Средства безопасности – ваш выбор.

Часть 1: Программный брандмауэр

Краткий обзор

Мы начинаем серию статей для менее опытной части пользователей, которые хотят больше узнать о доступных сегодня возможностях средств безопасности. Для остальных эти статьи будут интересны наличием краткого изложения актуальной, но часто разрозненной информации. Цель данной серии – создать сбалансированный обзор категорий средств безопасности, доступных сегодня, выявить основные аспекты их применения и возможности, а также их ограничения и недостатки.

Первая статья сосредоточена на программных брандмауэрах, которые, наряду с антивирусами, считаются неотъемлемой частью защиты компьютера. К антивирусам мы обратимся в следующей статье.

Программный брандмауэр

Основная задача брандмауэра – предотвращение вредоносных или нежелательных соединений вашего компьютера по сети (обычно Интернет). Брандмауэры действуют как охранники на входе – впуская и выпуская званых посетителей (сетевой трафик), блокируя вход и выход менее благонамеренным гостям (вредоносные и несанкционированные соединения) согласно указаниям начальства (пользователя компьютера), и запрашивая дальнейшие указания при обнаружении неизвестной активности (посетители без документов).

Брандмауэр считается основным элементом безопасности, так как помогает блокировать неизвестные угрозы, запрещая им сетевой доступ. Брандмауэры используют проактивный подход – они останавливают неизвестные соединения, спрашивают пользователя, каким образом нужно поступить с подобными попытками зайти в сеть, и назначают сетевой доступ только тем соединениям, которые пользователь определяет как доверенные. Блокируя стевой доступ, брандмауэр преграждает вредоносному ПО основной путь его распространения – Интернет. Большинство современных угроз — троянцы, программы-зомби, черви и прочие вредоносные программы используют Интернет для самораспространения и передачи украденной персональной информации сторонним источникам.

Брандмауэр может скрыть присутствие компьютера в сети, чтобы хакеры не могли обнаружить его и использовать его слабозащищенные места. Некоторые продвинутые брандмауэры также защищают от известных атак и вторжений, автоматически предотвращая их. Брандмауэр также может быть использовать для контроля обмена данными во внутренних сетях (таких как домашние или офисные локальные сети), гарантируя, что данные отправляются нужному адресату, и предотвращая внутренние взломы и перехват данных (атаки типа man-in-the-middle).

Брандмауэры наблюдают и контролируют трафик в обоих направлениях. Данные, полученные из сети, называются входящими, в то время как данные, отправляемые с компьютера — исходящими. Хотя большинство современных угроз используют слабости защиты контроля исходящих соединений, крайне важно контролировать оба направления. Некоторые из наиболее популярных брандмауэров, включая входящие в состав операционных систем Windows Vista и XP, по умолчанию не контролируют исходящие соединения, что требует дополнительных действий со стороны пользователей.

В отличие от типичных приложений по борьбе с вредоносным ПО, брандмауэры не основываются на базе сигнатур, в том смысле, что, чтобы заблокировать угрозу, им не нужно обнаруживать ее по ее известной последовательности символов. Вместо этого они спрашивают пользователя, стоит ли разрешать конкретной программе соединение с сетью или нет. Это является наиболее сложной частью работы с брандмауэром для пользователя, так как, вполне очевидно, многие из них не обладают знаниями, необходимыми для принятия этого решения. Они не знакомы со спецификой сетей или внутренних функций операционной системы и не могут обеспечить обоснованный ответ на запрос брандмауэра.

Поэтому, в определенной степени, брандмауэр надежен настолько, насколько пользователь способен отвечать на его запросы; если оказывается, что пользователь отвечает некорректно и по неосторожности разрешает доступ троянцу, брандмауэр просто делает то, что ему велят, давая доступ этой конкретной вредоносной программе. В попытке смягчить данную ситуацию, большинство брандмауэров теперь позволяют создавать “белый список” известных доверенных приложений и служб системы, которым сетевой доступ разрешается автоматически, без вопросов к пользователю. Для улучшения понимания пользователями определенной активности приложений и помощи в принятии верного решения при назначении новых прав доступа некоторые брандмауэры предоставляют систему оперативных советов и динамических подсказок во время этого процесса.

Чтобы корректно обрабатывать сетевую активность большинства сетевых приложений, не охватываемых существующим белым списком брандмауэра, некоторые более изощренные средства безопасности (в том числе, Outpost Firewall Pro и ZoneAlarm Pro) поддерживают постоянно обновляемую базу данных известных хороших и вредоносных программ, которая регулярно загружается на компьютер пользователя для снижения числа запросов, на которые пользователь должен отвечать, чтобы поддерживать высокий уровень своей безопасности. Но, разумеется, не существует совершенных систем, и далеко не каждое приложение может быть включено в списки производителей, поэтому пользователю всегда придется отвечать на ряд вопросов самостоятельно.

Как мы видим, брандмауэры редко ограничиваются фильтрацией трафика. Многие из них сейчас предоставляют дополнительную функциональность, такую как системы предупреждения вторжений (Host Intrusion Prevention systems, HIPS) для контроля локальной активности и взаимодействия приложений, средства родительского контроля, безопасной работы в сети, продвинутые системы отслеживания соединений и регистрации событий и другие инструменты, которые будут рассмотрены в будущих статьях.

Выводы

Что могут брандмауэры:

• Защищать сетевые и Интернет-соединения от вредоносного и нежелательного содержимого
• Блокировать известные внутренние или внешние атаки и защищать целостность и конфиденциальность внутрисетевых данных
• Предотвращать попытки вредоносного кода получить доступ в сеть и передать персональную информацию киберпреступникам
• Фильтровать сетевые данные в соответствии с критериями, определенными пользователем
• Скрывать присутствие компьютера в сети, защищая его от сканирования и компьютеров-зомби, ищущих уязвимости

Чего брандмауэры не могут:

• Удалять вредоносное ПО из уже зараженной системы
• Обеспечивать автоматическую защиту от неизвестных попыток соединения; для принятия подобных решений необходимо участие пользователя.

Потенциальные недостатки брандмауэров:

• Так как брандмауэры являются взаимоисключающими инструментами, два брандмауэра не могут мирно сосуществовать в системе. Они осуществляют активность на низком уровне, обращаясь непосредственно к сетевому оборудованию, и только один набор подобных взаимодействий может иметь место в определенный момент времени.
• Брандмауэр может замедлить передачу данных и потреблять дополнительные ресурсы процессора при обработке больших объемов данных, пересылаемых по высокоскоростным соединениям.
• Большинство брандмауэров предоставляют некоторую дополнительную функциональность, такую как средства родительского контроля или фильтрации содержимого веб-сайтов, которые могут вызвать несовместимость с другими средствами безопасности, предоставляющими подобную функциональность.

Часть 2: Антивирус

Вступление

Это вторая из серии статей для менее опытной части пользователей, которые хотят больше узнать о доступных сегодня возможностях средств безопасности. Для остальных эти статьи будут интересны наличием краткого изложения актуальной, но часто разрозненной информации. Цель данной серии – создать сбалансированный обзор категорий средств безопасности, доступных сегодня, выявить основные аспекты их применения и возможности, а также их ограничения и недостатки.

Вторая статья сосредоточена на антивирусах, которые, наряду с брандмауэрами, считаются неотъемлемой частью защиты компьютера. Статья о брандмауэрах доступна на нашем сайте.

Антивирус

Сегодня чистый антивирус – редкость. Вирусы уступают территорию более коммерчески нацеленным вредоносным программам, таким как программы-шпионы, кейлоггеры и троянцы, охотящиеся за информацией пользователя. Сегодня, когда мы говорим об антивирусе, мы обычно имеем в виду сканер, способный обнаруживать и удалять целый ряд вредоносных программ: вирусы, шпионы, зомбирующие программы (“боты”-botnets), троянцы и т.д. Некоторые из этих “объединенных продуктов” более успешны, чем другие, поэтому важно понимать специфические особенности каждого компонента при выборе решения, которое вам подходит.

Так что же такое антивирус и как он работает?

В сущности, антивирус – это вид средства безопасности, которое сканирует ваш компьютер на предмет самораспространяющегося вредоносного ПО (обычно вирусов и червей) и нейтрализует его. Для достижения этой цели антивирус использует ряд технологий обнаружения:

• Сигнатурное обнаружение

  Сигнатурное обнаружение является основным методом, используемым современными антивирусами; он заключается в анализе вредоносного кода на предмет наличия в нем известных контрольных сумм. Для этого антивирус инспектирует содержимое файла в поисках фрагментов, совпадающих с известной последовательностью, обозначенной в его базе как вредоносная. При обнаружении такой последовательности файл или его фрагмент помечается как зараженный и помещается в карантин, вылечивается или удаляется в соответствии с настройками конкретного антивируса. Метод основан на обычном сравнении и является быстрым и точным способом обнаружения заражений существующими вирусами.

  Обратная сторона этого метода заключается в том, что пользователь всегда должен иметь обновленную базу сигнатур, чтобы точное обнаружение работало. Кроме того, сигнатурное обнаружение неэффективно против новейших и полиморфных (мутирующих) вирусов, которые скрывают свое присутствие, частично изменяясь.

• Эвристика и аппроксимация

  Как было замечено выше, при изменении угрозы традиционные методы обнаружения становятся неэффективны, так как не могут обнаружить модифицированный код. Одним из способов борьбы с этим недостатком является эвристическое обнаружение, которое оценивает вероятность того, что слегка измененный код может являться модификацией исходной угрозы. Это довольно сложный и требовательный метод, но он используется большинством наиболее технологичных антивирусов. Из-за своей относительной молодости технология эвристического анализа все-таки нуждается в дополнении другими методами обнаружения; также данный метод в каком-то смысле подвержен ошибкам, так как способен производить большое число ложных срабатываний (ситуаций, когда чистые объекты неверно определяются как вредоносные).

• Виртуализированная имитация

  Это новый многообещающий подход, способный обнаруживать новые и неизвестные вирусы. Вместо запуска традиционного сигнатурного сканера для проверки подозрительного файла, виртуализация создает временную безопасную среду, в которой выполняет файл и исследует его более тщательно. Так как эта среда изолирована, потенциально зараженный файл может быть запущен без риска подвергнуть компьютер опасности – виртуальные действия не могут навредить реальным данным пользователей. После запуска файла в этой виртуализированной среде и активации его функций, методы, которые он использует для сокрытия своего присутствия (мы опишем их чуть ниже), больше не работают, так как код запущен в памяти “в открытом виде”. Это означает, что вся дейтельность файла видна антивирусу и может быть проверена традиционным сигнатурным анализом. Из-за своей относительной новизны и сложности виртуализация еще недостаточно развита как метод обнаружения вирусов и еще не так распространена в персональных антивирусах.

  Виртуализация работает рука об руку с дополнительными технологиями, такими как анализ поведения и технология “песочницы” (sandbox), которые мы обсудим подробнее в третьем выпуске нашего цикла статей.

Что происходит при обнаружении вируса?

После идентификации вредоносного файла его нужно соответствующим образом обработать. Если обыкновенный легитимный файл был заражен вирусом, изменившим его содержимое, вредоносную секцию файла необходимо локализовать и уничтожить, восстановив при этом исходное содержимое файла, чтобы его можно было снова безопасно использовать. Примером могут служить восстановленные исполняемые файлы (*.exe) или компоненты драйверов программного обеспечения (*.sys), поврежденные в результате атаки. Процесс восстановления довольно сложен, и эффективно с ним справляются лишь некоторые из коммерческих антивирусов. Кроме того, каждый тип вирусного заражения требует особого подхода при лечении: файл, зараженный вирусом A, может быть вылечен только тем антивирусом, который знает, что именно делает вирус A и как он работает, и способен аннулировать последствия ущерба, вызванного им. Для обеспечения подобного уровня защиты требуется опытная команда вирусных аналитиков для проведения реинжиниринга каждого вируса, определения его действий и последующего тщательного построения процесса лечения. Даже если у вас есть проактивное средство безопасности, блокирующее проникновение на ваш компьютер вредоносных файлов, вам все-таки стоит убедиться, что у вас есть свежие резервные копии всех важных программ и данных на тот случай, если вам встретится новый вирус, для которого еще не существует механизма лечения.

К счастью, вирусы, изменяющие содержимое существующих файлов, сейчас встречаются довольно редко. Наиболее часто зараза является отдельной вредоносной програмой; в этом случае ее просто-напросто можно полностью удалить из системы. Подобные программы предназначены только для заражения, кражи, уничтожения или захвата – существенное отличие от зараженных обыкновенных файлов, описанных ранее.

Как только вредоносная программа обнаружена, она либо автоматически удаляется, либо помещается в специальную папку – карантин, что гарантирует, что она больше не сможет активироваться и нанести запланированный урон. Пользователь может в любой момент просмотреть список объектов, помещенных в карантин, и решить, следует ли безвозвратно удалить, либо восстановить какой-либо файл по его исходному местоположению, если он уверен, что файл на самом деле не является вредоносным. Ложные срабатывания вполне возможны, и иногда полезно некоторое время хранить подозрительные файлы в специальном безопасном месте (карантине), пока не проведен более детальный анализ. Недавно один из разработчиков антивируса ошибочно удалил настоящий файл Windows с жестких дисков пользователей, и ему пришлось восстанавливать его, когда ошибка была обнаружена.

Устранение последствий заражения – еще одна задача антивируса. После успешного удаления вредоносной программы на компьютере могут остаться следы ее деятельности. Эти следы способны вызвать сбои в работе системы или ошибки файловой системы (изменения значений реестра, сетевого стека или настроек браузера), которые могут повлиять на производительность или работу некоторых функций Windows. В этом случае крайне необходимо иметь "План Б" для защиты важных данных, предполагающий использование проактивной защиты и/или своевременное резервное копирование.

Осложняющие факторы

Существует ряд методов, используемых вирусами для усложнения задачи антивирусов; большинство из них используют множество технологий для сокрытия собственного присутствия и пытаются таким образом предотвратить свое обнаружение:

1. Упаковщики – это способ запаковать исполняемый код, используя специальные алгоритмы, неизвестные антивирусу, чтобы антивирус не мог распаковать файл и проанализировать вредоносный код в чистом виде.
2. Полиморфные шифровщики – аналогично упаковщикам, исходный исполняемый файл зашифровывается изменяющимися ключами, таким образом сигнатура исходного кода каждый раз новая. Этот метод позволяет противостоять чисто сигнатурному подходу.
3. Руткиты – маскирующаяся под доверенную программа, пытающаяся скрыть присутствие вредоносного кода в системе.

Что проверяет антивирус

Чтобы быть максимально надежным, антивирус должен исследовать все из нижеперечисленных мест системы:

• Электронная почта. Практически все антивирусные решения способны проверять входящую и исходящую почту на наличие вредоносного содержимого и автоматически удалять его.
• Веб-трафик. Все данные, отправляемые или принимаемые по сети, должны проверяться на законность. Веб-эксплойты – вредоносный код, автоматически загружаемый на компьютер при доступе к вредоносному сайту с использованием необновленного браузера – также может быть проанализирован и заблокирован более продвинутыми антивирусами.
• Конфигурация системы. Включает в себя реестр, параметры автозапуска, драйверы и службы, данные о сетевой инфраструктуре, дополнительные модули браузера и другие внутренние настройки.
• Активные процессы. Включают все запущенные на данный момент программы и другие исполняемые модули – все, что находится в памяти компьютера.
• Локальная файловая система. Это ваши файлы, папки и жесткие диски вашего компьютера, включая данные, которые хранятся в альтернативных потоках файловой системы NTFS.
• Съемные устройства. Включают оптические накопители, flash-носители и прочие цифровые устройства с модулями памяти, которые могут подключаться к USB-портам, такие как смартфоны или iPod.
• Удаленные хранилища. Включают общие сетевые папки, устройства резервного копированияи и сетевые ресурсы.

Когда работает антивирус

Первичной задачей любого антивируса является обнаружение вредоносного ПО и предотвращение распространения инфекции путем его удаления до того момента, как оно сможет атаковать файлы пользователя. Антивирусные решения обычно предлагают три подхода обнаружения и удаления вирусов:

1. Мониторинг в режиме реального времени. Это означает, что антивирус наблюдает за текущей активностью компьютера и автоматически блокирует все известные вредоносные действия.
2. Сканирование по требованию. При данном подходе антивирус осуществляет проверку системы на предмет наличия вредоносных файлов по вашему запросу.
3. Сканирование по расписанию. Вы можете запланировать проведение проверок в указанные дни и часы, а также при наступлении определенного события, например, если компьютер был включен, но не использовался в течение длительного промежутка времени.

Выводы

Что антивирус может:

• Проверять содержимое вашего компьютера на наличие известных или опознаваемых угроз, удалять или блокировать их;
• Проверять отдельные файлы, например, только что загруженные из Интернета, на предмет заражения;
• Лечить зараженные файлы;
• Предотвращать распространение опознаваемых вирусов.

Чего антивирус не может:

• Обнаруживать и удалять угрозы, которые невозможно идентифицировать по сигнатуре или с помощью эвристического анализа;
• Блокировать сетевые вторжения и кражу персональной информации в результате атаки неизвестного вредоносного ПО.

Потенциальные недостатки антивирусов:

• Невозможность остановить неизвестные угрозы;
• Реактивный подход означает немгновенную реакцию на активность вируса;
• Проблемы совместимости и стабильности при одновременной работе нескольких антивирусов на одном компьютере.

Часть 3: Средства проактивной защиты

Вступление

Мы уже рассмотрели две вершины золотого треугольника безопасности – брандмауэр и антивирус, и в данной статье обратимся к третьему – проактивной защите. Под проактивной защитой мы понимаем программное обеспечение, способное блокировать нелегальную или нежелательную активность приложений без необходимости их сравнения с набором известных контрольных сумм для существующих угроз.

Краткий обзор

Не существует универсального определения проактивной безопасности, однако все сходятся к мнению, что она представляет собой любое средство безопасности, блокирующее или предотвращающее нелегальную или подозрительную активность приложений на локальном уровне. Этим решениям не требуются сигнатуры для определения потенциальной атаки – все, что они делают, это наблюдают за поведением приложения с целью обнаружения потенциально вредоносных процессов и остановки атаки до того, как произойдет заражение или будет нанесен иной вред системе.

Давайте взглянем на категории решений проактивной защиты, существующие сегодня.

HIPS

HIPS – это система предотвращения вторжений уровня локального компьютера (Host-based Intrusion Prevention System). Само название не очень-то очевидно, однако система HIPS действует следующим образом: представьте решение, отслеживающее каждое действие приложения и его взаимодействие с операционной системой и предупреждающее вас о каждом новом или неизвестной событии. При наступлении такого события программа запрашивает ваше решение о разрешении или блокировке данной активности, создавая соответствующее правило и добавляя его в базу уже накопленных решений.

Хотя такой подход может показаться излишне навязчивым и отвлекающим, он способен обеспечить наилучшую защиту от неизвестных атак, так как сложно совершить какое-либо вредоносное действие, если любая активность под контролем или, более того, зависит от вашего решения. HIPS играет роль осведомителя, информируя вас о нежелательной активности и позволяя принимать решение о ее разрешении.

Вот список действий, обычно отслеживаемых и контролируемых решениями HIPS:

• Целостность памяти приложений и совместное использование компонентов (DLL)
• Загрузка системных драйверов
• Создание и регистрация новых служб
• Изменение системного реестра Windows
• Взаимодействие между клавиатурой и экраном, включая команды копирования/вставки
• Контроль использования типичных приложений и служб Windows с необычными параметрами
• Контроль взаимодействия между приложениями; контроль интерфейсных окон
• Изменение настроек Windows и приложений (домашней страницы браузера, файла HOSTS, и т.д.)
• Низкоуровневый доступ к диску
• Другие специфические функции и операции

Хотя данная активность может показаться довольно неопределенной для большинства пользователей, отслеживание подобных действий действительно помогает защитить компьютер от большинства методов проникновения, используемых реальными вредоносными программами.

Чтобы иметь возможность контролировать все эти действия, программы с HIPS используют специальные функции перехвата и слежения, позволяющие приостановить активность целевого процесса и затем либо продолжить, либо остановить ее, в зависимости от решения пользователя.

Примерами классических решений с HIPS являются брандмауэры Outpost Firewall Pro и ZoneAlarm.

Обратной стороной такого глубокого слежения за системными операциями является большое количество запросов, требующих решения пользователя. Для борьбы с этим разработчики решений HIPS создают и обновляют конфигурации, которые могут автоматически применяться и избавляют пользователя от необходимости отвечать на запросы программы. Список таких предустановок, разумеется, постоянно расширяется и регулярно распространяется среди пользователей через Интернет.

Когда мы говорим о HIPS, в голову приходит мысль о ликтестах. Ликтесты тесно связаны с HIPS, так как проверяют ее надежность и оценивают насколько хороши эти средства в противостоянии реальным атакам с использованием изощренных методов проникновения. Хотя ликтесты в каком-то смысле и необъективны при измерении устойчивости к утечкам данных, они являются полезным инструментом для определения типов взаимодействий, которым способна противостоять конкретная система безопасности. Подробнее о ликтестах и их использовании вы можете прочитать здесь (“Ликтесты как мера защиты от утечки данных”).

Блокировщики поведения

Программы-блокировщики поведения являются естественным развитием систем HIPS, так как оценивают легитимность операций аналитическим методом. Вместо того, чтобы предупреждать о каждом отдельном событии, блокировщики поведения оценивают последовательность событий и определяют вероятность того, что данная активность является вредоносной, основываясь на анализе рассматриваемого поведения.

Например, вместо запроса на разрешение автоматического запуска новой программы при загрузке системы блокировщики поведения исследуют, пытается ли новая программа проникнуть в критические области системы, зарегистрировать новые системные службы, взаимодействовать с другими программами Windows или как-то иначе проявлять типичные вредоносные намерения. После регистрации достаточного количества подозрительных действий для того, чтобы понять, что “дело не чисто” и достигнут критический порог, программа классифицируется как вредоносная и средство безопасности либо автоматически выключает ее, либо запрашивает пользователя о дальнейших действиях.

Примерами подобных программ являются PrevX и CyberHawk Pro. Хотя они и существенно снижают количество запросов пользователю в сравнении с классическими решениями HIPS, они более уязвимы для хакеров, так как анализ может не дать настолько точных результатов, насколько предполагается. Однако, для некоторых они могут являться стоящим компромиссом (в безопасности все является компромиссом между эффективностью и простотой использования).

Песочницы и белые списки

Песочница (sandbox) – это способ определить список разрешенных действий или доверенных программ, после чего любая другая активность автоматически блокируется. Этот принцип используют такие продукты, как DefenseWall, в котором вы можете указать какие приложения на компьютере вы считаете безопасными, разрешая им выполнение критических операций, в то время как все остальные приложения будут иметь существенные ограничения активности.

Предотвращение несанкционированных выключений

Один из ключевых элементов проактивной защиты – это обеспечение защиты в случае попыток вредоносной программы выключить ее. В прошлом было сравнительно легко выключить или деактивировать многие средства безопасности, делая их уязвимыми. Осознав необходимость сделать свои продукты более устойчивыми к подобным атакам, многие разработчики средств безопасности добавили в свои продукты функциональность внутренней защиты для предотвращения подобных несанкционированных остановок.

Заключение

Проактивная безопасность ценна тем, что противостоит угрозам с помощью анализа поведения, а не полагаясь полностью на обнаружение с помощью сравнения их с известными примерами. Такой подход может остановить новые или малоизвестные угрозы, которые не в состоянии определить антивирус или другой сигнатурно-зависимый продукт. Проактивная защита идеально дополняет брандмауэр и антивирус, добавляя еще один уровень защиты от угроз, которые всегда подстерегают нас в сети.

Часть 4: Дополнительные средства безопасности

Вступление

Теперь, когда мы рассмотрели основные элементы сетевой безопасности (брандмауэры, антивирусы, средства проактивной защиты), наступило время рассмотреть приложения, расширяющие набор этих инструментов дополнительными возможностями по обеспечению безопасности и конфиденциальности.

Антиспам

По некоторым оценкам более 80 процентов всей почты — спам. Спам очень раздражает, на него тратится много времени, он также является основным путем распространения вредоносного ПО, источником фишинговых атак, виновником краж данных и финансовых потерь.

Распространители спама рассылают свои многочисленные нежелательные сообщения в надежде, что их предложениями воспользуется количество людей, достаточное для того, чтобы покрыть их расходы на рассылку. К сожалению, эти надежды чаще всего оправданы, иначе спамеры бы не продолжали свою активность. Спамеры также пытаются украсть деньги путем вовлечения получателей в различные финансовые аферы, основанные на махинациях с расчетом на рост акций, фальшивых гарантийных письмах, обещаниях выигрышей в лотереях и прочем мошенничестве.

Фишинг, теперь уже хорошо документированное правонарушение, подразумевает имитацию вполне реальной добросовестной организации, требующей от вас указания ваших учетных данных или другой конфиденциальной информации для якобы “обновления вашей учетной записи”. В действительности, любая информация, указанная вами в ответ на подобную просьбу, оказывается в руках жуликов, стоящих за фальшивыми веб-сайтами, имитирующими легитимные ресурсы для кражи ваших денег и паролей.

Так как многие из таких попыток разлучить вас с вашими деньгами или другой ценной информацией довольно изысканны, мы рекомендуем вам использовать средства для борьбы со спамом для защиты от подобных афер. Даже если вы научитесь распознавать спам и не раздражаться на него, все-таки для экономии времени полезно иметь автоматического помощника, защищающего ваш почтовый ящик от мусора. К тому же, некоторые спам-сообщения способны заразить ваш компьютер и без вашего участия, автоматически запустив вредоносный сценарий в фоновом режиме, если ваш почтовый клиент или веб-браузер не обновлен должным образом.

Антиспам программы используют множество методов для защиты целостности вашего ящика. Компании-разработчики решений для борьбы со спамом ежедневно обрабатывают миллионы спамовых сообщений, добавляя в результате этого анализа новые определения спама в свои базы данных. Таким образом, при следующем получении спамового сообщения, уже существующего в базе, оно будет автоматически удалено или заблокировано от попадания в ваш ящик программой, использующей эту базу. Базы данных содержат такую информацию, как имя домена спамера, заголовок сообщения, текст письма, имена вложений, ссылки и другие данные. Пользователи некоторых антиспам приложений могут участвовать в совместной идентификации спама. Для этого они помечают сообщения, которые считают спамом, в своих почтовых ящиках и после того, как достаточное количество пользователей пометят одно и то же письмо как спам, данные об этом сообщении добавляются в базу данных, чтобы оно автоматически отфильтровалось у новых пользователей, которые его получат.

Еще один способ отлова спама – это идентификация по алоритму Байеса и ему подобным. Эти алгоритмы оценивают вероятность того, что новое сообщение является спамом, выявляя его характеристики, совпадающие с соответствующими характеристиками известного спамового сообщения. Например, если в письме, наряду с обычными словами, обнаружены термины “Виагра” или “Копия”, а присутствие этих слов определенно наводит на мысль, что это спам, то при попытке определить вероятность того, что все письмо целиком является спамом, Байесовский алгоритм назначит ему высокий спамовый рейтинг (т.е. можно будет заключить, что данное сообщение является спамом , например, с вероятностью 60%). Затем, в зависимости от порога чувствительности, установленного пользователем, сообщение будет классифицировано либо как спам, либо как вероятный спам, либо как нормальное сообщение. Данный метод позволяет блокировать новый спам, который похож на предыдущий, а также позволяет пользователю “обучать” фильтр распознаванию именно его персонального спама. Этот подход используют такие программные продукты, как Inboxer (коммерческий) или SpamTerrier (бесплатный).

Спам также может фильтроваться на основе пользовательских правил, например:

• Белые списки: все письма, пришедшие от отправителей, находящихся в записной книжке адресата, считаются хорошими. Также доверенными считаются адресаты, которым пользователь отправлял письма ранее
• Фильтрация, по кодировке сообщения: возможность установить допустимые языки сообщений и блокировать все остальные
• Списки ключевых слов: возможность блокировать сообщения, содержащие определенные слова или фразы, сообщения, пришедшие с определенных доменных имен, а также возможность указать разрешается ли наличие вложений и их количество

Большинство почтовых клиентов (Microsoft Outlook, Mozilla Thunderbird, The Bat!) имеют встроенные спам-фильтры. Почтовые службы, такие как gmail от Google, обеспечивают фильтрацию почты на уровне шлюза. В этом случае вы также можете управлять множеством критериев фильтрации.

Одним из ключевых показателей производительности программы для борьбы со спамом является количество хороших писем, ошибочно идентифицированных как спам, известное также как количество ложных срабатываний. Чем ниже это число, тем меньше хороших сообщений отправляются в папку с мусором. Лучшие программы допускают 2% или меньше ложных срабатываний, обеспечивая минимальную вероятность потери важных сообщений. И хотя эти программы могут пропускать до 15% или даже больше спама в ваш почтовый ящик, все-таки писем для ручной обработки гораздо меньше.

Обнаружение графического спама (писем, содержащих встроенную графику), спама в документах (писем с вложениями в виде файлов PDF или Word) или голосового спама (спама в виде веб-вещания или MP3-файлов) остается наиболее актуальной проблемой для разработчиков антиспам решений.

Инструменты борьбы с фишингом

Фишинг может быть очень опасным, особенно, если вы один из тех, кто излишне доверяет ссылкам и сайтам, запрашивающим персональные данные. Если вы получите письмо, пришедшее, якобы, из банка, с требованием подтвердить данные о вашей кредитной карте, вы вполне можете наивно сделать то, что вас просят. К сожалению, это наиболее эффективный способ стать жертвой мошенников. Хотя решение проблемы фишинга кажется довольно простым и очевидным: игнорировать сообщения, запрашивающие персональные данные, так как они, в большинстве своем, являются обманом, в действительности, есть необходимость в средствах борьбы с фишингом для защиты пользователей от их собственных действий.

И Internet Explorer, и Firefox содержат встроенные инструменты, предупреждающие вас о попытках доступа к подозрительным сайтам, и оба они практически безошибочны. Они защищают более чем от 60% реальных фишинговых атак, что является шагом в верном направлении. Остальное зависит от вас, так что будьте бдительны и хорошенько подумайте, прежде чем нажать на какую-нибудь ссылку.

Безопасность работы в сети

Во время блуждания по всемирной паутине вы подвергаетесь риску стать жертвой фоновых загрузок, использующих уязвимости браузера, или непреднамеренного выполнения вредоносных Java- или ActiveX-сценариев, скрыто устанавливающих на ваш компьтер вредоносное ПО. Опасность заключается в том, что, чтобы это произошло, с вашей стороны потребуется минимальное или совсем никакого участия.

Существуют средства безопасности, анализирующие ресурсы, на которые собирается отправиться ваш браузер, и проверящие их на «вшивость» перед тем, как дать вам возможность загрузить с них что-либо. Одним из них является Finjan SecureBrowsing. Google также предлагает советы по безопасному поиску, основываясь на «заслугах» сайтов. Outpost автоматически блокирует доступ к сайтам, которые засветились в распространении вредоносного ПО или построении сетей компьютеров-зомби.

Заключение

Как вы видите, использование дополнительной защиты вместе с основными инструментами весьма полезно. Ответ на вопрос «что выбрать?» зависит от ваших персональных предпочтений и степени риска, которую вы ощущаете. Но не забывайте, что наиважнейшей составляющей вашей онлайн безопасности являются ваши собственные знания, бдительность и – не побоимся этого слова – здравый смысл. Помните – если что-то звучит слишком хорошо, чтобы быть правдой, то практически наверняка это неправда.

Outpost Firewall Pro 2008 Персональная лицензия
Outpost Firewall Pro 2008 Бизнес лицензия
Outpost Security Suite Pro 2008, (+техподддержка и обновления)