Пламя антивирусных топок. Знакомство с Kaspersky Anti-Hacker Beta
Антихакер. 2.5-3 страницы. Наш журнал следит за всеми изменениями на рынке персональных брандмауэров. Обзоры, тесты и сравнения конкурирующих продуктов регулярно появляются на страницах "Мании". Не могли мы пройти и мимо новой отечественной разработки Kaspersky Anti-Hacker. Хотя конечной версии этого продукта еще нет, есть возможность познакомиться с бета-версией и заранее выяснить, стоит в будущем использовать данную программу или нет. Все-таки такой именитый разработчик... Делая обзор сетевых экранов в одном из прошлых номеров (статья "Огонь вокруг меня. Тест наиболее популярных брандмауэров", "Мания" №7(58) 2002, статья также доступна по адресу www.igromania.ru/articles/?antix_58), мы сокрушались о том, что не можем представить ни одну отечественную разработку. Теперь этот пробел ликвидирован: "Лаборатория Касперского" — первая российская компания, выпустившая свой персональный брандмауэр. Примечательно также и то, что Kaspersky Anti-Hacker разработан с нуля. Наши разработчики не пошли по проторенному пути многих западных компаний, поглотивших продукцию конкурирующих фирм. Так было, например, с AtGuard. Компания Symantec купила его и стала выпускать под другим названием: Symantec Personal Firewall. Российским программистам пришлось все делать самим, ну а мы, как пользователи, оценим их труд. Лучше один раз увидеть, чем сто раз услышать.
На подиуме Kaspersky Anti-Hacker — это персональный сетевой экран (также известен как firewall), защищающий компьютер пользователя от внешней атаки через локальную сеть или интернет, а также от внутренней угрозы, если в систему уже успел пробраться шпион или троянец.
Брандмауэр обеспечивает пять уровней защиты. Важная черта продукта — перехват данных на уровне сетевого протокола, что позволяет фильтровать информацию до ее обработки другими приложениями. Деструктивный код, нацеленный на конкретное приложение или операционную систему, будет заблаговременно нейтрализован, и на компьютере пользователя будут выполнены только безопасные команды. Таким образом, Kaspersky Anti-Hacker предоставляет 100% защиту от наиболее распространенных типов хакерских атак, таких как, например, сканирование портов, DoS-атаки (отказ в обслуживании) и "Ping of Death". В программу интегрирована уникальная технология для контроля над портами компьютера. Благодаря этому защищенная система становится полностью невидимой для нежелательных лиц из внешнего окружения, а хакеры просто теряют объект для атаки, и все их последующие попытки получить доступ к компьютеру обречены на провал. Если в двух словах, то это что-то типа режима Invisible в ICQ или тумана некроманта в Heroes of Might & Magic. Для пользователя сохраняется обычная прозрачность Сети, а для злоумышленника компьютер исчезает с "экрана радара". Если углубиться в технические аспекты, то ваша машина просто перестает реагировать на все входящие запросы (как бы выпадает из виртуального мира). Хакеру просто ничего не останется, как умыть руки и поискать себе другую жертву. Помимо режима "невидимки", сетевой экран может блокировать компьютер обидчика на время, указанное вами в настройках. Но хватит о технологиях — давайте проверим новинку в деле.
Технические особенности Грузится сетевой экран достаточно быстро и вообще отличается хорошей скоростью реакции на любые ваши действия. При первом запуске программы откроется ее главное окно. В глаза сразу бросается ползунок, регулирующий режимы безопасности. Всего их пять. Разрешить все — данный вариант равносилен отсутствию сетевого экрана на вашем компьютере. Низкий — сетевой экран блокирует только те приложения, для которых созданы специальные правила. Все остальные программы работают беспрепятственно. Пользоваться этим режимом целесообразно только в том случае, если вы уверены, что внутренняя угроза доступа к конфиденциальным данным отсутствует. Средний — брандмауэр уведомляет вас о сетевой активности всех приложений. Это хороший способ сконфигурировать систему безопасности наиболее рационально. Уведомление представляет собой окошко с кнопочками: разрешить или блокировать данное событие однократно, запретить активность приложения полностью, разрешить активность приложения в соответствии с указанным типом (об этом чуть ниже). Высокий — сетевой экран разрешает доступ к Сети только тем программам, которые указаны с помощью правил. В этом режиме окно обучения не появляется, и все попытки несанкционированных соединений отклоняются жестко и хладнокровно. Этот вариант следует использовать после того, как вы уже
проработали достаточно долгий срок в режиме обучения и настроили все нужные правила. Здесь, правда, есть один подводный камень: новые приложения после инсталляции не будут иметь доступ к интернету. Поэтому вам необходимо либо создать новое правило для приложения, либо установить режим обучения и автоматизировать этот процесс. Запретить все — firewall полностью блокирует доступ вашей машины к Cети. Компьютер превращается в президентское бомбоубежище, защищенное со всех сторон броней и колючей проволокой. Правда, наружу выйти из бункера тоже нельзя, но такова цена 100% безопасности. Прежде чем перейти к обсуждению типов приложений, хотелось бы заметить одну особенность. Как вы думаете, что будет, если в ответ на уведомление о сетевой активности какого-либо приложения пользователь просто закроет окно с сообщением? Вроде бы банальная ситуация, которая часто может возникнуть в жизни. А будет вот что: Kaspersky Anti-Hacker однократно блокирует сетевую активность приложения. Очень приятно видеть принцип "безопасность по умолчанию" даже в таких мелочах. Что же такое типы приложений? Так называются шаблоны правил, уже заложенные в сетевой экран. Справедливости ради следует заметить, что эти шаблоны предусмотрены на все случаи жизни: 1. Просмотр Internet: Internet Explorer, Netscape Navigator, Opera и т.д. Таким программам разрешается работа по протоколам HTTP, HTTPS, FTP и через стандартные proxy-сервера. 2. Передача файлов: Reget, Gozilla, FlashGet, GetRight. Разрешается работа по тем же протоколам. 3. Электронная почта: MS Outlook, MS Outlook Express, The Bat!. Для этих приложений открыты протоколы SMTP, NNTP, POP3, IMAP4. 4. Новости типа Forte Agent. Протоколы SMTP, NNTP. 5. Обмен сообщениями: ICQ, AIM и похожие приложения. Связь идет через стандартные proxy-сервера или напрямую с машиной-собеседником. 6. Конференции: IRC, mIRC и похожие на них. Разрешается стандартная аутентификация пользователей для сетей IRC и доступ к портам IRC-сервера. 7. Бизнес: например, MS NetMeeting. Протоколы HTTP, HTTPS, LDAP и некоторые другие протоколы для работы в локальной сети. 8. Удаленное управление в Telnet. Протоколы Telnet и SSH. 9. Синхронизация времени Timehook. Связь с time- и daytime-серверами. C настройкой правил ни у кого проблем не возникнет. Kaspersky Anti-Hacker
предоставляет все те же удобства, что и другие брандмауэры. В новом сетевом экране используется новый принцип диалога с пользователем — HyperInfo. В чем его суть? Очень просто: в создаваемых правилах все ключевые фразы, несущую важную смысловую нагрузку, являются гиперссылками. С их помощью можно не только получить дополнительную информацию, но и произвести очень тонкую настройку брандмауэра. Такая свобода удовлетворит даже профессионала. Наиболее явно это проявляется при настройке правил фильтрации пакетов. Попасть в окно редактирования правил фильтрации пакетов можно двумя способами. Щелкнуть на тулбаре в основном окне или в меню Сервис/Правила фильтрации пакетов. Перед вами откроется список из нескольких десятков уже существующих правил. Но это не предел — вы можете создавать свои собственные правила. Каждое правило характеризуется протоколом (для которого оно применяется), параметром (характерным для этого протокола) и действием. К примеру, "разрешить взаимодействие по протоколу TCP через порт 88" или "запретить связь по протоколу UDP через порт 113". Но не все протоколы характеризуются портами. Главным параметром протокола ICMP является ICMP-сообщения. В этом случае сетевой экран предложит вам выбор из 10-12 стандартных вариантов. Если быть объективным, то менять настройки в Kaspersky Anti-Hacker очень просто, программа почти все сделает за вас, только направляйте ее активность в нужное русло. Для работы Kaspersky Anti-Hacker требуется: 1. Наличие компьютера с установленной на нем операционной системой Microsoft Windows версии 95 OSR2/98/ME/NT 4.0/2000/XP. 2. При установке на Microsoft Windows версии NT 4.0/2000/XP необходимо обладать правами администратора. 3. Поддержка на компьютере установленного протокола TCP/IP. 4. Наличие локальной сети (Ethernet) или модемного соединения. 5. Наличие Microsoft Internet Explorer версии 5.5 или выше. 6. Не менее 50 Mb на диске для программных файлов, а также пространство, необходимое для хранения журналов желаемого размера. 7. При работе под ОС Windows 95 OSR2/98/Me/NT 4.0 требуется: — Intel Pentium® 133MHz или выше для Windows 98 и Windows NT 4.0; — Intel Pentium® 150MHz или выше для Windows 95 OSR2/Me; — 32 MB RAM; — для Windows NT 4.0 Workstation наличие установленного Service Pack версии 6.0 или выше. 8. При работе под ОС Windows 2000 требуется: — Intel Pentium 133MHz или выше; — 64 MB RAM. 9. При работе под ОС Windows XP требуется: — Intel Pentium 300MHz или выше; — 128 MB RAM. Детектор атак Эта тема так интересна, что ей необходимо уделить целую главу. Что собой представляет детектор атак? О том, что злоумышленника можно блокировать, мы уже рассказывали. Теперь и технология превращения компьютера в невидимку для вас не секрет. Приковывает к себе внимание то, что Kaspersky Anti-Hacker реагирует только на определенные виды хакерских атак. А именно: — Атака Ping of death состоит в посылке ICMP-пакета, размер которого превышает допустимое значение в 64 кб. Такая атака может привести к аварийному завершению работы некоторых операционных систем. — Атака Land заключается в посылке на открытый порт вашего компьютера запроса на установление соединения с самим собой. Атака приводит к зацикливанию машины, в результате чего сильно возрастает загрузка процессора и возможно аварийное завершение работы. — Сканирование TCP-портов заключается в попытке обнаружить открытые TCP-порты на атакуемом компьютере. Сканирование используется для поиска слабых мест в компьютерной системе и обычно
предшествует более мощной атаке. Для предотвращения этой атаки вы можете задать количество портов — число портов, которые пытается открыть удаленный компьютер, и время — период времени, в течение которого это происходит. — Сканирование UDP-портов аналогично сканированию TCP-портов и заключается в попытке обнаружить открытые UDP-порты на вашем компьютере. Наличие атаки определяется по количеству UDP-пакетов, отправленных на различные порты компьютера-жертвы за некоторый промежуток времени. Так же как и предыдущая атака, UDP-сканирование обычно предшествует более активным и мощным действиям. Вы можете менять параметры количества портов и времени (смысл такой же, как и в предыдущем случае). — Атака SYN Flood заключается в отправке жертве большого количества запросов на установку ложного соединения. Система резервирует определенные ресурсы для каждого из таких соединений, в результате чего тратит их полностью и перестает реагировать на другие попытки соединения. Параметры атаки — количество соединений и время — можно конкретизировать или убить предложение полностью. — Атака UDP Flood заключается в отправке UDP-пакета, который за счет своей структуры бесконечно пересылается от компьютера-жертвы на произвольный доступный компьютеру адрес и обратно. В результате тратятся ресурсы обеих машин и увеличивается нагрузка на канал связи. Параметры атаки — количество UDP-пакетов и время — можно конкретизировать или убить предложение полностью. — Атака ICMP Flood заключается в отправке на компьютер-жертву большого количества ICMP-пакетов. Это приводит к тому, что машина будет вынуждена отвечать на каждый поступивший пакет, в результате сильно возрастает загрузка процессора. Параметры атаки — количество ICMP-пакетов и время — можно конкретизировать или убить предложение полностью.
Не все коту масленица Поговорим о недоработках продукта. Больше
всего бросается в глаза полное отсутствие хелпа, несомненно, его добавят в первой же не бета-версии. Спорная ситуация возникла с блокировкой cookies и баннеров. Kaspersky Anti-Hacker совсем не реагирует на cookies, то есть вы не сможете избавиться от этих надоедливых созданий. Тут стоит сделать одну оговорку: по своему предназначению брандмауэр не должен бороться с "печенюшками". Это лишь навороты современности, защита от которых присутствует далеко не в каждом сетевом экране. Вполне возможно, что разработчики из "Лаборатории Касперского" просто не считают cookies достойными внимания своего брандмауэра. А может, их блокировка добавится в следующих версиях. Баннеры. Они тоже мешают жить: грузят трафик, занимают время и ресурсы. Да и толку в них никакого. Kaspersky Anti-Hacker не может напрямую блокировать рекламу. У него просто нет такой функции. Ее можно организовать косвенно: например, в правилах фильтрации пакетов для IP-протоколов можно устанавливать ограничение на доступ к удаленному серверу. Блокировав адрес linkexchange.ru, вы сможете избавиться почти от всей рекламы в Рунете. А что делать, если вы серфите буржуйские сайты? Впрочем, с cookies можно бороться и не с помощью брандмауэра, а баннеры — блокировать лишь наполовину. * * *
Так как версия, представленная в обзоре, является beta, то для нас, конечных пользователей, очень важными являются те изменения, которые разработчики собираются внести в этот продукт в будущем. Программисты из "Лаборатории Касперского" поделились с нами своими планами на будущее. В ближайшее время планируется расширение числа обнаруживаемых и отражаемых хакерских атак, упрощение настройки программы. Особенно это важно для новичков: новая интеллектуальная система анализа установленного ПО и автоматической настройки Kaspersky Anti-Hacker позволит сэкономить им массу времени и нервов. Важным усовершенствованием является улучшение защиты брандмауэра при работе в агрессивной среде (когда на компьютере уже есть вредоносная программа). Такая защита уже есть: Kaspersky Anti-Hacker блокирует попытки неавторизованных программ завершить его работу. Нужно заметить, что это наиболее уязвимое место любого сетевого экрана. В перспективе планируется интеграция сетевого экрана с антивирусом на функциональном и интерфейсном уровнях. Уже сейчас программа производит впечатление, несмотря на отсутствие внимания к cookies и баннерам. Радует и небольшая ресурсоемкость программы, хотя ее установочный дистрибутив занимает почти 8 Мб, программа работает быстро, "тормоза" отсутствуют. Если разработчики объединят продукт с легендарным антивирусом, то новый защитный комплекс будет более чем полезен. Не стоит скидывать со счетов также и то, что "Лаборатория Касперского" обеспечивает техническую поддержку 24 часа в сутки (единственная такая компания в России). Бета-версию программы можно скачать с: ftp://ftp.avp.ru/beta/KAVWindows/KAntiHacker/Russian/KAHacker_rus.exe или взять с нашего компакта.
Огнем по почтовику Хотелось бы обратить ваше внимание на один очень важный момент. У "Лаборатории Касперского" есть несколько продуктов, среди них Антивирус Касперского и Kaspersky Anti-Hacker. Установив у себя сетевой экран, вы не защитите себя от вирусов и деструктивного кода. Вы также не сможете защитить себя от самых хитрых троянцев. Дело в том, что троянские программы могут передать ваши данные через интернет. Для этого им нужно будет не самим выйти в Сеть (что тут же пресечет брандмауэр), а послать письмо через почтовый клиент, установленный на вашем компьютере. Так как почтовым клиентом вы пользуетесь часто, то и правило будет для него создано с доступом в Сеть. Брандмауэр будет бессилен — правило есть правило. Сделать такой троянец сложно (нужно ведь предугадать, какая у пользователя стоит почтовая программа), но возможно. Поэтому мы рекомендуем вам сочетать сетевой экран с антивирусом — это позволит создать действительно прочную крепость.
Vova
