Может быть, иначе обстоит дело с размером файла? Отнюдь. Нередко текстовый файл, который изначально занимал, скажем, 8 Кбайт дискового пространства, после редактирования и сохранения имеет тот же самый размер. Несколько иначе ведут себя двоичные файлы. Вставить в чужую программу фрагмент собственного кода так, чтобы она не утратила работоспособности и в откомпилированном виде сохранила свой размер, достаточно непросто. Поэтому размер файла является более надежным показателем, чем отметка о времени внесения в него последних изменений.

Злоумышленник, решивший запустить в компьютер троянца, обычно пытается сделать его частью системного файла. Такие файлы входят в дистрибутив операционной системы и их присутствие на любом компьютере, где эта операционная система установлена, не вызывает никаких подозрений. Однако любой системный файл имеет вполне определенную длину. Если данный атрибут будет каким-либо образом изменен, это встревожит пользователя.

Зная это, злоумышленник постарается достать исходный текст соответствующей программы и внимательно проанализирует его на предмет присутствия в нем избыточных элементов, которые могут быть удалены безо всякого ощутимого ущерба. Тогда вместо найденных избыточных элементов он вставит в программу своего троянца и перекомпилирует ее заново. Если размер полученного двоичного файла окажется меньше или больше размера исходного, процедура повторяется. И так до тех пор, пока не будет получен файл, размер которого в наибольшей степени близок к оригиналу (если исходный файл достаточно большой, этот процесс может растянуться на несколько дней).

Итак, в борьбе с троянцами положиться на отметку о времени последней модификации файла и его размер нельзя, поскольку злоумышленник может их довольно легко подделать. Более надежной в этом отношении является так называемая контрольная сумма файла. Для ее подсчета элементы файла суммируются, и получившееся в результате число объявляется его контрольной суммой. Например, в операционной системе SunOS существует специальная утилита sum, которая выводит на устройство стандартного вывода STDOUT контрольную сумму файлов, перечисленных в строке аргументов этой утилиты.

Однако и контрольную сумму в общем случае оказывается не так уж трудно подделать. Поэтому для проверки целостности файловой системы компьютера используется особая разновидность алгоритма вычисления контрольной суммы, называемая односторонним хешированием.

Функция хеширования называется односторонней, если задача отыскания двух аргументов, для которых ее значения совпадают, является труднорешаемой. Отсюда следует, что функция одностороннего хеширования может быть применена для того, чтобы отслеживать изменения, вносимые злоумышленником в файловую систему компьютера, поскольку попытка злоумышленника изменить какой-либо файл так, чтобы значение, полученное путем одностороннего хеширования этого файла, осталось неизменным, обречена на неудачу.

Средства борьбы с троянцами в операционных системах семейства Windows традиционно являются частью их антивирусного программного обеспечения. Поэтому, чтобы отлавливать Back Orifice, Net Bus, SubSeven и другие подобные им троянские программы, необходимо обзавестись самыми современным антивирусами типа: ESET NOD32, DoctorWEB, Антивирус Касперского, Anti-Trojan и т.п.

Тем, кто хочет иметь в своем распоряжении утилиту, предназначенную именно для обнаружения троянцев в компьютерах, которые работают под управлением операционных систем семейства Windows (W9x, Windows NT, 2000 Professional и Server, XP Home Edition и XP Professional Windows 2003, Windows Vista, Windows 7) можно посоветовать популярную программу AVZ (Рис.1).

Антивирусная утилита AVZ предназначена для обнаружения и удаления:

· SpyWare и AdWare модулей - это основное назначение утилиты

· Dialer (Trojan.Dialer)

· Троянских программ

· BackDoor модулей

· Сетевых и почтовых червей

· TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.

Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

· Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.

· Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);

· Встроенная система обнаружения Rootkit. В системе Windows термином "RootKit" принято называть программу, которая внедряется в систему и перехватывает системные функции или производит замену системных библиотек. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Главной особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, XP SP3 Windows 2003 Server, Windows 2003 Server SP1

· Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger; и пр.

·

Рис.1. Внешний вид антивирусной утилиты AVZ

6. Клавиатурные шпионы

Одна из наиболее распространенных разновидностей программных закладок - клавиатурные шпионы. Такие программные закладки нацелены на перехват паролей пользователей операционной системы, а также на определение их легальных полномочий и прав доступа к компьютерным ресурсам.

Клавиатурные шпионы - явление отнюдь не новое в мире компьютеров. В свое время они разрабатывались и для OS/370, и для UNIX, и для DOS. Их поведение в общем случае является довольно традиционным: типовой клавиатурный шпион обманным путем завладевает пользовательскими паролями, а затем переписывает эти пароли туда, откуда их может без особого труда извлечь злоумышленник. Различия между клавиатурными шпионами касаются только способа, который применяется ими для перехвата пользовательских паролей. Соответственно все клавиатурные шпионы делятся на три типа - имитаторы, фильтры и заместители.

6.1 Имитаторы

Клавиатурные шпионы этого типа работают по следующему алгоритму. Злоумышленник внедряет в операционную систему программный модуль, который имитирует приглашение пользователю зарегистрироваться для того, чтобы войти в систему. Затем внедренный модуль (в принятой терминологии - имитатор) переходит в режим ожидания ввода пользовательского идентификатора и пароля. После того как пользователь идентифицирует себя и введет свой пароль, имитатор сохраняет эти данные там, где они доступны злоумышленнику. Далее имитатор инициирует выход из системы (что в большинстве случаев можно сделать программным путем, используя системную процедуру ShutDown), и в результате перед глазами у ничего не подозревающего пользователя появляется еще одно, но на этот раз уже настоящее приглашение для входа в систему.

Обманутый пользователь, видя, что ему предлагается еще раз внести пароль приходит к выводу о том, что он допустил какую-то ошибку во время предыдущего ввода пароля, и послушно повторяет всю процедуру входи в систему заново. Некоторые имитаторы для убедительности выдают на экран монитора правдоподобное сообщение о, якобы, совершенной пользователем ошибке. Например, такое: "НЕВЕРНЫЙ ПАРОЛЬ. ПОПРОБУЙТЕ ЕЩЕ РАЗ".

Написание имитатора не требует от его создателя каких-либо особых навыков. Злоумышленнику, умеющему программировать на одном из универсальных языков программирования (к примеру, на языке BASIC), понадобятся на это считанные часы. Единственная трудность, с которой он может столкнуться, состоит в том, чтобы отыскать в документации соответствующую программную функцию, реализующую выход пользователя из системы.

Перехват пароля зачастую облегчают сами разработчики операционных систем, которые не затрудняют себя созданием усложненных по форме приглашений пользователю зарегистрироваться для входа в систему. Подобное пренебрежительное отношение характерно для большинства версий операционной системы UNIX, в которых регистрационное приглашение состоит из двух текстовых строк, выдаваемых поочередно на экран терминала:

login:

password:

Чтобы подделать такое приглашение, не нужно быть семи пядей во лбу. Однако само по себе усложнение внешнего вида приглашения не создает для хакера, задумавшего внедрить в операционную систему имитатор, каких-либо непреодолимых препятствий. Для этого требуется прибегнуть к более сложным и изощренным мерам защиты. В качестве примера операционной системы, в которой такие меры в достаточно полном объеме реализованы на практике, можно привести ОС семейства Windows или Apple Macintosh.

Системный процесс WinLogon, отвечающий в операционной системе Windows за аутентификацию пользователей, имеет свой собственный рабочий стол - совокупность окон, одновременно видимых на экране дисплея. Этот рабочий стол называется столом аутентификации. Никакой другой процесс, в том числе и имитатор, не имеет доступа к рабочему столу аутентификации и не может расположить на нем свое окно.

После запуска Windows на экране компьютера возникает так называемое начальное окно рабочего стола аутентификации, содержащее указание нажать на клавиатуре клавиши Ctrl + Alt + Del. Сообщение о нажатии этих клавиш передается только системному процессу WinLogon, а для остальных процессов, в частности, для всех прикладных программ, их нажатие происходит совершенно незаметно. Далее производится переключение на другое, так называемое регистрационное окно рабочего стола аутентификации. В нем-то как раз и размещается приглашение пользователю ввести свое идентификационное имя и пароль, которые будут восприняты и проверены процессом WinLogon.

Схематично работу такого вируса можно представить следующим образом:

1. При первом получении управления в процессе загрузки MBR (Master Boot Record) вирус перехватывает int 16h;

2. Обработчик прерывания int 16h следит за вектором int 21h, вызывая его недокументированной функцией AX=0babch - контроль на перехват;

3. Если вектор int 21h не отвечает стандартным образом, то считается, что необходимо выполнить перехват int 21h;

4. Обработчик int 21h следит за сменой диска, контролируя функцию 0eh.

Подводя итог сказанному, можно отметить, что не смотря на огромное количество не ошибок, степень защищенности Windows от имитаторов достаточно высока. Рассмотрение защитных механизмов, реализованных в этой операционной системе, позволяет сформулировать два необходимых условия, соблюдение которых является обязательным для обеспечения надежной защиты от имитаторов:

§ системный процесс, который при входе пользователя в систему получает от него соответствующие регистрационное имя и пароль, должен иметь свой собственный рабочий стол, недоступный другим процессам;

§ переключение на регистрационное окно рабочего стола аутентификации должно происходить абсолютно незаметно для прикладных программ, которые к тому же никак не могут повлиять на это переключение (например, запретить его).

К сожалению, эти два условия ни в одной из операционных систем, за исключением Windows, не соблюдаются. Поэтому для повышения их защищенности от имитаторов можно порекомендовать воспользоваться административными мерами. Например, обязать каждого пользователя немедленно сообщать системному администратору, когда вход в систему оказывается невозможен с первого раза, несмотря на корректно заданное идентификационное имя и правильно набранный пароль.

6.2 Фильтры

Фильтры "охотятся" за всеми данными, которые пользователь операционной системы вводит с клавиатуры компьютера. Самые элементарные фильтры просто сбрасывают перехваченный клавиатурный ввод на жесткий диск или в какое-то другое место, к которому имеет доступ злоумышленник. Более, изощренные программные закладки этого типа подвергают перехваченные данные анализу и отфильтровывают информацию, имеющую отношение к пользовательским паролям.

Фильтры являются резидентными программами, перехватывающими одно или несколько прерываний, которые связаны с обработкой сигналов от клавиатуры. Эти прерывания возвращают информацию о нажатой клавише и введенном символе, которая анализируется фильтрами на предмет выявления данных, имеющих отношение к паролю пользователя.

Известны несколько фильтров, созданных специально для различных версий операционной системы DOS. В 1997 г. отмечено появление фильтров для операционных систем Windows 3.11 и Windows 95.

Надо сказать, что изготовить подобного рода программную закладку не составляет большого труда. В операционных системах Windows 3.11 и старше предусмотрен специальный программный механизм, с помощью которого в них решается ряд задач, связанных с получением доступа к вводу с клавиатуры, в том числе и проблема поддержки национальных раскладок клавиатур. К примеру, любой клавиатурный русификатор для Windows представляет собой самый, что ни на есть настоящий фильтр, поскольку призван перехватывать все данные, вводимые пользователем с клавиатуры компьютера. Нетрудно "доработать" его таким образом, чтобы вместе со своей основной функцией (поддержка национальной раскладки клавиатуры) он заодно выполнял бы и действия по перехвату паролей. Тем более что во многих учебных пособиях и руководствах пользователя операционных систем Windows имеются исходные тексты программных русификаторов клавиатуры. "Перепрофилировав" этот русификатор так, чтобы он взял на себя выполнение функций клавиатурного шпиона, его можно встроить перед настоящим русификатором или после него, и в результате вся информация вводимая пользователем с клавиатуры, пойдет и через клавиатурного шпиона. Таким образом, задача создания фильтра становится такой простой, что не требует наличия каких-либо специальных знаний у злоумышленника. Ему остается только незаметно внедрить изготовленную им программную закладку в операционную систему и умело замаскировать ее присутствие.

В общем случае можно утверждать, что если в операционной системе разрешается переключать клавиатурную раскладку во время ввода пароля, то для этой операционной системы возможно создание фильтра. Поэтому, чтобы обезопасить ее от фильтров, необходимо обеспечить выполнение следующих трех условий:

§ во время ввода пароля переключение раскладок клавиатуры не разрешается;

§ конфигурировать цепочку программных модулей, участвующих в работе с паролем пользователя, может только системный администратор;

§ доступ к файлам этих модулей имеет исключительно системный администратор.

Соблюсти первое из этих условий в локализованных для России версиях операционных систем принципиально невозможно. Дело в том, что средства создания учетных пользовательских записей на русском языке являются неотъемлемой частью таких систем. Только в англоязычных версиях систем Windows и UNIX предусмотрены возможности, позволяющие поддерживать уровень безопасности, при котором соблюдаются все 3 перечисленные условия.

6.3 Заместители

Заместители полностью или частично подменяют собой программные модули операционной системы, отвечающие за аутентификацию пользователей. Подобного рода клавиатурные шпионы могут быть созданы для работы в среде практически любой многопользовательской операционной системы. Трудоемкость написания заместителя определяется сложностью алгоритмов, реализуемых подсистемой аутентификации, и интерфейсов между ее отдельными модулями. Также при оценке трудоемкости следует принимать во внимание степень документированности этой подсистемы. В целом можно сказать, что задача создания заместителя значительно сложнее задачи написания имитатора или фильтра. Поэтому фактов использования подобного рода программных закладок злоумышленниками пока отмечено не было. Однако в связи с тем, что в настоящее время все большее распространение получает операционная система Windows, имеющая мощные средства защиты от имитаторов и фильтров, в самом скором будущем от хакеров следует ожидать более активного использования заместителей в целях получения несанкционированного доступа к компьютерным системам.

Поскольку заместители берут на себя выполнение функций подсистемы аутентификации, перед тем как приступить к перехвату пользовательских паролей они должны выполнить следующие действия:

§ подобно компьютерному вирусу внедриться в один или несколько системных файлов;

§ использовать интерфейсные связи между программными модулями полсистемы аутентификации для встраивания себя в цепочку обработки введенного пользователем пароля.

Для того чтобы защитить систему от внедрения заместителя, ее администраторы должны строго соблюдать адекватную политику безопасности. И что особенно важно, подсистема аутентификации должна быть одним из самых защищенных элементов операционной системы. Однако, как показываем практика, администраторы, подобно всем людям, склонны к совершению ошибок. А, следовательно, соблюдение адекватной политики безопасности в течение неограниченного периода времени является невыполнимой задачей. Кроме того, как только заместитель попал в компьютерную систему, любые меры зашиты от внедрения программных закладок перестают быть адекватными, и поэтому необходимо предусмотреть возможность использования эффективных средств обнаружения и удаления внедренных клавиатурных шпионов. Это значит, что администратор должен вести самый тщательный контроль целостности исполняемых системных файлов и интерфейсных функций, используемых подсистемой аутентификации для решения своих задач.

Но и эти меры могут оказаться недостаточно эффективными. Ведь машинный код заместителя выполняется в контексте операционной системы, и поэтому заместитель может предпринимать особые меры, чтобы максимально затруднить собственное обнаружение. Например, он может перехватывать системные вызовы, используемые администратором для выявления программных закладок, с целью подмены возвращаемой ими информации. Или фильтровать сообщения, регистрируемые подсистемой аудита, чтобы отсеивать те, которые свидетельствуют о его присутствии в компьютере.

6.4 Как защитить систему от клавиатурных шпионов

Клавиатурные шпионы представляют реальную угрозу безопасности современных компьютерных систем. Чтобы отвести эту угрозу, требуется реализовать целый комплекс административных мер и программно-аппаратных средств защиты. Надежная защита от клавиатурных шпионов может быть построена только тогда, когда операционная система обладает определенными возможностями, затрудняющими работу клавиатурных шпионов. Они были подробно описаны выше, и не имеет смысла снова на них останавливаться.

Однако необходимо еще раз отметить, что единственной операционной системой, в которой построение такой защиты, возможно, является Windows.

Да и то с оговорками, поскольку все равно ее придется снабдить дополнительными программными средствами, повышающими степень ее защищенности. В частности, в Windows необходимо ввести контроль целостности системных файлов и интерфейсных связей подсистемы аутентификации.

Кроме того, для надежной защиты от клавиатурных шпионов администратор операционной системы должен соблюдать политику безопасности, при которой только администратор может:

§ конфигурировать цепочки программных модулей, участвующих в процессе аутентификации пользователей;

§ осуществлять доступ к файлам этих программных модулей;

§ конфигурировать саму подсистему аутентификации.

И наконец, при организации защиты от клавиатурных шпионов всегда следует иметь в виду, что ни неукоснительное соблюдение адекватной политики безопасности, ни использование операционной системы, имеющей в своем составе средства, существенно затрудняющие внедрение клавиатурных шпионов и облегчающие их своевременное обнаружение, ни дополнительная реализация контроля за целостностью системных файловой и интерфейсных связей сами по себе не могут служить залогом надежной защиты информации в компьютере. Все эти меры должны осуществляться в комплексе. Ведь жертвой клавиатурного шпиона может стать любой пользователь операционной системы, поскольку ее администраторы тоже люди, время от времени, и они допускают ошибки в своей работе, а для внедрения клавиатурного шпиона достаточно всего одной оплошности администратора.

7. Методы противодействия программам-шпионам

Для обнаружения и удаления мониторинговых программных продуктов, которые могут быть установлены без ведома пользователя ПК, в настоящее время используются программы различных типов, обеспечивающие более или менее эффективную защиту исключительно только против ИЗВЕСТНЫХ программ-шпионов с помощью сигнатурного анализа. Для эффективной работы программ данного типа необходимо получить образец программы-шпиона, выделить из нее сигнатуру и включить данную сигнатуру в свою базу. При обновлении сигнатурной базы пользователи персонального компьютера получают возможность бороться с данным вариантом программы-шпиона. По данному принципу работают многие известные фирмы производители антивирусного программного обеспечения.

Но есть и другая группа программ-шпионов, которая наиболее опасна для любых автоматизированных систем - это НЕИЗВЕСТНЫЕ программы-шпионы. Они подразделяются на программы пяти типов:

1. Программы-шпионы, разрабатываемые под эгидой правительственных организаций (как пример - продукт Magic Lantern, проект под названием Cyber Knight, США).

2. Программы-шпионы, которые могут создаваться разработчиками различных операционных систем и включаться ими в состав ядра операционной системы.

3. Программы-шпионы, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программы, применяемые хакерами-профессионалами). Данные программы могут представлять собой немного видоизмененные открытые исходные коды программ-шпионов, взятые из сети Интернет и скомпилированные самим хакером, что позволяет изменить сигнатуру программы-шпиона.

4. Коммерческие, особенно, корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы, а если и вносятся, то только по политическим мотивам (как пример - программные продукты таких известных фирм, как WinWhatWhere Corporation, SpectorSoft Corporation, ExploreAnywhere Software LLC, Omniquad Ltd. и др.).

5. Программы-шпионы, представляющие собой keylogging модули включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример - всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет, например -

o W32.Dumaru.Y@mm

o W32.Yaha.AB@mm

o W32.Bugbear.B@mm

o W32.HLLW.Fizzer@mm

o W32.Badtrans.B@mm

Информация о программах-шпионах первого и третьего типа, как правило (если не происходит утечек информации), нигде не опубликовывается, и, соответственно, их код не может быть внесен в сигнатурные базы, поэтому они не могут обнаруживаться никакими программными продуктами, использующими сигнатурный анализ.

Информация о программах-шпионах второго типа нигде не опубликовывается, данный код работает на уровне ядра операционной системы и, соответственно, они не могут обнаруживаться никакими приложениями.

Информация о программах-шпионах четвертого типа вносится в сигнатурные базы очень редко, так как это противоречит законодательству многих стран мира. Но даже если и внести такие программы в сигнатурные базы, то деактивировать, а, тем более, удалить их зачастую невозможно без разрушения операционной системы. Они не имеют своих процессов, а прячутся в виде потоков в системные процессы, они могут работать только с памятью компьютера и не работать с жестким диском, они имеют режимы контроля целостности и самовосстановления после сбоев.

Информация о программах-шпионах пятого типа вносится в сигнатурные базы через несколько часов или дней после начала соответствующей вирусной атаки. А за это время конфиденциальная информация пользователя персонального компьютера уже может быть украдена и отослана в сеть Internet на заранее подготовленный электронный адрес.

Что же может противопоставить пользователь персонального компьютера программам-шпионам?

Решение данной проблемы возможно только в использовании комплекса программных продуктов:

· Программный продукт N1 - это продукт, который использует эвристические механизмы защиты против программ-шпионов, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами. Он оказывает защиту непрерывно и не использует никакие сигнатурные базы.

· Программный продукт N2 - это Антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы.

· Программный продукт N3 - это персональный Firewall, контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь.

Такая последовательность выбрана неспроста.

Антивирусный программный продукт успевает отреагировать на проникновение вируса с keylogging модулем, когда уже осуществлен перехват информации, т.к. вирусная база еще не успела пополниться новой информацией, а, соответственно, и обновиться на компьютере пользователя.

Персональный Firewall задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, некоторые коммерческие мониторинговые программы используют процессы программных продуктов, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты и т.д.). Как правило, пользователь обязан разрешить им выход в Интернет. А это приводит к тому, что та информация, которая была уже украдена при полном бездействии антивирусной программы, спокойно будет передана в сеть Интернет на заранее подготовленный хакером (или кем-то иным) интернет-адрес.

И только программный продукт первого типа работает молча, не задавая ненужных вопросов пользователю, и осуществляет свою работу непрерывно в фоновом режиме.

Антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы, в мире создано великое множество (NOD32, Dr.Web, Антивирус Касперского, Norton Antivirus и т.п.). Персональных межсетевых экранов создано еще больше (Zone Alarm Security Suite, Norton Internet Security,, Sunbelt Kerio Personal Firewall и т.п.).

А защитные программные продукты первого типа представлены на сегодняшний день всего лишь одним продуктом, не имеющим аналогов в мире. Этот продукт называется PrivacyKeyboard™.

PrivacyKeyboard™ блокирует работу программ-шпионов без использования сигнатурных баз. Это стало возможным благодаря тому, что были найдены решения и разработаны алгоритмы, которые позволили отличить работу программы-шпиона от любого иного приложения, которое установлено в системе.

PrivacyKeyboard™ имеет в своем составе модули, обеспечивающие

· защиту от перехвата нажатий клавиш клавиатуры;

· защиту от перехвата текста из окон;

· защиту от снятия изображения рабочего стола;

· защиту от снятия изображения активных окон.

Для собственной защиты от внешнего разрушительного воздействия программ-шпионов программный продукт PrivacyKeyboard™ имеет систему контроля целостности и другие защитные функции.

Никакие программные продукты не в состоянии определить наличие установленных аппаратных устройств, которые обеспечивают перехват нажатий клавиатуры пользователем персонального компьютера.

Сегодня существует только два метода противодействия аппаратным кейлоггерам при работе на стандартном персональном компьютере:

· физический поиск и устранение аппаратного кейлоггера;

· использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN коды кредитных карт и т.д.).

Остановимся детальнее на втором пункте.

Программный продукт PrivacyKeyboard™ имеет в своем составе модуль защиты от аппаратных кейлоггеров, выполненный в виде виртуальной экранной клавиатуры, которая вызывается пользователем в случае необходимости.

Раскладка виртуальной клавиатуры переключается автоматически при переключении раскладки основной клавиатуры персонального компьютера и поддерживает все языки и раскладки, которые установлены в операционной системе Microsoft Windows NT/2000/XP.

Структурная схема и краткое описание механизма функционирования программы PrivacyKeyboard™ представлены ниже.



1. Модуль блокирования программных кейлоггеров является активным по умолчанию, обеспечивая постоянную и прозрачную защиту "на лету" от различных типов программных кейлоггеров. Его можно легко выключить/включить одиночным левым щелчком мыши на иконке PrivacyKeyboard™ в системном трее. Когда Модуль блокирования программных кейлоггеров включен, PrivacyKeyboard™ подавляет любые кейлоггеры, которые могут быть включены в состав коммерческих, бесплатных и условно бесплатных продуктов, а также "троянских коней" и вирусов, использующих самые разные принципы функционирования и основанных на модулях пользовательского уровня либо уровня ядра системы - dll, exe, sys и др., которые создают лог-файлы на жестком диске, в памяти, реестре, на сетевых дисках, либо пересылают лог-файлы на заранее указанные адреса по протоколам SMTP, FTP, HTTP и др.

2. Модуль блокирования аппаратных кейлоггеров можно активировать путем нажатия правой клавиши мыши на иконке PrivacyKeyboard™ в системном трее и выбора опции Показать модуль блокирования аппаратных кейлоггеров. При этом на экране появится виртуальная клавиатура. Она поддерживает различные раскладки клавиатуры и языки, установленные в системе. При работе с виртуальной клавиатурой в целях безопасности стандартная клавиатура блокируется. При включении Модуля блокирования аппаратных кейлоггеров автоматически включается Модуль блокирования программных кейлоггеров, даже если он перед этим был выключен. Настоятельно рекомендуется использовать совместное функционирование этих двух модулей для ввода наиболее критичной информации - логинов, паролей, кодов доступа и т.п.

Разработчиком программы PrivacyKeyboard™ является ООО "Центр информационной безопасности" (г. Запорожье, Украина). Доступна бесплатная версия для ознакомления, скачать которую можно по адресу: http://www.bezpeka.biz/download.html.

8. Описание некоторых шпионских программ

1. Actual Spy 2.8

WWW: http://www.actualspy.ru/index.html

E-mail: info@actualspy.ru

Программа-шпион, которая позволяет узнать, что другие делают за компьютером в ваше отсутствие. Actual Spy фиксирует все нажатия клавиш; делает снимки экрана через заданный промежуток времени; запоминает запуск и закрытие программ; следит за содержимым буфера обмена и за принтером; осуществляет мониторинг файловой системы; отслеживает соединение с Интернетом; сохраняет адреса посещенных сайтов. Вся информация хранится в зашифрованном лог-файле. По результатам работы программа формирует отчет в текстовом и HTML-формате, который она может отправить по указанному в настройках адресу электронной почты, по локальной сети или выгрузить на FTP-сервер. Программа может работать в обычном или скрытом режиме. По утверждению разработчика, в скрытом режиме она невидима во всех операционных системах и не определяется антивирусами.

2. All-In-One Spy 2.0

WWW: http://www.allinonespy.com/RUS/

E-mail: support@allinonespy.com

Мощный инструмент, позволяющий фиксировать все действия, реализуемые на компьютере. All-In-One SPY производит запись всех нажатых клавиш, запоминает адреса посещенных интернет-страниц, ведет лог приложений, которые запускались на компьютере, умеет делать копии экрана с заданной частотой, а также вести запись с подключенного микрофона в звуковой файл. Программа работает в абсолютно скрытном режиме и, по мнению разработчика, ее присутствие на компьютере обнаружить невозможно. Данное утверждение не всегда подтверждается практическим использованием программы.

3. LanAgent 1.8

WWW: http://www.lanagent.ru/

E-mail: support@lanagent.ru

Программа для наблюдения за компьютерами в локальной сети. Выполняет следующие действия: перехватывает нажатия клавиш, запоминает запуск и закрытие программ, делает снимки экрана (скриншоты), регистрирует посещенные сайты и т.д. Программа позволит выявить деятельность, не имеющую отношения к работе, узнать, насколько рационально сотрудники используют рабочее время.

9. Описание некоторых анти-шпионских программ

1. Ad-Aware SE

Работа под управлением: Windows 98/Me/NT/2000/XP

Самое популярное приложение для поиска шпионского софта Ad-Aware SE обеспечивает надежную защиту персональных данных. В нем удачно сочетаются возможности извлечения и удаления spyware-компонентов и предотвращения их установки на компьютер.

Программа сканирует оперативную память, системный реестр, активные процессы, жесткие и компакт-диски на наличие шпионских модулей, неразрешенных ключей автозагрузки в реестре и подозрительных, с ее точки зрения, файлов cookies. Используемый здесь механизм поиска очень удобен, так как пользователю предоставляется возможность настройки процесса сканирования - можно провести глубокое или быстрое сканирование, указать конкретные папки для проверки, включить или, наоборот, выключить сканирование реестра, активных системных процессов, архивов и т.п. По окончании сканирования будет выдан подробный отчет, в котором каждый найденный шпионский модуль будет сопровождаться информацией об имени разработчика, физическом расположении объекта, степенью риска и пр. Найденные spyware-компоненты, а также подозрительные, по мнению программы, объекты могут быть сразу удалены или отправлены в карантин для наблюдения.

Встроенный монитор Ad-Watch работает в фоновом режиме и обеспечивает защиту системы в режиме реального времени, блокируя программные модули, которые пытаются инсталлироваться или как-то модифицировать систему. С его помощью можно заблокировать раздел автозапуска в реестре, возможные и реальные попытки перехвата браузера, подозрительные процессы и cookies, всплывающие окна, а также использовать технологию CSI (Code Sequence Identification) для защиты от новых и пока неизвестных вариантов опасного кода.

Консоль Ad-Axis позволяет централизованно запускать процессы сканирования системы модулями Ad-Aware, включая выполнение задач по расписанию. По электронной почте (SMTP) автоматически отправляются отчеты о состоянии сервера и обнаруженных вредоносных программах. Файлы сигнатур Ad-Aware обновляются централизованно, что снижает Интернет-трафик и повышает общую безопасность сети. Сервер и клиент выполняются на уровне сервисов Windows, поэтому участие пользователей в процессе не требуется.

Менеджер процессов Process-Watch отвечает за просмотр, сканирование, анализ и прерывание запущенных процессов и всех связанных с ними программных модулей. Возможны проверка запущенных процессов на наличие известных программе опасных кодов и завершение их при необходимости.

Программа представлена в четырех редакциях: бесплатной (Ad-Aware SE Personal Edition) и платных (Ad-Aware SE Plus Edition, Ad-Aware SE Professional Edition и Ad-Aware Enterprise Edition). В бесплатной версии отсутствует защита компьютера в реальном времени, которая реализована в модулях Ad-Watch и Process-Watch (последний доступен только в версии Professional). Версия Enterprise отличается, помимо прочего, наличием модуля Ad-Axis Management Console, контролирующего запуск Ad-Aware в корпоративных сетях.

2. Spybot - Search & Destroy

Работа под управлением: Windows 95/98/Me/NT/2000/XP

Бесплатная, но, тем не менее, очень полезная для домашних пользователей программа Spybot - Search & Destroy поможет найти и удалить из системы разнообразные типы spyware-компонентов, а возможность регулярного ее онлайн-обновления гарантирует, что программа всегда будет иметь полный список известных модулей adware, программ-наборонабирателей и прочего шпионского софта.

Основная задача Spybot - Search & Destroy - просканировать жесткий диск и системный реестр, найти и удалить при согласии пользователя разнообразные spyware-модули. В случае adware-программ, которые при удалении соответствующих модулей теряют работоспособность, она сможет подменить spyware-компоненты, собирающие информацию, пустыми модулями, которые позволят программе работать, но лишат ее возможности незаконного сбора информации. Дополнительно Spybot - Search & Destroy позволяет удалять на компьютере следы Интернет-серфинга и любой прочей деятельности: очищать кэш, удалять cookies (имеется поддержка браузеров Opera, IE и Netscape), очищать списки недавно открывавшихся файлов, запускавшихся программ и пр.

3. Anti-keylogger™

Работа под управлением: Windows 2000/XP

Что может системный администратор или простой пользователь персонального компьютера противопоставить программам-шпионам?

Во-первых, это современные антивирусные продукты. Но анти-вирусные продукты не способны защитить персональный компьютер от проникновения вирусов, сигнатуры которых не включены в так называемую "сигнатурную базу". А так как современные вирусы очень часто содержат keylogging модуль, то довольно часто перехват и кража конфиденциальной информации keylogging модулем происходит, так как сигнатурная база анти-вирусного продукта либо еще не пополнена сигнатурой данного вируса либо пользователь своевременно ее не обновил.

Во-вторых, это современные персональные firewall (файрволы). Но персональные файрволы задают слишком много вопросов пользователю персонального компьютера, отвечая на которые даже опытный пользователь может ошибиться и неправильно настроить файрвол. Многие коммерческие мониторинговые программы пользуются этим и скрываются внутри процессов таких программ, как браузеры, почтовые клиенты и т.д., которым пользователь персонального компьютера практически всегда разрешает выход в Интернет. И в результате информация украдена и отослана на электронный адрес, заранее приготовленный злоумышленником.

В отличие от подобных программ: Anti-keylogger™ работает непрерывно в фоновом режиме, не задавая пользователю ненужных вопросов. Таким образом, исключается вероятность ошибиться при ответе на поставленный вопрос.

Anti-keylogger™ блокирует работу практически всех программ, осуществляющих перехват нажатий клавиш на клавиатуре персонального компьютера, и при этом, не использует никакие сигнатурные базы. В Anti-keylogger™ применены абсолютно новые решения и алгоритмы, которые позволяют отличить процесс перехвата информации шпионской программой от деятельности других программных приложений, установленных на персональном компьютере.

Anti-keylogger™ разработан для применения на персональных компьютерах, работающих под управлением операционной системы Microsoft® Windows® 2000/XP и обеспечивает надежную защиту от кейлоггинговых программ (программных кейлоггеров), известных и неизвестных - и тех, что используются в настоящее время, и тех, что только разрабатываются во всем мире.

Anti-keylogger™ способен бороться с различными видами кейлоггинговых программ, которые могут входить в состав коммерческих, бесплатных и условно-бесплатных программных продуктов, а также содержаться в "Троянских" программах и разнообразных вирусах. Благодаря программе Anti-keylogger™ программы-шпионы не смогут перехватить и украсть вашу информацию, а также ваши пароли, логины, ПИНы (персональные идентификационные номера) и т.п. Поскольку Anti-keylogger™ не использует сигнатурные базы, то он может успешно защищать от неизвестных кейлоггеров!

Основные особенности. Программный продукт Anti-keylogger™ имеет особенности, которые выгодно отличают его от других подобных продуктов: не использует сигнатурной базы; полная поддержка Unicode; поддержка мультипроцессорных и многопоточных архитектур; работа в Windows® 2000/XP; прозрачная защита "на лету"; немедленная и постоянная защита; защита от перехвата информации, помещенной в буфер обмена (Clipboard); защита от перехвата нажатий клавиш; защита от перехвата текста из окон; легкость установки и настройки; бесплатные обновления и пожизненная поддержка; интерфейс на многих языках мира. Защита от кейлоггинга включается непосредственно в момент загрузки операционной системы - еще до того, как пользователь входит в систему. Все работающие keylogging модули таким образом автоматически блокируются. Anti-keylogger™ специально разработан для того, чтобы помочь пользователю решить ряд вопросов в жизни и бизнесе: предотвратить кражу конфиденциальной информации; предотвратить мошенничество при банковских операциях в Сети; обеспечить безопасность электронной почты, мгновенных сообщений и чата; предотвратить утечку конфиденциальной и частной информации;защитить пароли, логины, ПИНы; проводить политику правильного пользования компьютерами и Интернет; блокировать шпионские программы, используемые конкурентами; хранить тайну частной жизни; и многое другое.

Преимущества

В отличие от большинства существующих анти-шпионских программ, Anti-keylogger™ поможет Вам сохранить и защитить информацию:

быстрее, потому что не придется ждать обновления сигнатурной базы (как, например, с анти-вирусом или другой программой), в то время как кейлоггер продолжает красть вашу информацию.

эффективнее, потому что программа постоянно работает в фоновом режиме и не задает ненужных вопросов, тем самым исключая вероятность ошибок при принятии решения.

дешевле, потому что вам не придется ежегодно платить за обновления сигнатурной базы, как пришлось бы платить за обновления анти-вирусных и анти-шпионских программ многих других производителей.

Заключение

После рассмотрения механизмов работы программ - шпионов, методов их внедрения, изучения принципов работы некоторых шпионских и анти - шпионских программ можно сделать следующие выводы, общие для всех пользователей ПК:

1. По мере своего развития средства нападения и защиты становятся все более изощренными, и одной из главных проблем оказывается отставание во времени между появлением новой угрозы и выработкой контрмер против нее.

2. Очевидно, что жертвой программы-шпиона может стать любая система, подключенная к Internet и использующая браузер или электронную почту. Признаки заражения бывают видны невооруженным глазом или скрыты от наблюдения - в зависимости от того, с какой формой шпионского программного обеспечения вы столкнулись. Тем не менее, есть несколько простых симптомов, которые не должны ускользать от внимания пользователя или системного администратора. Существуют и различные инструменты, для обнаружения шпионских программ.

3. К признакам присутствия программы-шпиона можно отнести непонятную активность жесткого диска, повышенную загрузку центрального процессора, программные конфликты, которых ранее не наблюдалось, медленный отклик или отказ системы. К сожалению, те же самые признаки могут быть вызваны другими проблемами, и сделать на их основании определенные выводы не так-то просто.

4. Как правило, следует с подозрением относиться к чрезмерному количеству спама и всплывающих рекламных окон: их причиной может быть программа-шпион. Кроме того, если ваш браузер открывает Web-сайты, к которым вы определенно не обращались, добавляет новые ссылки и параметры настройки, то весьма возможно, что виновата в этом программа-шпион. Лучший способ ее обнаружить и удалить состоит в использовании специальных инструментов.

5. Средства борьбы с программами-шпионами совершенствуются с каждым днем. Сегодня многие антивирусные продукты имеют функции обнаружения и удаления программ-шпионов (Приложения 2 и 3).

6. Поскольку обнаружение и удаление программ-шпионов представляет собой новое направление, следует тщательно изучать возможности конкретных продуктов. К примеру, они по-разному обрабатывают шпионское и рекламное программное обеспечение, не всегда располагают возможностями его удаления (Приложение 1).

7. Персональные сетевые экраны (FireWall) теперь защищают от угроз более умело, чем раньше. Некоторые из них включают в себя эвристические функции, которые могут блокировать злонамеренный код прежде, чем он достигнет вашей системы. Особое внимание следует обращать на возможность фильтрации входящего и исходящего трафика по IP-адресам, адресам URL, портам, протоколам, приложениям и строкам сигнатур.

8. Функции, при которых все требования пользователя к борьбе с программами-шпионами "покрывались" бы единым антивирусным продуктом все еще находятся в стадии разработки. Самую серьезную защиту обеспечивают специализированные продукты, но ситуация может измениться в самом ближайшем будущем.

9. Полномасштабно защититься от шпионских программ довольно сложно, но самые простые методы защиты типичны и давно известны: на компьютере всегда должен быть установлен качественный лицензионный антивирус с обновлёнными антивирусными базами, нельзя переходить по подозрительным ссылкам, посещать "потенциально опасные" Web-сайты и запускать программы, полученные из непроверенных источников. Ну и, конечно, нельзя пускать за свой копьютер людей, которые могут скачать установить на него шпионские программы.

Список литературы

1. Анин Б.Ю. Защита компьютерной информации.-СПб.: БХВ-Петербург,2000.- 384 с.

2. Андрианов В. И Шпионские штучки и устройства для защиты объектов и информации. - СПб., 2001.

3. Лысов А.В., Остапенко А.Н.. Энциклопедия промышленного шпионажа.- СПб., 2003.

4. http://www.allinonespy.com/RUS/

5. http://www.actualspy.ru/index.html

6. http://www.lanagent.ru/

7. http://www.kaspersky.ru/

8. http://www.divx.com

9. http://www.all-in-one-spy.updatestar.com/ru

Приложение 1. Методика лечения трудноудаляемых вредоносных программ КомпьютерПресс 3'2006

Итак, предположим, что на компьютере обнаружена трудноудаляемая вредоносная программа. В первую очередь это означает, что остановить ее процессы обычными средствами и удалить файлы не удается. В этом случае можно предпринять несколько стандартных действий:

1. Повторить попытку удаления после загрузки системы в защищенном режиме.

2. Загрузиться с компакт-диска, на котором установлен ERD Commander или подобная ему оболочка.

3. Подключить жесткий диск зараженного компьютера к заведомо чистому и произвести удаление файлов.

Последний метод почти всегда оказывается результативным, но позволяет только удалить файлы (при этом как минимум останутся следы в реестре). Применяя методики 2 и 3, следует учесть, что некоторые современные вредоносные программы рассчитаны на возможность такого удаления и в качестве одной из мер защиты переименовывают свои файлы в ходе каждого завершения работы. В результате пользователь загружается с чистого диска и не обнаруживает файлов вредоносной программы. Единственным способом лечения в данном случае является сигнатурный поиск.

Кроме перечисленных методик и их аналогов, существует принципиально иной подход к борьбе с трудноудаляемыми вредоносными программами, основанный на временном ограничении возможностей запущенных приложений по принципу Sandbox. Методика предполагает, что на время лечения и анализа системы все запущенные процессы делятся на две категории: доверенные и недоверенные. Доверенными считаются процессы антивируса и иных средств, применяемых для анализа и лечения компьютера. Все остальные процессы считаются недоверенными, и для них действует ряд ограничений: блокируется запись в реестр, запрещаются создание на диске исполняемых файлов, запись в память других процессов, установка драйверов, запуск новых процессов и остановка существующих и т.п. Естественно, данный режим приемлем на время лечения системы и должен включаться только в случае необходимости.

Подобная методика реализована в бета-версии KIS 2006 и называется она Advance Disinfection technique. Она основана на том, что перед началом борьбы с трудноудаляемыми вредоносными программами производится временная блокировка запуска процессов и записи в системный реестр всем процессам, кроме KIS. После лечения система автоматически перезагружается. Как показали испытания, данная методика весьма эффективна и полезна для уничтожения ряда SpyWare и программ с руткит-защитой и троянскими потоками в других процессах.

Другой вариант подобной методики реализован в AVZ, начиная с версии 3.15. Экспериментальная версия системы основана на установке драйвера, производящего мониторинг вызовов ряда функций ядра в реальном времени с блокировкой потенциально опасных действий. Одной из основных особенностей этой системы является возможность запуска указанных пользователем программ в качестве доверенных приложений. Это позволяет, например, запустить в таком режиме антивирус DrWeb CureIt, утилиты типа Autoruns от Sysinternals или иное подобное приложение - драйвер AVZ будет защищать доверенные процессы, параллельно блокируя попытки противодействия со стороны недоверенных.

Приложение 2. Тестирование AntiSpyware-программ Тестирование проводил Олег Зайцев - автор антивирусной утилиты AVZ.