Защищаемся от malware с помощью BufferZone

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Защищаемся от malware с помощью BufferZone

Борьба с злонамеренными программами является частью обязанностей администратора. Но, учитывая, что ежедневно обнаруживается около 50 новых вирусов и других подобных программ, это становится непростым делом.

Обнаружить попытку внедрения практически любой злонамеренной программы можно тремя способами: опираясь на базу знаний, пытаясь предугадать действия и контролируя работу и целостность системы.

Сегодня самым популярным является первый, самый простой в реализации вариант, заключающийся в том, что на основе известного вируса создается его описание (сигнатура), которое заносится в базу. Проблем здесь несколько. Неизвестные вирусы таким способом обнаружить невозможно, а занесение новой сигнатуры требует некоторого времени (по данным лаборатории Касперского, от 30 минут до полутора часов). Но очень часто пользователи игнорируют обновления. Некоторые обновляют антивирусную базу раз в неделю, другие раз месяц, не говоря о том, что на некоторых компьютерах часто антивирус вообще не установлен.

Изучая действия различных типов malware (термин malware произошел от слов malicious и software. Под malware понимают все программы, которые могут нанести какой-либо ущерб, включая вирусы, троянцы, сетевых и почтовых червей, а также рекламное (adware) и шпионское (spyware) программное обеспечение.) можно попытаться описать их при помощи правил. Если программа нарушит одно из правил, то ее можно считать подозрительной. У злоумышленника всегда будет возможность изучить работу такой системы защиты и вероятно найдется вариант, позволяющий ее обойти. К тому же под описание могут попасть и некоторые легальные программы, пользователь будет сбит с толку и может принять неверное решение, блокирующее работу легальной утилиты.

Немного другой подход реализуют различные механизмы, опирающиеся на регистрацию аномалий, но, к сожалению, сегодня это в большинстве своем лишь теоретические разработки.

В стороне стоят системы, задача которых ограничение деятельности не доверенных программ. Запуская программу в ограниченной среде «песочнице» (sandbox) они позволяют предохранить систему от подозрительных или неразрешенных действий. Хотя такой подход и позволяет обнаружить и остановить практически любую угрозу, тем не менее многим программам требуется доступ в системную область, возможность записи и изменения файлов. Распознать вредные действия подчас довольно сложно, поэтому всегда есть вероятность ошибки, как запрет легального действия, так и, наоборот, разрешение неправильного. Пользователю придется выбирать между максимальной защитой, а значит, постоянными запросами, либо меньшей защитой, с возможностью спокойно работать. Поэтому такие «песочницы» должны использоваться в паре с антивирусом.

Из всего сказанного можно сделать вывод, что всегда приходится выбирать между удобством и уровнем безопасности, а беззаботный или невнимательный пользователь может свести на нет все старания по защите сети.

В журнале уже рассказывалось о различных решениях, позволяющих защитить компьютер без использования антивируса CORE FORCE [2] и Prevx1 [3], сегодня познакомимся еще с одним из них.

Подход BufferZone

Разработчики израильской компании Trustware Inc., образованной в 2003 году, предлагают иной подход, позволяющий активно защищать операционную систему Windows против злонамеренного программного обеспечения и компьютерных атак. Без каждодневных обновлений, с максимальной защитой при минимальном участии пользователя.

Суть технологии Virtualization, используемой в продукте, имеющем название BufferZone, заключается в том, что непроверенная программа помещается в виртуальную среду, наподобие sanbox. Но с некоторым отличием. Такие программы могут видеть файлы на жестком диске, но не могут их изменить. Если же программе потребуется изменение, например параметра реестра, то в виртуальном пространстве будет создана копия и программа будет в дальнейшем работать с ней, не трогая оригинал.

Для того чтобы избежать утечки информации, непроверенные программы могут вообще не иметь доступа к определенным (confidential) ресурсам. И, наоборот, доверенные процессы могут видеть все ресурсы (принцип прозрачности) или не иметь доступа к таким ресурсам.

Любая доверенная программа может изменить статус в том случае, когда работает с недоверенным источником. Например, при помощи MS Word пользователь открывает документ, полученный через Интернет. Таким образом, ненадежные программы всегда создают недоверенные ресурсы, а надежный процесс всегда производит доверенный ресурс.

Надежный процесс может получить доступ к непроверенному ресурсу, полученному результату система защиты также не будет доверять. Если файл, либо реестр изменен доверенной программой, то программа, помеченная как недоверенная, увидит это изменение. А если наоборот? Недоверенная программа, работая с копией, будет уверена, что изменила требуемый ресурс, остальных это изменение не коснется.

Таким образом любой троянец, даже проникнув в систему, не сможет полноценно работать, так как вся информация о его автозагрузке будет находиться в подставном ресурсе.

Кроме того, дисплей и клавиатура для доверенных и недоверенных процессов как бы разделены, поэтому даже если троянцу и удастся в последующем запуститься, то считать с них информацию он не сможет.

Варианты BufferZone

В настоящее время доступны четыре варианта продукта: Home, Corporate, CSP (Critical Systems Protection) и freeware. Каждый из них обеспечивает защиту на одном из трех уровней: отдельное приложение, компьютер или корпоративная сеть.

Так вариант Corporate позволяет администратору осуществлять полный и принудительный контроль над всеми устройствами, устанавливаемыми и работающими приложениями, централизованное управление настройками и правилами. Централизованная сертификация устанавливаемых программ может осуществляться как локально, так и через сеть (например LDAP).

В каждой версии ведется подробный журнал работы, поэтому всегда можно узнать о происходящем в системе.

Свободная версия программы защищает только отдельное приложение, не затрагивая сменные носители.

В настоящее время обеспечивается защита 13 утилит:

• клиенты обмена сообщениями – MSN Messenger, Yahoo Messenger, ICQ, AOL Instant Messenger, GoogleTalk и Skype.
• P2P-приложения – Limewire, Kazaa, Emule.
• веб-браузеры и менеджеры закачек – Internet Explorer, FireFox, Download Accelerator Plus.

Минимальные требования к клиентскому компьютеру: процессор класса Pentium III с 128 Мб оперативной памяти и установленная ОС Windows 2000/XP/2003.

Тестируем работу BufferZone Home

В настоящее время на сайте проекта можно скачать триал-версию BufferZone Home, сохраняющую работоспособность без регистрации в течение 60 дней и все freeware-утилиты.

Установка варианта Home стандартная, после чего потребуется перезагрузка системы. На установку и запуск новой программы отреагировал брандмауер Jetico Personal Firewall, сообщивший, что приложение пытается «Event attacker injects own code into application» и «Event attacker writes to application’s memory» и так для всех процессов, автоматически запускающихся вместе с системой. Кроме того, программа WinPatrol сообщила о добавлении клиента BufferZone в автозапуск и появлении нового сервиса ClntSvc.exe.

После загрузки системы на рабочем столе появились новые папки My Confidential Documents, C:Virtual и в трее новый значок, щелчок по которому вызовет появление окна настройки (см. рис. 1).

Рисунок 1. Главное окно программы

После установки все файлы из папки Program Files будут перенесены в Virtual и помечены как Untrusted. На старом месте останутся только ярлыки, указывающие на файлы в Virtual. Главное окно программы состоит из 4 вкладок:

• Summary – выводит список запущенных на компьютере (см. рис. 2) и помещенных в BufferZone программ. Здесь же можно просмотреть, сохранить и распечатать журналы событий, редактировать список запрещенных, конфиденциальных файлов, а также распределить программы по зонам. Также отсюда можно запустить небольшой тур на Flash, рассказывающий о возможностях BufferZone.

Рисунок 2. Вывод списка процессов

• Policy – настройка «Activate Application Control», т.е. действия программы при появлении нового процесса и сообщение выводимого при этом пользователю. Также в этом пункте определяются зоны (none, BufferZone, Confidential, Forbidden) для внешних и сетевых устройств, а также реакция системы на запуск неизвестных, но подписанных программ.
• Firewall – содержит настройки межсетевого экрана для приложений, работающих в двух зонах Trusted и BufferZone. В качестве параметров принимается имя приложения (возможно с указанием полного пути), сетевой адрес, порт и действие (Allow, Deny). По умолчанию запрещен доступ по 25 порту для всех приложений, находящихся в BufferZone, остальные соединения разрешены.
• Setting – здесь также две вкладки. В «General» установки администраторского пароля, рисунков статуса на файлах и папках, вывод иконки в трее, оповещение о появлении новой версии программы, действие по-умолчанию в том случае, когда доверенная программа открывает недоверенный ресурс (спросить, запретить, открыть в BufferZone, разрешить). В «Maintenance» можно установить очистку виртуальных файлов в BufferZone.

Обозначения файлов и каталогов при использовании BufferZone помечаются специальной маркировкой. Доверенные файлы не маркируются, недоверенные получают красную окантовку вокруг значка. Значки программ, которые могут работать как в том, так и другом режиме, кроме красной окантовки, дополнительно перечеркиваются красной полосой. Файлы, помеченные пользователем как confidential, дополнительно маркируются замком, а forbidden – запрещающим знаком (см. рис. 3). Элементы экранного интерфейса, запущенные в BufferZone, также получают красную окантовку по контуру окна.

Рисунок 3. Маркировка файлов при использовании BufferZone

В контекстном меню, вызываемом по щелчку правой кнопкой, появились дополнительные опции (см. рис. 4), позволяющие перемещать файл или каталог в/из BufferZone, запускать приложение в BufferZone, установить атрибут Confidential и Forbidden. Пользователю доступны два виртуальных рабочих стола: Desktop и Security, сменить их можно при помощи пункта меню, вызываемого при помощи значка в трее.

Первый же час работы выявил и некоторые недостатки, которые, правда, устраняются настройкой. Например, 700 Мб свободного места на диске C: были быстро забиты работающими приложениями, ведь для каждого все настройки создавались фактически повторно. Открытие документов в Microsoft Word в первые несколько запусков после активации BufferZone постоянно сопровождалось доустановкой каких-то компонентов. Поэтому при установке необходимо планировать и некоторый запас дискового пространства (хотя бы двойной).

Рисунок 4. Новые опции в контекстном меню

После активации BufferZone стоит просмотреть установленные программы и неопасные сразу же перевести в нормальный режим работы, используя пункт контекстного меню «Move out of BufferZone», выбрав нужную папку в C:VirtualUntrustedC_Program Files. В случае надобности любую программу всегда можно будет запустить в недоверенном режиме вручную.

Для тестирования работы системы защиты я запустил файл, содержащий вирус I-Worm/Netsky.B. В режиме Security при запуске вируса было отказано, система сослалась на то, что была предпринята попытка записи в охраняемую системную область. Тогда я обозначил архиватор WinRaR как доверенную программу и попробовал запустить файл с вирусом, содержащимся в архиве. Сразу же выскочило сообщение (см. рис.5), говорящее о том, что на диске была создана новая программа, которая на всякий случай будет запущена в BufferZone. И опять вирус был остановлен. Удалось запустить вирус только в режиме Desktop. Но если в системе без работающего BufferZone работа вируса не была заметна, то после «заражения» компьютера с активированным BufferZone сразу стало понятно, что что-то не так. Загрузка процессора подскочила до 70-80 % и начал активно работать жесткий диск. После перезагрузки компьютера в списке процессов уже отсутствовал service.exe, работающий с папки Windows, а в виртуальной папке было обнаружено несколько созданных копий вируса с разными названиями, что характерно для этого вируса. Если выставить автоматическую очистку виртуальной папки в конце рабочего дня, то о вирусе можно вообще не узнать.

Рисунок 5. Сообщение о запуске неизвестного файла

Что имеем?

Эксперименты с несколькими вирусами не могут дать гарантию стопроцентной защиты, но они показывают, что у технологии BufferZone есть все возможности противостоять угрозе.

Таблица сравнения версий программы BufferZone

Пользователь должен немного привыкнуть к работе с таким типом программ, хотя в некоторых случаях система сама его подстраховывает и лишних вопросов не задает. Кроме того, еще сказывается инерция мышления, мы все хорошо знаем о работе антивирусов, межсетевых экранов, а вот работая с одним BufferZone все-таки чувствуешь себя несколько неуверенно.

Но нельзя не обратить внимание на наметившуюся активность в разработке альтернативных приложений, предназначенных для защиты персональных систем, без использования базы знаний. Это может свидетельствовать только о том, что вполне вероятно в будущем такие системы станут более распространенными.

Кроме того, BufferZone является отличным инструментом, позволяющим запускать неизвестные программы без боязни нанести ущерб работе операционной системы.

1. Сайт проекта Trusware – http://www.trustware.com.
2. Яремчук С. Защищаем Windows-системы с помощью CORE FORCE. //«Системный администратор», №1, 2006 г. – С. 54-59. – http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2006;a=09.
3. Яремчук С. Чем уникальна общественная система предотвращения атак Prevx1. //«Системный администратор», №2, 2006 г. – С. 56-59. – http://www.samag.ru/cgi-bin/go.pl?q=articles;n=02.2006;a=09.