Мифы и заблуждения о Malware, Часть вторая: Вложения, Анти-вирусное ПО и Фаирволы

David Harley, по материалам SecurityFocus.com

Это вторая статья из трилогии рассказывающей о мифах и заблуждениях, подрывающих авторитет анти-вирусной защиты. В первой части мы рассмотрели мифы и заблуждения из серии «Я в безопасности, поскольку не использую продукты от Microsoft». Возможно, не вполне справедливо так их называть, поскольку они уделяют столько внимания безопасности, что это может подорвать способность организации заниматься ежедневными делами.

У меня нет вирусов, потому что я борюсь за чистоту писем

Я не использую Outlook/Outlook Express

Хотя это мнение и выглядит как боязнь продукции Microsoft, но все же имеет существенные причины для существования. Эти приложения к несчастью могут запускать выполняемые файлы когда этого делать не следует. Некоторые уязвимости заключались именно в возможности использования вложенных скриптов. Тем не менее, многие вирусы используют адресную книгу Outlook и папку Входящие для рассылки себя по полученным адресам, хотя и не обязательно должны быть запущены из Outlook или Outlook Express. Если вас все же заставили открыть вложение, то ни в коем случае его нельзя запускать из под вашего почтового клиента. Любой почтовый клиент, позволяющий сохранять вложение на вашей машине так и сделает, даже если не сможет выполнить его. На уязвимости, о которых идет речь, были выпущены патчи до соответствующей версии. Конечно же, следует напомнить, хотя вы об этом уже наверное читали в e-mail рассылках и компьютерной прессе, что Microsoft делает героические попытки по мере возможности, сохранять в безопасности огромное количество программного обеспечения, но с точки зрения пользователя, понятие безопасность трактуется несколько иначе.

Но использование отличного от Outlook почтового клиента не позволит избежать проблемы. Некоторые продукты Microsoft используют Адресную книгу в свои целях. И не существует магического щита, который бы смог остановить авторов вирусов, проверяющих и коверкающих адресную книгу другого почтового клиента. Многие вирусы берут адреса из других источников в системе, например, Web-файлы. Мы уже упоминали, что использование «безопасного» почтового клиента не остановит выполнение вложенного файла. Вам действительно все равно, что в вашу систему мог проникнуть вирус использовавший неизвестную брешь в вашей системе, только потому, что вы уверены, что он не сможет быть задействован из-под вашего эккаунта?

Я не открываю вложения

Это надежный путь, избавляющий от большинства обычных опасностей. Использование программного обеспечения, которое не позволяет каким-либо образом автоматическое открытие и выполнение вложений, дает практически полную защиту.

(Мы не говорим 100% защиту, так как ваш почтовый клиент может быть уязвим к переполнению буфера, или иметь какие-то слабинки, о которых вы не подозреваете).

Признаемся, что эта альтернатива для большинства пользователей, но не выход для тех, кто зарабатывает работой за компьютером (Интернетом) на жизнь.

Я не открываю небезопасные вложения

Звучит не плохо, но как вы определяете безопасность вложений? Вы можете, как делают многие корпоративные администраторы, блокировать все виды вложений с расширениями, которые вы считаете потенциально опасными – по существе это все типы исполняемых файлов(включая файлы, которые могут содержать исполняемый код, например, макросы). Точнее следует блокировать все вложения с расширениями .PIF, .BAT, .LNK и т.д. которые практически всегда являются malware и несознательно распространяются пользователями. В то же время большое количество исполняемых файлов могут вполне быть обычными приложениями. Самораспаковывающиеся архивы или зашифрованные файлы часто являются «EXE-шниками», также часто пользователи обмениваются скринсейверами.

Большинство системных администраторов убеждают пользователей, что неудобства, вызванные запретом использования таких файлов, позволяют увеличить безопасность. К сожалению, такой подход к безопасности не отвечает всем нуждам, так как описанные стратегии можно обойти используя шифрование файлов, изменяя имя, метод архивации и т.д. А как на счет документов MS Office? Как мы уже видели, макро-вирусы не исчезли, хотя и не имеют такого влияния, как пару лет тому назад. Блокирование таких документов звучит не очень привлекательно, беря во внимание доминирование этого программного обеспечения в современном мире бизнеса. Увеличение безопасности посредством блокирования документов, которые могут содержать макросы – это крайность с точки зрения ведения бизнеса, так как существует потребность в обмене информации и в больших возможностях этих форматов. Макро-вирусы не являются той проблемой, против которой сегодня следует принимать серозные меры в связи с уменьшением подобных. Любая из ниже перечисленных стратегий значительно уменьшит риск, а использование всех стратегий сведет почти к нулю:

• корректно установленная и обновленная одно- или многоуровневая антивирусная система;
• Избежание ненужного использования макросов;
• Использование форматов документов для обмена данных, не способных содержать макросы (.RTF, .CSV) и,
• Запрещение запуска макросов по умолчанию при открытии документа.

Я не открываю вложения, присланные незнакомыми мне людьми

К сожалению, этот вариант не на много усилит безопасность. Он базируется на том, что все зловредные программы распространяются непосредственно авторами вирусов и хакерами. Это неправильное понимание ситуации образовалось на невнимательном прочтении книг и других публикаций на эту тему и не может служить основой для понимания того, как такое ПО функционирует и распространяется. Процесс распространения этого программного обеспечения – это захватывающая и, в какой-то мере, сложная область. И, конечно же, авторы e-mail червей и вирусов могут распространять их путем прямой рассылки по конкретным адресам, или, что более эффективно, используя базы адресов. Поскольку, вирус уже вышел в свет, то более вероятно, что вы можете получить его и от знакомого вам человека, или человека, с которым контактировали по какой-то причине, чем от самого автора вируса.

Я не читаю письма от людей, которых не знаю.

Это уж слишком большая мера предосторожности. Некоторые люди игнорируют все письма от адресатов, не находящихся в их «белом списке». Эта мера чревата такими последствиями:

1. Очевидно, что вы не получите ни одного письма от незнакомого вам человека

2. Этот вопрос уже подымался, большинство вирусов распространяется именно от знакомых вам людей.

Из вышесказанного следует, что адресат может быть более уязвим из-за неправильного понимания безопасности.

Мне не страшны вирусы, поскольку я знаю много о безопасности, чтобы так утверждать

Эта группа заблуждений не искореняется, так как основывается на осведомленности в вопросах безопасности.

У меня установлено ПО против троянов

Троянов исторически переоценивают. Их воздействие может быть фатальным, но они не долговечны, так как не размножаются. Хотя и часто их окружает большое количество вирусов и червей. Почтовые черви, использующие социальную инженерию, обманом заставляющие пользователя открыть вложение, иногда рассматриваются, согласно их предназначению и цели, как Трояны.

После всего сказанного, можно сделать классическое определение троянского коня, как программы, которая пытается сделать что-либо (и даже делает), но и (или) ее действия неожиданны и не желаемы для жертвы. Что касается эффективности anti-Trojan ПО:

• Вирус должен рассматриваться как разновидность Трояна;
• Черви должны рассматриваться, как разновидность Троянов;
• Черви, вирусы и Трояны могут иногда зависеть друг от друга;
• Антивирусное ПО часто обнаруживает Троянов, хотя изготовитель такого продукта должен быть очень смелым, чтобы заявить об обнаружении всех Троянов или всех вирусов.

ПО против Троянов обнаруживает скорее Трояны, а не вирусы. И это аргумент для использования и антивирусов и антитроянов, но при выборе лишь одного продукта, следует отдать предпочтение антивирусу.

У меня есть персональный фаирвол

Давайте определим: в современном мире ИТ существует место для персональных фаирволов, равно как и тенденция к преувеличению их функциональности и предлагаемого уровня защиты. Давайте рассмотрим причины, по которым не следует слишком полагаться на персональный фаирвол:

• Персональные фаирволы обычно функционально лимитированы по отношению к корпоративным фаирвол-серверам, и даже последние не очень хорошо справляются с задачей управления вирусами (хотя некоторые продукты могут неплохо взаимодействовать с дополнительным ПО по контролю за вирусами.)
• Их конструкция в основном не предусматривает обнаружение специфических программ. Они менее способны определять неактивное malware, а активация таких программ может быть не замечена обычными средствами.
• Они неплохо справляются с блокирование определенной группы активности, связанной с определенным софтом и способны, например, блокировать использование определенных портов для вредоносных целей без предупреждения специальной программы, отвечающей за обнаружение активности злонамеренного ПО. Эти средства позволят на время заблокировать программу, но она останется у вас в пассивной или активной форме.
• Тот факт, что персональные фаирволы не нацелены на специфическое malware, может их сделать более уязвимыми к нему. Для червей сейчас характерно удалять файлы или останавливать процессы, связанные с персональными фаирволами или антивирусами.

Я использую корпоративный фаирвол

Что такое фаирвол? Что бы объяснить, что такое «настоящий» фаирвол, мы должны понять не только, что он делает, но и как.

По существу, фаирвол – это маршрутизатор. Он не рассматривает сетевой трафик как совокупность целых фалов, e-mail`ов или других единиц, вместо этого он анализирует длинные очереди пакетов, содержащих информацию, требуемую для передачи данных. Дополнение к возможностям фильтрования фаирволом означает, что определенные порты, сервисы, домены и т.д. могут быть заблокированы. Его возможности могут быть улучшении за счет использования прокси серверов и других плагинов для контроля за вирусами, спамом и т.д. Конечно, часто идет речь о том, что такие средства часто используются, хотя это не тот случай. Многие администраторы фаирволов считают, что цена таких средств не только деньги: преимущество безопасности возмещается большим влиянием на время действия. Управляющие сервисами фаирвола часто не хотят принимать меры, которые поставят под сомнение их способность соответствовать строгим требованиям Service Level Agreements. (в любом случае не все фаирволы легко совместимы с такими инструментами.) иногда говорят, что функциональность часто преобладает над безопасностью. Другая точка зрения – 3 классических краеугольных камня безопасности: целостность, конфиденциальность и доступность, при чем доступность наиболее необходима.

У нас есть IDS

Они так же очень полезны. Но некие гуру в безопасности, которым следовало бы быть более обознанными, стали причиной некоторой неразберихи. Есть схожесть между IDS приложениями, основанными на сигнатурах и антивирусной методики, хотя техническое сходство не столь велико. Система обнаружения аномалий может перехватить симптомы сходные со злонамеренным ПО на ранних стадиях, и иногда справляются с некоторым разновидностями сетевого червя более успешно, чем даже многоуровневые антивирусные сканеры, хотя их задачи различны. Известные антивирусные сканеры оптимизированы для сканирования очень специфического подмножества злонамеренного кода в специфических контекстах. IDS становятся более эвристичны по своей природе.

Далее следует

В последней части этой рубрики мы рассмотрим некоторые мифы, касающиеся дурной славы и технической некомпетентности производителей антивирусного ПО, техническое превосходство и всеобщую непобедимость авторов malware.