Защищаемся от malware с помощью BufferZone::Журнал СА 9.2006
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 2271
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 2257
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1805
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1328
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1853
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Защищаемся от malware с помощью BufferZone

Архив номеров / 2006 / Выпуск №9 (46) / Защищаемся от malware с помощью BufferZone

Рубрика: Безопасность /  Механизмы защиты

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Защищаемся от malware с помощью BufferZone

Борьба с злонамеренными программами является частью обязанностей администратора. Но, учитывая, что ежедневно обнаруживается около 50 новых вирусов и других подобных программ, это становится непростым делом.

Обнаружить попытку внедрения практически любой злонамеренной программы можно тремя способами: опираясь на базу знаний, пытаясь предугадать действия и контролируя работу и целостность системы.

Сегодня самым популярным является первый, самый простой в реализации вариант, заключающийся в том, что на основе известного вируса создается его описание (сигнатура), которое заносится в базу. Проблем здесь несколько. Неизвестные вирусы таким способом обнаружить невозможно, а занесение новой сигнатуры требует некоторого времени (по данным лаборатории Касперского, от 30 минут до полутора часов). Но очень часто пользователи игнорируют обновления. Некоторые обновляют антивирусную базу раз в неделю, другие раз месяц, не говоря о том, что на некоторых компьютерах часто антивирус вообще не установлен.

Изучая действия различных типов malware (термин malware произошел от слов malicious и software. Под malware понимают все программы, которые могут нанести какой-либо ущерб, включая вирусы, троянцы, сетевых и почтовых червей, а также рекламное (adware) и шпионское (spyware) программное обеспечение.) можно попытаться описать их при помощи правил. Если программа нарушит одно из правил, то ее можно считать подозрительной. У злоумышленника всегда будет возможность изучить работу такой системы защиты и вероятно найдется вариант, позволяющий ее обойти. К тому же под описание могут попасть и некоторые легальные программы, пользователь будет сбит с толку и может принять неверное решение, блокирующее работу легальной утилиты.

Немного другой подход реализуют различные механизмы, опирающиеся на регистрацию аномалий, но, к сожалению, сегодня это в большинстве своем лишь теоретические разработки.

В стороне стоят системы, задача которых ограничение деятельности не доверенных программ. Запуская программу в ограниченной среде «песочнице» (sandbox) они позволяют предохранить систему от подозрительных или неразрешенных действий. Хотя такой подход и позволяет обнаружить и остановить практически любую угрозу, тем не менее многим программам требуется доступ в системную область, возможность записи и изменения файлов. Распознать вредные действия подчас довольно сложно, поэтому всегда есть вероятность ошибки, как запрет легального действия, так и, наоборот, разрешение неправильного. Пользователю придется выбирать между максимальной защитой, а значит, постоянными запросами, либо меньшей защитой, с возможностью спокойно работать. Поэтому такие «песочницы» должны использоваться в паре с антивирусом.

Из всего сказанного можно сделать вывод, что всегда приходится выбирать между удобством и уровнем безопасности, а беззаботный или невнимательный пользователь может свести на нет все старания по защите сети.

В журнале уже рассказывалось о различных решениях, позволяющих защитить компьютер без использования антивируса CORE FORCE [2] и Prevx1 [3], сегодня познакомимся еще с одним из них.

Подход BufferZone

Разработчики израильской компании Trustware Inc., образованной в 2003 году, предлагают иной подход, позволяющий активно защищать операционную систему Windows против злонамеренного программного обеспечения и компьютерных атак. Без каждодневных обновлений, с максимальной защитой при минимальном участии пользователя.

Суть технологии Virtualization, используемой в продукте, имеющем название BufferZone, заключается в том, что непроверенная программа помещается в виртуальную среду, наподобие sanbox. Но с некоторым отличием. Такие программы могут видеть файлы на жестком диске, но не могут их изменить. Если же программе потребуется изменение, например параметра реестра, то в виртуальном пространстве будет создана копия и программа будет в дальнейшем работать с ней, не трогая оригинал.

Для того чтобы избежать утечки информации, непроверенные программы могут вообще не иметь доступа к определенным (confidential) ресурсам. И, наоборот, доверенные процессы могут видеть все ресурсы (принцип прозрачности) или не иметь доступа к таким ресурсам.

Любая доверенная программа может изменить статус в том случае, когда работает с недоверенным источником. Например, при помощи MS Word пользователь открывает документ, полученный через Интернет. Таким образом, ненадежные программы всегда создают недоверенные ресурсы, а надежный процесс всегда производит доверенный ресурс.

Надежный процесс может получить доступ к непроверенному ресурсу, полученному результату система защиты также не будет доверять. Если файл, либо реестр изменен доверенной программой, то программа, помеченная как недоверенная, увидит это изменение. А если наоборот? Недоверенная программа, работая с копией, будет уверена, что изменила требуемый ресурс, остальных это изменение не коснется.

Таким образом любой троянец, даже проникнув в систему, не сможет полноценно работать, так как вся информация о его автозагрузке будет находиться в подставном ресурсе.

Кроме того, дисплей и клавиатура для доверенных и недоверенных процессов как бы разделены, поэтому даже если троянцу и удастся в последующем запуститься, то считать с них информацию он не сможет.

Варианты BufferZone

В настоящее время доступны четыре варианта продукта: Home, Corporate, CSP (Critical Systems Protection) и freeware. Каждый из них обеспечивает защиту на одном из трех уровней: отдельное приложение, компьютер или корпоративная сеть.

Так вариант Corporate позволяет администратору осуществлять полный и принудительный контроль над всеми устройствами, устанавливаемыми и работающими приложениями, централизованное управление настройками и правилами. Централизованная сертификация устанавливаемых программ может осуществляться как локально, так и через сеть (например LDAP).

В каждой версии ведется подробный журнал работы, поэтому всегда можно узнать о происходящем в системе.

Свободная версия программы защищает только отдельное приложение, не затрагивая сменные носители.

В настоящее время обеспечивается защита 13 утилит:

  • клиенты обмена сообщениями – MSN Messenger, Yahoo Messenger, ICQ, AOL Instant Messenger, GoogleTalk и Skype.
  • P2P-приложения – Limewire, Kazaa, Emule.
  • веб-браузеры и менеджеры закачек – Internet Explorer, FireFox, Download Accelerator Plus.

Минимальные требования к клиентскому компьютеру: процессор класса Pentium III с 128 Мб оперативной памяти и установленная ОС Windows 2000/XP/2003.

Тестируем работу BufferZone Home

В настоящее время на сайте проекта можно скачать триал-версию BufferZone Home, сохраняющую работоспособность без регистрации в течение 60 дней и все freeware-утилиты.

Установка варианта Home стандартная, после чего потребуется перезагрузка системы. На установку и запуск новой программы отреагировал брандмауер Jetico Personal Firewall, сообщивший, что приложение пытается «Event attacker injects own code into application» и «Event attacker writes to application’s memory» и так для всех процессов, автоматически запускающихся вместе с системой. Кроме того, программа WinPatrol сообщила о добавлении клиента BufferZone в автозапуск и появлении нового сервиса ClntSvc.exe.

После загрузки системы на рабочем столе появились новые папки My Confidential Documents, C:Virtual и в трее новый значок, щелчок по которому вызовет появление окна настройки (см. рис. 1).

Рисунок 1. Главное окно программы

Рисунок 1. Главное окно программы

После установки все файлы из папки Program Files будут перенесены в Virtual и помечены как Untrusted. На старом месте останутся только ярлыки, указывающие на файлы в Virtual. Главное окно программы состоит из 4 вкладок:

  • Summary – выводит список запущенных на компьютере (см. рис. 2) и помещенных в BufferZone программ. Здесь же можно просмотреть, сохранить и распечатать журналы событий, редактировать список запрещенных, конфиденциальных файлов, а также распределить программы по зонам. Также отсюда можно запустить небольшой тур на Flash, рассказывающий о возможностях BufferZone.

Рисунок 2. Вывод списка процессов

Рисунок 2. Вывод списка процессов

  • Policy – настройка «Activate Application Control», т.е. действия программы при появлении нового процесса и сообщение выводимого при этом пользователю. Также в этом пункте определяются зоны (none, BufferZone, Confidential, Forbidden) для внешних и сетевых устройств, а также реакция системы на запуск неизвестных, но подписанных программ.
  • Firewall – содержит настройки межсетевого экрана для приложений, работающих в двух зонах Trusted и BufferZone. В качестве параметров принимается имя приложения (возможно с указанием полного пути), сетевой адрес, порт и действие (Allow, Deny). По умолчанию запрещен доступ по 25 порту для всех приложений, находящихся в BufferZone, остальные соединения разрешены.
  • Setting – здесь также две вкладки. В «General» установки администраторского пароля, рисунков статуса на файлах и папках, вывод иконки в трее, оповещение о появлении новой версии программы, действие по-умолчанию в том случае, когда доверенная программа открывает недоверенный ресурс (спросить, запретить, открыть в BufferZone, разрешить). В «Maintenance» можно установить очистку виртуальных файлов в BufferZone.

Обозначения файлов и каталогов при использовании BufferZone помечаются специальной маркировкой. Доверенные файлы не маркируются, недоверенные получают красную окантовку вокруг значка. Значки программ, которые могут работать как в том, так и другом режиме, кроме красной окантовки, дополнительно перечеркиваются красной полосой. Файлы, помеченные пользователем как confidential, дополнительно маркируются замком, а forbidden – запрещающим знаком (см. рис. 3). Элементы экранного интерфейса, запущенные в BufferZone, также получают красную окантовку по контуру окна.

Рисунок 3. Маркировка файлов при использовании BufferZone

Рисунок 3. Маркировка файлов при использовании BufferZone

В контекстном меню, вызываемом по щелчку правой кнопкой, появились дополнительные опции (см. рис. 4), позволяющие перемещать файл или каталог в/из BufferZone, запускать приложение в BufferZone, установить атрибут Confidential и Forbidden. Пользователю доступны два виртуальных рабочих стола: Desktop и Security, сменить их можно при помощи пункта меню, вызываемого при помощи значка в трее.

Первый же час работы выявил и некоторые недостатки, которые, правда, устраняются настройкой. Например, 700 Мб свободного места на диске C: были быстро забиты работающими приложениями, ведь для каждого все настройки создавались фактически повторно. Открытие документов в Microsoft Word в первые несколько запусков после активации BufferZone постоянно сопровождалось доустановкой каких-то компонентов. Поэтому при установке необходимо планировать и некоторый запас дискового пространства (хотя бы двойной).

Рисунок 4. Новые опции в контекстном меню

Рисунок 4. Новые опции в контекстном меню

После активации BufferZone стоит просмотреть установленные программы и неопасные сразу же перевести в нормальный режим работы, используя пункт контекстного меню «Move out of BufferZone», выбрав нужную папку в C:VirtualUntrustedC_Program Files. В случае надобности любую программу всегда можно будет запустить в недоверенном режиме вручную.

Для тестирования работы системы защиты я запустил файл, содержащий вирус I-Worm/Netsky.B. В режиме Security при запуске вируса было отказано, система сослалась на то, что была предпринята попытка записи в охраняемую системную область. Тогда я обозначил архиватор WinRaR как доверенную программу и попробовал запустить файл с вирусом, содержащимся в архиве. Сразу же выскочило сообщение (см. рис.5), говорящее о том, что на диске была создана новая программа, которая на всякий случай будет запущена в BufferZone. И опять вирус был остановлен. Удалось запустить вирус только в режиме Desktop. Но если в системе без работающего BufferZone работа вируса не была заметна, то после «заражения» компьютера с активированным BufferZone сразу стало понятно, что что-то не так. Загрузка процессора подскочила до 70-80 % и начал активно работать жесткий диск. После перезагрузки компьютера в списке процессов уже отсутствовал service.exe, работающий с папки Windows, а в виртуальной папке было обнаружено несколько созданных копий вируса с разными названиями, что характерно для этого вируса. Если выставить автоматическую очистку виртуальной папки в конце рабочего дня, то о вирусе можно вообще не узнать.

Рисунок 5. Сообщение о запуске неизвестного файла

Рисунок 5. Сообщение о запуске неизвестного файла

Что имеем?

Эксперименты с несколькими вирусами не могут дать гарантию стопроцентной защиты, но они показывают, что у технологии BufferZone есть все возможности противостоять угрозе.

Таблица сравнения версий программы BufferZone

Возможности версии

Free

Home

Laptop

CSP

Server

Corporate

Защита от вирусов, червей и троянов из Интернета

+

+

+

+

+

+

Защита от вирусов, червей и троянов из внешнего источника (дискета, компакт-диск, USB-устройства)

+

+

+

+

+

Защита файлов, регистра, выполняющихся прикладных программ и объектов Windows

+

+

+

+

+

+

Интеграция со сторонними сертификатами кода

+

+

+

+

+

+

Возможность полного запрещения инсталляции программного обеспечения из любого внешнего источника

+

+

+

+

Для изменения уровня безопасности требуется пароль администратора

+

+

+

+

Политики на рабочих станциях сети

+

Централизованные параметры настройки и правила политики

+

Централизованное развертывание новых ревизий

+

Детализированный файл регистрации событий безопасности от всех рабочих станций

+

+

+

+

+

+

Поддержка Windows 2000, XP и 2003 Server

+

+

+

+

+

+

Пользователь должен немного привыкнуть к работе с таким типом программ, хотя в некоторых случаях система сама его подстраховывает и лишних вопросов не задает. Кроме того, еще сказывается инерция мышления, мы все хорошо знаем о работе антивирусов, межсетевых экранов, а вот работая с одним BufferZone все-таки чувствуешь себя несколько неуверенно.

Но нельзя не обратить внимание на наметившуюся активность в разработке альтернативных приложений, предназначенных для защиты персональных систем, без использования базы знаний. Это может свидетельствовать только о том, что вполне вероятно в будущем такие системы станут более распространенными.

Кроме того, BufferZone является отличным инструментом, позволяющим запускать неизвестные программы без боязни нанести ущерб работе операционной системы.

  1. Сайт проекта Trusware – http://www.trustware.com.
  2. Яремчук С. Защищаем Windows-системы с помощью CORE FORCE. //«Системный администратор», №1, 2006 г. – С. 54-59. – http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2006;a=09.
  3. Яремчук С. Чем уникальна общественная система предотвращения атак Prevx1. //«Системный администратор», №2, 2006 г. – С. 56-59. – http://www.samag.ru/cgi-bin/go.pl?q=articles;n=02.2006;a=09.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru