Фейсконтроль на входе и выходе

Такое обрастание дополнительным функционалом обусловлено, с одной стороны, требованиями времени, а с другой - маркетинговыми соображениями: универсальное средство от компьютерных вредителей проще продавать. Между тем, существует целый класс программ, специализирующихся на отдельных участках фронта, - межсетевые экраны, или фаерволы, они же - брандмауэры.

Этот сегмент, судя по всему, успешно развивается. Так, месяц назад новая продуктовая линейка была представлена компанией Agnitum, получившей известность благодаря своему фаерволу Outpost. Какое место занимает этот софт на рынке ИБ? Как сосуществует с «амфибиями» от ведущих антивирусных вендоров? Теряет ли свою актуальность «огнеупорная стена» в ситуации, когда «антихакеров» и «антишпионов» начали встраивать в операционные системы? Фаервол и его огневой рубеж станут темой этой недели на TelNews.

Как известно, межсетевой экран способен обеспечить наиболее эффективную защиту на двух основных участках - борьба со шпионским ПО и противодействие хакерам, пытающимся взломать машину извне. Индивидуальные взломщики-хулиганы, которыми пользователей пугали еще несколько лет назад, уступили место целым фабрикам по производству «ботнетов», поэтому современным брандмауэрам приходится противостоять, в основном, «зомбированию» пользовательских компьютеров и распространению spyware.

Шпионский софт остается одной из самых актуальных угроз информационной безопасности. Прошло то время, когда какому-нибудь школьнику было интересно сколотить «зловреда» только лишь для того, чтобы отформатировать жесткий диск вашего компьютера. Вредоносное ПО превратилось в выгодный бизнес, и с этих пор признать его «однозначно вредоносным» становится все сложнее. Достаточно посмотреть, какая путаница творится с определением spyware, а также о появившемся сравнительно недавно словосочетании potential unwanted programs (потенциально нежелательные программы). Софт, ориентированный на получение прибыли, чаще всего не торопится крушить компьютер жертвы, «засланные» программы лишь добывают необходимую информацию и отправляют ее «хозяину». При этом им важно как можно дольше оставаться незамеченными, либо маскироваться под «легальный» софт.

О росте количества шпионов красноречиво свидетельствуют статистические данные. Категория Trojan-PSW, по информации «Лаборатории Касперского», за первое полугодие 2007 года выросла на 135%, причем львиная доля среди этих шпионских программ занимается кражей игровых данных. Другой класс - Trojan-Spy - продемонстрировал 69% роста, или 4500 новых модификаций. Воровать, показывать рекламу, дозваниваться на платные номера гораздо выгоднее, чем просто пугать пользователей и тормозить компьютеры.

Да и бороться с «софтом в законе», как выясняется, гораздо сложнее, чем с теми программами, которые не скрывают своих дурных намерений. Дело в том, что значительное число представителей spyware, - совершенно «легальные» программы, детектировать которые антивирусам мешает как здравый смысл, так и угроза судебных разбирательств. Да и про серьезные штрафы за нелегальный сбор пользовательской информации даже в США заговорили совсем недавно. Так, законопроект, предлагающий наказывать распространителей spyware на суммы до $3 млн., рассматривался американскими законодателями весной этого года.

Даже если с компьютера нечего красть, его ресурсы можно выгодно продавать, разумеется, без ведома владельца. Нынешние разбойничьи нападения на компьютерные сети требуют минимального вмешательства человека, «зомбированный» компьютер работает самостоятельно, управляется через несложный веб-интерфейс. Продолжительное сосуществование бок о бок с антивирусами научило боты быстро адаптироваться к сигнатурным технологиям: как только «зловредный» компонент был детектирован на одном компьютере, он спасает остальных участников «зомби-сети», отдавая приказ на обновление.

Таким образом, в актуальности описанных угроз сомневаться не приходится. Да и традиционный антивирус не всегда способен их детектировать, особенно если разработчикам бота или шпиона удалось обогнать антивирусных аналитиков, пусть даже и на несколько часов. Фаервол осуществляет анализ входящего и исходящего трафика, блокирует активность подозрительных приложений, отслеживает попытки атаковать компьютер извне. Казалось бы, ему гарантировано место в обязательном наборе программ, где-то рядом с антивирусом. Однако межсетевые экраны известны до сих пор лишь самым продвинутым пользователям Сети.

С чем это связано? Способны ли брандмауэр и комплексный антивирус эффективно сосуществовать? Как правильно построить защиту от шпионского софта и не стать частью ботнета? Что происходит в сегменте фаерволов и во что превратят рынок комплексные решения? Ответы на эти и многие другие вопросы - в нынешней «Теме недели». Мы планируем также поговорить о безопасности Windows Vista, борьбе проактивных технологий с сигнатурами и ближайших перспективах российского рынка ИБ.