой версии NIS. Конечно, NIS 2005 реагирует на активность любого приложения, стремящегося в Сеть, предлагая автоматическую настройку доступа, но только для тех программ, которые он знает. А вот русская версия Internet Explorer, например, ему не знакома и шаблона “Веб-браузер” в программе нет, поэтому пользователю слишком часто приходится заниматься ручным составлением правил (или, плюнув на все, выбирать “Permit All”).

Но зато в NIS 2005 чудесным образом опять появилась возможность выбора для стремящегося в интернет приложения – однократно разрешить-блокировать доступ в сеть, всегда разрешать-блокировать, или создать особые правила, в том числе автоматически. В AtGuard, из которого, собственно, и вырос NIS, у пользователя всегда был максимально широкий выбор. В NIS же от этого незаметно отказались: скажем, для известных файерволлу программ не появлялось “Разрешить все” и “Блокировать все”, что было очень неудобно.

Несколько вариантов для настройки приложений, проявляющих сетевую активность

В новой версии несколько странным выглядит отсутствие функций блокировки всплывающих окон и баннеров в настройках файерволла. Однако все становится на свои места, если заглянуть в раздел Norton Antispam – сетевую рекламу теперь принято считать спамом. Еще одна удобная новинка NIS 2005: компонент Privacy Control, отвечающий за безопасность персональной информации, позволяет теперь выключать блокировку для конкретных сайтов. К примеру, для доверенной группы веб-ресурсов мы разрешаем отправлять ваш e-mail (он часто оказывается в cookies), блокируя такую возможность для остальных сайтов.

Выборочная блокировка приватной информации в Privacy Control.

Kaspersky Anti-Hacker 1.5
Оба отечественных продукта “Антивирус Касперского Personal Pro 5.0” и Kaspersky Anti-Hacker 1.5 устанавливаются независимо друг от друга. В грядущем же релизе интегрированного Kaspersky Security Suite разработчики обещали выборочный вариант установки всех компонентов, включая Kaspersky AntiSpam.

Установка Kaspersky Anti-Hacker проходит довольно быстро и без дополнительных моментов конфигурации. После перезагрузки “антихакер” приступает к работе и добавляет свой значок в трей. Однако Центр безопасности Windows XP (SP2) рапортует, что не видит установленных брандмауэров сторонних производителей…

Главным же и единственным новшеством последней версии продукта можно считать поддержку ADSL-модемов – в старой версии именно это было камнем преткновения для всевозможных “Стримеров”. Поэтому обратим более пристальное внимание на функциональность программы.
Безусловным преимуществом “антихакера” перед Norton Personal Firewall 2005 является исключительная простота интерфейса: немногочисленные основные команды меню “Сервис” и дополнительные функции представлены одноименными кнопками в панели инструментов.

Представляют интерес дополнительные команды: “Приложения” (выводится список активных сетевых приложений вместе с используемыми портами), “Порты” (список портов, открытых в данный момент) и “Соединения” (список активных соединений, наглядно показывающий, какие именно приложения обмениваются данными с удаленными адресами).

Главное преимущество Kaspersky Anti-Hacker 1.5 – исключительная простота интерфейса.

На вкладке “Детектор атак” в списке “Тип сетевой атаки” указаны виды сетевых вторжений, с которыми борется “Антихакер” (помимо прочего имеется и защита от проникновения известной заразы Lovesan). Но возможность отключения сообщения о той или иной атаке, имеющаяся в NIS 2005, отсутствует.

“Антихакер” защитит от Lovesan.

Список готовых правил для приложений здесь имеется, но крайне скудный и включающий в себя помимо системных сервисов правила для Internet Explorer, Outlook Express, Windows Messenger и для самого “Антихакера”. Практически для всех приложений, правила для которых отсутствовали, было предложено создать оные, исходя из типа программы: например, для The Bat! “Антихакер” предложил стандартное правило для электронной почты, а для FlashGet – правило на основе передачи файлов, что вполне логично.

Идиллию нарушил запуск программы CuteFTP Pro: по умолчанию было предложено правило для “Просмотра интернета” (несколько странная формулировка!). Логичнее было бы создать правило на основе передачи файлов, ан нет – при выборе данного правила CuteFTP отказывается видеть Сеть, испрашивая правило для… “Обмена сообщениями (ICQ, AIM)”. После выбора последнего все приходит в норму.

Странный выбор для FTP-клиента: правило на основе “Обмена сообщениями”.

В “Антихакере”, в отличие от NIS, напрочь отсутствуют функции блокировки потенциально опасных веб-компонетов (Java-апплетов, Active X) и вредоносных сайтов (в NIS 2005 запретом доступа к нежелательным веб-ресурсам отвечает компонент Parental Control), что никоим образом не повышает безопасность пользователя. Автоматическое обновление программных компонентов и блокировка рекламы в Kaspersky Anti-Hacker 1.5 также отсутствует.

АНТИВИРУСЫ

Norton Antivirus 2005
Если не считать улучшенного графического интерфейса, новая версия антивируса включает в себя возможность блокировки портов путем идентификации признаков червя. Заявлена и улучшенная поддержка распознавания архивов – Norton AntiVirus 2005 обладает более продвинутой системой определения и уничтожения запакованных вирусов. Поскольку новшеств немного, уделим внимание некоторым моментам работы антивируса.

Настройки резидентной защиты, включенные по умолчанию, можно было бы назвать оптимальными, если бы проверка архивных файлов была включена. Что нам даст включение опции Scan within compressed files? При попытке загрузить инфицированный архив из Сети Norton Antivirus 2005 определит заразу на самой первой стадии – в кэше браузера; если же пользователь не внемлет предупреждению антивируса, программа выдаст сообщение сразу после того, как инфекция попадет на жесткий диск.

Для включения полной резидентной защиты Norton Antivirus 2005 следует включить проверку архивов.

Norton Antivirus 2005 определит заразу до того, как она попадет на диск из Сети.

Сканирование исходящей почты длится довольно долго. При обнаружении инфицированного письма антивирус по умолчанию попытается вылечить “больного”, но в случае интернет-червей зараза будет немедленно и безвозвратно удаляться.

Интернет-черви лечению не подлежат

Автоматическое обновление Norton Antivirus 2005 по умолчанию происходит в фоновом режиме (можно включить опцию уведомления о каждом апдейте); на сайте разработчика доступны для загрузки постоянно обновляемые файлы ежедневных обновлений, размер которых составляет порядка одного мегабайта. Лицензионная поставка NIS 2005 позволяет загрузиться с компакт-диска в DOS-режиме и провести сканирование оперативной памяти и разделов на наличие вирусов. На сайте компании можно загрузить утилиту для создания четырех аварийно-загрузочных дискет (www.symantec.com/techsupp/ebd.html). С одной стороны, наличие загрузочной версии Norton Antivirus является плюсом, но для NTFS-разделов такая возможность бесполезна.

Включенная по умолчанию опция Enable Office Plug-in, отвечающая за борьбу с макровирусами, чрезвычайно замедляет запуск, например, DOC-файлов. В то же время отключение этой функции снижает безопасность системы. Кстати, если при сканировании какого-то большого архива антивирус надолго “задумывается”, то всплывает небольшое окошко, позволяющее нетерпеливым пользователям отключить проверку файла – очень удобная штука. При проведенном нами тестировании продукт от Symantec с самыми последними обновлениями так и не смог опознать вирус Worm.Win32.Drew.a. А вот Dr.Web, NOD32 и “Антивирус Касперского” показали наличие заразы в тестируемом файле.

“Антивирус Касперского Personal Pro 5.0”
В пятой версии линейки своих антивирусных продуктов для Windows разработчики отказались от модульной структуры (“Центр управления”, “Сканер”, “Монитор”, Office Guard и Script Checker), соединив все необходимые компоненты в едином интерфейсе. Новая версия антивируса (в отличие от файерволла) полностью совместима с системным “Центром безопасности” в Windows XP SP2.

Новая концепция “Антивируса Касперского Personal Pro 5.0”: единый интерфейс для всех компонентов.

Однако самой революционной инновацией пятой версии можно считать полностью обновленное антивирусное ядро (каковое отличается даже от родственной версии Personal 5.0), а также использование собственных уникальных разработок – технологий iChecker и iStreams. Многие пользователи версии за номером 4.5 помнят о пресловутых “тормозах”, возникавших при использовании предыдущей инкарнации продукта.

Теперь работа с антивирусом стала намного комфортнее за счет того, что в новой версии каждый файл проверяется на вирусы только один раз, при первой проверке. При всех последующих запусках файл просто-напросто не анализируется на присутствие вирусов при условии, что он не был изменен. За счет этого и возрастает производительность антивируса, а объем занимаемой оперативной памяти снижается более чем в два раза.

Еще одна новая концепция подразумевает разделение прав начинающего и опытного пользователя, что реализовано в двух интерфейсах: более простом, включающем минимально необходимый набор функций для полноценной работы новичка, и расширенном, созданном для опытных юзеров и предоставляющем им гораздо более гибкие настройки антивируса. В отличие от Norton Antivirus 2005 новички могут настроить программу с помощью выбора одного из трех уровней защиты: максимальная защита, рекомендуемый уровень и максимальная скорость работы.

Еще одна новация “Антивируса Касперского” – трехпозиционный движок выбора степени защиты для новичков.

Уверенные в себе пользователи наверняка оценят расширенные настройки программы, в частности – систему исключений, позволяющую отключить проверку (как резидентную, так и по требованию) определенных областей дисков и системы. Особенный интерес представляет настройка проверки макросов, не имеющая аналогов не только в NIS 2005, но и в других антивирусных продуктах: для каждой команды можно выбрать необходимое действие из четырех возможных.

Рис. 14 (14.tif).

Разумеется, все нововведения пятой версии PRO существенно повысили степень защиты компьютера: теперь проверяется почтовый трафик по протоколам SMTP/POP3 вне зависимости от используемого почтового клиента, а почтовые базы MS Outlook и MS Outlook Express можно результативно лечить. Входящая и исходящая почта сканируется намного быстрее, нежели при использовании Norton Antivirus 2005. Необходимо отметить и еще одну крайне важную функцию – лечение файлов в архивах ZIP, ARJ, CAB и RAR.

Абсолютно все зараженные файлы, используемые для тестирования наших продуктов, были определены “Антивирусом Касперского Personal Pro 5.0” самым корректным образом: не избежал расправы и вирус Worm.Win32.Drew.a. В отличие от западного аналога настройки обновления антивирусных баз в “Антивирусе Касперского Personal Pro 5.0” являются “прозрачными”, позволяя пользователю самому определять желаемую частоту обновления (по умолчанию – каждые три часа).

Более того, скорость соединения и загрузки антивирусных дефиниций намного быстрее, нежели при использовании утилиты Live Update в NIS 2005. В новой версии такая скорость стала возможной благодаря автоматическому определению наименее загруженного сервера обновлений, а также новому алгоритму получения оставшейся части обновления в случае обрыва соединения.

В скором времени на сайте разработчика появится образ аварийно-восстановительного диска на движке Linux (в беседе с автором этих строк Евгений Касперский обещал, что данный компонент будет бесплатным), что позволит осуществлять антивирусные мероприятия безотносительно файловой системы разделов (Norton Antivirus 2005 использует загрузочную DOS-версию от 2001 года). Функцию автоматической проверки файлов, загружаемых из Сети, планируется добавить во второй пакет обновлений антивируса.

АНТИСПАМ

Norton Antispam 2005
Обновленная версия NIS 2005 при помощи Norton AntiSpam умеет блокировать электронные письма, содержащие автоматически загружающуюся сетевую графику, а также письма с формами, со скрытым текстом, замаскированными ссылками, скриптами, ActiveX и Java – излюбленными трюками спамеров. Появилась возможность автоматической синхронизации базы с адресной книгой и поддержка Yahoo! Mail.

Еще одним полезным новшеством “Антиспама” можно считать защиту от новомодной сетевой напасти под названием “Фишинг” – новой формы сетевого мошенничества, когда доверчивых и состоятельных обывателей при помощи спам-рассылок заманивают на веб-ресурсы, очень похожие на сайты электронной коммерции различных фирм и банков. На таких ресурсах пользователям предлагается ввести данные своей кредитной карты… Наконец-то в программе появилась поддержка нескольких десятков языков, в том числе и русского – этот факт должен значительно улучшить распознавание.

Настройки блокировки баннеров и всплывающих окон в окне Norton Antispam – форменный нонсенс

Однако, невзирая на все новации, паразитный трафик не уменьшится – спам все равно загружается на компьютер пользователя, пусть и в свою “фирменную” папку Norton AntiSpam Folder. И хотя сортировка писем происходит довольно быстро, но, как бы там ни было, а от просмотра “антиспамовой” папки никуда не деться, тем более что качество работы “антиспамера” не является идеальным – небольшая часть спама прорывается в папку “Входящие”, а нужные письма (например, легитимные почтовые рассылки и пресс-релизы “Лаборатории Касперского”) отправляются в “спамерскую” папку. Обучение программы – это спам, а это нужное письмо – отнимает слишком много времени.

Kaspersky AntiSpam Personal
О некоторых будущих возможностях пока не вышедшего продукта Kaspersky Antispam Personal рассказал сам господин Касперский в своем выступлении в Таллине в рамках поездки по странам Балтии.

Технология фильтрации почтовых сообщений, лежащая в основе Kaspersky Anti-Spam Personal, разработана компанией “Ашманов и Партнеры” (www.ashmanov.com). Планируется поддержка протоколов POP3, IMAP4 и Microsoft Exchange. Протокол веб-почты (MSN, Hotmail) поддерживаться не будет. Интерфейс почтового клиента дополнится специальной панелью инструментов, позволяющей быстро и удобно помечать спамерские послания и отправлять новые образцы в базу данных программы непосредственно из почтовой программы. Это выгодно отличает разработку “Лаборатории Касперского” от конкурирующего продукта. Разумеется, в программе имеется функция автоматического ежедневного режима обновления.

Kaspersky Anti-Spam Personal будет подразделять почтовый мусор на самый что ни на есть махровый спам (SPAM) и предполагаемый (PROBABLE SPAM). Кроме того, будут выделяться категории писем непристойного содержания (OBSCENE) и формальных писем (FORMAL), куда относятся автоматически генерируемые письма, например сообщения почтовых роботов.

По каждой категории писем пользователи смогут назначать различные действия: например, автоматическое перемещение в специальные карантинные папки, дополнение темы писем названием категории спама или удаление в автоматическом режиме (либо безвозвратное, либо перемещение в папку “Удаленные” почтового клиента).

При использовании других почтовых программ (например, The Bat!), входящие письма будут проанализированы до того, как их получит почтовый клиент, после чего тема мусорных посланий будет помечена меткой распознанного типа спама. Затем эти письма будут получены почтовым клиентом, и пользователь сможет самостоятельно настроить правила своего почтовика так, чтобы письма с указанными метками в теме автоматически обрабатывались нужным образом: удалялись или перемещались в нужную папку.

Таким образом, на данном этапе Kaspersky Anti-Spam Personal по своим функциональным возможностям выглядит посильнее аналога из пакета NIS 2005.

Слабым звеном в линейке продуктов “Лаборатории Касперского”, безусловно, является брандмауэр Kaspersky Anti-Hacker 1.5. Впрочем, начинающим пользователям эта программа подойдет в силу чрезвычайной простоты русифицированного интерфейса. К тому же благодаря свободе выбора этот компонент можно заменить весьма неплохим Agnitum Outpost.

У Symantec тоже не все блестяще: Norton Antivirus 2005 грешит бедностью настроек и, ко всему прочему, использование загрузочной DOS-версии продукта в эпоху NTFS-систем наводит на мысль о том, что в обозримом будущем более продвинутого аварийного инструмента от Symantec не появится. Наконец, скорый выход Kaspersky Anti-Spam Personal даже с планируемыми возможностями склоняет чашу весов в пользу отечественного софта.