Jump to content

Статия: Защита от злонамерен софтуер (malware)


Night_Raven

Препоръчан пост

Забележка: това е статията, но в нова тема. Поради някои специфични характеристики на форумната система се наложи темата да бъде разцепена на отделни коментари, което означаваше да бъде и пренесена в нова тема. Оригиналната тема можете да намерите тук и тя остава активна за въпроси, предложения, критики и т.н.

 

 

Защита от злонамерен софтуер (malware)

 

 

Prevention over cure...

 

http://pics.softvisia.com/design/pics/15349/drm.gif

 

Съдържание:

 

0. Увод

1. Какво е "злонамерен софтуер"?

2. Какви са видовете зловреден код?

3. Какви са мотивите на авторите на зловреден код? Какви са целите?

4. Как става заразяването?

5. Как можем да се предпазим от зловредния код?

6. Какви видовете защитни методи има?

6.1. Черен списък (blacklist)

6.2. Проактивна защита

6.2.1. Евристики (heuristics)

6.2.2. Класически HIPS

6.2.3. Базирани на политика HIPS програми

6.2.4. Блокатор по поведение (behaviour blocker)

6.3. Бял списък (whitelist)

6.4. Виртуализация (virtualization)

6.5. Защитна стена (firewall)

7. Какви защитни програми има и кои са препоръчителните?

7.1. Антивирусни програми

7.2. Антималуер (anti-malware)/антиспайуер (anti-spyware) програми

7.3. HIPS програми

7.4. Базирани на политика HIPS програми

7.5. Блокатори по поведение (behaviour blockers)

7.6. Защита срещу запис на клавиши и не само (anti-(key)logging)

7.7. Бял списък (whitelist)

7.8. Виртуализация (virtualization)

7.9. Защитни стени (firewalls)

7.10. Други защитни програми

8. Въпроси и отговори

 

 

 

Материалът се посвещава на нашия администратор Живко "Slammer" Казанджиев.

 

 

Виртуалният свят - изкуствено създаден свят, чието ограничение е човешкото въображение. Необятно измерение, което предлага безгранични възможности и може да приюти фантазиите на всеки желаещ да навлезе из дебрите и дълбините на тази алтернативна вселена. Макар да е лишен от физическа форма, този свят понякога изглежда толкова реален, че не ни се иска да го напускаме. Свят, в който всеки може да изживее своите мечти. Свят, който предлага бягство от сивото ежедневие. Свят, където всеки може да бъде такъв, какъвто иска, а не какъвто животът го принуждава да бъде. Свят, който изграждаме така, както искаме да изглежда реалният. Достатъчно е да пуснете някоя компютърна игра, за да разберете за какво говоря.

Виртуалният свят не е реален и не може да бъде докоснат. И все пак е нещо повече от въобръжението ни. Една неповторима смесица от битие и блян. Другият свят. Може би дори... по-добрият свят... на този етап.

 

Виртуалното пространство не е точно като реалното такова, но до голяма степен е изградено по негов образец. Една от приликите е, че виртуалното пространство не е напълно чисто. Дори може да се каже, че е мръсничко. Особено на някои места. Както в реалния живот зад ъгъла може да дебне тъмен субект със злонамерени помисли, така и във виртуалния свят има доста обекти, чиито цели са зловредни и чиито разнообразие варира значително.

 

Става въпрос за злонамерения/зловредния софтуер.

 

В този материал ще се опитам да ви запозная с видовете зловреден софтуер, начините за защита от него, както и с друга полезна информация.

 

Важно:

 

Тук искам да направя едно кратко отклонение, за да уточня някои неща.

  • Предстои ударна доза текст и то без картинки. Който ме издържи докрай заслужава медал.
  • Важно е да се подходи към темата за злонамерения софтуер с правилната нагласа.
    От една страна някои по-големи компани за защитен софтуер (като например Symantec) обичат да всяват паника сред потребителите. Имат навика да представят нещата така, сякаш злонамереният софтуер е навсякъде и е някакво едва ли не непобедимо зло. Не е така. Това е пропаганда от страна на тези компании, за да им се продава софтуерът по-добре. Когато хората са наплашени, те са далеч по-лесно контролируеми и се подават много повече на промиване на мозъци.
    От друга страна това не значи, че злонамереният софтуер е дребен проблем. Напротив. Злонамерен софтуер наистина има много и заразяването с него е далеч по-лесно, отколкото повечето хора си мислят.
    Накратко: злонамереният софтуер е сериозен проблем и в никакъв случай не бива да бъде подценяван, но не е и нещо, с което няма преборване.
  • Имайте предвид, че нещата се променят. Съобразете датата на публикуване на материала с датата, на която го четете. Това, което е актуално днес, може да не е толкова актуално утре. Повечето неща не губят актуалността си толкова бързо, но аз съм длъжен да предупредя, в случай, че мине доста време, без информацията да бъде обновена.

Време е да започваме.

Link to comment
Сподели другаде

1. Какво е "злонамерен софтуер"?

Понятието идва от английското словосъчетание "malicious software", което се превежда точно "злонамерен софтуер". Алтернативни наименования са "зловреден софтуер", "злонамерен код" и "зловреден код". На английски има и съкратено наименование - "malware", което е образувано от пълното такова "malicious software". В материала няма да се ограничавам с използването само на едно наименование, а ще използвам всичките (за да се избягва досадно повторение), макар най-често да използвам зловреден код/софтуер.

Повечето потребители наричат злонамерения софтуер с една обобщаваща думичка - "вирус"/"вируси". Това е останало от по-ранните години, когато вирусите бяха основният тип зловреден код, който съществуваше. Информационните технологии обаче се развиват, човешкото общество се променя (не казвам развива или еволюира, защото е доста спорно дали това се случва в действителност на интелектуално ниво) и заедно с тях се развива и зловредният код.

Наименованието "злонамерен софтуер" би трябвало да е достатъчно описателно и само по себе си, но за да съм сигурен, че съм си свършил работата по този параграф, ще направя едно кратко определение: злонамерен софтуер е всеки софтуер, който е проектиран да се инсталира на дадена компютърна система без знанието на потребителя и след това да извършва дейности, които са в ущърб на потребителя. Може би ви звучи доста общо, но това е така, защото има доста голямо разнообразие от зловреден софтуер.

 

2. Какви са видовете зловреден код?

Преди да се научим как да се защитаваме е редно да се запознаем от какво всъщност се пазим, т.е. да опознаем врага. Както вече би трябвало да ви е станало ясно, вирусите далеч не са единственият вид зловреден код. Дори може да се каже, че са почти измрели.

Разнообразието от зловреден код е доста голямо. Аз ще представя тук основните и най-често срещаните видове зловреден софтуер, но имайте предвид, че една солидна част от гадинките са кръстоски между 2 или дори повече вида. Няма да навлизам в големи подробности, а ще се опитам да засегна по-важните аспекти.

 

Вирус (virus)

Най-старият тип злонамерен код. Компютърният вирус е компютърен код, който не може да съществува самостоятелно. Той се прикрепя към други файлове, като това са най-често изпълними такива - .exe, .com, .scr и др.

При стартиране на въпросния файл се изпълнява и самият вирусен код. Вирусите се делят на два типа в зависимост от метода на заразяване: резидентни и нерезидентни. Резидентните вируси остават активни в оперативната памет и заразяват файловете, които са програмирани да заразяват, при тяхното отваряне от потребителя, друга програма или самата операционна система. Нерезидентните вируси процедират по-различно. При стартирането си те веднага претърсват системата за файлове, отговарящи на изискванията им, и ги заразяват.

Вирусите могат да използват различни методи, за да не бъдат засичани. Най-базовите тактики за това са запазване на датата кога последно е променен файла (last modified) и използване на празните дупки в даден изпълним файл за складиране на зловредния код, което води до запазване на размера на файла. Друга тактика е т.нар. stealth метод. Този тип вируси прихващат заявките, които антивирусните програми правят към операционната система, и ги пренасочват към самия вирусен код, който предоставя на антивирусната незаразено копие на файла и така я залъгва, че файлът е чист. Друг метод е промяната на кода. Някои вируси сами променят своя код, когато заразяват даден файл. Т.е. всеки следващ заразен файл е заразен с леко променен вариант на вируса. Друг начин за вгорчаване живота на антивирусните е методът за криптиране. Този тип вируси криптират основния вирусен код и включват и декриптиращ модул. Допълнително усъвършенстван е полиморфният код, който използва метода с криптиране, но с разликата, че декриптиращият им модул е също криптиран. Полиморфните вируси са най-сериозният противник на антивирусните програми. Има и още по-усъвършенствани вируси - метаморфните вируси. Те стигат до крайността да се пренаписват изцяло при заразяване на файл. На теория това са най-опасните вируси, но на практика няма много такива, защото са доста големи и сложни за създаване.

Вирусите могат да имат най-различни цели, които да се мъчат да постигнат, след като са задействани. Простичките и безобидни просто се размножават. Най-унищожителните се опитват да превърнат компютъра ви в по-модерно изглеждащо нощно шкафче, като съсипят master boot записите и/или заличат информацията на твърдия диск.

Поради самата им натура, разпространението на вирусите се извършва по най-различни начини. В ранните години на ИТ индустрията това се извършваше основно чрез пренасяне на заразени файлове с помощта на дискети и по-късно оптични носители. В днешно време обаче Интернет предлага почти неограничени начини някой да се сдобие със заразен файл.

 

Червей (worm)

Компютърният червей използва локалната мрежа или Интернет и някоя уязвимост в операционната система или даден софтуер, за да се разпространява от компютър на компютър. Повечето червеи не правят нищо повече от това само да се размножават, но това не значи, че не могат да извършват и някои доста големи пакости. Най-често срещаната допълнителня беля, която навличат, е да отворят задна врата в системата (backdoor) и да "зомбират" компютъра. Това е разбира се в допълнение към излишния мрежов трафик, който се създава.

Интересен факт е, че е имало и опити за добронамерени червеи, които всъщност са се опитвали да запълват уязвимости в системата. Такива обаче няма от много време.

 

Троянски кон (trojan horse)

Името на този тип гадинки произлиза от троянската война и по-скоро края й. Онези от вас, които са спали в часовете по литература и/или не са се вълнували особено от гръцка митология, могат да намерят кратко описание в Уикипедия: Троянската война - Троянският кон.

Троянските коне често се наричат "троянци" за по-кратко. Този тип зловреден код е с най-универсално приложение. Първоначално представящ се за легитимно и полезно приложение, което всъщност извършва подмолни действия, постепенно се появяват и троянци, които не изискват потребителят да ги стартира изрично, а се възползват от уязвимости в операционната система и дадени програми, за да се наместят на системата потайно.

Троянчетата са като Джеймс Бонд - разбират от всичко и могат да им се предоставят какви ли не задачи: отваряне на задна врата, следене на натиснати клавиши и/или запис на екрана (ако разполага с вграден метод за това), сваляне или качване на файлове на/от компютъра, кражба на ценни данни, изтриване на файлове, забавяне и/или забиване на системата и други. Именно затова са и много често срещани във виртуалното пространство.

 

Задна врата (backdoor)

Задната врата е софтуер, който се инсталира и предлага възможност за контрол над дадената програма или целия компютър на трето лице. Задните врати не са винаги зловредни и има случаи, в които се използват за легитимни цели от оторизирани системни администратори. В повечето случаи, особено когато става въпрос за домашен компютър, задните врати са си злонамерени. Обикновено се инсталират от червеи или троянски коне. Една задна врата се състои от два компонента: сървър и клиент. Сървърът е компонентът, който се инсталира на компютъра, който ще трябва да бъде контролиран, а клиентът е компонентът, който се използва от недоброжелателната личност. Възможно е някои от вас да направят асоциация с програмите за отдалечен достъп като TeamViewer, RealVNC, UltraVNC, TightVNC, Remote Administrator и други. Асоциациите са доста точни, защото задната врата може да е малко или много сходна с този тип програми. Основната разлика е, че програмите се инсталират със знанието на потребителя, докато задните врати са потайни.

 

Шпионски софтуер (spyware)

Това е софтуер, който след инсталацията си започва да събира информация за системата и я изпраща, където е програмиран да я изпраща. Това може да е най-различна такава: навици за сърфиране из Интернет, лична информация за потребителя и т.н. Понякога шпионският софтуер може да има в себе си и програма за запис на клавиши. Възможни са и пренасочвания на страници в браузъра. Шпионският софтуер не се разпространява на други компютри както вирусите и червеите. Той може да бъде не особено опасен, ако записва да речем само посетените страници, но може и да е с много висок риск, ако записва натисканите клавиши, защото така може да се откраднат пароли на банкови сметки, електронни пощи, месинджъри, информация за кредитни карти и т.н.

 

Рекламен софтуер (adware)

Това е софтуер, който се разпространява основно с легитимни програми и предназначението му е да показва рекламни съобщения и/или банери (изображения), като по този начин да генерира печалба както за автора на рекламния софтуер, така и за автора на програмата, с която се е инсталирал той. В повечето случаи рекламният софтуер е безвреден. Досаден, но безвреден. Има и изключения обаче. Някои рекламни приложения съдържат програми за запис на клавиши, събират някаква информация и други. Макар като цяло заплахата от рекламния софтуер да е сравнително малка, той си остава малко или много нежелан софтуер.

 

Програми за запис на клавиши/работен плот (keystroke logging/screen logging)

Това са програми, които... записват. Какво записват вече зависи от самите тях. По-разпространените такива са програмите за запис на натиснати клавиши на клавиатурата, което действие се нарича keystroke logging, а програмите се наричат за кратко keylogger-и. Въпросните записани натиснати клавиши в повечето случаи се изпращат на лошковеца, който е написал програмата. Това е най-често срещаният начин за кражба на акаунти и/или пароли, номера на кредитни карти и други лични за даден потребител данни. Подобни програми са тези за запис на екрана - това са най-често снимки (screenshot) на даден район около курсора. Този тип програми се срещат по-рядко като цяло, но популярността им нараства постепенно, защото са нужни на лошите чичковци, за да крадат лични данни по-лесно и успешно.

Програми за запис на дейности (най-често натиснати клавиши) често се инсталират от шпионския софтуер.

 

Фалшив софтуер (rogue)

Това е сравнително нов тип зловреден код. Поне спрямо повечето по-горни видове. Това е софтуер, който се представя за легитимен/истински такъв, но всъщност не е. В повечето случаи това са фалшиви програми за премахване на зловреден код. Появяват се, изглеждат като истински такива, симулират дейност, извеждат измислени открити гадинки и искат пари, за да ги премахнат. Има обаче и фалшиви дефрагментиращи програми. Кой знае какви други фалшиви програми ще се появят в бъдеще. Доста потребители биват залъгвани и закупуват въпросните фалшиви програми. Това при нас, в България, няма голям успех. Не защото българинът е по-умен и не се хваща на такива шашми, а защото почти никой в България не би дал пари за софтуер. На запад обаче положението е по-различно.

Независимо от местоположението обаче този тип софтуер е най-малкото досаден и в повечето случаи спъва работата и на други програми.

 

Рууткит (rootkit)

Друг сравнително нов вид зловреден софтуер. Всъщност рууткитите не са злонамерени по природа. Задачите им могат да са доста разнообразни: скриване и/или защита на дадени обекти (процеси, файлове, редове в регистратурата) от системата, отваряне на задна врата, превръщане на дадена система в "зомби" и т.н. Т.е. това са най-честите им приложения. Споменах, че не са зловредни по природа, защото този тип технология се използва от някои напълно легитимни програми. Един такъв пример е компанията Kaspersky Lab, чиято защитен софтуер използва подобни технологиия, за да се защитава от злонамерени програми, които се опитат (да речем) да прекратят процесите й. Друг пример е SPTD драйверът на Duplex Secure, който се използва в DAEMON Tools и Alocohol програмите и използва подобни техники, за да остане защитен и/или невидим и да преодолява различни видове защити на игри.

Рууткитите обаче са си спечелили слава като зловреден софтуер, защото се използват най-често именно с лоши намерения. Обикновено рууткитите имат за задача да скрият както своите обекти (файлове, ключове/стойности в регистратурата и процеси), така и обектите на други злонамерени програми, което да направи откриването и премахването им колкото се може по-трудно.

Най-често срещаните рууткити са т.нар. kernel-mode рууткити. Те се настаняват в Ring 0, което е място, където кодът се изпълнява с максимален приоритет и има достъп до цялата система. В Ring 0 се намират и всички драйвери (на програми или хардуерни компоненти) и ядрото на операционната система, което е напълно разбираемо. Този тип рууткити могат да са много трудни за засичане и премахване точно поради това, че имат пълен достъп над всичко и могат да впият пипалцата си навсякъде.

 

Това са основните и/или по-разпространените видове злонамерен софтуер. Разбира се тук са описани с типичните им характерни им черти. На практика обаче много от реалния зловреден код е комбинация от повече от един тип. Има вируси с характерни черти на троянски коне; има шпионски софтуер, който съдържа и програма за запис на клавиши; и т.н.

 

3. Какви са мотивите на авторите на зловреден код? Какви са целите?

В зората на съвременната компютърна ера зловредният код се пишеше общо взето с цел себедоказване. Понякога човек има нужда да докаже на себе си, че може да направи нещо. Понякога писането на зловреден код беше продиктувано от желание за слава, била тя положителна или отрицателна. Тези времена отминаха. В днешно време подобни мотиви са отживелица и се срещат много, много рядко. Днес почти всеки зловреден код се създава с една единствена цел: пари. Може би доста от вас не го осъзнават, но в този бизнес има пари. Много пари. Използвам думата бизнес, защото това си е точно такова. Вярно, не е като типичния бизнес - не е публичен, но пък притежава на практика всички останали негови характеристики.

Да се върнем на мотивите обаче. Защо се прави всичко това? Защото е доходно. Пример за директно облагодетелстване са фалшивите програми за сигурност (т.нар. rogue програми). При тях целта е потребителят да бъде излъган от фалшивата програма, че на компютъра му/й има злонамерен софтуер, който ще бъде премахнат, ако потребителят закупи въпросната програма. Може би от по-бедните страни не потичат много парички към зиналата паст на автора на зловредния софтуер, но от по-напредналите държави определено нахлуват добри финанси. Много от потребителите са наивини и са готови да платят, само и само системата да им е чиста. Затова вадят кредитните си карти и пълнят джобовете на авторите на зловреден код.

Още един пример за по-директна печалба е кражбата на банкова сметка и/или кредитна карта. Не мисля, че има нужда да обяснявам какво значи някой лош чичко да разполага с всичко нужно, за да може да ви източи банковите сметки или да си купи нови дрежки и какво ли още не с помощта на кредитните ви карти. Отново, това не е чак такъв голям проблем у нас, защото процентът от населението, който ползва онлайн разплащане (или "банкиране", но нещо не ми допада думичката) и/или кредитни карти, не е особено голям. И все пак, ако някой е имал нещастието да бъде жертва на нещо такова, той/тя ще може да разбере напълно за какво говоря.

Други начини за печалба, макар и не толкова директни, са botnet мрежите. Botnet е мрежа, в която участват даден брой компютри, които са "зомбирани" да изпълняват дейности, които им се подават от друго място. Нека го обясня по-подробно. Някои автори на зловреден код целят да превърнат дадена система в "зомби" - инсталира се зловреден код, който отваря задни вратички и на практика предоставя на автора на зловредния код контрол върху компютъра и той (авторът) може да го ползва за различни неща. Това обаче не е само с една компютърна система. Идеята е да има много такива компютри - стотици, хиляди, милиони. Колкото повече, толкова по-добре. Тогава авторите на тази т.нар. botnet мрежа разполагат с много роби, които само чакат команда. Тези армии от безмозъчни работници се продават/дават под наем на други хора, които са готови да платят солидни суми, за да притежават такъв ресурс, който могат да го използват за извършване на различни атаки, разпращане на спам съобщения и какво ли още не. Всичко това става потайно, без потребителят да разбира, че компютърът му се използва за такива неща, като системата на повърхността продължава да се подчинява и на потребителя, за да не се усъмни той/тя, че нещо не е наред. Поне това е целта. Затова и понякога (все по-често и по-често) подобни зарази идват придружени с някой рууткит, който да маскира всичките тези нежелани действия, които компютърът извършва. Т.е. работите си с компютра си, без да подозирате, че в момента той се използва от някой тъмен субект за нещо неетично, нелегално и печелившо за него/нея.

Друг метод за изкарване на пари е ако бацилът филтрира търсенията, които извършвате в Google например. Вие търсите нещо, но гадинката прихваща резултатите и премахва онези, които не са й удобни. Или пък пренасочва търсенията ви към други търсачки. Собствениците на сайтове, които биха имали полза от подобни манипулации, биха платили пари колкото се може повече системи да са заразени с подобен зловреден код, защото това значи повече печалби за тях.

 

Това са най-честите примери, но не са единствените. Каквото и да правим, както и да сучем нещата, всичко рано или късно се свежда до пари. Както вече споменах, има доста пари в бизнеса със злвореден код. Затова и авторите на такъв софтуер се стремят да си усвършенстват продуктите: още по-трудни за откриване и премахване рууткити, още по-добре изглеждащи и лъскави фалшиви антивирусни и други програми за сигурност и т.н.

 

4. Как става заразяването?

За да се зарази една система зловредният трябва да се изпълни. Ако зловредният код не се стартира, той няма как да зарази. Сигурно ви звучи глупаво, но го споменавам, защото по-късно ще си поговорим за начините за защита и тогава ще стане по-ясно защо споменавам този простичък и дори очеизваждащ факт.

Установихме, че зловредният код трябва първо да се стартира, за да зарази. Как става това стартиране? По един от два начина.

Първият начин е с намеса от страна на потребителя. Т.е. когато потребителят изтегли и лично стартира даденото зловредно приложение. Обикновено такива злонамерени програми са със заблуждаващи имена и/или икони, за да си помисли потребителят, че са всъщност легитимни, и се предлагат най-често като нещо, което потребителят е търсил (да речем crack за някоя програма) или нужен (фалшив) кодек за гледане на някакъв файл или онлайн видео. Потребителят си мисли, че това, което е свалил (или предстои да свали), е точно това, което му трябва, и го стартира. След това разбира се започват проблемите.

Вторият начин е без намесата на потребителя. Този тип заразявания обикновено залагат на уязвимости в операционната система и/или допълнителен софтуер, които да експлоатират и да накарат уязвимия софтуер да изпълни зловредния код, без потребителят въобще да разбере.

Пояснение: уязвимост е дефект/проблем в програмния код на дадена операционна система или програма, който позволява компрометиране на сигурността на системата при конкретни обстоятелства.

Да речем дефект в Internet Explorer, който позволява изпълнението на даден код, ако се отвори специално създадена страница или връзка (линк). Това е просто пример. Някои уязвимости са лесни за експлоатация, докато други са не толкова. Уязвимости обаче има в почти всеки продукт. Колкото по-сложен и обемен е той, толкова по-предразположен е да съдържа уязвимости. И колкото по-известен е, толкова по-претърсван е за такива уязвимости, които да се експлоатират.

 

Това са двата начина за заразяване. Няма други. Даден бацил заразява или по единия начин, или по другия. Гадинката или ще изисква потребителят сам да се насади на пачи яйца, като я стартира, или ще се надява да експлоатира някоя дупка в софтуера на компютъра.

Link to comment
Сподели другаде

5. Как можем да се предпазим от зловредния код?

Сега е време за практически съвети как да се предпазите от зловреден код. Възможно е да сте срещали някои от съветите, които ще поместя по-надолу. Възможно е да сте се досетили за някои от тях и сами. Някои са много важни, други са просто важни, трети са по-скоро препоръчителни. Всички съвети обаче малко или много ще ви помогнат срещу различните зарази из Интернет пространството.

Някои съвети може да не ви допадат, а други може да не са приложими във вашите ситуации. Не мога да задължа никого да следва съветите. Аз ги предоставям и всеки си преценява какво да прави - кои съвети ще спазва и кои ще пренебрегне.

 

Включете Data Execution Prevention (DEP) за всички приложения

Това е името на функция в Windows, която използва технологията NX bit в съвременните процесори, за да блокира изпълнението на потенциално зловреден код.

Сега малко по-подробно. NX bit е съкращение от No eXecute bit и е технология, която се вгражда във всички съвременни процесори. Тази технология позволява на процесора да отказва да изпълни дадени команди, които му се подават. Паметта на всеки процес се използва за съхранение на изпълним код и обикновени данни, които не са изпълними. Когато операционанта система поддържа тази функционалност на процесорите, тя обозначава коя част от паметта на даден процес съдържа изпълним код и коя - не. Процесорът на свой ред проверява дали командите, които му се подават, идват от зона с изпълним код или не. Ако командата е маркирана като изпълним код, процесорът я изпълнява. Ако е маркирана като обикновена информация, процесорът я подминава. Това е полезно при някои атаки от тип buffer overflow, при които се експлоатира дефект (бъг) в някоя програма част от нейната памет за нормални данни да бъде презаписана със зловреден изпълним код и да бъде изпълнен от там. Би трябвало вече да схващате, че един съвременен процесор ще откаже да изпълни командата и така атаката ще се провали. Именно DEP е функцията в Windows, която се възползва от NX bit.

По подразбиране тя е включена само за важни системни процеси, но е препоръчително да се включи за всички. Ето как става това.

 

За Windows XP : меню Start -> десен клик върху My Computer (Моят компютър) -> Properties (Свойства) -> подпрозорец Advanced (Разширени) (вляво) -> първи бутон Settings (Настройки) -> Data Execution Prevention (Предотвратяване на изпълнението на данни) -> Turn on DEP for all programs and services except those I select (Включване на DEP за всички програми и услуги без избраните) -> OK.

За Windows Vista/7: меню Start -> десен клик върху Computer -> Properties -> Advanced system settings (Допълнителни системни настройки) -> първи бутон Settings... (Настройки...) -> Data Execution Prevention (Предотвратяване на изпълнението на данни -> Turn on DEP for all programs and services except those I select (Включване на DEP за всички програми и услуги без избраните) -> OK.

 

Както би трябвало да сте се досетили и сами, нужно е да разполагате с NX bit съвместими процесор и операционна система.

При процесорите на Intel е малко по-сложно да се каже дали поддържат технологията или не. При тях внедряването на NX bit започна от Pentium 4 с ядро Prescott, но от по-късните му издания. Ако разполагате с процесор на Intel с ядро по-ново от Prescott, значи със сигурност имате хардуерната поддръжка на NX bit. Ако ядрото на процесора е точно Prescott, може и да имате поддръжката, но може и да я нямате.

При AMD е по-лесно - всички процесори от цокъл 754 (включително) насам разполагат с поддръжка на NX bit.

Ако не сте сигурни какъв точно процесор имате или пък имате процесор на Intel с ядро Prescott, можете да използвате ето този VBS скрипт (ако ви се отваря в текстов вид, вместо да се сваля, кликнете с десния бутон и свалете чрез съответната опция), който ще ви информира дали процесорът ви поддържа NX bit или не е чувал за нея.

Откъм операционната система, поддръжка на NX bit има от Windows XP със Service Pack 2 нагоре и от Windows 2003 Server със Service Pack 1 нагоре (при съвърните версии).

 

Тук е редно да обърна внимание на факта, че има някои програми, които просто не са добре написани и/или имат някои бъгчета и няма да работят/стартират нормално, ако за тях е включена DEP функцията. Те могат да бъдат добавени в изключенията, което става от същия диалогов прозорец, който споменах по-нагоре. Не прекалявайте обаче с изключенията, защото така общо взето обезсмисляте идеята DEP да е включена за всички програми. Т.е. ако дадена програма отказва да стартира, няма проблем да я добавите в списъка с изключения. Просто не добавяйте програми, които нямат проблеми с DEP.

 

Не спирайте User Account Control (UAC) под Windows Vista и Windows 7

Много често явление е потребителите да спират UAC. Среща се из Интернет като съвет с цел оптимизация и/или по-удобна работа. Мога да се съглася, че понякога прозорците на UAC могат да са досадни, но това е важна функция на Windows и не е създадена просто защото от Microsoft се чудят какво да правят. Сега ще обясня каква е целта на UAC и защо е важна част от защитата на една система.

В Windows има два вида акаунти: администраторски и стандартен (още известен като ограничен). Администраторският акаунт има достъп до всичко в системата. Стандартният акаунт обаче има наложени ограничения, които се изявяват в невъзможността за инсталиране на програми, невъзможност за човъркане по различни системни настройки и файлове и т.н. Замисълът е потребителите да работят под стандартни акаунти, а когато се налага да се инсталира софтуер, да се обнови драйвер или да се промени някаква системна настройка, да се премине временно под администраторски акаунт, да се свърши работата, след което да се върне потребителят в своя стандартен акаунт. Целта е осакатяване и спъване на зловредния код. Ако зловредният код се изпълни със занижени, той би бил общо взето с вързани ръце и не би могъл да направи много щети. Разбира се щети може да има някакви, но няма да са въобще толкова сериозни, колкото биха били под администраторски акаунт. Любопитен/интересен факт е, че зловредният код има по-голяма нужда от администраторски права, отколкото нормалните програми. Разбира се работата под стандартен акаунт и преминаването под администраторски при нужда е малко неудобно. Т.е. жертва се малко удобство за сметка на завишена сигурност. Дали защото удобството на работа е било голям приоритет за Microsoft или просто са били лекомислени, но от компанията направиха грешката всички версии на Windows до XP (включително) по подразбиране да създават именно администраторски акаунт за потребителите, което ги разглези, ако мога така да се изразя. В Windows Vista обаче Microsoft добавиха User Account Control, а в Windows 7 го подобриха. User Account Control (UAC за по-кратко) има навика да досажда със съобщения, искащи разрешение за извършване на дадени дейности. Идеята на UAC не е просто да дразни потребителя. Тази функция има за цел да улесни прехода между напълно администраторски акаунт и стандартен такъв. Всички потребителски процеси се стартират със занижени права, а когато има нужда от администраторски такива UAC се задейства и иска разрешението на потребителя да предостави тези права на процеса, който ги изисква. Т.е. вместо потребителят да трябва ръчно да излиза от стандартния си акаунт, да влиза в администраторския и след това да се връща обратно в стандартния, потребителят остава в един акаунт, а операционната система автоматизира и съкращава цялата процедура. Ако се стартира зловреден код, който е програмиран да очаква администраторски права, но не ги получи, то той би бил общо взето безсилен. Е, не напълно разбира се. Все едно един крадец да открадне връзката с ключове на някой обикновен служител/работник вместо връзката с ключове на шефа.

Не схващам какъв е проблемът UAC да остане включена. Съобщенията й не са въобще чести. На практика всяка кадърно написана програма може да работи нормално под Windows 7 и с намалени права. Компютърни игри, браузъри, download мениджъри, торент клиенти, други P2P клиенти, програми за разглеждане на изображения, конвертиращи програми, програми за векторна и растерна обработка, програми за видео/аудио редакция, 3D моделери, архиватори, видео/аудио плеъри, офис пакети, текстови редактори, PDF четящи програми, месинджъри, чат и програми за гласова комуникаця, програми за запис на дискове и др. са все типове програми, които нямат нужда от администраторски права. Т.е. един средностатистически потребител използва софтуер, който не изисква такива права почти никога. Освен това един средностатистически потребител не променя постоянно настройки в контролния панел и не инсталира всеки ден по няколко програми. Мисълта ми е, че ежедневието на един средностатистически потребител не съдържа въобще много дейности, които да изискват администраторски права, така че трябва да има и малко съобщения на UAC.

Да, дори и малко съобщения да има, пак е по-удобно без тях. Съгласен съм. И все пак коефциентът на полезно действие (КПД) на UAC е доста висок. С други думи: неудобството е доста малко, докато нивото на защита се повишава значително. Добра "сделка" е за крайния потребител.

 

Под Windows 7 UAC може да се настрои да е още по-строга и да иска разрешение за повече дейности. Въпросните настройки са в контролния панел на Windows 7 -> System and Security (Система и защита) -> Change User Account Control settings (Промяна на настройките за управление на потребителските акаунти). Там плъзгачът по подразбиране е на втората позиция, но може да се мръдне максимално нагоре, което по принцип е препоръчително. Това ще увеличи честотата на съобщения на UAC, но ще повиши нивото на защита още повече. Споменавам тази настройка за онези от вас, които не ги бърка да отговарят на още съобщения, но държат по-добра защита.

Не е задължително да завишавате чувствителността на UAC, но е препоръчително. Далеч по-важно е обаче въобще да не спирате UAC.

 

Замислете се да преминете под стандартен/ограничен акаунт, ако работите с Windows XP

Това важи само за Windows XP, защото под Windows Vista и Windows 7 вече има UAC, която е достатъчна. Знам, че това е свързано с някои неудобства и ограничения, но нивото на защита скача значително под ограничен акаунт. Винаги можете да си създадете ограничен акаунт, да поработите под него известно време и ако не ви понесе, да се върнете на администраторския.

 

Не изключвайте вградената защитна стена в Windows

Ако сте зад рутер или използвате отделна защитна стена, вградената може да се спре. В противен случай обаче е препоръчително да я оставите активна. Тя не предлага някаква непробиваема защита, но е още един слой към подсигуряването на системата. Филтрира само входящия трафик, но това е достатъчно по принцип. Научете се да работите с нея, а не без нея.

 

Поддържайте софтуера си актуален

Под "софтуер" имам предвид както операционна система, така и приложен софтуер. Актуалният софтуер е гръбнакът на защитата от зловреден код. Обикновено в софтуерните продукти се откриват уязвимости, които биват отстранявани в следващи версии.

Какво е уязвимост (за онези от вас, които са пропуснали предното обяснение)? Уязвимост е някакъв дефект (бъг) в програмния код на дадено приложение, който може да бъде експлоатиран от специално създаден зловреден код с цел извършване на конкретни дейности. Пример: дефект в операционната система, който позволява на автор на зловреден код да получи отдалечен контрол над системата, ако бъде експлоатиран. Друг пример: дефект в браузъра, който да го накара да изтегли и стартира тайно даден файл, ако бъде посетена специално създадена страница. Това са просто примери. Въпросните уязвимости могат да са най-различни. Някои са доста сериозни, докато други не са толкова. Уязвимости има в общо взето всички операционни системи и програми. Въпросът е колко са и колко потенциално опасни са.

 

Windows може да се обновява по 3 начина:

- чрез автоматичните актуализации (известни и като "автоматични ъпдейти");

- чрез Windows Update от контролния панел;

- чрез ръчно изтегляне на актуализациите под формата на самостоятелни файлове и инсталирането им един по един (с помощта например на Microsoft Baseline Security Analyzer).

За средностатистическия потребител най-удобният и удачен вариант е първият. Третият е основно за напреднали потребители, които искат да запазват копия на актуализациите на твърдия си диск за бъдещо използване.

Подготвям тема как да се поддържа системата с всички актуализации, където ще опиша трите метода на обновяване за онези от вас, които не знаят как да ги ползват. Кога ще е готова обаче не мога кажа. Може да не е скоро. Когато е, ще бъде спомената в този абзац.

 

Сега да кажем няколко думи и за приложния софтуер. Можем да го разделим на 2 категории.

 

Първата категория ще я кръстим "критичен (за актуализация) софтуер". Това са програмите, за които е критично важно да са с актуални версии. Това е обикновено софтуер, който се инсталира много често и се използва масово навсякъде.

Към настоящия момент това са следните програми:

- Microsoft Office;

- Microsoft .NET Framework;

- Windows Media Player;

- Интернет браузърите;

- Java Runtime Environment;

- Adobe Flash Player;

- Adobe Reader;

- останалите четци на PDF формата.

Бройката им не е голяма, но от тези места влиза адски много зловреден софтуер. Това са най-атакуваните приложения и е изключително важно винаги да са актуални. Колебаех се дали да включа останалите PDF четящи програми тук или в следващата категория, но реших да е тук, защото в случая атакуван е самият формат (PDF) и макар четецът на Adobe да е най-често засяган, все пак и останалите четци могат да бъдат компрометирани.

Актуализациите за всички продукти на Microsoft (Microsoft Office, Windows Media Player, Internet Explorer, .NET Framework) могат да се набавят по същите методи както и актуализациите за Windows. Нужни са само леки допълнителни настройки за това какви актуализации да се предлагат, ако се ползва един от първите два метода.

Останалите програми се актуализират по стандартния начин: изтегляне на актуалната версия и инсталация върху старата.

 

Втората категория ще я наименуваме "препоръчителен (за актуализация) софтуер". Тук влизат всички програми, които използват Интернет връзката активно и/или са все пак известни и разпространени, и/или се използват доста в ежедневието:

- torrent клиенти: µTorrent, BitTorrent, BitComet, Halite и др.;

- клиенти за други P2P мрежи: eMule, DC++, StrongDC++, ApexDC++, Shareaza и др.;

- download мениджъри: FlashGet, Internet Download Manager, Internet Download Accelerator, Download Master, Download Accelerator Plus и др.;

- видео плеъри: The KMPlayer, GOM Player, VLC Media Player, Kantaris Media Player, Media Player Classic Home Cinema, BSplayer и др.;

- аудио плеъри: Winamp, AIMP, XMPlay, jetAudio, foobar2000 и др.;

- програми за разглеждане на изображения: ACDSee, IrfanView, FastStone Image Viewer, XNView и др.;

- програми за комунукация: Skype, ooVoo, Windows Live, Yahoo! Messenger, ICQ, QIP и др.;

- програми за отдалечен достъп: Remote Administrator, TeamViewer, UltraVNC, TightVNC и др.

Тези програми не са критично важни, защото не се атакуват често и шансът да са причина за зараза е малък. И все пак уязвимости в такива програми е имало и е добра идея да бъдат обновявани.

 

Специално внимание ще обърна на защитните програми. Ако използвате програми, които разчитат на дефиниции (още известни като "база от данни" или "сигнатури"), е от критична важност те (дефинициите) да бъдат актуализирани редовно. Актуализацията на самите програми също е важна.

 

Отново ще го спомена, защото е важно: актуалният софтуер (операционна система и програми) е гръбнакът на един чист от зловреден софтуер компютър.

 

Спрете функцията за автоматично изпълнение (autoplay) в Windows

Това е функцията в Windows, която автоматично стартира даден файл от външни носители: оптични дискове, външни твърди дискове и flash памети. Това по принцип не е лоша функция и може да е доста удобна понякога, но има немалко гадинки, които се разпространяват с нейна помощ по различни flash памети (наричани у нас флашки).

 

За целта първо инсталирайте нужната актуализация:

- за Windows 2000 SP4: KB967715 for Windows 2000

- за Windows XP SP2/SP3 32-битова версия: KB967715 for Windows XP

- за Windows XP SP2/SP3 64-битова версия: KB967715 for Windows XP x64

- за Windows Server 2003 32-битова версия: KB967715 for Windows Server 2003

- за Windows Server 2003 64-битова версия: KB967715 for Windows Server 2003 x64

- за Windows Server 2003 64-битова версия за Itanium базирани системи: KB967715 for Windows Server 2003 ia64

- за Windows Vista 32-битова версия: KB950582 for Windows Vista (изисква валидация)

- за Windows Vista 64-битова версия: KB950582 for Windows Vista X64 (изисква валидация)

- за Windows Server 2008 64-битова версия: KB950582 for Windows Server 2008 x64

- за Windows Server 2008 64-битова версия за Itanium базирани системи: KB950582 for Windows Server 2008 ia64

 

След като сте инсталирали нужния ъпдейт за операционната система, на която работите, изтеглете AutoRun Settings. Разархивирайте я и я стартирайте. Настройките се дублират отляво и отдясно. Тези в лявата част са за цялата система, докато тези в дясната част са за само за текущия потребител. Следователно е препоръчително да работите с лявата половина и да пренебрегнете дясната.

В горната част можете да изключите Autorun функционалността на желаните устройства, като махате отметките пред тях. Желателно е да махнете всички отметки (без insert notification, която нека остане). Кликнете бутон Apply, за да запазите настройките. Готово. (Снимка)

 

Забележка: настройките могат да се променят и ръчно през регистратурата или през Group Policy Editor, но са по-сложни начини, а и не всички версии на Windows разполагат с Group Policy Editor (gpedit).

 

Не се размотавайте из съмнителни сайтове и P2P мрежи и не сваляйте кракове за програми

Много е важно да схванете правилно този съвет и причината, поради която го споменавам.

Нека сме наясно: този съвет не го давам, защото искам да огранича потребителите да не ползват пиратски софтуер. Наистина ми се иска потребителите да започнат да уважават труда на авторите на софтуер и да започнат да използват колкото се може повече легален софтуер, но не мога да задължа никого. За жалост българинът не е същество, което може да се похвали с особена етика и морални ценности. Този съвет го споменавам, защото въпросните неща крият рискове.

Проблемът не е в самите кракове, пачове, генератори на серийни номера и прочее. Те са почти винаги напълно чисти и безвредни, дори и да се засичат от антивирусните като опасни. Т.е. ако си намерите крак за програма, който е истински, той по всяка вероятност ще е напълно редовен и няма да навреди на системата. Проблемите се крият другаде. Често зловреден код се предлага като крак - абсолютно зловреден файл е с име, което предполага, че е крак за програма, но всъщност няма нищо общо. Идеята в случая е потребител, който търси крак за дадената програма, да го помисли за такъв, да го изтегли и стартира. Друг проблем са самите сайтове, където се предлагат кракове. Често там има най-различни изскачащи прозорци, заблуждаващи връзки (които изглеждат като връзки към дадения крак, но не са такива), зловредни iframe-чета и прочее. Т.е. самите места, откъдето се набавят кракове, много често са тъпкани с опасни нещица.

Отново да напомня, че нямам намерение да задължавам когото и да било да ползва каквото и да било. Просто искам да предупредя, че търсенето на кракове може да е опасно. Затова и съветвам да се избягва използването на нелегален софтуер. Който не използва нелегален софтуер няма нужда от кракове. Който няма нужда от кракове не се разхожда из съмнителни сайтове. Който не се разхожда из съмнителни сайтове намалява риска от заразяване.

 

Използвайте допълнителен защитен софтуер

Допълнителните защитни програми са ваши приятели. В повечето случаи, де. Има и калпави такива. Като цяло обаче са в помощ на потребителите. Защита без допълнителен софтуер е възможна, но е нужно потребителят да е наистина наясно какво прави. Т.е. защита без допълнителен софтуер е нещо, което е за поне напреднали потребители. За начинаещите такива не е препоръчително да оставят системата си беззащитна. По-надолу ще се спра подробно на видовете защитен софтуер и ще препоръчам добри програми от всеки тип.

 

Внимавайте за различни видео файлове и онлайн клипове, които изискват специфичен кодек, за да се възпроизвеждат

Има различни видео файлове, които отказват да се възпроизвеждат, ако не се инсталира даден кодек. Това са винаги или измами/шашми, или зловреден код. Има и файлове, чиито кодек не е зловреден, но те се надяват да платите, за да гледате нещо, което така или иначе го има безплатно. Например някой нов филм. Има обаче и доста случаи със сайтове, които предлагат някакви клипове и свой си кодек. Стойте настрана от такива места.

 

Внимавайте за спам съобщения в месинджърите, които използвате (особено Skype)

Спам има навсякъде, но в Skype като че ли е най-много. Има най-различни скриптове, които се предлагат като програми за хакване на Skype акаунти, но всъщност само се разпращат и рекламират на всички в списъка с контакти.

Внимавайте доста с разни съобщения от рода на "ела да видиш новите емотикони", "намерих яка програма за хакване на пароли на skype" и други подобни. Това е спам в 99,99% от случаите. Не че ако изтеглите въпросния скрипт и той се разпрати на всички ваши абонати, това ще съсипе системата ви. Няма да се случи, разбира се. Мисълта ми е, че както може да е безобиден скрипт за спам, така може и да е нещо по-опасно. Не се подлъгвайте на обещания за хакване на пароли на Skype. Такива програми няма!

 

Ползвайте Facebook по-кротко/по-малко или въобще не го ползвайте

Това е съвет, който няма да се хареса на почти никого, но колкото и да не ви се вярва в този сайт има много зарази. Големи сайтове за социални мрежи като Facebook са развъдници на различни гадинки: "вижте голи снимки на еди-кой-си", "вижте еди-какви-си снимки на някой-си-там" и прочее. Тези сайтове са пълни с наивни потребители, които се лъжат много лесно да стартират какво ли не. Най-често това са някакви трагични новини или снимки на сладки животни или голи/скандални снимки на известни личности. Към това добавяме и факта, че шефовете/админите на Facebook не им пука особено за сигурността на потребителите им. Тях ги вълнува да има посещения. Сигурността и анонимността са на доста заден план.

Отново: знам, че за някои от вас Facebook е по-важен от вода и храна, но просто съм длъжен да ви предупредя и да ви обърна внимание на фактите.

 

Сваляйте програми само от надеждни източници

За надеждни източници се считат официалните страници на програмите и известни софтуерни портали. Примери за международни софтуерни портали са: Softpedia, FileForum, MajorGeeks, FileHippo, SnapFiles. Не че няма и други, но тези са най-известните и доказани. Моите любими са последните два.

Примери за български софтуерни портали са: SoftVisia (разбира се :P), noTrial и ITni News. Останалите български портали не заслужават да бъдат споменати по една или друга причина.

Избягвайте да сваляте програми (без значение безплатни или кракнати) от места като data.bg и P2P клиенти (eMule, DC++ и др.). Не че там има само опасни файлове, но не се знае кой какво е качил/споделил и откъде е дошло то и т.н.

 

Сменте DNS сървърите си

Можете да замените DNS сървърите на доставчика с други, които да предоставят филтрация на потенциално опасни страници. Това не гарантира, че няма да се заразите, но като цяло повишава сигурността. Повече информация как се сменят тези сървъри можете да намерите на страниците на съответните услуги:

- Norton DNS

- Comodo Secure DNS

- DNS Advantage

- Google Public DNS

- ScrubIT

- OpenDNS

 

Поддържайте актуален образ на системния дял

Говоря за програми от рода на Norton Ghots и Acronis True Image, чрез които можете да си създадете backup образ на целия системен дял и да го възстановите при нужда. Не е нужно образът да се създава/обновява всеки ден или нещо такова, но да речем веднъж месечно. Този тип програми могат да ви спестят много главоболия, възползвайте се от тях. Някои програми са безплатни, а други са платени. Ето и кратък списък на най-стойностните програми за целта:

- Norton Ghost (платена)

- Acronis True Image (платена) / Seagate DiscWizard (безплатна; изисква да имате някакъв твърд диск на Seagate) / Acronis True Image WD Edition (безплатна; изисква да имате някакъв твърд диск на Western Digital)

- Macrium Reflect (Free)

- Paragon Backup & Recovery (Advanced) Free

- EASEUS ToDo Backup

Link to comment
Сподели другаде

6. Какви видовете защитни методи има?

Сега ще се спра на видовете и подвидовете защитни методи, които се използват от защитните програми. Някои програми използват само един метод, докато други могат да използват два или повече.

 

6.1. Черен списък (blacklist)

Това е най-старият и класически метод за защита срещу зловреден софтуер. Това значи, че дадена програма има свой черен списък (още известен като "база от данни", "дефиниции" и др.), в който се намират всички зловредни обекти. Този списък се създава от авторите на програма и се обновява постоянно. Програмата следи всички файлове и ако засече някой обект, който съвпада с обект от черния списък, реагира и уведомява потребителя (или премахва обекта, зависи от настройките на програмата). Всяка антивирусна и антималуер програма използва този метод като основен, за да защитава системата.

Плюсовете:

- може да е много точен и надежден, ако има дефиниции за дадената заплаха - това би значело, че авторите на програмата са анализирали заплахата и са създали сигнатури за нея, за да се засича максимално точно;

- базираните на него програми са лесни за работа - програмата върши работата и потребителят има за задача единствено да кликне бутончето за премахване на заплахата.

Минусите:

- може напълно да проспи дадена заплаха, ако за нея няма изградени дефиниции, защото в такъв случай програмата няма да може да разпознае заплахата;

- по-гладни за системни ресурси спрямо останалите видове.

Това е догонващ метод на защита. Т.е. заплахата трябва първо да се появи, авторите на защитната програмата трябва да се докопат до нея, да я анализират, да създадат дефиниции за нея и едва тогава заплахата ще бъде засичана. Това на първо четене може да прозвучи обезкуражаващо, но всъщност положението не е толкова лошо. Авторите на защитни програми се опитват да са в крак с излизащите заплахи и макар да няма начин да анализират всяка една гадинка и програмите им да не засичат всяка заплаха, все пак има такива програми, които се справят много добре. Разбира се има и програми, които не се справят особено цветущо. Също както има и някои по-леки такива програми, има и по-тежки такива.

 

6.2. Проактивна защита

Това е метод на защита, при който не се използват сигнатури. Идеята е да се повиши нивото на сигурност, като се подобрят способностите на програмите да засичат нов и "пресен" зловреден код (още известен като "0-day" или "zero-day"), който все още не е анализиран от специалисти и за него няма изградени сигнатури.

 

Този метод може да се раздели на 3 подвида.

 

6.2.1. Евристики (heuristics)

Това са механизми за откриване на зловреден код чрез анализ на даден файл и търсенето на характеристики и атрибути, типични/специфични за зловреден код.

Плюсовете:

- повишен шанс за засичане на заплахи, които не присъстват в базата от данни на програмата.

Минусите:

- повишено ниво на фалшиви тревоги.

На практика всяка съвременна антивирусна (и не само) разполага с такива механизми. Някои програми имат по-надеждни евристики, докато други не толкова. При всички положения обаче това са полезни механизми и не бива да се спират. Програмите обикновено предлагат няколко нива на евристиките - най-често 3: ниско, средно и високо. Високото ниво прави програмата по-параноична и повишава шанса да се засече непозната гадинка, но също така и повишава шанса за фалшива тревога. Ниското ниво пък е на другата крайност - почти няма фалшиви тревоги, но и шансовете да се засече непозната гадинка спадат. Средното ниво е... по-средата (логично) и и предлага баланс между двете крайности.

Евристиките са и основните причинители на фалшиви тревоги. Фалшива тревога (засичане) е когато дадена програма счита даден файл за опасен, но той всъщност не е.

 

6.2.2. Класически HIPS

HIPS е съкращение от Host Intrusion Prevention System. Това е механизъм, който може да позволи пълен контрол над действията на операционната система. Казвам "може", защото зависи точно колко пълноценна е дадена HIPS програма. Тези програми следят системни функции и всеки път, когато операционната система иска да изпълни дадената функция, HIPS програмата засича този опит и уведомява потребителя. Това може да е създаване на файл в дадена папка, може да е запис в ключ в регистратурата, може да е стартиране на друг процес, може да е зареждане на драйвер и т.н. Може да е какво ли не. Колкото по-пълноценна е дадена HIPS програма, толкова повече функции следи и толкова по-пълен контрол има потребителят над това какво точно се случва. Задача на потребителя е да прецени дали даденото действие е легитимно или не и съответно да го разреши (и да създаде правило) или да го отклони.

Плюсовете:

- ако HIPS програмата е пълноценна, може да предложи изключително високо ниво на защита;

- по принцип е по-лек метод на защита откъм системни ресурси спрямо blacklist/антивирусните (макар да има все пак и по-тежички HIPS програми);

- може да е от полза не само срещу зловреден код, но и за контрол над легитимни програми в някои ситуации.

Минусите:

- нужни са доста добри познания за устройството и работата на операционната система;

- нужно е търпение и желание да се отговаря на евентуалните прозорци с въпроси от страна на HIPS програмата;

- една по-слаба HIPS програма не би предоставила особена защита в днешно време.

Всички сносни HIPS програми разполагат и с режим на обучение (learning mode), в който автоматично научават всичко, което се извършва на системата. Т.е. активирате режима на обучение и започвате да работите с компютъра, като правите всичко, което бихте правили в ежедневието си. Така програмата бързо ще си изгради сама правила и няма да ви занимава с въпроси. Проблем е ако вече има зловреден код на системата, защото тогава HIPS програмата ще го "научи" и него и защитата ще е общо взето нулева. Затова този тип програми не е добре да се инсталират на заразена система. Те са създадени да защитават чиста система от заразяване.

Ако при антивирусните е важно основно самите програми те да са добри, а към потребителя няма особени изисквания, то при HIPS програмите потребителят е от критично важно значение. Ако потребителят не е наясно с устройството на Windows и софтуера като цяло, то той няма да може да си изгради качествени правила и защитата ще е слаба или дори никаква. Така че HIPS може да е както отлична защита, така и никаква такава. Авторите на подобни програми се опитват да улесняват потребителите, като добавят база от данни с легитимни и известни приложения, за да може HIPS програмата да ги разпознае и сама да се настрои, без да занимава потребителя. Въпреки това обаче прозорци с въпроси ще има. Неизбежно е.

Като цяло HIPS програмите са за напреднали потребители и не се препоръчват за начинаещи.

 

6.2.3. Базирани на политика HIPS програми

Споменавам ги отделно, защото макар да имат допирни точки с класическите HIPS програми, все пак са достатъчно различни. Този тип програми общо взето разделят приложенията на две групи: доверени и недоверени. Всички приложения, които имат активен и пряк контакт с Интернет и/или които се атакуват често, се считат за недоверени. С други думи: всички приложения, които са потенциален вход на зловреден код, са недоверени. Това са браузъри, плеъри, програми за разглеждане на изображения, програми за изтегляне на файлове, торент клиенти и др. Недоверените приложения се стартират с намалени права, които се регулират от защитната програма. Така те нямат достъп до важни системни обекти. Потребителят разбира се може да определя кои програми да са доверени и кои недоверени. Този тип програми са значително по-лесни за работа от класическите HIPS програми и са способни да предложат отлична защита.

Плюсовете:

- потенциално отлична защита;

- леки и незатормозяващи системата.

Минусите:

- нужно е все пак малко свикване с начина им на работа;

- нужни са и малко допълнителни познания в компютърната сфера (макар не толкова, колкото при класическите HIPS програми).

Като цяло този тип програми предлагат отлична защита, ако потребителят знае как да ги използва. Правилното им използване означава всички програми, които са потенциален вход за зловреден код, да бъдат недоверени и ако попаднете на съмнителен файл, да го стартирате ръчно като недоверен. Ако стартирате непознати/съмнителни файлове като доверени или не държите съответните програми като такива, то в не правите нищо полезно и не разполагате със защита. Идеята е тези приложения, през които влизат бацили по-често, да са недоверени (изолирани) и с ограничени права къде могат да правят промени (регистратура и файлове), защото ако например се случи дадено такова потенциално опасно приложение да бъде експлоатирано по някакъв начин от уязвимост и започне да върши лоши неща, то няма да може да постигне много.

 

6.2.4. Блокатор по поведение (behaviour blocker)

Този метод може да бъде описан и като "автоматизиран HIPS" и/или кръстоска между HIPS и антивирусна. На практика се използват същите техники, които се използват при HIPS програмите. Т.е. действията на операционната система се следят по същия начин. Разликата е, че блокаторите по поведение се стремят да не закачат нищо легитимно и валидно, а да пресичат само зловредните дейности.

Плюсовете:

- сравнително лесни за работа;

- по-лек метод на защита откъм системни ресурси спрямо blacklist/антивирусните.

Минусите:

- възможни са фалшиви тревоги понякога.

Като цяло блокаторите по поведение не са чак толкова добри като самостоятелни програми за защита, но пък са много добри допълнения към антивирусните програми, освен ако дадената антивирусна вече няма вграден блокатор по поведение.

 

6.3. Бял списък (whitelist)

Този метод е още известен и като "default-deny". Това е противоположният на blacklist метод: има списък с програми, на които им е разрешено да стартират, докато всичко останало бива блокирано (евентуално автоматично).

Плюсовете:

- при правилна настройка предлага почти непробиваема защита;

- ниско потребление на системни ресурси.

Минусите:

- липса на гъвкавост и нужда от допълнителни знания как да се настрои както трябва;

- при неправилна настройка може да създава главоболия и проблеми.

Този метод не е за начинаещи потребители, защото изисква по-разширени познания в компютърната сфера и е нужно потребителят да има желание, време и нерви да се занимава да човърка по-дълбочко в програмата, за да я настрои максимално добре. Не че са нужни огромни количества време и нерви, но все пак не е като при антивирусните програми, които вършат всичко сами и от допълнителни настройки няма особено нужда.

Такива програми няма много, особено по-силно специализирани в тази сфера, но пък някои HIPS програми могат да се използват като такива.

 

6.4. Виртуализация (virtualization)

При този метод се създава виртуална среда, в която да работи дадена програма или система. "Виртуална" означава нереална, симулирана. Комуникацията на дадената програма с операционната система преминава първо през програмата за виртуализация. Дадената програма си мисли, че общува директно с операционната система, но не е така и програмата за виртуализация контролира и/или ограничава въпросната програма. Нека се опитам да дам и нагледен пример. Да приемем, че системата е един лист с текст, а програмите са различни маркери, които се опитват да пишат по листа хартия. Добавянето на виртуализация би било аналогично на добавяне на прозрачно фолио над листа хартия. Така маркерите пишат по него и изглежда сякаш пишат върху самата хартия, но в действителност не го правят. С махането на това фолио се премахват и всякакви следи от маркерите и листът остава чист.

Плюсовете:

- ниска консумация на системни ресруси;

- доста добра защита срещу почти всичко.

Минусите:

- наличие на някои характерни особености, за които ще трябва свикване;

- т.е. не са особено подходящи за неопитни потребители.

Виртуализацията не е толкова сложна за усвояване колкото HIPS, но все пак има нужда от малко свикване. Това я прави не чак толкова подходяща за начинаещи потребители. В компютърната сфера за защита се използват основно два вида виртуализации: 1) създаване на виртуална среда, в която да се изпълняват зловредни, съмнителни или потенциално опасни приложения и 2) виртуализация на цели дялове. Първият тип се използва от някои антивирусни програми с цел повишаване на нивото на защита, но има и самостоятелни такива програми. Наричат се sandbox приложения (пясъчници по нашему). Вторият тип се прилага основно от самостоятелни програми.

 

6.5. Защитна стена (firewall)

Защитната стена е филтър на мрежовия трафик. Тя няма за цел да засича конкретно зловреден код, нито да следи какво става из системата. Нейната задача е да контролира кой процес какъв достъп има до локалната мрежа и/или Интернет.

Плюсовете:

- ниска консумация на системни ресруси (по принцип);

- добро допълнение към всяка система, която не е зад рутер.

Минусите:

- нужни са познания относно софтуера и мрежите като цяло.

Защитните стени служат за следене и контрол на входящия и изходящия трафик към и от компютъра. Те работят с правила - на кой процес какъв тип трафик да позволяват, от/до кой порт, по какъв протокол и от/до кой IP адрес. Колкото по-затегнати са дадени правила, толкова по-високо е нивото на защита. Най-добрата практика е да се изградят максимално строги правила и да се разреши достъп само на онези приложения, които имат наистина нужда от него и то само по нужните протоколи и до нужните портове. Това обаче изисква време, нерви и знания. Затова защитните стени са подходящи само за напреднали потребители и не се препоръчват на начинаещи, защото ако ще се дава достъп безразборно наляво и надясно, както обикновено правят неопитните потребители, то няма смисъл въобще от защитна стена.

Ако използвате рутер, то защитната стена е вградена в него и няма особена нужда и смисъл от софтуерна такава.

 

7. Какви защитни програми има и кои са препоръчителните?

В тази секция ще спомена различни защитни програми, които можете да използвате. За всяка програма ще помествам и кратко описание, което отразява моето мнение за състоянието на програмата към момента на писане на статията.

Важно: ще споменавам само онези програми, които заслужават споменаване според мен. Няма да споменавам всички програми в дадена категория, защото тогава списъкът със защитен софтуер ще е километричен.

Имайте и предвид, че по принцип безплатните версии на програмите, които имат имат такива, са безплатни за домашна и некомерсиална употреба. Има и изключения, но повечето спазват правилото.

 

7.1. Антивирусни програми

Това са най-разпространените програми за защита. Те използват основно blacklist метода - т.е. разчитат на сигнатури, като добавят към това и евристики. Някои програми включват и допълнителни екстри като блокатор по поведение и/или виртуална среда (sandbox) за съмнителни/зловредни процеси. В по-ранните години, когато нямаше такова голямо разнообразие от зловреден софтуер, антивирусните се бореха основно точно с вируси, червеи и троянски коне. С появяването на нови видове бацили обаче антивирусните програми разшириха кръгозора си.

Ще разделя антивирусните на 2 групи: препоръчителни и приемливи. Няма да ги подреждам в конкретна поредност спрямо качеството.

Искам да отбележа обаче 2 неща:

1. Няма антивирусна програма, която да лови всичко. Ако някой се мъчи да ви убеди, че съществува такава, то тази персона е или много невежа, или има за цел да ви заблуди нарочно.

2. Положението при антивирусните е по-колебливо по принцип спрямо останалите видове програми. Т.е. при антивирусните се наблюдава малко по-често промяна в качествата и надеждността. С други думи: информацията, която предоставям, може да се окаже неактуална по-скоро спрямо другите видове защитен софтуер. И все пак ще се стремя да я актуализирам, когато има някаква по-съществена промяна.

 

Препоръчителни антивирусни програми

Това са онези антивирусни, които намирам за по-добри като цяло от останалите и най-достойните за препоръка. Някои програми имат повече екстри и глезотии от други, но те не са абсолютно задължителни.

Накратко: щом програмата е сред препоръчителните, значи е достатъчно добра да се използва. Която и програма да изберете от препоръчителните няма да е грешка. Те предлагат най-доброто съотношение цена/възможности/ефективност/лекота на работа.

 

ESET NOD32 Antivirus

Единствената платена антивирусна програма сред препоръчителните. Програмата може да се похвали с доста добри нива на засичане на злонамерен софтуер и малко фалшиви тревоги като цяло. Не разполага с много екстри и допълнителни защитни механизми като пясъчник, блокатор по поведение (макар все пак да анализира донякъде поведението на процесите), блокатор на скриптове, рейтинги за сайтовете и др. Затова пък е доста лека и незатормозяваща системата, особено спрямо останалите платени продукти. Интрефейсът й приятен за окото, а за онези от вас, които обичат да настройват, програмата предлага огромен набор от опции за човъркане. Има и превод на български.

 

Avira AntiVir

Програмата се предлага в две версии: безплатна и платена. Безплатната версия на тази антивирусна е най-бедната откъм екстри и допълнителни възможности. Т.е. няма пясъчник, блокатор по поведение, web защита, рейтинги на сайтове и др. Единствената екстра, която може да се спомене, е блокаторът на скриптове. Липсата на глезотии обаче не бива да ви отказва. Макар програмата да разчита повече не своето ядро, дефиниции и евристика (неща, които всяка антивирусна притежава), тя се справя много добре с откриването и отстраняването на заплахи. Леко досадно е отсъствието на възможност за автоматично изтриване на откритите гадини, трябва да се клика ръчно на съобщенията. Друг леко досаден момент е, когато програмата рекламира платените си версии с рекламен банер в прозорец, но това се случва рядко.

Платената версия добавя някои екстри: блокатор по поведение, phishing защита, web защита, email защита и блокиране на опасни сайтове. Не е много, защото други програми предлагат повече, но не и малко.

Интерфейсът е леко спартански и не може да се похвали с особени красоти. За сметка на това програмата е стабилна, надеждна и щадяща системните ресурси. Безплатната версия може да изглежда леко бедна на екстри, но повярвайте ми - достатъчна е, защото лови гадинки много добре и създава малко фалшиви тревоги. За жалост обаче няма българска версия.

 

avast!

Програмата се предлага в две версии: безплатна и платена. Безплатната версия на avast! е най-пълната безплатна антивирусна, която можете да намерите. Има общо взето всичко: блокатор по поведение, пясъчник, email защита, web защита, блокатор на скриптове, блокатор на опасни сайтове, рейтинги на сайтове, сканиране на файлове от P2P и месинджъри. Разполага дори с boot-time scan - сканиране при стартиране на системата. Нещо, което е уникално за avast! и не присъства в никоя друга антивирусна програма. Безплатната версия на avast! е по-пълна с глезотии не само от всички безплатни антивирусни програми, но и от повечето платени такива. Повечето автори на антивирусни поорязват повечко безплатните си продукти, за да накарат потребителите да закупят платените версии. При avast! обаче безплатната версия предлага около 90-95% от възможностите на платената.

Платената версия добавя т.нар. SafeZone, която екстра има за цел да осигури сигурна среда, когато пазарувате и/или извършвате банкови преводи и разплащания. Другото допълнение в платената версия е класическият пясъчник. Т.е. в безплатната версия в пясъчника се стартират само онези процеси, които avast! прецени. Няма възможност потребителят да стартира желан процес ръчно в изолираната среда. Това е налично само в платената версия.

Интерфейсът на програмата е лъскавичък, а самата програма е от най-леките в бранша (заедно с ESET NOD32 и Avira AntiVir). Заради наличието на доста защитни модули и екстри програмата е малко по-податлива на бъгчета, но се отстраняват бързо. Програмата засича доста добре зловредния софтуер, но пък е с малко повечко фалшиви тревоги. За щастие на потребителите, които не знаят английски, антивирусната разполага и с превод на български.

 

Microsoft Security Essentials

Започнахме с платен продукт. Минахме през два продукта, които разполагат с платена и безплатна версии. Сега се озоваваме при продукт, който пък е само безплатен и няма платена версия. Тази антивирусна е още доста младичка спрямо другите програми, които са в бранша от доста време. Въпреки това обаче се развива отлично. Откъм допълнителни екстри програмата е някъде по средата - не са толкова много, колкото са в avast!, но са повече от тези на Avira AntiVir. Разполага с: блокатор по поведение, сканиране на файлове от месинджъри, web защита, email защита и блокиране на зловредни сайтове.

Програмата пропуска малко повече бацилчета от досега споменатите (само не си мислете, че е слаба), но пък затова и надава изключително малко фалшиви тревоги. Откъм системни ресурси програмата не се справя чак толкова добре, колкото предходните три продукта - гълта доста повече памет. И все пак това не значи, че е тежка като цяло. Просто е най-тежка от препоръчителните. Самата работа на програмата (сканиране и премахване на заплахи) също е малко мудна, но това не е чак толкова голям проблем.

Тук е време да обърна внимание, че Microsoft Security Essentials е безплатна не само за домашна употреба, но и за малкия бизнес. Ако разполагате с бизнес с до 10 компютъра, можете да я инсталирате на всеки от тях. Това не може да се каже за останалите безплатни антивирусни, които са безплатни само и единствено за домашно ползване. Програмата има и превод на български.

 

Приемливи антивирусни програми

Това са антивирусни програми, които се справят добре като цяло, но за жалост имат някои недостатъци, които по мое мнение не им позволяват да се класират по-нагоре. Тези програми не са лоши, но просто не предлагат чак толкова добро съотношение цена/възможности/ефективност/лекота на работа. Няма да се спирам толкова подробно на тях.

 

Norton AntiVirus

Навремето Norton беше лидер в областта, но постепенно започна да се влошава, докато не достигна доста ниска точка в развитието си. След това обаче изведнъж се посъвзе. В момента това е определено прилична програма. Има доста добър блокатор по поведение и като цяло се справя добре със засичането на злонамерен софтуер. Намират се някои фалшиви тревоги, но не са много. Освен това е с приятен интерфейс и не е взискателна към хардуера толкова, колкото предходните й версии.

Причината Norton AntiVirus да сред приемливите програми е все още не чак толкова доброто ниво на засичане на зловреден код и това, че е платена. Освен това не разполага и с българска версия.

 

Kaspersky Anti-Virus

Отново програма с доста добро ниво на защита. Фалшиви тревоги има, но не са много. Програмата разполага с добро количество екстри: блокатор по поведение, web защита, email защита, phishing защита и сканира трафика на месинджърите. Превод на български е, за щастие, наличен. Проблемите на програмата са, че е доста тежка и платена.

 

F-Secure Anti-Virus

Нелоша антивирусна. Нивото й на засичане е добро и няма много фалшиви тревоги. Разполага с блокатор по поведение, но общо взето дотам. Макар да засича добре зловредния код, не е чак толкова добре, че да компенсира липсата на екстри, липсата на български превод, нужните й системни ресурси и факта, че програмата е платена.

 

Останалите антивирусни програми...

Останалите антивирусни по мое мнение не си заслужават. Те не засичат достатъчно добре зловредния код, или създават прекалено много фалшиви тревоги, или са прекалено тежки, или комбинация от тези трите.

 

7.2. Антималуер (anti-malware)/антиспайуер (anti-spyware) програми

На пръв поглед тези програми се застъпват с антивирусните програми. На втори поглед отново се застъпват. Не напълно, но малко или много. Антивирусните програми засичат и почистват вируси, докато антималуер програмите не го правят, но пък за сметка на това те обръщат малко повече внимание на някои други видове заплахи като фалшивите програми. Точно колко дадена антивирусна ще се застъпва с дадена антималуер програма зависи от самите тях - т.е. авторите на програмите какви бази от данни със зловреден код поддържат.

В тази категория ще спомена само 3 програми, защото считам останалите за недостатъчно добри да се използват.

 

Malwarebytes' Anti-Malware

Една от любимите за пиратстване програми на българския потребител. Това е най-добрият компаньон на антивирусните програми. Malwarebytes' Anti-Malware се прицелва в онези гадинки, които са актуални в момента, трудни за премахване и антивирусните пропускат. Т.е. идеята на програмата е да засича това, срещу което антивирусните като цяло не се справят добре. Програмата до момента поддържа отлично ниво на засичане и отстраняване на гадинки и неслучайно се използва и препоръчва доста по специализирани форуми за сигурност. Написана е много кадърно написан продукт и се предлага в две версии: безплатна и платена. Безплатната версия предлага възможност за сканиране за зловреден софтуер и отстраняването му - т.е. само ръчно сканиране. Платената версия добавя резидентна защита, IP защита, планирани/автоматични сканиране и актуализация и възможност за светкавично сканиране (изключително бърз преглед на ключови места, за да се прецени дали има нужда от по-пълноценно сканиране). Това е една от малкото програми, за която има смисъл от платен лиценз, защото резидентната защита е добра и лека. Заема малко повече памет, отколкото ми се иска, но откъм процесорно време и I/O операции е изключително лека. Другата причина е, че лицензът й не е скъп (спрямо други сходни програми) и е доживотен. Повечето други програми използват ежегодни лицензи - т.е. всеки лиценз е за определен брой години (най-често 1) и след това трябва да бъде подновен. IP защитата също е добра екстра, защото блокира директно достъп до IP адреси, за които се знае/предполага, че са потенциално опасни. За жалост обаче базата от данни с IP адреси е пълничка и с доста легитимни адреси и понякога Malwarebytes' Anti-Malware блокира и безопасни сайтове. Тази защита обаче може да се спре и като цяло това не е достатъчна причина, за да ви откаже от платен лиценз, защото програмата се развива много добре и авторите й наистина искат да я подобряват, а не просто да сменят номерата на версиите. Програмата разполага и с български превод, за който с гордост твърдя, че е мое дело. Поддръжката й е също на отлично ниво. Нещо, което не може да се каже за много програми за сигурност. Поддръжката по електронна поща е бърза и ефективна, а има и официален форум, където всеки с проблем с програмата може да получи комптентен съвет от самия екип на програмата или поне от добре информирани потребители. Знам, че малко българи биха търсили официална поддръжка, а по-скоро биха попитали из родни форуми, но просто исках да изтъкна и този плюс на програмата.

Искам да отправя специална забележка: не използвайте портативна (portable) версия на Malwarebytes' Anti-Malware. Тя не е официална, програмата не е проектирана да работи като портативна и ефективността й се намаля малко или много, когато се използва като портативна. Ако някой ден излезе официална портативна версия, тогава няма да има проблеми. Дотогава обаче не се занимавайте с неофициални боклуци.

Искам и да направя кратка лична забележка: всички, които ползват тази програма с пиратски лиценз, са долна измет. Ето, казах го. И не, нямам намерение да се извинявам. Защо мисля по този начин? Защото това е неуважение на труда всички, които участват в разработката и поддръжката на програмата по един или друг начин. Не че на теория това не важи за всички платени програми по принцип, но на практика някои не заслужават уважение, докато Malwarebytes' Anti-Malware е една от много малкото на брой програми, които всъщност наистина заслужават всяка капка респект. А и нека припомня, че лицензът е сравнително евтин и доживотен. Затова ме "боли", когато хората пиратстват програмата.

Още една дребна забележка: официалното съкращение на програмата е MBAM, но от граматическа гледна точка не е правилно и трябва да е MAM, защото името е Malwarebytes. Ако името беше MalwareBytes, тогава MBAM щеше да е правилно съкращение.

 

SUPERAntiSpyware

Също много добра програма за откриване и премахване на бацили. Много трудно е да се каже коя програма е по-добра в тази насока - Malwarebytes' Anti-Malware или SUPERAntiSpyware. Понякога едната се справя по-добре, а понякога другата. Като цяло SUPERAntiSpyware е с малко по-голяма база от данни и има малко по-широк кръгозор от Malwarebytes' Anti-Malware, но това не я прави задължително по-добра разбира се. Доста надежден продукт е. Предлага се също в безплатна и платена версии. В безплатната версия програмата поддържа само ръчно сканиране и почистване, аналогично на предходната. Платената версия добавя резидентна защита и някои други дребни екстри. Като цяло обаче за резидентната защита на SUPERAntiSpyware не могат да се кажат толкова добри думи, колкото за Malwarebytes' Anti-Malware. Не е лоша разбира се, но просто не е толкова добра. Освен това платеният лиценз е малко по-скъп и е валиден за 1 година, след което трябва да се поднови. Подновяването е общо взето на половин цена, но все пак са си още разходи. Т.е. платената версия на SUPERAntiSpyware не е чак толкова заслужаваща. Ако ще купувате подобна програма, то Malwarebytes' Anti-Malware е категорично и безапелационно по-добрият избор. Няма конкуренция. Освен това официалната поддръжката на програмата е значително по-калпава от тази на Malwarebytes' Anti-Malware. Знам, че това не е толкова важно по принцип, но просто не се сдържам и искам да го изтъкна. Превод на български има и също е мое дело. Няма и как да го забравя, защото отне буквално 1 година да бъде внедрен в инсталацията, което е показно колко зле е поддръжката на програмата.

Фактите, че резидентната защита не е кой знае какво и че поддръжката е лоша, правят ползването на платената версия не особено апетитна идея. И все пак, за почистване на заразени компютри, за което безплатната версия е напълно достатъчна, това е един отличен продукт. Има и официална портативна версия.

 

Hitman Pro

Това е малко по-различна програма от горните две, защото не предлага възможност за резидентна защита, използва cloud технологията и няма свой сканиращ енджин. По официални данни програмата използва сканиращите енджини на 5 други компании: IKARUS, Emsisoft, Dr.Web, PrevX и G DATA. Тези компании се споменават в прозореца на програмата. Технически погледнато обаче G DATA пък използва енджините на BitDefender и avast!, което значи, че е по-точно да се каже, че Hitman Pro използва не 5, а 6 сканиращи енджина: IKARUS, Emsisoft, Dr.Web, PrevX, G DATA, BitDefender и avast!. Използването на толкова енджини си има плюсове и минуси, защото самите те си имат плюсове и минуси. IKARUS например е силно параноичен енджин и надава много фалшиви тревоги, което се отразява и на резултатите на Hitman Pro, която често засича напълно безвредни програми като опасни или подозрителни. Използването на cloud технологията също си има своите плюсове и минуси: сканирането е много по-бързо от предходните две програми, но пък е нужна и постоянна връзка с Интернет. В противен случай програмата е безполезна. Програмата на практика има само платена версия. Може да се каже, че има и безплатен режим, но в него може само и единствено да сканира. Ако искате да почистите нещо с нея, ще трябва лиценз. Има възможност и за еднократен 30 дневен пробен такъв.

Програмата не е идеална и си има своите недостатъци, но според мен все пак заслужава да бъде спомената, защото има достатъчно предимства: разполага с доста спретнат и приветлив интерфейс, сканира бързо, засича и премахва добре заплахите. Една от малкото програми, които се справят успешно с TDSS рууткита, което хич не е малко. Разработката на програмата е доста активна и поддръжката е на ниво. Превод на български има и също е мой.

Това не е програма за постоянна защита, а програма за допълнително сканиране и почистване, ако се съмнявате в зараза и другите програми не откриват или пък не успяват да почистят системата.

 

Прескачаме евристиките, защото те не са под формата на отделни програми, а се използват като част от антивирусните и антималуер програмите.

 

7.3. Класически HIPS програми

Тук програмите могат да се разделят общо взето на 2 групи: защитни стени с HIPS модул и HIPS програма със защитна стена. Звучат леко еднакво, нали? Сега ще обясня какви са разликите. Защитните стени с HIPS модул имат по-пълноценна защитна стена и интелитентен HIPS компонент. HIPS програмите със защитна стена са общо взето на другата крайност - HIPS модулът е доста по-суров и защитната стена е доста по-базова.

В момента защитните стени с HIPS са много по-популярни от другия тип. Авторите им се опитват да ги направят по-интелигентни, като им добавят списък с предварително одобрени софтуерни автори/компании, за да може програмата да ги разпознава като доверени и сама да си създава правилата за тях. Пример: стартирате Microsoft Word, която е разработена точно от Microsoft. Въпросната компания е в списъка на доверени автори на софтуер, защитната стена съответно разпознава програмата като безопасна и доверена и сама си създава нужните правила, без да занимава потребителя.

HIPS програмите със защитна стена са общо взето класическият вариант и са на изчезване. Почти няма такива вече, защото много малко потребители ги харесват и могат да работят с тях. Техният HIPS компонент е доста по-суров и няма списък с доверени автори. Защитната стена на тези програми е по-базова и не толкова "дълбока".

Няма перфектна HIPS програма. Няма програма, която да не занимава потребителя и същевременно да предлага максимално добра защита. Винаги е компромис между двете. Въпросът е точно какъв компромис е направен.

 

Ще започна със защитните стени с HIPS.

 

Comodo Firewall

Като цяло ненавиждам компанията и особено нейния шеф. Трудно би ми било да опиша с думи мнението ми за него и точно колко ми е противен. Компанията пък има като цяло лоша репутация в средите за компютърна сигурност. И все пак Comodo Firewall е приличен продукт. За защитната стена няма какво толкова да се каже. HIPS модулът е доста пълноценен и защитава доста добре, ако се инсталира за максимална защита или се активират всичките защитни опции по-късно. Потребителят може да добавя и допълнителни обекти за следене и защита, ако желае. Програмата предлага и автоматичен пясъчник, в който да се стартират неразпознати и/или съмнителни процеси. Има и вградена cloud технология за проверка на съмнителни файлове. По подразбиране програмата се инсталира в по-тих режим, т.е. да се опитва автоматично да разпознава повече процеси сама и да не занимава потребителя много. Това е нож с две остриета. От една страна е удобно, особено за по-неопитни потребители, но от друга страна може да изиграе лоша шега понякога, защото Comodo автоматично се доверява на цифрово подписани приложения и разполага с умопомрачително голям списък с доверени автори, което общо взето прави програмата по-доверчива, отколкото би трябвало да е. Поне по мое мнение. Разбира се режимът на работа може да се промени и тогава програмата започва да предлага по-добра защита, но пък и започва да занимава потребителя повече. Като цяло има немалко опции за настройка как точно да се държи програмата и ще е трудно да ги обобщя в няколко реда.

Откъм интерфейс програмата не е лоша, макар да го намирам за леко объркващ и разхвърлян понякога. Откъм заемани системни ресурси програмата се представя прилично. Не бих я нарекъл тежка, но не е и особено лека. Малък минус е леката апатия от страна на авторите, които не се грижат много да отстраняват бъговете й. А бъгове се намират. Не са много, но са малко повече отколкото ми се иска да са. Програмата е безплатна и разполага с превод на български.

 

Online Armor

Друга доста известна защитна стена с HIPS. Беше разработвана от Tall Emu, но от едно време насам премина под шапката на Emsisoft. Предлага се общо взето в 3 версии: Online Armor Free (безплатна), Online Armor Premium (платена) и Online Armor ++ (платена). Последната (++) е платената (Premium), но с добавен сканиращият енджин на Emsisoft (т.е. Online Armor Premiumg + Emsisoft Anti-Malware в 1). В безплатната версия липсват някои от функциите на платената, но не са от особена важност. Основната разлика е, че в безплатната версия потребителят няма възможност да добавя свои файлове/папки и редове в регистратурата, които програмата да наблюдава и защитава. Това го има само в платената версия. Дори и без това обаче безплатната версия предлага много добра защита сама по себе си. Също разполага с вградена cloud технология. Има и пясъчник общо взето - опцията Run Safer.

Откъм интерфейс смея да заява, че е малко по-добре пипната от Comodo Firewall. За сметка на това пък това е програма, която има бъгчета и не се разбира много добре с някои други продукти. Освен това я намирам за тежичка и не особено оптимизирана като цяло. Превод на български на този етап няма.

 

Outpost Firewall Pro / Outpost Security Suite Free / Outpost Security Suite Free

Outpost Firewall е самостоятелната програма и се предлага само в платен вариант. Outpost Security Suite е пакет, който включва Outpost Firewall, антивирус и други елементи. Този пакет се предлага в безплатен и платен вариант. Малко кофти според мен, защото аз лично предпочитам чистата стена. Както може би сами се досещате, в безплатната версия липсват някои функции, но те според мен не са особено важни. Общо взето липсващите функции касят повече антивирусната в комплекта или имат връзка повече със защитната стена (филтриране на съдържанието на уебсайтове, IP blocklist и др.). С други думи: безплатната версия е напълно достатъчна за една много добра защита. По-голямата разлика е, че безплатанта се инсталира с по-хлабави настройки на защита, докато платената се инсталира с по-завишени такива. Разбира се всеки може да си го промени това - нужно е да се мръдне просто един плъзгач. Просто е интересна характерна особеност. Завишеният режим на защита пита повече потребителя за нещица. И все пак, както предходните програми, и Outpost разполага със свой си списък с безопасни приложения, на които може да се има вяра, и програмата си създава правила за тях автоматично.

Интерфейсът на програмата е малко по-скучен спрямо предишните две споменати програми, но това не значи, че е по-малко функционален. Откъм заемани ресурси програмата не е особено лека, но не е и тежка. Бих я класирал между Comodo Firewall и Online Armor. Превод на български не съществува, но дори и да имаше, щеше да е наличен само в платената версия. Безплатната е ограничена само до английски.

 

Privatefirewall

Не чак толкова известен продукт, колкото гореспоменатите три. Въпреки това обаче също предлага чудесно ниво на защита. Отново разполага със списък с доверени автори, за да се намалят въпросите към потребителя. Програмата разполага с два модула, които са уникални за нея и не се срещат в никоя друга защитна програма: засичане на аномалии при изпращане на електронна поща и аномалии при ежедневната работа със системата. Накратко: програмата се обучава в рамките на определен какво е обичайното поведение на системата - колко електронни писма се изпращат и всеки процес колко системни ресурси заема - и си изгражда база от данни. След това следи за изменения, т.е. ако забележи разпращане на много електронни писма и/или някой процес ако започне да консумира значително повече ресурси, и алармира потребителя. Звучи интересно, но това не са чак толкова полезни защитни модули. Не са лоши разбира се, но просто не са нужни, ако потребителят знае как да настрои защитната стена и как да отговаря на въпросите на HIPS-а.

Интерфейсът на стената е сравнително скромен и не толкова лъскав като на Comodo и Online Armor, но пък е достатъчно функционален. Откъм опции за настройка програмата е най-бедната от 4-те. За сметка на това обаче е може би най-стабилната (с най-малко бъгове) и определено най-леката. Програмата е безплатна. Към този етап се предлага само и единствено на английски език.

 

Има и други подобни програми разбира се, но тези са програмите, които според мен заслужават внимание.

Сега е ред на HIPS програмите със защитна стена.

 

Malware Defender

Бащата на всички HIPS програми. Ако споменатите по-горе програми разполагат с вграден списък за доверени автори, то в Malware Defender няма нищо подобно. Това е сурова и чиста класическа HIPS програма. Разполага с 4 защитни модула: защита на процесите, защита на файловата система, защита на регистратурата и пакетен филтър (защитна стена). Програмата е общо взето противоположна на горните - потребителят е питан общо взето за всичко, нищо не се извършва автоматично от програмата. Освен това не само Malware Defender има възможност за добавяне на допълнителни файлове/папки и редове в регистратуратата за наблюдение и защита, но това е и много добре развито. Казано иначе: гъвкавостта на програмата е феноменална. Има възможност за толкова фина и детайлна настройка, че главата ви да експлоадира. Разбира се това изисква и доста сериозни компютърни познания. Malware Defender е програма, която може да предложи невероятна защита, но само в ръцете на потребител, който наистина знае какво прави. Ако си мислите, че някоя от горните 4 програми е сложна и задава много въпроси, то Malware Defender ще ви отчая. Това е програма за специалисти.

Програмата е с доста спартански интерфейс - скучен и сив, с абсолютно минимално количество изображения. Всъщност единствените изображения в интерфейса са дребните икони в менютата и иконите на програмите в списъка. Откъм заемани системни ресурси програмата се справя чудесно и не затормозява системата по никакъв начин. Това е програма, която не е направена да бъде лесна за работа или да гали окото. Това е програма, направена с цел максимална ефективност на защита и потребление на ресурси. Програмата беше платена, но авторът отиде да работи за китайската компания 360.cn и Malware Defender стана безплатна. Предлага се само на 2 езика: китайски и английски. Съвместима е само с 32-битови версии на Windows.

 

System Safety Monitor Free / System Safety Monitor Pro

Ако Malware Defender е бащата на HIPS програмите, то System Safety Monitor е дядото. Това е една от първите пълноценни HIPS програми и дори смея да заявя, че е служила за вдъхновение при създаването на Malware Defender, защото като цяло интерфейсите са сходни. System Safety Monitor не предлага чак такава фина настройка и не разполага със защита на файловата система (т.е. файлове и папки), но това е основно заради факта, че разработката на програмата беше прекратена преди години. Въпреки това програмата може да предложи доста прилично ниво на защита дори и по днешните стандарти.

Предлагаше се в две версии: безплатна и платена. Те се разработваха отделно. Безплатната поддържа Windows от версия 95 до XP. Платената поддържа Windows от версия 2000 до Vista, но имайте предвид, че поддръжката на Windows Vista не е гарантирана, защото разработката беше прекъсната по време на добавянето й, така че е възможно да има проблеми. Windows 7 не се поддържа. Поддържат се само 32-битови системи. Сигурно сте се досетили за последното, но аз да го кажа изрично.

Интерфейсът на програмата изглежда мааалко по-приветливо от този на Malware Defender, но си остава сухичък. Програмата Обаче е невероятно лека и щадяща системните ресурси. Това + недобрата поддържка на по-новите версии на Windows я прави приличен избор за по-старички компютри. Наличен е и превод на български. Споменавам програмата, защото е класика в жанра, все още има какво да покаже и е с висока сантиментална стойност за мен.

За платената версия има безплатен публичен лиценз, който авторът подари на всички желаещи, когато спря разработката:

Лиценз за SSM Pro - Show
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

 

Real-time Defender Professional

Така и така сме тръгнали на семейна вълна: ако System Safety Monitor е дядото на HIPS програмите, то Real-time Defender Professional е бабата. :)

По времето на System Safety Monitor имаше още една програма от същия ранг - ProSecurity. Тя също имаше безплатна и платена версии. Авторът й продаде изходния код на някакви китайци и отиде да работи за Comodo. Китайците пък преименуваха платената версия на ProSecurity и я пуснаха безплатно под името Real-time Defender Professional. Разработката така и не помръдна въобще. Въпреки това Real-time Defender Professional си остава доста способна програма. За разлика от System Safety Monitor, тя предлага и защита на файловата система.

Настройката и създаването на правила в Real-time Defender Professional е по-сложно и объркващо спрямо предишните две и интерфейсът е лишен от изображения и шарениики. И все пак, в ръцете на кадърен и запознат потребител програмата може да бъде много полезна и да защитава отлично. Поддържат се от Windows 2000 до Vista, само 32-битовите издания обаче. Програмата е доста лека. Не толкова, колкото System Safety Monitor, но по днешните стандарти си остава много лека.

 

7.4. Базирани на политика HIPS програми

Те са само две.

 

DefenseWall HIPS/Personal Firewall

Програмата се предлага в две разновидности: DefenseWall HIPS и DefenseWall Personal Firewall. Втората просто включва и базова защитна стена - пита за достъп до Интернет за различни процеси. Като цяло това е програма, предлагаща страхотна защита. Ако дадената гадинка е стартирана като недоверено приложение (както би трябвало и да бъде, освен ако не сте човъркали настройките и не сте осрали пейзажа), то тя ще е безсилна да направи каквото и да било и системата няма как да бъде компрометирана.

Интерфейсът на програмата не е особено лъскав, но не е и скучен и сив. Може да се каже, че е прилично интуитивен. Опциите за настройка не са много, но са също прилично количество. Заеманите системни ресурси от програмата са доста малко, което я прави доста лека. Превод на български има и е мое дело. Единственият минус, за който се сещам, е това, че е платена. Закупува се едногодишен лиценз, който изисква поднодяване, което е на по-ниска цена от първоначалната. Поддържат се само 32-битовите версии на Windows, но някой ден може да се появят и 64-битови версии на програмата.

 

GeSWall Freeware/Professional

Другарче на DefenseWall. В смисъл, че е сходна програма. За разлика от DefenseWall тук има доста повече настройки за всяко приложение, за да знае GeSWall как точно да ги ограничава. Предлага се в две версии: безплатна и платена. Като възможности двете версии са идентични. Разликата е, че платената версия разполага с доста повече предварително настроени програми, докато в безплатната са само най-основните, а останалите потребителят ще трябва сам да си ги настрои. Това прави безплатната версия по-малко подходяща за неопитни потребители. В никакъв случай не е безполезна, но по-малко приложения ще бъдат изолирани, а това означава като цяло леко занижена защита. Платената версия е по-подходяща за по-неопитни потребители, но пък ако ще се дават пари за такава програма, то по-добре е да се закупи директно DefenseWall, която е по-добра във всяко отношение от GeSWall. Като цяло в GeSWall има някои леки пропуски и нивото на защита по-ниско от това на DefenseWall. И все пак, в ръцете на опитни потребители, които успеят да разучат как да я настроят, програмата може да е много мощен инструмент за защита.

Интерфейсът на програмата е много объркващ, ако се налага настройка по приложенията. Това значи, че повечето хора ще я ползват с настройките по подразбиране. Програмата обаче е много стабилна и е невероятно лека. Предлага се само на английски език. Засега се поддържат само 32-битовите версии на Windows, но се работи и по 64-битова поддръжка.

 

7.5. Блокатори по поведение (behaviour blockers)

Тук програмите са също само две.

 

ThreatFire

Нелош блокатор по поведение. Като цяло се справя прилично със защитата, макар да не е нещо непробиваемо. Разполага с 5 нива на чувствителност. На най-ниското (1) ще известява потребителя само при засечена известна заплаха. На средното ниво (3), което е и по подразбиране, ще известява потребителя при засечени известни и неизвестни заплахи, както и при потенциално нежелани приложения. На най-високото ниво (5) ще известява потребителя за всяка дори леко съмнителна активност. Програмата разполага и с т.нар. community protection. Т.е. отговорите на въпросите от ваша страна спомагат за определянето дали дадена активност е опасна или не, което е от помощ на останалите потребители на ThreatFire. Същото важи и в обратна посока. Като цяло нелошо допълнение към антивирусна програма, ако тя вече няма блокатор по поведение. Имайте предвид, че не е чак толкова стабилна и понякога има бъгчета и несъвместимости с други продукти. Освен това разработката по програмата тече доста бавно.

Интерфейсът на ThreatFire е сносен и достатъчно лесен за работа. Програмата не заема системни ресурси и е безплатна. Превод на български няма.

Забележка: внимавайте при инсталацията да не инсталирате пробутваната Google Toolbar. Не че е фатално, но е напълно излишно.

 

Mamutu

Блокатор, който се справя доста добре. Намирам го за като цяло по-добър от ThreatFire. Също разполага с с т.нар. community protection.

Като цяло се разбира по-добре с други програми, по-стабилна e от ThreatFire и интерфейсът й е по-спретнат и приятен. Намирам я и за малко по-лека от предхотната. Разполага с превод на български. Единственият минус спрямо ThreatFire е, че е платена.

 

7.6. Защита срещу запис на клавиши и не само (anti-(key)logging)

Реално погледнато всяка добра HIPS програма (класическа или базирана на политика) предлага защита срещу тази активност. Всички споменати от мен HIPS програми предлагат отлична защита срещу записи на клавиши. Изключение е само System Safety Monitor Free, която предлага някаква защита, но не пълна. Искам обаче и да спомена специализирани програми за защита в тази насока.

Към защитата срещу запис на натиснати клавиши се причисляват и защитите срещу създаване на снимки на работния плот, клипборда и контрол върху уеб камерата и микрофона. Технически обаче само първите 3 техники са опасни и важни, ако искате да си предпазите паролите, PIN номерата и прочее. Уеб камерата и микрофонът няма как да се използват за кражба на такива данни, освен ако по някакви причини уеб камерата не е насочена точно към монитора и/или не диктувате на глас паролите си, докато ги пишете. Т.е. защитите на уеб камерата и микрофона не ги считайте за чак толкова важни.

Те са 3 вида:

- виртуални клавиатури: това са клавиатури, които се изобразяват на екрана и вместо да пишете на клавиатурата кликате желаните клавиши. Така дори и да има keylogger, той няма да запише паролата, защото нищо не се пише на самата клавиатура. Ако има програма за запис на работния плот обаче, тогава виртуалната клавиатура няма да е достатъчна.

- програми за криптиране на комуникацията между клавиатурата и даденото приложение: тези програми не засичат и не блокират keylogger-и. Те не им позволяват да засичат правилно натиснатите клавиши. Те не са универсални и защитават определени приложения, като криптират комуникацията между клавиатурата и дадената програма. Т.е. един keylogger ще успее да запише информация, докато пишете паролата си, но няма да запише вярната информация, а произволни символи, които няма да значат нищо.

- резидендни програми за засичане и блокиране на logging дейност: това са програми, които са подобни на HIPS събратята си, активни са постоянно и при съмнителна активност ще сигнализират; те засичат не само опити за запис на клавиши, но и опит за тайно използване на уеб камерата, снимане на работния плот и т.н.

 

От първия тип...

 

Вградената в Windows виртуална клавиатура

Windows си има вградена такава клавиатура.

Под Windows XP се извежда от: меню Start (Старт) -> (All) Programs (Програми) -> Accessories (Програми) -> Acessibility (Програми) -> On-Screen Keyboard (Програми).

Под Windows Vista и 7 се извежда от: меню Start (Старт) -> All Programs (Всички програми) -> Accessories (Принадлежности) -> Ease of Access (Улесенен достъп) -> On-Screen Keyboard (Екранна клавиатура).

 

В антивирусните програми

Някои антивирусни програми разполагат с възможност да изведат виртуална клавиатура. Тя трябва да е по-сигурна от вградената в Windows, но колко по-сигурна е нямам точна представа.

 

Neo’s SafeKeys

Малка програма, която цели да предостави максимално сигурна виртуална клавиатура, която да не е податлива нито на шпионаж на клипборда, нито на програмите за запис на работния плот. Срещу стандартни програми за запис на клавиши е естествено защитена и без това, защото не се използва истинската клавиатура. Идеята е подобна на останалите виртуални клавиатури, но не е същата: използвате виртуалната клавиатура да напишете желания текст, след което го хващате с мишката и влачите в желаното поле. Това е.

Програмата е с простичък интерфейс и е безплатна.

 

От втория тип...

 

KeyScrambler

Програмата се предлага в 3 версии: безплатна (Personal Free) и две платени (Professional и Premium). Безплатната версия поддържа само 3 браузъра: Internet Explorer, Mozilla Firefox и Flock. Professional версията добавя поддръжка за: останалите браузъри, email клиенти, месинджъри, програми за складиране на пароли, архиватори, текстови редактори, музикални програми и онлайн игри. Premium версията добавя поддръжка още на: офис пакети, програми за финанси, програми за данъци, програми за счетоводство, програми за мрежова връзка (VPN клиенти, FTP клиенти и др.), програми за криптиране, файлови мениджъри и Windows Logon. Точният списък можете да намерите на тази страница.

Програмата работи на Windows от 2000 до 7, включително и 64-битовите версии. Поддържа само английски език.

 

NextGen AntiKeylogger

Адски сходна с KeyScrambler. Също се предлага в 3 версии: безплатна (Free) и две платени (Pro и Ultimate). Безплатната версия поддържа само 3 браузъра: Internet Explorer, Mozilla Firefox и Safari. Pro версията добавя поддръжка за: останалите браузъри, email клиенти, месинджъри, програми за складиране на пароли, архиватори, текстови редактори и онлайн игри. Ultimate версията добавя поддръжка още на: офис пакети, програми счетоводство, програми за данъци, файлови мениджъри, програми за криптиране и Telnet/FTP програми. Точният списък можете да намерите на тази страница.

Програмата работи на Windows от 2000 до 7, но само на 32-битовите версии. Поддържа само английски език.

 

От третия тип...

 

Zemana AntiLogger

Доста добър продукт. Разполага с пълноценна защита срещу запис не само на натиснати клавиши, но и срещу прихващане/снимане на работния плот, използване на уеб камерата, използване на микрофона и защита на клипборда на операционната система. Освен това има и базов класически HIPS модул, но той не е толкова пълноценен, колкото специализираните HIPS програми.

Програмата е лека и интерфейсът е доста добре организиран и стилен. Има и превод на български. Поддържат се версии на Windows от XP до 7, включително и 64-битовите. Единственият минус на продукта е, че е платен.

 

SpyShelter

Откъм функционалност и защита е много сходна със Zemana AntiLogger, но предлага още 1 вид защита - срещу шпионаж и изтичане на информация през HTTP, HTTPS, POP, SMTP и FTP протоколите. Освен това програмата предлага и т.нар. ограничен режим, чрез който можете да стартирате програми с намалени права, подобно на DefenseWall, GeSWall и RunSafer опцията на Online Armor. Програмата се предлага в две версии: безплатна и платена. Платената има всички налични функции разбира се. В безплатната са орязани защитите срещу тайно използване на уеб камерата и микрофона и защитата на протоколите, която споменах. Освен това безплатната версия работи само на 32-битови версии на Windows. 64-битовата поддръжка е запазена само за платената версия.

Интерфейсът й не е чак толкова лъскав и стилен като на Zemana AntiLogger, но все пак е функционален и удобен. Програмата ми се вижда леееко по-тежичка от предходната, но като цяло е и по-пълноценна, така че нещата се изравняват. Превод на български обаче няма на този етап.

 

Някои HIPS програми

HIPS програмите обикновено защитават срещу запис на клавиши, но не всички защитават срещу запис/използване на останалите неща.

Comodo Firewall се справя със защита от запис на клавишите, клипборда и използването на уеб камерата. Защита срещу снимане на работния плот има, но не е пълноценна. Защита срещу използване на микрофона няма.

Online Armor се справя много добре в тази насока. Не защитава срещу използване на микрофона. Но всичко останало (снимане на работния плот, клипборда и използването на уеб камерата) е под неин контрол.

Outpost Firewall Pro и Outpost Security Suite 7.1 защитават само срещу запис на клавиши. Във версия 7.5 ще има защита от снимане на работния плот и защита на клипборда. Защитата срещу снимане не е толкова пълноценна като при Zemana AntiLogger и SpyShelter, но все някаква. Версия 7.5 на програмата е в момента в beta стадии.

Privatefirewall се справя отлично със защитата срещу запис на клавиши, запис на работния плот и клипборда. Липсва й защита срещу контрол върху уеб камерата и микрофона.

Malware Defender се справя отлично със защитата срещу запис на клавиши, но й липсват останалите защити.

System Safety Monitor Free се справя незле срещу запис на клавиши, но не и отлично. System Safety Monitor Pro се справя отлично със защита срещу запис на клавиши, но й липсват останалите защити.

Real-time Defender Professional се справя отлично със защитата срещу запис на клавиши, но й липсват останалите защити.

 

7.7. Бял списък (whitelist)

Програмите, които спадат към тази категория се наричат anti-executable и задачата им е да блокират всеки процес, който не е изрично разрешен, или най-малкото поне да питат. Доста слабо популярни са и затова няма да се спирам толкова подробно на тях.

 

Anti-Executable

Програмата е с добра репутация. Справя се много добре със засичането на стартиращи се изпълними файлове, които не е задължително да са точно и само с разширение .exe. Няма възможност да се настрои автоматично да блокира всеки нов процес, а винаги пита. Има все пак два списъка: бял и черен. Всички файлове в белия списък ще им бъде разрешено да се стартират. Всички файлове в черния списък ще бъдат блокирани.

Интерфейсът е спретнат и изчистен. Програмата е и лека като цяло, макар по мое мнение да може да е и още по-лека. Платена е и няма превод на български.

 

AppGuard

Още една програма с доста добра репутация. Тази е определено по-строга от Anti-Executable, защото по подразбиране не позволява стартиране на нищо, което е извън Program Files и папките на операционната система. При добра настройка и правилна работа с нея защитата на системата е на много високо ниво.

Интерфейсът е доста постен и объркващ, но то това е нормално за този тип програми. Продуктът се предлага само на английски език и е платен.

 

Winsonar

Слабо известна програма. Няма какво да се каже чак толкова за нея. Може да бъде настроена да блокира всеки нов процес и да позволява само на вече разрешените да стартират. Работата с нея е малко по-сложна заради начина, по-който се добавят нови и безопасни приложения, нужно е прочитане на документацията за по-пълноценно схващане на принципа на работа на програмата. Интерфейсът е леко объркващ и изисква свикване. Въпреки всичко програмата може да си изпълнява задълженията и е много лека. Поддържат се версии на Windows от 98 до Vista. За Windows 7 официалната поддръжка е до Release Candidate версията, което все пак значи, че и финалната версия трябва да се поддържа, но имайте едно на ум. Програмата няма превод на български. Безплатна е.

 

ProcessGuard Free/Pro

Изоставена преди доста време програма, но пък с добра репутация. Технически погледнато предлага и някои функции, типични за HIPS програмите, но все пак е много по-близо до whitelist/default-deny типа програми. Предлагаше се в две версии: безплатна и платена. Сходна е с Anti-Executable, т.е. по подразбиране иска разрешение от потребителя при стартирането на всеки процес. Може да се настрои да блокира автоматично всеки нов процес, освен вече разрешените, но това е налично само в платената версия. Безплатната версия на практика може само да следи за стартиране на процеси, да предпазва процеси от четене/промяна/прекратяване и да позволява на процеси да четат/променят/прекратяват други процеси. Платената версия добавя защита срещу инсталиране на драйвери/услуги, директен достъп до паметта и инсталиране на глобални захвати.

Интерфейсът на програмата е доста изчистен и интуитивен, а самата програма е доста лека и стабилна. Поддържат се само версии на Windows до XP. Единственият език на програмата е английски.

 

Trust-No-Exe

Още една доста неизвестна програма. Тази е доста по-ясна и недвусмислена. Отново има нужда от бързо информиране как точно работи, но свикването е доста по-бързо. Има два списъка: за позволени обекти и за блокирани обекти. Ако даден файл е изрично указан в списъка с позволените обекти, то той бива стартиран безпрепятствано. Ако в списъка с позволени обекти фигурира пътя до папката, в която се намира файла, но не и конкретния файл (изрично посочен), тогава се проверява списъкът с блокирани обекти и ако там е наличен път към файла или папката, стартирането ще бъде блокирано. Програмата няма икона в системната област (до часовника), а се стартира от икона в контролния панел. Това е интересна характерна особеност. Друга интересна особеност е, че позволява самокопиране/инсталация на други компютри в LAN мрежа.

Интерфейсът е много изчистен и се състои буквално от един прозорец. Програмата е съвместима само с Windows NT, 2000 и XP. За сметка на това е безплатна и, понеже се състои само от един аплет в контролния панел и един много семпъл драйвер, може да се каже, че не заема никакви ресурси. Предлага се само на английски.

 

Някои HIPS програми

Някои от вече споменатите HIPS програми могат да се използват в режим default-deny. Такива HIPS програми са:

- Comodo Firewall - нужно е поставяне на една отметка и спиране на графичния интерфейс;

- Online Armor - нужно е спиране на графичния интерфейс;

- Malware Defender - нужно е спиране на графичния интерфейс, но без спиране на защитата, или преминаване в Silent Mode;

- System Safety Monitor Free/Pro - нужно е "разкачане" на графичния интерфейс.

 

7.8. Виртуализация (virtualization)

Тук ще разделим програмите на две групи - изолиране на програми и виртуализация на дялове.

 

Изолацията на програми се извършва в т.нар. пясъчници (sandbox). В тази група мога да препоръчам основно 2 програми.

 

Sandboxie

Програма е с отлична репутация сред ентусиастите на тема компютърна сигурност. Програмата си има пясъчник по подразбиране, но можете да си създавате колкото си поискате. Всички програми, които са стартирани в този пясъчник, са изолирани от системата. Можете по всяко време да спрете пясъчника и да изтриете всички промени, които програмата е направила до момента. Откъм ниво на защита програмата е отлична. Недостатък е, че изисква малко свикване, защото интерфейсът е по-сухичък и самата изолация налага някои промени в навиците на работа на потребителя. Друг недостатък е, че е по принцип леко сложничка и ще подейства доста объркващо на начинаещи. Ако можете да се възползвате пълноценно от програмата обаче, тя би била адски ценен инструмент. Предлага се в 2 версии: безплатна и платена. Т.е. изтегляте и инсталиранте безплатната, но можете да закупите лиценз и да я регистрирате. Платената версия позволява стартиране на повече от един пясъчник едновременно, разрешава принудително стартиране на програми в пясъчника и премахва досадното съобщение, което ще се появява след изтичане на 30-те дни. Програмата е написана много кадърно, стабилна е и лека.

 

BufferZone Pro

Като цяло това е донякъде противоположност на Sandboxie - изисква малко повечко ресурси, но пък е с доста по-модерен интерфейс и работата с програмата е упростена многократно. Нивото на защита, което предлага, е също чудесно. Според мен програмата може да се настрои да не инсталира автоматично програмите с цифров подпис извън изолираната зона, защото е възможно зловреден код да е с цифров подпис и така да заобиколи защитата. Това се случва много рядко, но все пак е малък риск. Програмата имаше безплатна и платена версии, но в един момент платената стана безплатна. Поддържаният език е само английски.

 

Виртуализацията на дялове е другата група. При нея цял дял се виртуализира и всякакви промени по него се изтриват автоматично при рестарт. Т.е. активирате виртуализацията, правите каквото си поискате, рестартирате и всички промени, които сте извършили след стартирането на виртуализацията, са ликвидирани. От този тип програми препоръчвам основно три. Останалите просто не си заслужават по една или друга причина.

 

Returnil System Safe Free/Pro и Returnil Virtual System Pro

Предлага се в 3 версии: безплатна и 2 платени. Единствената програма за виртуализация на дялове, която има безплатна версия. Всички други подобни програми в бранша са само платени. В безплатната (Returnil System Safe Free) има виртуализация на системния дял, възможна защита на избрани файлове и папки, виртуален дял (на който могат да се запазват файлове, които да оцеляват след рестарта) и антивирусен скенер, който може обаче само засича и не може да премахва откритите заплахи. В платената версия (Returnil System Safe Pro) антивирусният скенер вече може да премахва гадините и се добавят: възможност за запазване на файлове и/или папки директно, докато сте във виртуален режим; достъп до файлове/папки и регистратура, докато сте във виртуален режим; и интеграция със System Restore функцията на Windows с цел сканиране и проверяване за бацили, за да не се окаже, че ще възстановите до заразена с гадинка точка. Другата платена версия (Returnil Virtual System Pro) е общо взето предишната платена, но без антивирусната защита и интеграцията със System Restore. За жалост няма безплатна версия без антивирусна.

Интерфейсите на програмите са лъскавички и достатъчно удобни. Версиите с антивирус са прилично леки, а версията без антивирус е малко по-лека, но разликата не е голяма, което е донякъде учудващо. Човек би си помислил, че без антивирусна потреблението на ресурси би спаднало доста. Програмата разполага с превод на български, който е мой, но в момента по незнайни причини не е включен.

 

Wondershare Time Freeze

Сравнително нов представител на този тип програми, но пък се справя доста добре. Тя също официално виртуализира само системния дял, но има опция за защита на папки, което значи, че може да се добави цял (друг) дял все едно е папка и също да бъде защитен. Програмата предлага и т.нар. Buffer Mode, в който си заделя определено количество памет и така би трябвало да ускори леко работата под виртуален режим. Не че без този режим програмата е тежка, де. Просто го има като екстра.

Иначе програмата е лека, стабилна и с приятен и опростен интерфейс. Предлага се само на английски и е платена.

 

Shadow Defender

Връзката отгоре води към официалната страница на програмата, но не бързайте да сваляте.

В момента там се предлага версия 1.1.0.331, за която не е сигурно колко е истинска. Нека обясня накратко. Авторът на програмата изчезна някъде началото на пролетта на миналата година. Не отговаряше на лични съобщения във форума на програмата, не отговаряше на email съобщения - ни вест, ни кост. Последната версия тогава беше 1.1.0.325. Изведнъж, година и месец по-късно, се появява нова версия - 1.1.0.331, но без промени (changelog), без обяснение кой я е качил, без нищо. Просто ей така. Авторът продължава да липсва. Модератор от форума на програмата казва, че е абсолютно нетипично за него да не дава никаква информация и че ако той е пуснал новата версия, е щял да даде признак, че се е завърнал. Домейнът shadowdefender.com изтичаше в края на април тази година, но беше подновен. Не е ясно от кого е подновен. Освен това драйверът на новата версия има цифров подпис от китайска компания, докато старият нямаше. Това не е задължително лошо нещо, но е промяна, която не е отразена никъде, и е неочаквана. Никой няма информация какво точно става. Напълно е възможно версията да е легитимна, но поради пълното отсъствие на информация по въпроса се счита за непрепоръчителна за използване. Възможно е авторът на програмата да я е продал на по-голяма компания, но "щеше да каже, ако беше така". Мистерията е пълна.

Защо споменавам програмата, след като положението е неясно? Защото е най-добрата програма за виртуализация на дяловете и просто не мога да я подмина. Може да виртуализира всички дялове, предлага възможност за прехвърляне на файлове, изключения от защита, и е единствената програма от този вид, която успява да устои на TDSS рууткита. Това в никакъв случай не значи, че останалите програми са боклуци, но е доста интересна характерна особеност и плюс за програмата. Освен това е доста стабилна и доказала се. Интерфейсът е изчистен и удобен. Общо взето еталон. Платена е и има превод на български. Преводът е мой и може да бъде свален от сайта на програмата.

Ако искате да ползвате последната (съмнителната) версия, можете да я изтеглите от официалния сайт. Ако обаче предпочитате да не я ползвате, можете да изтеглите някоя от по-старите, които качвам на нашия сървър:

Shadow Defender 1.1.0.325 - последната официално обявена стабилна версия

Shadow Defender 1.1.0.326 - последната необявена версия, която е общо взето beta и е щяла да бъде пусната по-късно

Доколкото знам закупуването на програмата не е проблем и всеки, който я е закупил, е получил лиценз.

 

7.9. Защитни стени (firewalls)

Знам, че вече говорих за защитни стени с HIPS, които на практика изпълняват същите функции, но тук искам да поместя само чисти такива - стени, които нямат допълнителни глезотии и екстри като HIPS, пясъчник и т.н., което да ги утежнява допълнително. Имайте и предвид обаче, че в тази секция ще си говорим малко повече за стари продукти, защото от доста време чистите защитни стени не са на мода и са в червената книга.

 

Хардуерна защитна стена (рутер)

Това е определено най-добрата защитна стена, която можете да си набавите. Има и рутери без защитни стени, но това са старите. Всеки съвременен рутер разполага с такава. Защо е най-добрата защитна стена? Върши ли нещо повече от една софтуерна защитна стена. В общи линии не, не върши нищо фундаментално различно. Хардуерната защитна стена не заема никакви системни ресурси точно защото е хардуерна - отделно устройство. Другият плюс е, че хардуерната защитна стена по принцип е значително по-устойчива на атаки. Не е непробиваема, но ако по някаква причина се окажете цел на някакъв тип атака (DDoS например), то рутерът има по-голям шанс да издържи на нея. Това разбира се не значи, че съветвам всеки да си купи рутер. Идеята ми е, ако вече разполагате с такъв по някакви причини, да се възползвате от него и ако сте сте спрели защитната му стена, да я активирате. Обикновено се налага отваряне или пренасочване на някой-друг порт я за торент клиент, я за нещо друго, но това са дреболии на фона на предлаганата защита. Разбира се пак можете да си инсталирате допълнителна защитна стена, ако искате да следите и контролирате изходящия трафик, защото рутерите не го правят - те филтрират само входящия трафик. Контролът върху изходящия трафик обаче не е толкова важен. Вярно е, че ако някоя гадинка се опита да се свърже със сървъра си, ще имате възможност да блокирате връзката, което е добре, но това пък би значело и че вече сте заразени, което определено не е добре. Идеята е въобще да не се стига до заразяване, за да има нужда от филтрация на изходящия трафик.

 

Вградената стена в Windows

Тук вече става малко по-сложно, защото зависи коя версия на Windows използвате.

Ако използвате Windows Vista или Windows 7, то значи не е нужно да инсталирате друга защитна стена, защото вградената такава в тези две операционни системи е доста добра. По подразбиране тя не филтрира изходящия трафик, но може да го прави, ако си изградите правила за това. Не е особено лесно, но, както вече споменах, не е и особено нужно, така че има баланс. Ако използвате Windows XP със Service Pack 2 или 3, то вие разполагате с не чак толкова добра стена, но все пак определено по-добре от нищо. Стената в Windows XP не може да филтрира изходящия трафик по никакъв начин и като цяло не е толкова гъвкава. Това не я прави безполезна, а просто малко по-малко ефективна. При всички положения обаче е по-добре от нищо.

 

Filseclab Personal Firewall

Стената е изоставена и е старичка, но си остава прилична. Предлага всичко, което се очаква от подобен продукт - следене на текущите връзки, дневници, създаване и редактиране на детайлни правила, внасяне и изнасяне на настройки. Интерфейсът не е нищо особено, но е достатъчно добър. Програмата е лека и безплатна. Предлага се само на английски. Поддържа версии на Windows от 95 до XP, включително и сървърните.

 

ZoneAlarm 4.5.594.0

Не съм особен фен на въпросната стена, защото няма възможност за никакъв детаилен контрол върху правилата за програмите, но това може пък да е и плюс за по-неопитните потребители. Това е абсолютно базова защитна стена, която не поддържа нищо по-ново от Windows XP, но пък е лесничка за работа и е доста лека. Споменавам конкретно тази версия, защото предлага инсталация на безплатна или платена версия. Всички останали версии са или само платени, или не са леки, или са вече от периода, когато ZoneAlarm премина в ръцете на CheckPoint и я осраха.

 

Sunbelt Personal Firewall

Още една старичка, но добра защитна стена. Инсталира се в демо версия на платената версия, но след изтичане на пробния период се превръща в по-ограничната безплатна версия, която е и по-чистата версия. В платената има добавени екстри като доста семпъл HIPS, блокиране на бисквитки, реклами, изскачащи прозорци и скриптове. Като цяло обаче тези екстри не са доминиращи. Интерфейсът на стената не е впечатляващ, но е достатъчно ефективен. Програмата е малко по-тежка спрямо другите стени в тази категория, но само спрямо тях. Иначе по днешните стандарти си остава доста лека. Поддържат се само 32-битовите версии на Windows 2000, XP и Vista. Поддържаният език е само английски.

 

Sygate Personal Firewall

Последната версия на тази добра защитна стена, преди да бъде закупена, погълната, асимилирана и "интегрирана" в продуктите на Symantec. Няма какво толкова да се каже за стената като такава - пакетен филтър с минимално количество излишни глезотии - разполага с много семпъл HIPS компонент, Интерфейсът е сух и скучен, но пък пък програмата е стабилна и лека. Безплатна е за некомерсиална употреба. Поддържат се Windows 2000, XP, 2003 и 64-битовата версия на XP. Само на английски език.

 

Ashampoo Firewall FREE

Още една чистичка стена. Контролът върху трафика не е чак толкова подробен, колкото при други програми, но е достатъчно. Няма кой знае какво да се каже за стената. Не е най-леката, но не е и тежка в никакъв случай. Интерфейсът е много приятен и шарен, но не прекалено. Стената е насочена към не чак толкова запознатите потребители. Поддържат се само Windows 2000 и XP. Има превод на български, който обаче трябва да се свали от официалната страница на програмата.

 

Kerio Personal Firewall 2.1.5

Споменавам и конкретната версия, защото програмата е доста стара и това е последната версия на стената, разработвана от Kerio. След това разработката премина в ръцете на Sunbelt, които я пообновиха. Споменах тяхната стена преди малко. Да се върнем на Kerio Personal Firewall обаче. Това е общо взето класика в жанра: чиста защитна стена, която предлага гъвкави възможности за контрол на мрежовия трафик. Програмата е много лека и безплатна. Интерфейсът й е грозен по днешните стандарти, но пък е интуитивен. Поне доколкото може да бъде интуитивен интерфейс на подобна програма. Програмата се предлага само на английски и само за Windows 98, Me, NT, 2000 и XP.

 

Look 'n' Stop Firewall

Единствената изцяло платена програма в тази категория. Абсолютно чиста защитна стена без грам екстри. Не звучи чак толкова добре за платена програма. Особено като добавим и факта, че интерфейсът е морално остарял и е малко объркващ. И все пак програмата има и плюсове. Един плюс е, че предлага доста добра гъвкавост при създаването на правила. Друг плюс е, че е единствената чиста защитна стена, която може да се нарече актуална и която поддържа всички стари и нови версии на Windows: от 98 до 7, включително и 64-битовите версии. Последният плюс, но не и по важност, е лекотата на програмата. Това е по мое мнение най-леката чиста защитна стена, която можете да намерите. Всичките споменати програми в тази категория досега са лекички, но Look 'n' Stop е определено най-леката. Превод на български няма.

 

7.10. Други защитни програми

Тук ще спомена програми, които не могат да се причислят към никоя от горните категории, но все пак са програми за защита.

 

SpywareBlaster

Това е общо взето програма за имунизация. Поддържа основно Internet Explorer и блокира създаването на определени следящи бисквтитки, опасни ActiveX допълнения и опасни сайтове. Поддържа и Mozilla Firefox, но в него блокира само следящите бисквитки, които са дреболии така или иначе и не представляват заплаха на практика. Очаква се добавяне на поддръжка на Opera, но надали ще е скоро.

Програмата не е толкова нужна като цяло, но понеже на практика не използва никакви системни ресурси я споменавам като потенциална добавка в арсенала за борба с гадинките. Ако използвате Internet Explorer, не пречи да я инсталирате и да се имунизирате. Ако използвате който и да било друг браузър, а Internet Explorer никога или само за определени страници, то няма смисъл от програмата. Безплатна е. Има и платена версия, но тя добавя само автоматични обновления, които са ненужни, защото програмата се обновява рядко и е напълно достатъчно да проверявате ръчно за актуализации 2-3 пъти месечно.

 

WinPatrol

На пръв поглед програмата прилича на HIPS, но не е такава. Тя не използва методите на HIPS програмите за защита. Тя следи нещата по друг начин. Предлага се в безплатна и платена версии. Безплатната следи за: промени по hosts файла и важни системни файлове, добавени обекти за автоматично стартиране, добавки към Internet Explorer, планирани задачи, услуги, файлови асоциации и скрити файлове. Когато засече някаква промяна, алармира потребителя. Освен това следи и последните променени файлове, което може да е полезно понякога при премахване на гадинки. Платената версия добавя възможност за контрол над ActiveX добавките, възможност за защита/следене на ключове в регистратурата и Plus информация (проверка за допълнителна полезна информация в сайта на програмата). Освен това платената версия следи за промени в реално време, докато безплатната прави проверка на определени интервали, които обаче могат да се настроят от потребителя. Като цяло платената версия предоставя доста прилично количество екстри, но и безплатната може да е достатъчна.

Това не е програма, която може да се използва самостоятелно, но е доста добро допълнение към всяка антивирусна и/или антималуер. Интерфейсът не е чак толкова лъскав, но е достатъчно спретнат и организиран. Програмата е много лека и авторът й е пекан. Самият факт, че на два пъти е отказвал да добави toolbar в инсталацията на програмата си, е достатъчно красноречив. Превод на български има и е мой, но българските версии се появяват със (малко или голямо) закъснение. Просто споменавам информативно.

 

MJ Registry Watcher

Програмата следи за промени на определени места в регистратурата и може автоматично да приема или отхвърля промените, или да попита потребителя как да реагира. В общи линии прави само това. Програмата е лекичка, но не толкова, колкото WinPatrol. Интерфейсът й е меко казано остарял, защото е точно като на програма от ерата на Windows 95. И все пак програмата може да е полезна, защото следи доста ключове в регистратурата и предлага прилично количество настройки. Безплатна е, но се предлага само на английски.

 

Script Defender

Малка програма, която има за цел да защитава срещу скриптове. Това е списъкът по подразбиране: .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS, .SHB. Могат обаче да се добавят и други разширения. Идеята е на програмата да се асоциира с въпросните скриптове, т.е. да се нагнезди между самия файлов формат и нужната програма за изпълнението му в Windows. При опит за стартиране на такъв скрипт се появява прозорец, който пита дали да бъде изпълнен или не. Ако стартирате скриптове ръчно, нямате полза от това. Програмата обаче може да бъде полезна срещу тайно стартирани скриптове, които могат да са както на легитимни програми, така и на зловреден код. Пример за неприятни скриптове са тези, които разпращат спам в Skype и се представят като "програми" за хакване на пароли или отключване на емотикони например.

Програмата е простичка за работа, но не позволява редактиране на скриптовете от контекстното меню. Т.е. ако я ползвате, десен клик върху файл -> Edit опцията няма да работи. Програмата е безплатна.

Забележка: ако разполагате с добра HIPS програма, нямате нужда от програма за защита от скриптове.

 

ScripTrap

Аналогична програма на предишната. Не предлага възможност за промяна на защитаваните формати. Изглежда малко по-грозно, но пък има опция да следи и прихваща само скриптове, които са стартирани от папката за временни файлове, което може да намали броя на съобщенията, без да се занижава нивото на защита. Програмата е безплатна.

Забележка: ако разполагате с добра HIPS програма, нямате нужда от програма за защита от скриптове.

 

ScriptSentry

Още една такава програма. Не предлага възможност за добавяне на нови формати, но пък предлага избор кои от предварително въведените да се следят и разполага с доста допълнителни опции. Освен това не пречи на възможността за редакция на даден файл от контекстното меню. Това я прави най-добрата от този тип според мен. Минусът й е, че изглежда допотопно. Безплатна е.

Забележка: ако разполагате с добра HIPS програма, нямате нужда от програма за защита от скриптове.

 

Panda USB Vaccine

Panda USB Vaccine е безплатна програма за имунизация и защита срещу зловреден код, разпространяващ се чрез преносими устройства като портативни плеъри, flash памети и други. Програмата имунизира самата операционна система като променя настройките на autorun функцията и може да ваксинира всяко USB устройство, което свържете към компютъра. Програмата може да работи в резидентен режим и автоматично да засича всяко ново свързано устройство. Безплатна е.

 

No Autorun

Малка програма за защита срещу гадинки, които се разпространяват чрез външни носители. Не е напълно същата като тип като Panda USB Vaccine. Тази програма предлага възможност за безопасно отваряне на папките на даденото външно устройство и засичане на подозрителни autorun.inf файлове и софтуерна защита срещу запис върху USB устройства. Програмата е с изчистен интерфейс, лека е и безплатна.

 

Secunia Personal Software Inspector (PSI)

Ще копирам описанието от SoftVisia. Това е програма, която анализира софтуера на системата ви за уязвимости и ви помага да го поддържате актуален. Това включва и липсващи кръпки за операционната система. Извежда се информация за безопасни програми, несигурни програми и програми, чиито живот е приключил (стари/изоставени). Доста полезна програма като цяло. Интерфейсът е може би леееко претрупан с излишна информация, но все пак е достатъчно ефективен. Програмата може да следи и в реално време съсотянието на инсталирания софтуер, но това изисква да има активен процес. Лично аз считам за по-добра идея ръчни профилактични сканирания отвреме навреме. Програмата е безплатна.

 

Enhanced Mitigation Experience Toolkit (EMET)

Приложение на Microsoft за активиране и по-детаилен контрол над различните технологии за сигурност и предотвратяване или смекчаване последствията от зарази: Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR), Structured Exception Handler Overwrite Protection (SEHOP). Ако не знаете какви са тези неща, значи общо взето нямате работа да се занимавате с това приложение. Споменавам го за по-напредналите, ако случайно не са чували за него.

Интерфейсът е изчистен и спретнат. Поддържат се версии на Windows XP SP3 (и нагоре), Windows Vista SP1 (и нагоре) и всички версии на Windows 7. Програмата е безплатна.

 

Microsoft Baseline Security Analyzer (MBSA)

Ще копирам описанието от SoftVisia. Microsoft Baseline Security Analyzer е малък инструмент, който сканира операционната система за потенциални проблеми, свързани със сигурността. Програмата може да сканира както локалния компютър, така и отдалечени компютри по IP адрес. Можете да проверявате за общи административни уязвимости, слаби пароли, уязвимости в IIS или SQL сървъри и липсващи обновления. Програмата е с много изчистен интерфейс и е безценен помощник, ако желаете да запълните дупките в сигурността и да стегнете системата. Безплатна е.

Link to comment
Сподели другаде

8. Въпроси и отговори

Време е за някои по-общи въпроси на тема сигурност и техните отговори.

 

Съществува ли програма и/или метод на защита, който да гарантира 100% защита?

Не. Такова животно няма. Единственият начин да сте 100% сигурни, че няма да се заразите, е никога да не си включвате компютъра.

Не ме разбирайте погрешно. Има програми, които защитават много добре, и някои програми са просто по-добри от други. Перфектна защита обаче не съществува. Който и метод да сте си харесали за защита и която програма да използвате просто няма никаква гаранция, че няма да се заразите. Дори и да сте комбинирали няколко метода/програми, пак няма гаранция. Въпросът е не има ли вероятност да се зарази системата, а колко е голяма тази верятност.

 

Как тогава да се защитя? Има ли оптимална комбинация и ако да, каква е тя?

Как да се подходи към защитата на една система зависи от това какво се извършва на нея, колко мощна е тя и какви са познанията на потребителя като цяло. Трудна задача е да се състави някаква готова комбинация от софтуер, която да е универсална, но ще се опитам.

За наистина начинаещи потребители (тези, които едва ли не още гледат мишката със страхопочитание или подскачат при всеки появил се прозорец) е най-добре да се придържат към blacklist метода - т.е. програми с дефиниции, защото са най-лесни за работа. Това значи една добра антивирусна + 1-2 антималуер програми. По принцип е по-добре една от тези антималуер програми може да е с резидентна защита (знам, че ще изпиратствате MAM, като бял ден сте ми ясни), но не е задължително. Може да останат и в безплатните си версии, само за ръчно/профилактично сканиране. Към това може да се добави и SpywareBlaster, защото не заема ресурси и не изисква почти никакви усилия, за да върши работа. Не че върши много де, но като КПД (коефициент на полезно действие, за незнаещите) е добра, но това само ако се използва Internet Explorer. Това не е чак толкова силна защита, но е прилична. А и всичко друго, което би значело по-добра защита, би значело и повече шашкане от страна на потребителите, така че не се струва.

За не толкова опитните потребители, но все пак знаещи основите, важи същото, което казах в предишния абзац, като може да се добави и WinPatrol или някой блокатор по поведение, ако антивирусната вече не разполага с такъв. DefenseWall също би могла да се добави, но ми се струва, че ще е на ръба на познанията на този тип потребители. Т.е. е възможно да дойде мааалко сложничко.

За малко по-напредналите потребители стратегията може да се промени. Антивирусната вече не е абсолютно задължителна, но е силно препоръчителна. Могат да се добави и базирана на политика HIPS програма или блокатор по поведение, или някоя интелигентна HIPS програма. Евентуално може и програма, използваща виртуализация (BufferZone Pro евентуално), но може да дойде и малко в повече.

За забележимо по-напредналите антивирусните са просто препоръчителни. Проактивната защита вече трябва да е по-достъпна и този тип потребители би трябвало да могат да се справят с нея, била то интелигента HIPS програма, базирана на политика HIPS програма или блокатор по поведение. Виртуализацията също е добър избор - BufferZone или Sandboxie например.

След тях са вече силно напредналите потребители, които могат да се класифицират и като професионалисти. За тях няма да се занимавам да изреждам препоръки, защото те вече трябва да са наясно как да се защитават и надали дори четат този материал.

За всички типове потребители (от пълните индианци до професионалистите) важи правилото софтуерът (операционна система + приложенията) да e актуален. Това, както вече казах, е гръбнакът на една сигурна система.

За работещите под Windows Vista или 7 може да се добави и оставянето на UAC да е активна. Това важи с особена сила за по-неопитните потребители. Колкото по-неопитен е даден потребител, толкова по-важно е UAC да не се изключва.

Може би звучи като натякване за амнайсти път, но наистина е важно!

 

Може ли потребител да не се заразява и без допълнителни защитни програми?

Да, може. Има обаче някои условия.

Най-важното от тях е потребителят да знае какво прави, т.е. да е опитен. Работата на "гола" система все пак крие рискове и изисква някои навици и знания, които не се намират у по-начинаещите потребители.

Второ условие е софтуерът да е актуален.

Трето условие е UAC да не е спряна (ако става въпрос за Windows Vista или 7) или да се работи под ограничен акаунт на Windows XP.

Ако второто условие е изпълнено, то третото условие не е задължително, но е силно препоръчително. И обратното, ако третото условие е изпълнено, то второто условие не е задължително, но е силно препоръчително. Понякога има случаи, когато нещата не зависят от потребителя и дори той да е внимателен и софтуерът да е актуален, пак да може да се стигне до зараза. Просто зависи от това за каква гадинка става въпрос и как точно се прихваща.

Работата на "гола" система (без никакви допълнителните защитни методи и механизми) крие рискове винаги. Ако решите да работите по този начин, просто имайте едно на ум. И да не кажете, че не съм ви предупредил?

 

По-сигурни ли са Linux и/или Mac OS от Windows?

Не, не са. Те са значително по-малко атакувани, но това не значи, че са по-сигурни.

Разбира се аз не казвам, че точно Windows е най-сигурната операционна система. Просто казвам, че високата сигурност на Linux и Mac OS е мит. Писнало ми е да чета, че за Linux и/или Mac OS няма зловреден код и експлойти. О, има! Особено експлойти. Просто са много, много по-малко и не придобиват такава гласност. Понеже въпросните две операционни системи държат доста по-малък пазарен дял те не са и толкова апетитни мишени за авторите на зловреден код.

Също е мит, че Windows е надупчена като швейцарско сирене. Доста потребители спират UAC под Windows Vista/7, понякога спират антивирусните си, защото засичат някой crack като опасен, и не си поддържат софтуера актуален. 'Ми много ясно, че ще се заразят тогава. То е като да се оплаква човек, че кварталът е несигурен, но да си оставя вратата отворена.

Всъщност като се замисля Mac OS може да се определи като най-несигурната, защото от Apple продължават упорито да поддържат статута, че за Mac гадинки няма, бавят се с актуализациите доста повече от Microsoft и никога не казват нищо конкретно за уязвимостите. От Microsoft дават доста повече информация и документират пролуките доста по-добре, не се правят на ударени като Apple.

 

Кои методи са ефективни срещу програми за запис на клавиши/кражба на пароли и защита при извършване на онлайн разплащания?

Методи за справяне с този тип злонамерен софтуер има не един. Някои са ниско ефективни, докато други са по-надеждни. Един от първите методи за заобикаляне на потенциален keylogger е виртуалната клавиатура. Той е напълно достатъчен, ако програмата за запис на клавиши прави точно и само това - записва натиснатите клавиши на клавиатурата. Когато пишете посредством виртуална клавиатура, няма натискане на клавиши по истинската клавиатура и този тип keylogger-и няма какво да запишат. Има обаче logger приложения, които комбинират следенето на натиснатите клавиши със снимане на екрана. Те може да са програмирани да правят снимка на целия екран или само на определен радиус около курсора всеки път, когато кликате. В такъв случай виртуалната клавиатура няма да е достатъчна, защото при всеки клик районоът около курсора ще се записва и на нападателя ще му е ясно кой бутон е бил кликнат. Някои виртуални клавиатури поддържат и метода на "кръжене" - т.е. вместо да кликате желаната буква, оставяте курсора върху нея за няколко секунди. Това обаче също може да бъде преодоляно, ако програмата за шпионаж засича неактивност на курсора. Т.е. тя може да е програмирана всеки път, когато курсорът не се движи за повече от да речем 3 секунди, да се създава снимка на района около курсора.

Друг метод, който може да бъде полезен срещу подобен тип бацили, е използването на мениджър на пароли. Това са приложения или вградени в самите браузъри функции да се попълват полетата за име и парола автоматично. Те успяват да заобиколят класическите програми за запис на клавиши или работен плот, защото нито реално пишете паролата на клавиатирата, нито я пишете на екрана чрез кликане по виртуална клавиатура. Програмите за запис на клавиши и работен плот просто няма какво да запишат, което да им свърши работа. Има обаче и зловреден код, който може да надвие тази защита. Има гадинки, които се инсталират като допълнения в браузърите и там вече биха имали достъп до паролата, ако браузърът попълни полето автоматично. Това са т.нар. Man-in-the-Browser атаки/гадини, срещу които защитите не са много. PrevX SafeOnline може да защити срещу такива (поне по официална информация), за SpyShelter и Zemana AntiLogger съм почти убеден, че не могат, а за останалите известни защити срещу (key)logging съм напълно сигурен, че не могат. Т.е. веднъж нагнезди ли се гадината, ще има проблеми. Номерът е въобще да не се стига дотам разбира се.

 

Може ли да си инсталирам две антивирусни едновременно?

За моженето - може. Отделен въпрос е, че това е доста лоша идея, ако ще им се ползват резидентните защити и на двете. Ако за резидентна защита, ще се ползва само една програма, а другата ще е само за ръчно сканиране, тогава няма проблеми. Две резидентни защити едновременно обаче е рецепта за главоболия. Една причина за това е, че два скенера ще консумират доста системни ресурси. Друга причина е, че двата скенера може да не се харесат един друг и да има конфликти, което да доведе до забиви, още по-сериозни забавяния на системата и кой знае още какво. Трета причина е, че е възможно двете резидентни защити може, така да се каже, да се "сбият" за открита зараза и в крайна сметка никоя да не се справи с нея. Ако сте гледали някои анимации (от рода на Том и Джери например), може би сте попадали на сцени, в които Том и друг котарак (обикновено на име Буч) се втурват към Джери, но се блъскат един в друг и изпадат в несвяст, а Джери се измъква по терлици. Е, нещо такова може да се случи, когато има две резидентни защити едновременно, колкото и странно да звучи илюстрацията.

Ако става въпрос дали може да се комбинира антивирусна програма с антиспайуер/антималуер програма (от рода на Malwarebytes' Anti-Malware или SUPERAntiSpyware), то вече е съвсем друго нещо - няма проблеми.

 

Има ли разлика между предотвратяване на зараза и почистване на такава?

Разбира се, че има. Предотвратяването на зараза е винаги за предпочитане пред заразяване и почистване след това.

Ако става въпрос за дребна гадинка, то разликата не би била голяма. И все пак би се наложило допълнително сканиране с антивирусната или (най-вероятно) с Malwarebytes' Anti-Malware или SUPERAntiSpyware, а това би отнело време.

Ако пък става въпрос за някой сериозен бацил, тогава разликата е огромна, защото някои бацили са изключително трудни за премахване и/или могат да отнесат със себе си важни файлове. Зависи точно за каква гадинка става въпрос.

Важното е, че предотвратяването е винаги за предпочитане пред почистването.

 

Какво представлява cloud технологията за сканиране?

Това е технология, при която по-голямата част от сканирането и анализа на файловете не се извършва на вашите компютри, а от други компютри някъде в Интернет. Те се наричат "облак". Понеже въпросните компютри са изцяло посветени на сканирането и са доста мощни, това означава доста по-лека работа на програмата и евентуално по-бързо сканиране. Колкото по-бавен е даден компютър, а Интернет връзката му пък е по-бърза, толкова повече се усеща ползата от cloud технологията. Някои програми (Comodo Firewall, Online Armor и др.) я използват като допълнителен защитен слой, за да проверяват съмнителни файлове.

 

Има ли полза от скрити (stealth) портове при защитните стени?

От едно време насам има някаква мода защитните стени не просто да затварят портовете, но и да ги крият (stealth). Стийв Гибсън общо взето успя да създаде впечатление и мит, че ако портовете са скрити, има по-добра защита. Това няма нищо общо с реалността. Един скрит порт е също толкова добре защитен, колкото е и един "обикновен" затворен порт. Разликата е следната: когато портът е затворен, защитната стена връща съобщение към другия компютър, че портът е затворен, докато когато портът е скрит, защитната стена мълчи. Идеята е, че ако портът е скрит, атакуващият отсреща няма да разбере, че компютърът Ви съществува. Това би могло да заблуди аматьори, но всеки поне малко запознат с мрежите и/или хакване не би се хванал на това. За сметка на това пък използването на скрити портове е в разрез със стандартите в индустрията и може да попречи на някои доставчици успешно да засичат, че сте онлайн и съответно да се провалят различни диагностики.

Като цяло обяснението е дълго и широко. Важното е да запомните, че скритите портове не предоставят никаква допълнителна защита и че е дори по-добре да са просто затворени.

 

Колко надеждни са тестовете, в които се сканира архив/колекция със злонамерен софтуер?

Доста често се срещат подобни тестове. Някои намерил архив с бацили, сканира с антивирусната и сравнява резултати с други потребители, които сканират с друга антивирусна. Това не са особено надеждни тестове. Не са напълно лишени от смисъл, но дават доста малко информация колко реално ефективна е дадена защитна програма. Има различни фактори, които трябва да се имат предвид, когато става въпрос за подобни тестове. Ето най-важните...

 

Какви са точно заплахите в архива

Видове злонамерен код има различни (както вече стана ясно): вируси, червеи, троянци, рууткит/бууткити, фалшив софтуер, шпионски софтуер, рекламен софтуер и т.н. Различният тип зловреден код е различно опасен. Рекламният софтуер например като цяло е далеч по-безвреден от рууткитите. Освен това различните индивидуални заплахи от различните видове са различно опасни. От вирус до вирус има разлика, също както има разлика от троянски кон до троянски кон, и т.н. Когато имаме един архив с различни заплахи в него, е трудно да се следи точно какви конкретни заплахи има в него. Може да е пълен с доста опасни бацили, но може и повечето да са по-слабички.

 

Колко актуални са заплахите

Колкото по-стари са дадените гадинки, толкова по-малко интересни са. Е, има и изключения, но като цяло това правило си остава валидно. Ако дадена заплаха е доста стара и почти не се среща вече из виртуалното пространство, не е толкова важно да се засича. Не ме разбирайте погрешно: разбира се, че е добре да се засича, но по-важно е да се засичат по-актуалните заплахи. Когато имаме един архив с колекция от бацили от неизвестен източник, не е напълно сигурно и ясно колко актуални са заплахите в него.

 

Колко актуални са дефинициите на антивирусните програми и какви са им настройките

Факторът с дефинициите е доста дребен, защото малко хора в днешно време не си обновяват антивирусните програми (не защото хората са предвидливи, а защото антивирусните го правят автоматично и сами), но все пак е редно да се отбележи. Друг фактор е какви са настройките на програмите. Активирана ли е евристиката (в почти всички случаи е, но все пак...) и на кое ниво на чувствителност е? Също е важно и какви заплахи е настроена да засича антивирусната. Някои антивирусни не засичат по подразбиране някои по-дребни заплахи като "потенциално опасни обекти", шегаджийски програми и други такива. Ако в архива има такива, но програмата не е настроена да ги засича, няма да се представи толкова добре, особено ако има доста такива.

 

Колко разновидности на дадена заплаха има в архива и има ли повтарящи се

Различните гадинки могат да имат различни разновидности. Ако дадена антивирусна засича един или няколко варианта на даден бацил, то шансовете, че ще засича и останалите, са доста добри. Да, има и изключения, но като правило е така. Ако в архива има доста гадинки с различни разновидности, то това може да е малко заблуждаващо, защото така бройката нараства по-лесно и повече и изглежда сякаш една програма е значително по-добра от друга. По-добре е в даден архив да има 10 различни гадинки, отколкото да речем 5, всяка от които с по 2 разновидности. Още по-зле е ако има повтарящи се гадинки/файлове (т.е. една и съща заплаха, но с различно име на файла), защото тогава крайните резултати стават още по-неточни и нереални.

Ако въпросната колекция е от не особено известен източник или е голяма, е трудно да се каже точно колко различни заплахи има в нея и колко са просто разновидности или повтарящи се.

 

Различните антивирусни засичат заплахи различно

Ако някоя гадинка е компресиран файл (т.е. вид инсталация например) и в него има други файлове, може да се окаже, че една антивирусна сканира файловете, намиращи се в този файл, и счита всеки от тях за отделна заплаха, а друга антивирусна може да засича цялостния файл като една заплаха. Така числата в резултатите могат да изглеждат доста по-различно и да изглежда сякаш една програма засича повече от друга.

 

Статични заплахи не са равносилни на стартирани заплахи или вече активни такива

Едно е да се сканират статични файлове, друго нещо е да се наблюдава поведението при опит за стартиране по някакъв начин на гадинката (т.е. в полеви условия) и трето нещо е да се бори дадена антивирусна с вече настанена заплаха. Някои защитни програми може да не се справят толкова добре при засичането на статични файлове (Malwarebytes' Anti-Malware е пример за такава, не е проектирана да се използва така), но да може да се справя добре в полеви условия. Освен това има и антивирусни програми с блокатори по поведение, които могат да успеят да пресекат гадинката напълно или поне да я поосакатят, дори и да не бъде засечена по дефиниции или чрез евристиките. А ако дадена гадинка успее да стартира, не е гаранция, че дадена антивирусна ще успее да я блокира успешно и ефективно. Има случаи на антивирусни, които засичат заплаха и уж я премахват, но тя се появява отново и отново, защото не е блокирана/почистена пълноценно. Една антивирусна може да засича много добре статични файлове, но в реална ситуация да не успее да се справи както трябва.

 

Не казвам да не си правите такива тестове или да не ги имате предвид. Просто искам да обърна внимание на факта, че те далеч не предоставят пълна картина за това колко ефективни са различните антивирусни на практика. Не бива да базирате представите си само на подобни тестове и особено на единични такива.

Link to comment
Сподели другаде

Надявам се материалът да ви е бил полезен. Всъщност надявам се, че сте ме издържали докрай. Материята е малко суха и трудна за предъвкване.

 

Считам го за доста подробен, но то по принцип винаги си има място за допълване. Така че ако се сетя нещо, което си заслужава да се добави, ще го добавя.

Ако пък вие се сетите за нещо, което считате за достойно за добавяне, или нещо, което считате, че трябва да се промени, пишете в темата. Имайте предвид обаче, че ако пишете с надеждата да си променя мнението/изказването за дадена програма, то шансовете да го направя са малки.

 

-----

 

Знам, че в нашата страна хората не зачитат авторското право, но апелирам да не копирате материала или части от него, без да посочвате източника.

 

 

Night_Raven / SoftVisia.com

Link to comment
Сподели другаде

Гост
This topic is now closed to further replies.
×
×
  • Създай ново...