11 лет назад 10 марта 2008 в 14:33 66

Броня крепка

Автор: Сергей Трошин

Судить о качестве файерволла по так называемым лик-тестам (leak tests) последнее время стало модно. И хотя к реальной жизни все эти тесты имеют весьма слабое отношение, появление в рейтинге сайта www.matousec.com какого-то неизвестного online armor personal firewall, разделившего с outpost firewall pro 2008 аж первое место, не могло пройти мимо нашего внимания.

Но для начала – что же такое все эти пресловутые лик-тесты (тесты утечек)? Это небольшие тестовые программки (на сегодня таких порядка 30), которые с помощью самых разных хитрых методик пытаются обойти файерволл, отправив незаметно для него в интернет какую-то информацию. Тем самым как бы имитируется работа троянов, ворующих вашу приватную информацию. Лучше всего ситуация вокруг них описана в статье Николая Гребенникова из “Лаборатории Касперского” (www.viruslist.com/ru/analysis?pubid=204007581). В принципе, ничего плохого в такой проверке файерволла на утечки нет. Чем надежнее брандмауэр, чем больше способов обхода сетевых экранов он знает, тем лучше. Дело в том, как относиться к результатам этих тестов. Во-первых, тестовые программы хорошо известны, и настроить файерволл на борьбу именно с ними, пожалуй, не так сложно. Как он будет себя вести в случае реального трояна – уже другой вопрос. Да и будет ли новый троян использовать такие же методики, как эти распространенные тесты, или будет содержать другие, менее известные решения? Во-вторых, файерволл – лишь один из рубежей защиты. По идее, антивирус должен перехватить троян еще до того, как он попадет на ваш ПК и будет запущен. А если не поймал – то при попытке запуска. В-третьих, даже если файерволл зафиксирует попытку зловредной деятельности и сообщит о ней пользователю, не факт, что тот поступит адекватно. Как вы, например, выявите среди нескольких десятков подгружаемых к explorer.exe внешних библиотек ту, которую пытается ему подсунуть троянец? И, наконец, даже при стопроцентном прохождении всех лик-тестов продукт может содержать миллион уязвимостей других типов (тема эта обсуждается, например, здесь: forum.kaspersky.com/index.php?showtopic=8980). Так что лик-тесты – лишь очередное веяние моды, и молиться на их результаты не стоит. Но, безусловно, программа, прошедшая их со 100% результатом (причем в виде бесплатной, несколько урезанной версии!), заслуживает того, чтобы взглянуть на нее повнимательней.

Знакомство с пакетом Online Armor Security Suite 2.1.0.31 (www.tallemu.com) начинается со сканирования вашей системы на предмет установленных программ, опасных процессов и известных уязвимостей. Может показаться, что это очень неплохое решение – поиск программ производится по ярлыкам меню “Пуск”, что гораздо быстрее, чем сканирование всех дисков в системе в поисках “экзешников”. В результате для известных программ правила создавались бы автоматом, а для нераспознанных было бы предоставлено право выбора: разрешаете вы им доступ в Сеть или нет. Но дело в том, что тут создаются правила не для выхода в Сеть, что было бы логично, а для запуска вообще! То есть если вы поставите какому-то элементу меню “Пуск” флажок “Блокировать”, то эту программу больше просто не запустите, пока вручную не измените правило. Зачем так делать – совершенно непонятно, ведь трояны не создают ярлыки в “Пуске”… Аналогичным образом создаются правила для элементов автозагрузки и расширений Internet Explorer. После этого предлагается настроить кое-какие незначительные опции программы и перегрузить ПК.

Сразу после перезагрузки отмечаем, что программа действительно отслеживает элементы автозапуска Windows, что не является типичной функцией файерволла – это, скорее, задача антивируса. Но зато интернет, локальная сеть и сетевые ресурсы работают без всякой дополнительной настройки. И это притом, что по умолчанию режим обучения отключен. Так что начинающего пользователя программа в ступор не приведет. Пытаемся запускать основные интернет-программы – все работает, и “чайник” может уже забыть о каких-либо дополнительных телодвижениях.

А что же продвинутый пользователь? А он полезет в раздел Configuration…

В настройках мы обнаруживаем, что пакет Online Armor Security Suite состоит, по сути, из нескольких основных компонентов: фишинг-фильтра Mail Shield, блокировщика опасных сайтов Web Shield, менеджера приложений Program Guard и собственно брандмауэра Firewall (отличия бесплатной версии можно увидеть на страничке www.tallemu.com/comparisons.html). В результате мы получаем довольно неплохую оборону по нескольким фронтам сразу. А если поставить еще и антивирус или выбрать расширенный пакет Online Armor AV+ с интегрированным движком Антивируса Касперского, то защита становится почти исчерпывающей. Почти – поскольку, например, встроенного блокировщика баннеров найти, к великому сожалению, не удалось. Так что придется ставить еще одну лишнюю программу типа AdMuncher.

Раздел настроек Programs предоставляет доступ к функционалу, отвечающему за запрет/разрешение запуска программ и выполнения ими потенциально опасных процедур – например, запуска других модулей, прямого доступа к памяти, изменения удаленного кода и так далее. Во многом именно это и позволяет Online Armor проходить упомянутые выше лик-тесты – именно здесь сосредоточена защита от основных методов обхода файерволлов. Разделы Startup Items и IE Add-ons, соответственно, отвечают за блокировку нежелательных элементов автозапуска и плагинов браузера. Следующий пункт – Key Loggers – отображает выявленные программой перехватчики клавиатуры. В нашей тестовой системе это оказались утилита Quick Launch Buttons, обслуживающая дополнительные клавиши ноутбука, и почему-то Bluetooth Tray Application. А вот Punto Switcher Online Armor, как ни странно, проигнорировал…

Следующий пункт настроек – Hosts, позволяет оперативно контролировать содержимое файла Hosts, а на странице My Web sites отображаются посещенные вами веб-узлы с пометками TRUSTED, NOT TRUSTED, BLOCKED и так далее. Отметки эти проставляются автоматом в зависимости от того, есть ли сайт в базе данных фишинговых ресурсов, или он считается надежным, либо в соответствии с тем, как вы сами его определяете, если сайт программе неизвестен. При этом на доверенных сайтах разрешается выполнение любого активного содержимого без каких-либо предупреждений, а на непонятных ресурсах все опасные апплеты блокируются. К сожалению, вручную что-либо задать тут невозможно. Так что если на сайте надо разрешить, например, Flash и запретить всплывающие окна, то вас ждет облом. (Есть еще специальный режим работы – Banking, при его выборе доступ разрешается только к доверенным сайтам.)

Диалог настроек Firewall самый главный – именно здесь задаются правила брандмауэра. Первое удивление – в списке программ, которым разрешен доступ (Program Access) нельзя просто добавить новую. Только при переходе на вкладку Rules появляется возможность создать новое правило. Начинаешь создавать правило – и опять обламываешься. Нет такого понятия, как “Разрешить все”. Обязательно надо вручную указывать номера портов. Плюс ко всему правила по разным программам свалены в кучу и идут общим, крайне неудобным списком – это, кстати, характерно для многих файерволлов. Ну неужели их авторы не понимают, что гораздо эргономичнее группировать правила по каждому приложению (как это делалось, например, в AtGuard – самом удобном файерволле всех времен и народов)? Хорошо хоть есть возможность создавать запретные и доверенные зоны в локальной сети, а также прописывать глобальные правила для протокола ICMP. Есть и функция импорта блоклистов в формате Bluetack – подобные, уже готовые блоклисты можно использовать и для блокировки некоторых рекламных сайтов, и для борьбы со spyware, и даже для противодействия всевозможным антипиринговым конторам. Еще одна интересная опция – Restricted Ports List. Здесь вы можете указать порты, по которым разрешается работать только в локальной сети. Доступ в интернет по ним будет запрещен для любых программ. По умолчанию, например, к таким относятся порты, отвечающие за доступ к расшаренным папкам вашего ПК.

Online Armor Security Suite имеет и некоторые другие не очень существенные особенности и внутренние технологии, о которых лучше почитать на сайте программы, мы же на этом знакомство с новым игроком на рынке пакетов безопасности, пожалуй, завершим. Несмотря на довольно обширный и порой весьма нетипичный функционал, очень много важных вещей – обязательных атрибутов мощного файерволла – мы здесь не нашли. Нет, в частности, никакой возможности настроить почтовый фильтр (запретить/разрешить блокировку писем со скриптами, внешними картинками и так далее); нельзя выборочно блокировать активные элементы веб-страниц; нет хоть сколько-нибудь приличного блокировщика рекламы и тем более поддержки плагинов; очень слабое протоколирование (нельзя, например, узнать URL, по которым обращался браузер, и хотя в статус-мониторе они показываются в реальном времени, но скопировать URL оттуда нельзя); невозможно указать порты, по которым следует отслеживать активность браузера и почтового клиента. Сюда же можно отнести неудобное составление правил брандмауэра и отсутствие готовых шаблонов стандартных правил (браузер, почтовый клиент, клиент Torrent и так далее), отсутствие какого-либо механизма контроля за несанкционированным доступом к конфиденциальным пользовательским данным и так далее. Перечислять можно долго. Достаточно вспомнить возможности того же Outpost или NIS 2005. Есть даже ощущение какой-то недоделанности Online Armor Security Suite (его подкрепляют некоторые страницы встроенной справки – абсолютно пустые). Была задача – обеспечить 100% прохождение лик-тестов. Ее добились. А остальное сделаем со временем. Может быть…

В общем и целом же программа совсем не хуже многих конкурентов (слабоват общий фон, да…), а в чем-то даже и лучше. Особенно для начинающих пользователей. Особенно повернутых на лик-тестах…