Антивирусы сравнили по интеллекту
Независимый портал Anti-Malware.ru опубликовал результаты теста антивирусов по эффективности эвристики: исследователи попытались выяснить, в каком антивирусе этот компонент защиты работает лучше.
В новом тесте Anti-Malware.ru сравнивались эвристические компоненты антивирусной защиты (эвристики + generic-детект, т.е. расширенные сигнатуры), не принимая во внимание анализ системных событий (поведенческие блокираторы, HIPS). В качестве приложения к тесту производилось финальное измерение уровня детектирования на собранной коллекции на обновленных антивирусах через неделю после завершения основного теста. В результате фиксировалось качество обнаружения новых вирусов, а также эффективность работы классических сигнатурных методов каждого антивируса в дополнение к эвристике.
В тестировании принимали участие 14 наиболее популярных антивирусных программ. Тест антивирусов проводился под операционной системой Windows XP SP3 в период с 3 декабря 2008 года по 18 января 2009 года в соответствии с определенной методологией, по которой создавались специальные условия для проверки эффективности работы эвристиков (для этого у всех антивирусов отключалась функция обновления, т.е. происходило замораживание антивирусных баз данных на дату начала теста).
Для проведения теста во время заморозки антивирусных баз была собрана коллекция из 5166 уникальных самплов новейших вредоносных программ и коллекция из 15121 чистого файла.
Абсолютным лидером по эффективности эвристического компонента защиты по итогам теста Avira AntiVir Premium, чей уровень детектирования неизвестных вредоносных программ оказался очень высоким – 71%. Однако повышенный уровень ложных срабатываний позволил этому продукты получить только лишь награду Silver Proactive Protection Award.
Такая же участь постигла антивирус DrWeb, чья новая версия 5.0 показала очень высокий результат детектирования в 61% ровно, но повышенный уровень ложных срабатываний позволил ему получить только награду Silver Proactive Protection Award.
Главный разочарованием теста, по словам исследователей, стал Sophos Anti-Virus, показавший уровень проактивного детектирования более 61% ценой огромного количества ложных срабатываний 2,24%.
Лучшие результаты по балансу проактивного детектирования и ложных срабатываний показала тройка Kaspersky Anti-Virus, Eset Nod32 Anti-Virus и BitDefender Antivirus. Их результаты оказались практически идентичны - уровень эвристического детектирования 60% и уровень ложных срабатываний 0,01-0,04%. Согласно используемой схеме награждения эти антивирусы получили награду Gold Proactive Protection Award.
Высокую эффективность эвристического компонента защиты показала большая группа антивирусов, получившая награду Silver Proactive Protection Award. В нее, помимо уже перечисленных выше продуктов, вошли AVG Anti-Virus, Avast! Professional Edition, Norton Anti-Virus, VBA32 Antivirus и F-Secure Anti-Virus. В Anti-Malware также отмечают, что Norton Anti-Virus оказался единственным из тестируемых антивирусов показавшим нулевой уровень ложных срабатываний.Еще 3 продукта: Panda Antivirus, Trend Micro Internet Security и Agnitum Outpost Anti-Virus Pro показали удовлетворительный результат и получили награду Bronze Proactive Protection Award.
«Как видно из результатов теста, многие антивирусы имеют отличный эвристический детект (около 60%) вкупе с низким процентом ложных срабатываний (до 0,1%), - комментирует Василий Бердников, эксперт Anti-Malware.ru. - Эвристик является хорошим средством для повышения общей эффективности защиты, но, как видно из результатов теста, у некоторых продуктов его использование сопровождается высоким уровнем ложных срабатываний. В этом плане каждый вендор сам выбирает баланс между эвристическим детектом и уровнем ложных срабатываний. Некоторые идут на сознательное увеличение уровня ложных срабатываний в угоду высоким результатам в детекте. Важно еще то, что современные эвристические технологии, как показывают результаты теста, пока не могут служить панацеей от заражения и не позволяют эффективно защищать пользователя от новейших видов угроз».
Денис Назаров, руководитель группы эвристического детектирования «Лаборатории Касперского», в свою очередь, отмечает, что в прошлом году окончательно стало понятно, что сигнатурные методы распознавания неэффективны для борьбы с современными угрозами. «По статистике «Лаборатории Касперского», подавляющее число детектирований новых вредоносных программ на компьютерах пользователей производится динамическими и эвристическими модулями защиты, - говорит Назаров. - Эти методы защиты позволяют сосредоточиться именно на вредоносных действиях вирусов и троянских программ для их детектирования и не отвлекаться на вторичные признаки той или иной программы. В 2008 г. «Лаборатория Касперского» активно занималась развитием именно проактивных методов детектирования, одним из которых и является эвристический модуль».
Компания Symantec также ведет большое количество разработок в части технологий эвристического и поведенческого анализа для повышения уровня детектирования, утверждает Кирилл Керценбаум, технический консультант представительства Symantec в России и СНГ. «Проведение теста эвристических способностей антивирусов является полезным с точки зрения оценки, насколько эффективно продукт может противостоять новейшим образцам вредоносного ПО. Ведь ни для кого не секрет, что как бы часто не обновлялись антивирусные базы, новые образцы вирусов появляются во много раз чаще», - считает он.
Антивирусы можно разделить на две большие категории:
Предназначенные для непрерывной работы - к этой категории относятся средства проверки при доступе, почтовые фильтры, системы сканирования проходящего трафика Интернет, другие средства, сканирующие потоки данных
Предназначенные для периодического запуска - различного рода средства проверки по запросу, предназначенные для однократного сканирования определенных объектов. К таким средствам можно отнести сканер по требованию файловой системы в антивирусном 2
комплексе для рабочей станции, сканер по требованию почтовых ящиков и общих папок в антивирусном комплексе для почтовой системы (в частности, для Microsoft Exchange) Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.
Помимо этого антивирусный комплекс дополнительно может включать в себя поведенческие анализаторы и ревизоры изменений, которые вовсе не используют антивирусное ядро.
В качестве вспомогательной утилиты антивирусный комплекс может содержать (и на практике обычно содержит) планировщик заданий.
Исходя из текущей необходимости в средствах защиты выделяют следующие типы антивирусных комплексов:
Антивирусный комплекс для защиты рабочих станций
Антивирусный комплекс для защиты файловых серверов
Антивирусный комплекс для защиты почтовых систем
Антивирусный комплекс для защиты шлюзов Антивирусный комплекс для защиты рабочих станций Предназначен для обеспечения антивирусной защиты рабочей станции, на которой он установлен. Состоит, как и указывалось ранее из средств непрерывной работы и предназначенных для периодического запуска, а также средств обновления антивирусных баз.
К средствам непрерывной работы относятся:
Антивирусный сканер при доступе - антивирусный сканер, осуществляющий проверку файлов, к которым обращается операционная система (напрямую, либо опосредованно через пользователя). Для ускорения процесса работы сканера часто применяется возможность отключения средств эвристического анализа
Антивирусный сканер локальной почтовой системы - антивирусный сканер, предназначенный для автоматической проверки всей входящей и исходящей из системы почтовой корреспонденции до получения ее пользователем/исходящим почтовым сервером. Этот тип сканеров появился сравнительно недавно, его разработка обусловлена тем, что большинство вирусов использует для распространения электронную почту. Выделяют два вида сканеров локальной почтовой системы - использующие и не использующие привязку к почтовому клиенту. Первый тип характеризуется большим числом поддерживаемых почтовых протоколов, однако возможности практического применения сужаются " необходимостью использовать конкретный почтовый клиент. Второй тип, напротив, поддерживает более ограниченный набор протоколов (обычно, SMTP и POP3), однако
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
делает это для любых почтовых клиентов. Возможно использование обоих типов сканеров в рамках одного антивирусного комплекса Средства периодического запуска:
Антивирусный сканер по требованию - антивирусный сканер, осуществляющий проверку файлов по запросу пользователя либо третьей программы (например, планировщика) На практике антивирусный комплекс для рабочей станции зачастую включает еще и поведенческие блокираторы, также относящиеся к средствам непрерывной работы.
Антивирусный комплекс для защиты файловых серверов Предназначен для обеспечения антивирусной защиты сервера, на котором установлен. Указание на файловый сервер в названии является скорее данью истории, корректней будет звучать термин "сетевой". Определение того, насколько нуждается в антивирусной защите сервер, осуществляется не только исходя из его назначения (является сервер файловым, почтовым, либо выполняет другую функцию), но и из используемой на нем платформы. Более того, зачастую именно платформа является определяющей характеристикой при выборе средств защиты сетевого сервера. Речь об этом пойдет ниже.
Отличия в составе антивирусного комплекса для файлового сервера, в сравнении с антивирусным комплексом для рабочей станции, происходят из различного назначения этих типовых узлов сети, а точнее из главного различия: рабочая станция обычно является АРМ сотрудника, тогда как сервер в качестве АРМ не используется.
Исходя из этого, антивирусный комплекс для защиты файловых серверов обычно состоит из двух ярко выраженных представителей средств непрерывного работы и периодического запуска:
Антивирусного сканера при доступе - аналогичен сканеру при доступе для рабочей станции
Антивирусного сканера по требованию - аналогичен сканеру по требованию для рабочей станции, а также средства обновления антивирусных баз. Сканер локальной почтовой системы отсутствует по описанной выше причине.
Антивирусный комплекс для защиты почтовых систем Еще один казус, связанный с общепринятой терминологией. Безусловно, антивирусный комплекс не предназначен для защиты почтовой системы от поражения вирусами, его назначение - препятствовать доставке зараженных сообщений пользователям сети. Как уже указывалось ранее, сегодня одним из главных средств доставки вирусов в локальную сеть является именно электронная почта. Поэтому, при наличии в локальной сети специализированного узла, обрабатывающего входящую и исходящую из сети почтовую корреспонденцию (почтового сервера), логично будет
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
использовать средство централизованной проверки всего почтового потока на наличие вирусов. Тем не менее, термин "для защиты почтовых систем" является устоявшимся и повсеместно применяется при указании практических реализаций этого типа комплексов. Дабы не вводить читателя в противоречие с ежедневно потребляемой информацией, в дальнейшем здесь также будет использоваться приведенное выше название. Аналогичный комментарий, с поправкой на специфику работы, применим и к антивирусным комплексам для защиты шлюзов.
Антивирусный комплекс для защиты почтовых систем, как и другие антивирусные комплексы включает антивирусы обоих типов.
Средства непрерывной работы:
Фильтр почтового потока - осуществляет проверку на наличие вирусов всего принимаемого и отправляемого почтового потока сервера, на котором установлен комплекс
Сканер общих папок (баз данных) - осуществляет проверку на наличие вирусов баз данных и общих папок пользователей в режиме реального времени (в момент обращения к этим папкам или базам). Может составлять единое целое с фильтром почтового потока в зависимости от реализации технологии перехвата сообщений/обращений к папкам и передачи на проверку Средства периодического запуска:
Антивирусный сканер по требованию - осуществляет проверку на наличие вирусов почтовых ящиков пользователей и общих папок в случае использования таковых на почтовом сервере. Проверка осуществляется по требованию администратора антивирусной безопасности либо в фоновом режиме. Если проверка выполняется в фоновом режиме, сканер также относится к средствам периодического запуска, поскольку ничем не отличается от сканера по требованию в комплексе для рабочей станции. Также, антивирусный комплекс для защиты почтовых систем обязательно включает средство обновления антивирусных баз. Дополнительно, для снижения нагрузки на сервер могут выделяться отдельные средства для проверки баз во время репликаций. Такие средства также относятся к средствам периодического запуска. Антивирусный комплекс для защиты шлюзов Антивирусный комплекс для защиты шлюза, как следует из названия, предназначен для проверки на наличие вирусов данных, через этот шлюз передаваемых.
На практике основными каналами доставки вирусов в локальную сеть являются SMTP, HTTP и FTP-потоки, следовательно, антивирусный комплекс для защиты шлюзов преимущественно включает средства непрерывной работы. Антивирусы периодического запуска используются
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
редко, преимущественно для защиты файловой системы сервера, на котором установлен комплекс:
Сканер HTTP-потока - предназначен для проверки данных, передаваемых через шлюз по протоколу HTTP
Сканер FTP-потока - предназначен для проверки данных, передаваемых через шлюз по протоколу FTP. В случае использования FTP over HTTP FTP-запросы будут проверяться сканером HTTP-потока
Сканер SMTP-потока - предназначен для проверки данных, передаваемых через шлюз по SMTP Естественно, как и в предыдущих случаях в комплекс в обязательном порядке входит средство для обновления антивирусных баз.
Комплексная система защиты информации Задача защиты от вредоносных программ одного компьютера, рабочей станции, практически решается весьма просто - в этом случае необходимо регулярно устанавливать заплаты безопасности, выпускаемые производителем (обычно - Microsoft) для операционной системы, установить антивирусный комплекс для защиты рабочей станции и соблюдать общие правила безопасности. Такой подход логичен и оказывается эффективным и в случае двух, трех, и даже десяти станций. Защита сетей, пусть и не очень больших, является существенно более сложной задачей, описанный выше подход не является эффективным. Здесь необходимо учитывать множество дополнительных факторов, речь о которых пойдет далее в этой главе.
При организации защиты сети нужно принимать во внимание:
1. Трудоемкость обслуживания - установка антивирусного комплекса без удаленного управления на каждую из станций сети вынуждает администратора совершать регулярные обходы всех станций с целью проверки актуальности антивирусных баз, отсутствия вирусных инцидентов, наличия заплат безопасности и работоспособности антивирусного комплекса. Произведя банальные расчеты несложно убедиться, что в этом случае один администратор будет способен контролировать небольшое количество узлов сети, таким образом система будет экономически неэффективной.
2. Отказоустойчивость - так или иначе временами сбоит любая система. Система антивирусной защиты, как и любая другая система обеспечения безопасности информации, должна работать непрерывно. Для максимального уменьшения времени неработоспособности системы необходимо будет сократить интервал между обходами описанной выше системы администратором. Но даже и в этом случае без подсистемы оповещения интервал неработоспособности будет достаточно велик для поражения станции вирусом. Более того, сбой может произойти не в самом антивирусном комплексе, а, к примеру, в системе обновления.
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
3. Большая критичность системы - как правило, ценность информации, хранящейся в сети организации выше чем у информации, хранящейся в компьютере домашнего пользователя. Отсюда - повышенные требования к системе антивирусной защиты.
4. Человеческий фактор. Наиболее критичный для системы антивирусной защиты момент. Как и для любой системы безопасности, пользователь должен пассивно участвовать в работе системы антивирусной защиты. Другими словами - не препятствовать, и соблюдать установленные нормы и правила. Основную массу пользователей сети можно разбить на следующие категории в проекции на антивирусную защиту и их отношению к ней:
Не интересующиеся антивирусной защитой - Пользователь некомпетентен в вопросе, не интересуется и не хочет заниматься антивирусной защитой, мешать работе администратора антивирусной защиты не станет. К этой категории относится большинство пользователей. Наилучший с точки зрения обслуживания системы вариант
Интересующиеся антивирусной защитой, однако некомпетентные - Пользователь интересуется антивирусной защитой, считает своим долгом помочь организации, в которой работает. В силу своей некомпетентности иногда способны навредить больше чем пользователи, считающие что антивирусная защита мешает работе
Интересующиеся антивирусной защитой и компетентные - к сожалению, абсолютное меньшинство
Считающие, что антивирусная защита только мешает - Пользователь не интересуется антивирусной защитой и считает, что она мешает его работе. После установки антивирусного комплекса возможны попытки со стороны пользователя остановить его работу либо полностью деинсталлировать. Также возможно большое количество жалоб на существенные замедления в работе после установки антивирусного комплекса. Вообще, если пользователь такой категории знает, что на его рабочей станции установлен антивирусный комплекс - этот комплекс в обязательном порядке будет первопричиной всех проблем, которые у пользователя произойдут в будущем. В общем случае категорию следует разделять на подкатегории в зависимости от уровня подготовки пользователей - на практике от некоторых достаточно спрятать иконку антивируса в системной панели и жалобы и попытки пропадут - пользователь будет не в курсе того, что у него функционирует антивирус
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
Также необходимо упомянуть злоумышленников - пользователей сети. По приведенной выше классификации их можно отнести к наивысшей подкатегории пользователей, считающих, что антивирусная защита мешает. В дополнение к стремлению отключить антивирусную защиту, злоумышленник способен запустить в сеть вредоносную программу при наличии у него соответствующих прав Проектирование системы антивирусной защиты сети предполагает наличие всех перечисленных ранее категорий пользователей. Это еще раз подчеркивает усложнение задачи, стоящей перед проектировщиком системы, а учитывая важность поставленной задачи заставляет говорить о необходимости создания комплексной системы антивирусной защиты.
Комплексная система антивирусной защиты - совокупность организационных, правовых и программно-аппаратных мер и средств, направленных на обеспечение эффективной антивирусной защиты информации в локальной сети. Комплексность системы антивирусной защиты достигается контролем всех информационных потоков протекающих в локальной сети и согласованием между собой разнородных методов и средств, обеспечивающих антивирусную защиту всех элементов локальной сети.
Организационные меры Достижение безопасности информации невозможно без принятия надлежащих организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности и эффективности функционирования КСАЗ и выполняться администратором антивирусной безопасности. С другой стороны, руководство организации должно регламентировать правила автоматизированной обработки информации, включая и правила ее антивирусной защиты, а также установить меру ответственности за нарушение этих правил.
К организационным мерам антивирусной защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания, внедрения и эксплуатации КСАЗ с целью обеспечения антивирусной защиты информации. Насколько важным являются организационные мероприятия в общем арсенале средств антивирусной защиты, говорит уже хотя бы тот факт, что ни одна автоматизированная система, в особенности система связанная с обеспечением защиты информации не может функционировать без участия обслуживающего персонала. А эффективность выполнения обслуживающим персоналом своих функций зависит не только от его профессиональных качеств, но и от того, насколько правильно и полно регламентированы его действия. Также это зависит от взаимодействия с другими подразделениями, обслуживающими локальную сеть, в штатных и особенно в нештатных ситуациях, которые могут возникать при эксплуатации КСАЗ.
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
Организационными мерами можно бороться и с некоторыми категориями пользователей. К примеру, введение штрафа за несанкционированную деинсталляцию антивирусного комплекса существенно уменьшит количество желающих это сделать.
Иными словами организационные меры играют важную роль как в регламентации работы всей комплексной системы антивирусной защиты, что является обязательным требованием для ее корректного функционирования, так и в воздействии на пользователей КСАЗ.
Правовые меры Помимо внутренних документов, предусматривающих ответственность за халатное отношение к обязанностям либо за умышленный останов антивирусного комплекса, существуют также и общеправовые меры воздействия, предусмотренные Уголовным кодексом РФ.
Глава 28 УК РФ содержит следующие статьи, относящиеся к компьютерным вирусам:
Статья 272. Неправомерный доступ к компьютерной информации. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. Наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо свободы на срок до двух лет. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.
Отдельно, учитывая описанные ранее функции троянов, следует упомянуть и статью 138, посвященную нарушению тайны переписки.
Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается штрафом в размере от пятидесяти до ста минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, - наказывается штрафом в размере от ста до трехсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до трех месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от двух до четырех месяцев. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
Программные средства
Как видно из определения, КСАЗ должна контролировать и осуществлять проверку всех информационных потоков, циркулирующих в локальной сети и представляющих угрозу как потенциальный канал для распространения вирусов.
Следовательно, перед проектированием КСАЗ необходимо произвести анализ сети и циркулирующих в ней информационных потоков, определить защищаемые узлы и узлы, на которые будут установлены антивирусные комплексы.
Каждая сеть устроена по-своему и содержит особенности, однако мы можем говорить здесь о типовой локальной сети, типовых узлах и информационных потоках, которые между этими узлами циркулируют. При проектировании реальных систем к описанным далее компонентам будут добавлены новые, некоторые классы защищаемых узлов будут разделены на подклассы.
Итак, типовая локальная сеть содержит следующие типы узлов:
Рабочие станции
Файловые сервера
Почтовые сервера
Типовая локальная сеть
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
Файловые сервера следует понимать в описанном ранее широком смысле.
Рабочая станция принимает участие в следующих информационных потоках: пользователь имеет интерактивный доступ к ресурсам Интернет (http/ftp протоколы), работает с электронной почтой (smtp/pop/imap протоколы либо протокол передачи данных системы групповой работы), взаимодействует с файловыми серверами (как с файловыми хранилищами, так и с серверами баз данных), а также с другими станциями сети. Поток между станциями в штатном режиме работы сети не должен быть существенным, поскольку вся информация должна храниться на серверах, однако этот поток нельзя исключать по причине его важности для антивирусной защиты. Помимо перечисленных, рабочая станция содержит различные дисководы и возможно подключение к ней сменных носителей - дискет, компакт-дисков, flash-накопителей.
Файловый сервер в общем случае взаимодействует только с другими файловыми серверами и рабочими станциями. Достаточно редко, но также обязательно используются сменные носители.
Почтовый сервер принимает и отсылает напрямую либо через шлюз корреспонденцию (smtp-протокол), а также передает доставленные письма клиентам (pop/imap/другой протокол).
Наконец, через шлюз проходят запросы пользователей к внешним ресурсам при работе с Интернет (http/ftp) и почтовый поток к и от почтового сервера (smtp).
Схема потоков приведена на рис. 4.2. Для описанной выше типовой локальной сети, структурно КСАЗ можно разделить на следующие уровни:
Уровень защиты рабочих станций и файловых серверов
Уровень защиты почтовых серверов Уровень защиты шлюзов Каждый из уровней организуется при помощи описанных антивирусных комплексов. Дополнительные требования налагаются на комплекс для защиты рабочих станций и файловых серверов. Учитывая большое количество узлов таких типов и трудозатраты на обслуживание одного узла, а также в целях экономии Интернет-канала, комплекс для защиты рабочих станций и файловых серверов в дополнение должен содержать средство централизованного управления, позволяющее:
Централизованно управлять настройками клиентского АПО, распределять клиентов по группам администрирования
Проводить централизованное обновление антивирусных баз для всех клиентов из единого локального источника
Получать информацию о событиях, происходящих на клиентах, связанную как с вирусными инцидентами, так и с функционированием АПО
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
Создавать сводные отчеты о состоянии антивирусной защиты уровня.
Схема информационных потоков в типовой локальной сети
Этапность работ Создание КСАЗ проводится в несколько этапов. На первом этапе разрабатываются документы, которые являются основой для проведения работ - Концепция и Политика антивирусной безопасности.
Концепция антивирусной безопасности - официально принятая организацией система взглядов на цели, задачи и принципы обеспечения антивирусной безопасности в своей локальной сети. В концепции определяются объекты антивирусной безопасности в локальной сети, возможные источники угрозы, методы предотвращения и нейтрализации этих угроз, а также основы согласованной политики в области антивирусной безопасности в локальной сети Заказчика.
Фактически, Концепция антивирусной безопасности является официальной позицией организации по отношению к вирусной угрозе. Утверждение Концепции помогает начать работы по созданию КСАЗ это -
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
сигнал к тому, что руководство понимает важность задачи и готово ее решать.
Политика антивирусной безопасности определяет совокупность правил, задающих и ограничивающих виды деятельности объектов и участников, комплексной системы антивирусной защиты, ее основные цели и область ее применения.
Как правило, разработка политики проводится после обследования, которое заключается в выявлении и анализе информационных потоков, протекающих в организации, категорировании узлов сети по возможности реализации вирусной угрозы, составления матрицы - категория/возможность реализации для данного информационного потока. По результатам обследования составляется отчет.
На основании Политики антивирусной безопасности составляется Техническое задание на создание КСАЗ. Техническое задание - основной документ для выполнения работ по обеспечению антивирусной защиты информации. Определяет требования к функциональному составу и порядку внедрения программных средств, которые обеспечивают антивирусную защиту информации в процессе ее обработки в локальной сети. Именно на основе технического задания осуществляется разработка Технического проекта КСАЗ и приемка будущей системы в эксплуатацию.
Технический проект - документ, содержащий подробное описание проектируемой КСАЗ, состав и назначение подсистем, схему их взаимодействия, способы организации обновлений подсистем, схему управления КСАЗ, требования к персоналу, устанавливающему и обслуживающему систему.
Иными словами, технический проект это ответ на вопрос как будет реализовываться система, затребованная в техническом задании.
Помимо проектной (а все описанные документы относятся к проектной документации), также должна быть разработана документация эксплуатационная. К эксплуатационной документации относятся инструкции администратора и пользователя КСАЗ.
Инструкция пользователя - документ, регламентирующий действия пользователей локальной сети по отношению к КСАЗ.
Инструкция администратора - документ, регламентирующий типовые действия администратора по поддержанию работоспособности КСАЗ.
Разработанная система должны быть внедрена, следовательно, следующий этап - Внедрение.
Внедрение комплексной системы антивирусной защиты включает в себя следующие этапы:
1. Создание рабочей группы специалистов, ответственных за проведение работ по внедрению (это в обязательном порядке будут как специалисты отдела защиты информации, так и специалисты смежных
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
подразделений - обслуживания почтовой системы, обслуживания клиентских компьютеров и т.д.)
2. Обработка информации, полученной в результате обследования
3. Разработка Плана внедрения и Программы и методики проведения испытаний
4. Проведение работ по установке антивирусных комплексов, входящих в состав внедряемой КСАЗ и дополнительных работ, связанных с установкой заплат безопасности для используемых операционных систем
5. Настройка КСАЗ и передача ее в опытную эксплуатацию 6. Опытная эксплуатация КСАЗ 7. Проведение приемочных испытаний и приемка КСАЗ в промышленную эксплуатацию
8. Промышленная эксплуатация КСАЗ 5. Выбор антивирусных комплексов На практике помимо схемы построения и разработки проектной и эксплуатационной документации возникает вопрос выбора производителя антивирусных комплексов, которые будут использоваться в рамках КСАЗ.
Существует два подхода к выбору - одновендорный и многовендорный. В первом случае на всех уровнях КСАЗ используются средства одного производителя, в другом - различных. Оба подхода имеют преимущества и недостатки.
Преимущества и недостатки одновендорных систем Преимущества Главное преимущество одновендорных систем состоит в единообразии решений. Практическими следствиями из этого единообразия являются:
1. Совместимость - антивирусные продукты от одного производителя как правило значительно более совместимы между собой, чем с антивирусными продуктами других производителей, и если потребуется установить на один сервер антивирус для защиты файловой системы и почтового сервера, вероятность конфликтов при одновендорном подходе априори будет ниже
2. Общие антивирусные базы - не всегда, но также и нередко продукты одного вендора используют одинаковое антивирусное ядро и, как следствие, одинаковый набор антивирусных баз. Таким образом в одновендорной системе антивирусной защиты нагрузка на сеть за счет выполнения обновления будет ниже
3. Единая система управления - как правило, большинство продуктов одного вендора могут управляться при помощи поставляемой этим же вендором системы удаленного и централизованного управления, как минимум этой системой могут управляться продукты для защиты серверов и рабочих станций 15
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
Windows, что обычно составляет львиную долю конечного оборудования сети. Соответственно в одновендорной системе централизованность управления и концентрация информации о защищенности сети будет выше, что способствует более полному анализу и пониманию возникающих проблем, а также большей эффективности управления
4. Единая точка обслуживания - как и любая сложная система, система антивирусной защиты требует поддержки со стороны производителя, и чем сложнее сеть, тем более нетривиальные проблемы в ней могут возникать, в том числе и проблемы связанные с работой антивирусных средств. В этой ситуации важно иметь простой и надежный канал доступ к службе технической поддержки вендора для максимально быстрого и качественного решения проблем. Наличие единой точки входа для всех обращений по любым вопросам, связанным с работой системы антивирусной защиты, в случае одновендорной системы существенно упрощает работу обслуживающего персонала системы
5. Обучение специалистов - помимо того, что интерфейсы и принципы управления продуктами одного вендора обычно схожи, тем самым облегчая освоение их персоналом, у вендора часто имеются комплексные программы обучения, что сокращает время и усилия направленные на подготовку специалистов, которые будут обслуживать систему антивирусной защиты Недостатки Основных недостатка у одновендорной системы два:
Сужение круга систем при выборе оптимального антивирусного решения для защиты сети - количество одновендорных систем заведомо меньше чем мультивендорных, а значит степень соответствия требованиям лучшего одновендорного решения будет потенциально ниже, чем лучшего мультивендорного
Проблемы с антивирусными базами - проблемы с получением обновлений, ошибки в базах, долгая реакция вендора на появление нового вируса - сказываются сразу на всей системе антивирусной защиты, ставя под угрозу безопасность всех участков сети Преимущества и недостатки мультивендорных систем Преимущества и недостатки мультивендорных систем в целом симметричны недостаткам и преимуществам одновендорных.
Преимущества Основные преимущества мультивендорных систем в их большей гибкости, а также в естественной неоднородности, что в ряде случаев дает заметный выигрыш в защищенности по сравнению с одновендорными системами. Если же говорить более подробно, преимущества мультивендорных систем таковы:
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
Повышенная вероятность обнаружения - за счет того, что используются продукты разных вендоров, вероятность того, что зараженный файл не будет обнаружен ни одним из них равна произведению вероятностей пропуска для каждого из вендоров. Учитывая, что вероятности пропуска обычно значительно меньше 1, можно говорить о том, что суммарная вероятность пропустить вирус уменьшается на порядок или даже на несколько порядков
Локализация заражения - поскольку продуктом одного вендора в мультивендорной системе защищена не вся сеть, а только ее часть, проблемы с этим продуктом, или с этим вендором (задержка с выпуском обновления, отсутствие доступа к основному серверу обновлений, ошибки в антивирусных базах) не скажутся на всей системе антивирусной защиты, и в случае вирусного заражения, под угрозу будет поставлена только та ее часть, которая защищена проблемным антивирусом
Более полное соответствие требованиям - поскольку для защиты каждой из подсистем сети антивирусный продукт можно выбирать независимо, без оглядки на то, чтобы все продукты были от одного производителя, можно полнее удовлетворить требованиям к системе в целом. Нередко у вендора могут быть удачные решения в одних группах продуктов и значительно менее удачные в других, а то и вовсе могут отсутствовать продукты для защиты некоторых подсистем, имеющихся в сети заказчика. Одновендорная система на базе продуктов такого производителя шансов практически не имеет, а использовать сильные стороны отдельных продуктов при построении мультивендорной системы вполне целесообразно Недостатки Недостатки мультивендорной системы антивирусной защиты по понятным причинам лежат в тех же плоскостях, что и преимущества одновендорных:
1. Сложность в освоении - вместо однородной системы персоналу придется изучать и осваивать несколько непохожих продуктов, исповедующих разные подходы к построению интерфейса и управлению
2. Независимое управление - вместо единой системы управления, персоналу придется работать с несколькими параллельными системами управления, что снижает оперативность и усложняет процесс обслуживания системы антивирусной защиты
3. Использование различных антивирусных баз - использование нескольких продуктов от разных производителей подразумевает загрузку и распространение нескольких наборов обновлений антивирусных баз, что неизбежно повышает нагрузку на сеть
Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.
4. Возможные конфликты между продуктами - часто один и тот же сервер выполняет несколько ролей и входит в состав нескольких подсистем, подлежащих антивирусной защите - например, в подсистему серверов и рабочих станций Microsoft Windows и в почтовую систему Microsoft Exchange. В этом случае может понадобиться установить на такой сервер два или больше антивирусных продукта разных производителей, что потенциально грозит проблемами совместимости
5. Сложности при поддержке - кроме того, что мультивендорные системы сложнее по структуре и следовательно, более склонны к возникновению проблем, для решения этих проблем обслуживающему персоналу придется общаться с несколькими службами технической поддержки, что само по себе неудобно, а в случае конфликта совместимости двух антивирусных продуктов ставит специалистов, обслуживающих систему, в незавидное положение Может показаться, что у одновендорных систем больше преимуществ и меньше недостатков в сравнении с мультивендорными. При защите небольших и несложных по структуре систем, как правило, так и есть. Но как только речь заходит о сложной гетерогенной сети в силу вступает целый ряд факторов:
При необходимости защиты или обеспечения совместимости с одной или несколькими редко используемыми системами, подходящего одновендорного решения может просто не существовать
Когда на первый план выходит качество защиты, мультивендорные системы обладают преимуществами, которые часто перевешивают их относительные недостатки
В процессе эволюции сети и ее системы антивирусной защиты постоянное соблюдение принципа одновендорности является достаточно хлопотным делом, гораздо проще заменить один из продуктов при появлении лучшего, чем регулярно менять систему целиком Кроме того, на практике одновендорные системы нередко обладают многими недостатками мультивендорных:
Разные антивирусные базы для разных продуктов одного вендора
Разные системы управления для разных продуктов одного вендора и отсутствие общей централизованной системы управления
Проблемы совместимости продуктов одного вендора
У каждой из серьезных антивирусных программ есть множество настроек, позволяющих изменять ее режим работы и уровень защиты вашего компьютера. Причем установки, предлагаемые производителями по умолчанию, далеко не всегда бывают оптимальны.
Мы постараемся, не привязываясь с специфике того или другого пакета, рассказать вам о важнейших настройках антивирусного ПО. Заметим, что в каких-то программах все описанные ниже настройки удобно собраны на одной экранной форме, вызываемой по пункту меню "Настройка", а в других могут быть запрятаны глубоко и в разных местах интерфейса. Постарайтесь отыскать и проверить их все.
Постоянная защита . Все качественные антивирусные программы имеют в своем составе резидентную часть, которая запускается при загрузке компьютера, постоянно находится в оперативной памяти и в режиме реального времени отслеживает "подозрительные события", в частности, попытки запуска инфицированных программ. Обычно постоянная защита бывает включена по умолчанию. Проверьте это и без крайней необходимости не выключайте этот режим.
Проверять все файлы . Для повышение уровня защищенности лучше включить этот режим. Он, правда, существенно замедляет процесс сканирования, но более надежная защита того стоит. Очень часто вирусы спокойненько ждут своего часа в заархивированных файлах (.zip, .arj...); нередко вредоносные программы распространяются в файлах с измененными расширениями (.txt, .jpg и т.п.).
Режим эвристического анализа позволяет по ряду косвенных признаков выявлять файлы, возможно содержащие новые, неизвестные вирусы, а также отслеживать "подозрительные события" на вашем компьютере. Большинство антивирусных программ имеет несколько уровней эвристического анализа (чаще всего три) и возможность его вообще отключить. Рекомендуем установить средний уровень. Максимальный (частенько его называют "параноидальный") уровень эвристического сканирования, конечно, повышает степень защиты, но сильно замедляет работу и дает большое количество ложных срабатываний. Его имеет смысл включить, если вы услышали про грядущую или уже начавшуюся атаку нового, ранее неизвестного вируса.
Действия антивирусной программы при обнаружении вируса . Обычно имеется возможность установить один из следующих режимов:
- только отчет;
- лечить зараженные файлы; если вылечить невозможно:
- удалять зараженные файлы;
- переименовывать, перемещать зараженные файлы;
- запрашивать пользователя о дальнейших действиях - сразу удалять зараженные файлы.
Рекомендуем установить режим "лечить зараженные файлы; если вылечить невозможно, запрашивать пользователя о дальнейших действиях". Правда, такая настройка требует вашего присутствия возле компьютера в течение всего времени проверки, зато при обнаружении зараженного файла, который невозможно вылечить, вы сами сможете указать программе, что же с ним сделать: удалить или, если заражен какой-то очень важный для вас и не имеющий резервной копии файл, сохранить его и вызвать специалиста, который попытается вручную его "отремонтировать".
Автоматическое обновление программы и антивирусных баз . Эта опция позволяет автоматически скачивать через интернет с сайта разработчика все последние изменения. Рекомендуем включить и установить в расписании "ежедневно" в удобное для вас время, например ночью. Не забывайте только, что компьютер в это время должен быть включен и иметь выход в интернет. Если же в интернет вы выходите через dial-up, то выполняйте обновления вручную не реже двух-трех раз в неделю.
Автоматическое сканирование . Если ваш компьютер включен постоянно, то рекомендуется запускать ежедневно в удобное для вас время, например ночью, сразу после обновления программы и антивирусных баз. Если же пользуетесь компьютером немного, а в интернет заходите еще реже, достаточно запускать полное сканирование вручную раз в неделю.
Подключённый к сети компьютер подвержен негативным атакам из сети. Зараза многолика, хитра и изворотлива. Здесь нет нужды приводить развёрнутый анализ и классификацию вредоносных программ, мы лишь попытаемся дать несколько конкретных практических советов по защите компьютеров, зарегистрированных в сети факультета Почвоведения МГУ.
На данный момент мы не рекомендуем неопытным пользователям устанавливать брандмауэры на свои компьютеры - настройка их сложна, а при неправильной настройке можно больше навредить себе, чем помочь (Устанавливаемый по умолчанию брандмауэр WinXP лучше оставить как есть с его настройками). Таким образом, на Вашем компьютере должна быть обязательно установлена спарка анитивирусной и антишпионской программ.
При выборе защитных программ для установки следует руководствоваться следующими принципами:
1. Нельзя устанавливать на компьютер одновременно несколько антивирусных программ - они будут конфликтовать и могут привести к полной неработоспособности систему.
"Важно: Если на вашем компьютере уже установлено антивирусное ПО, но вы намерены установить новый продукт, производимый другой компанией, обязательно удалите имеющийся антивирусный продукт перед установкой нового. Две разные антивирусные программы, установленные на одном компьютере, могут вызвать конфликты и сбои в работе." (Цитата с сайта Microsoft ).
2. Устанавливайте только известный, хорошо зарекомендовавший себя программный продукт, имеющий функцию оперативного обновления через Интернет и другую поддержку на сайте производителя.
Программное обеспечение (в том числе и защитное) существует в 3 видах: бесплатное, условно-бесплатное, коммерческий продукт. Бесплатное программное обеспечение бывает полнофункциональное, или же это аналог коммерческого продукта с неполным набором функций. Условно-бесплатные полнофункиональные программы предлагаются пользователю для тестирования на ограниченный срок. Платные программы имеют разную цену в зависимости от лицензии (чем больше число пользователей в лицензии - тем дешевле), поэтому имеет смысл покупать лицензию сразу на лабораторию, кафедру и т.п.
Какие программы установить - решать Вам. Ниже даны краткие характеристики тех программ, на которых стоит остановить свой взгляд (все опробованы мной лично). В описании я выражаю лишь свой субъективный взгляд. Красным и зелёным цветом помечены, соответственно, коммерческие и бесплатные продукты, хотя чёткого деления провести невозможно. "Звёздочкой" отмечены программы, которые я использую сам дома и на работе, на чужих компьютерах, за работоспособность которых отвечаю.
Антивирусные программы: (см. также: "Antivirus Partners Currently Supporting Windows Security Center ", "FileForum > Browse > Anti-Virus ", "Download Security & Privacy Tools ")
Наряду с AVP, Dr.Web составляет авангард Российских производителей защитного ПО. Приверженцев отечественных программ можно примерно пополам поделить на любителей продуктов Касперского и Лозинского. Стоимость около 30 у.е. Можно скачать бесплатную демо-версию. Русский интерфейс, естественно, есть.
NOD32 - когда-то была одной из лучших в мире по своим характеристикам антивирусная программа, однако полностью растеряла свой потенциал, в настоящее время защитой не является. Одним из главных достоинств NOD32 считается минимальная загрузка системы и устойчивость работы на ядре NT. Есть 30-дневная trial версия. Стоимость 1 лицензии 39$, 10-ти - 281$.
Продукция компании Symantec . Упоминаю эту программу (фирму) здесь потому, что в некоторых кругах она считается "мировым лидером в области обеспечения безопасности в Интернете". На мой взгляд продукция Нортона тяжёлая, неповоротливая и бестолковая. Не рекомендую, однако желающие могут купить за 50$ или получить 90-дневную trial-версию пройдя по ссылке с сайта Microsoft .
Продукт компании Computer Associates . Из особенностей программы следует отметить инкрементальное сканирование - повторно файлы сканируются только после их модификации, что позволяет значительно уменьшить ресурсопотребляемость. FREE Trialware версия работает 30 дней, однако для пользователей операционной системы Windows предоставляется 12-месячная (год!) trial-версия. Нужно пройти по ссылке со страницы Windows Security Center > 12 Month Free Trial Subscription from Computer Associates , зарегистрироваться и скачать дистрибутив. Затем по почте Вы получите инструкцию по установке и ключ активации.
Сильный и надёжный антивирус. Обеспечивает комплексную защиту от различных опасностей из Интернет. Ежедневное обновление. Коммерческий продукт не дёшев - около 100$ за годовую лицензию, однако есть и бесплатная free evaluation-версия (требуется регистрация). Русский интерфейс есть.
Хорошо зарекомендовавший себя продукт. Комплексная защита, обновления. Стоимость Home Edition - 59$, Professional - 79. Бесплатная 30-дневная версия требует регистрации. Честно говоря последний раз имел дело с этим антивирусником лет 6-7 назад, тогда он нагружал даже самые сильные для своего времени машины, не оставляя возможность что-либо делать во время проверки. М.б. теперь ситуация изменилась. Однако рекомендую скачать с сайта компании небольшую бесплатную программу McAfee AVERT Stinger , предназначенную для поиска и лечения (или уничтожения) некоторых самых известных и особо опасных вирусов. Программа небольшая, не требует установки, работает быстро. У меня Stinger нашёл и похоронил три червя, хотя моя машина находится под постоянным избыточным контролем нескольких лучших защитных программ.
Финансирование науки и образования у нас в довольно плачевном состоянии, поэтому платить нормальную цену за хороший программный продукт большинство из нас просто не в состоянии. С другой стороны, традиции разнузданного пиратства в России привили нам стойкое нежелание платить за ПО. Не углубляясь в обсуждение этой проблемы просто порекомендую несколько проверенных, полнофункциональных бесплатных версий антивирусных программ (вопросы "взлома" программ здесь не рассматриваются):
Бесплатная версия (требуется простая регистрация) имеет все функции, необходимые для защиты компьютера: постоянная защита, по расписанию, по требованию, обновление через Интернет и т.п. Русский интерфейс - есть.
Мультиплатформенный полнофункциональный антивирусник. Знает более полутора сотен тысяч вирусов (вдвое против Касперского). Полностью бесплатна только DOS-версия. Последняя Windows-версия - триальная на 30 дней, но, по-моему, и после этого периода продолжает работать. Скачивать надо Home Edition . Интерфейс - английский, это не страшно - настроек минимум, вчитываться не придётся.
Полностью бесплатная редакция программы — Антивирус Stop! Free Edition - содержит антивирусный сканер и программу обновления. Антивирус Stop! Free Edition не проверяет архивные файлы, почтовые базы, и имеет только русский язык интерфейса. Возможности программы широки настолько, насколько это нужно для антивирусной проверки. Здесь можно почитать обзор - "Антивирус Stop! Free Edition - бесплатное лекарство ".
Добротный, немецкий, полностью бесплатный, ежедневно обновляемый продукт. Среди минусов - проверять файлы внутри архивов ZIP и RAR AntiVir не умеет, интерфейс - английский.
При желании можно попробовать продукцию румынской компании SOFTWIN , хотя большого доверия к продукции бывших коллег по социалистическому лагерю у меня нет. Однако целый ряд бесспорных плюсов позволяет порекомендовать использовать эту программу: пакет включает в себя антивирус, брандмауэр и антиспам; широкие возможности операций с подозрительными файлами (удаление, лечение, карантин, проверка на сайте производителя); возможность обновления баз и программ; наличие бесплатной версии ; внятный русскоязычный сайт, где можно скачать подробное руководство пользователя на нормальном русском языке, относительно невысокая цена - от 30 до 100 $ в зависимости от версии и количества лицензий.
Ну а это для совсем уж ленивых и робких - Онлайновый Антивирус Касперского. Это возможность бесплатно проверить Ваши файлы на наличие вирусного кода. Вы указываете файл, он загружается с Вашего компьютера на специальный "санитарный" сервер, его сканирует Антивирус Касперского. За один раз можно проверить один файл, размер которого не превышает 1 Мб. Серьёзной защитой не является!
Вообще бесплатных антивирусов существует довольно много, однако я рекомендую воспользоваться одним из вышеописанных, т.к. сам их опробовал и использую на подопечных машинах. Здесь можно прочитать небольшой обзор бесплатного антивирусного программного обеспечения: "Бесплатные антивирусы ".
Многоязычный (в т.ч. русский), бесплатный (допускаются добровольные пожертвования), полнофункциональный (ничем не уступает коммерческим программам), обновляемый. Отыскивает шпионские и рекламные модули в файлах и реестре Windows, знает более 35000 "поганцев". Кроме программы проверки, которую нужно запускать перидически вручную, есть функция монитора "TeaTime", которая блокирует все программы, пытающиеся внести изменения в системный реестр Windows до подтверждения (или отказа) пользователя. Можно устанавливать одновременно с любыми антивирусниками и антишпионами, только не стоит запускать вместе с Ad-aware от Lavasoft - не дружат они.
Lavasoft , наверное, самый известный производитель ПО для борьбы с adware, spyware и т.п. программами. Есть бесплатная версия - Ad-Aware Personal .
Известная программа от компании "Simply Super Software ". Программа для удаления и защиты от "троянских коней", даже неизвестных для стандартных антивирусов. Проверяет все системные файлы, включая реестр Windows и находит программы, которые загружаются при запуске. Для каждого "трояна" или нераспознанной программы, Trojan Remover выдает предупреждение (показывая место расположения файла и имя), предлагая удалить ссылку из системного файла и переименовать сам файл. Бесплатная "evaluation copy" работает 30 дней. И напоследок - главное правило безопасности в сети. Не нужно лазить по сайтам следующей направленности:
warezzz (варезные) - сайты с информацией по "крякам (крэкам)", хакингу, фрикингу и т.п. Посещение подобного сайта - почти стопроцентноя гарантия атаки на Ваш компьютер. Если Вы посещали такие сайты без установленного анивирусного обеспечения - Ваша машина точно заражена!
porn, XXX и т.п. - понятно, что Вы не посещаете такие сайты, но если кто-то в Ваше отсутствие заглядывал туда с Вашего компьютера - получаете набор "приятных неожиданностей" - вылезает "порнозвонилка", вместо домашней страницы выскакивают множественные окна броузера со скабрезными картинками, которые к тому же невозможно закрыть и так далее.
Как работают антивирусные программы? Какие есть виды антивирусов? В чем их различие?
Антивирусы различаются не только технологиями, на основе которых они работают, но и условиями эксплуатации. Обнаружение вредоносной программы - это разовая задача, а вот препятствовать попаданию вируса в систему компьютера антивирус должен постоянно. И, следовательно, эти функции должны работать по-разному и независимо друг от друга.
Все антивирусы можно условно разделить на две группы: антивирусы первой группы работают в непрерывном режиме, а вторая группа включается пользователем по мере необходимости.
Антивирусы, предназначенные для непрерывной работы, включают в себя средства проверки почтовых файлов, сканирование входящего трафика Интернета и проверку при доступе к ПК, а также всевозможные средства, сканирующие идущий поток данных.
Антивирусы, запускаемые пользователем для периодичной проверки - выполняют проверку по запросу и предназначены, скорее, для одноразового сканирования какого-то определенного объекта системы. Сюда можно отнести сканер файловых систем, имеющийся в любом антивирусном комплексе, сканер по требованию для почтовых ящиков и всех папок, поставляющийся в комплексе антивирусного ПО для почтовых систем.
Предотвратить проблему гораздо легче, чем ее решать впоследствии. Исходя из этого убеждения, антивирусные программы подразумевают постоянный режим работы. Однако антивирусы, сканирующие систему по запросу в разы эффективнее, если речь идет именно о зараженных файлах, и они не менее нужны пользователю.
По типу антивирусы делятся на блокировщики, сканеры (тут есть фаги и полуфаги), иммунизаторы и CRC-сканеры.
Блокировщики - это антивирусы, перехватывающие не только вредоносные программы, но и ситуации, которые могут привести к вирусному заражению ПК. Этих ситуаций довольно много: открытые для записи файлы, попытки программ остаться на компьютере незамеченными, запись в boot-сектора MBR- винчестера или же дисков. Такие действия характеры для вирусного ПО, в момент их установки на компьютер.
Несомненный плюс блокировщиков - способность находить и останавливать вирусы на первоначальной стадии. А в недостатки записывают существующие возможности обхода такой защиты и частые ложные срабатывания.
Антивирусные сканеры проверяют файлы, а также сектора и системную память, производят поиск известных и новых вирусов. При поиске неизвестных вирусных приложений сканер использует «маски». «Маской» называется последовательность кода, по которой определяется каждый конкретный вирус. В случае, когда вирус не имеет постоянно «маски» или ее длина не так велика, то применяют другие способы антивирусной проверки.
Сканеры тоже можно разделить на два вида: «универсальные» и «специализированные». Специализированные сканеры разрабатывались для обезвреживания некоторого количества вирусов или вирусов только одного класса. Например, для макро-вирусов. А универсальные сканеры созданы для поиска и обезвреживания всевозможных видов вирусного ПО, без привязки к операционной системе.
Кроме этого, сканеры делят на «резидентные», которые производят сканирование системы довольно быстро и постоянно, и "нерезидентные", выполняющие проверку по запросу. «Резидентные» сканеры более надежны в работе, они реагируют на вирусы мгновенно. «Нерезидентные» же распознают вирусы только при очередном запуске процесса сканирования.
Иммунизторы также принято делить на два вида:
Иммунизаторы, которые сообщают пользователю о заражении.
Иммунизаторы, которые это заражение блокируют.
Первый тип обычно прописывается в конце файлов и при запуске проверяют его на произошедшие изменения. Единственный, но очень весомый недостаток - неспособность сообщать пользователю о заражении системы стелс-вирусами. Это делает такой иммунизатор, как, впрочем, и многие блокировщики, не актуальным для современных компьютерных технологий.
Ко второму типу иммунизаторов относят те, которые защищают систему от вирусов определенного вида. Все файлы, имеющиеся на диске, изменяются таким образом, чтобы вирусы принимали их за зараженные. В память компьютера встраивается программа, имитирующая сам вирус. Именно это и является защитным механизмом. При установке, вирус находит программу и считает, что система в данный момент заражена. Это не самый универсальный и удобный тип иммунизации, поскольку невозможно создать иллюзию всех имеющихся вирусных программ.
CRC-сканеры работают, подсчитывая CRC-суммы (или контрольные суммы) файлов и системных секторов, присутствующих на дисках. Эти суммы сохраняются в базе данных вместе с другой информацией - длиной файлов, датой их последнего изменения и т.д. При повторном запуске сканер сверяет данные, которые содержаться в базе данных, с подсчитанными только что значениями. Если информация совпадает, то файлы чистые, а если данные, сохраненные в базе антивируса, отличаются от реальных значений, то CRC-сканер оповещает пользователя о заражении вирусом.
Такие сканеры, однако, не могут уловить вирус в момент его установки в системе. Они распознают его через некоторое время, как правило, после того, как вирус распространился по всему компьютеру. Еще они не умеют определять вирус в только что созданных файлах (например, при распаковке архива, в электронной почте или на дисках), поскольку в базе данных антивируса о них нет никакой информации. Очень часто появляются вирусы, пользующиеся этой «слабостью» CRC-сканера. Вирусы заражают только новые файлы и остаются невидимые для сканера очень долгое время, нанося серьезный ущерб операционной системе.