Защити свой компьютер на 100% от вирусов и хакеров
Шрифт:
Пожалуй, одной из интереснейших особенностей ZoneAlarm можно считать криптографическую подпись для доверенных приложений. Именно благодаря данной функции все попытки так называемой маскировки одних программ под другие (а именно так часто и действуют троянские кони) сводятся на нет.
Ну что ж, описание действительно заставляет задуматься: за интуитивно простым интерфейсом ZoneAlarm кроется "грозный страж" с достаточно качественно написанным ядром и оригинальным алгоритмом inbound/outbound-контроля. Ко всему прочему действия пользователя в случае атаки извне доведены до минимума – достаточно нажать на красную кнопку.
Agnitum Outpost Firewall
Итак,
Итак, Outpost Firewall обеспечивает проактивную защиту, блокирующую все известные на сегодняшний день методики обхода безопасности (ликтесты), таким образом полностью предотвращая утечку важных данных с компьютеров пользователей. Новый контроль Anti-Leak объединяет технологии контроля скрытых процессов и контроля памяти процессов, доступные в предыдущих версиях, и предоставляет набор дополнительных возможностей, таких как блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки и др.
Ну что ж, достаточно недурно. Однако, как вы увидите позже, ликтесты отнюдь не являются показателем того, что брандмауэр действительно лучший.
Блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки – все из перечисленных технологий являются попыткой достойно ответить на эволюционирующие виды вредоносного ПО (руткиты, троянские кони с функциями внедрения в уже работающие приложения и процессы) (рис. 6.3).
Рис. 6.3. Окно Outpost Firewall
Новый анализатор сигнатур spyware обеспечивает еще более качественное обнаружение вредоносного ПО для улучшения защиты пользователей от всех известных, а также модифицированных и самых новых версий вредоносных программ. Для получения более качественных результатов сканирования spyware-сканер, наряду с построением контрольных сумм по целому файлу, имеет возможность детектировать вредоносное ПО по неизменяемой, уникальной части файла.
Ну что ж, очень даже неплохо. В описании подразумевается использование как сигнатурного поиска, так и поиска по контрольной сумме файла (получается этакий гибрид между обычным антивирусом-полифагом и ревизором).
Outpost Firewall использует новую процедуру проверки на основе Secure Hash Algorithm (SHA) 256 для определения приложений во время автоматического создания правил сетевого доступа через ImproveNet. Это позволяет Outpost Firewall Pro гораздо более точно определять приложения и, следовательно, создавать и распространять оптимальные наборы правил.
Технологии, описанные выше, призваны предотвратить случаи, когда spyware пытается выйти в Сеть, маскируясь под доверенное приложение, например Internet Explorer. В основе такой защиты стоит криптографическая подпись, создаваемая брандмауэром для каждого отдельного приложения, формируя таким образом уникальный PID – гарант того, что данная программа является тем, за кого она себя выдает.
В Outpost Firewall также есть специально разработанный "Игровой режим", который позволяет не отвлекать пользователя и не прерывать его во время игры и при этом защищает систему во время игр или просмотра фильмов
Для тех, кто хочет уменьшить количество запросов от программы, но хочет иметь полный контроль, Outpost Firewall Pro предлагает "Низкий уровень контроля компонентов", который предупреждает не о каждом измененном или добавленном компоненте приложения, а только об исполняемых файлах.
Наконец, Outpost Firewall Pro представляет новый режим внутренней защиты. С включенной внутренней защитой Outpost Firewall предотвращает попытки вирусов, троянских коней и шпионского ПО завершить работу брандмауэра. Outpost Firewall обнаруживает и предотвращает все попытки имитации нажатия клавиш пользователем, которые могут привести к приостановке работы брандмауэра. Он также отслеживает изменение своих собственных компонентов на жестком диске, значений реестра, состояние памяти, запущенные службы и т. д. и блокирует любые изменения, предпринятые вредоносными приложениями.
Leak-тест
Посмотрим, что представляют собой программы в авторитетных тестах. В качестве контрольного теста мы воспользуемся результатами так называемого Leak-теста (от англ. leak – «просачиваться, утекать»). Поясним основные его принципы.
В основе данного теста лежит использование outbound-эмуляторов, позволяющих имитировать работающих троянских коней, пытающихся что-либо передать в Сеть. В качестве примера можно привести следующие тест-системы (рис. 6.4 и 6.5).
Принцип работы данной тест-системы заключается в создании туннеля через открытый 80-й порт. Таким образом, эмулируется тот случай, когда троянский конь маскируется за счет работы в уже открытом и доверенном в настройках 80-м порте (рис. 6.4).
Рис. 6.4. Окно тест-системы FireHole
В данном случае Ghost эмулирует отправку HTTP-запросов на удаленный URL-адрес, скрывая факт отправки как таковой (рис. 6.5).
Рис. 6.5. Окно Ghost
Надо заметить, что некоторые из подобных эмуляторов распознаются антивирусом как самые настоящие троянские кони (рис. 6.6).
Рис. 6.6. Некоторые эмуляторы антивирус принимают за троянских коней Вот, собственно, и результаты теста (табл. 6.1).
Таблица 6.1. Результаты Leak-теста согласно http://www.matousec.com
Самое интересное, пожалуй, то, что по результатам теста, который описан выше (см. табл. 6.1), наши претенденты за звание лучшего межсетевого экрана не занимают ни первого, ни второго места. Парадокс? Удивляться не стоит. Во-первых, это всего лишь один из возможных тестов. Во-вторых, априорное лидерство наших героев проверено, как говорится, огнем и медными трубами, не одним поколением интернет-пользователей и добрым десятком тестовых лабораторий. Поэтому все догадки по этому поводу с успехом подойдут к заключениям типа «Совершенных продуктов нет и не может быть…».