USD 67.52 ЕВРО 76.09

Новая философия защиты пользователя от шпионских программ

Аналитика

В настоящем обзоре мы решили рассказать об антишпионской программе COVERT, проповедующей новый подход к защите пользователей от шпионских программ.
COVERTК этому подтолкнуло нас утверждение известного в России сайта, посвященного информационной безопасности, о том, что: «В настоящее время отдельные антишпионы практически вымерли как класс, так как функции обнаружения и удаления шпионских программ были включены практически во все существующие антивирусы». Но, это было сделано очень давно. Еще в далеком 2006 году, другой центр информационной безопасности проводил тестирование антишпионских программ. Тогда для поиска и обезвреживания девяти самых известных шпионов (модифицированных для теста) тестировали, помимо антишпионов, еще и 22 антивирусных продукта, производители которых заявляли о наличии функционала антишпионов.
Антишпионский функционал антивирусников работает по принципу основного функционала – сканирование компьютера и сравнения с сигнатурными базами. А если код шпиона модифицирован, тогда как быть?   Любой злоумышленник, владеющий базовыми навыками в области программирования, способен скомпилировать собственную шпионскую программу из открытых исходных кодов. Такая программа может не попасть в сигнатурную базу. Значит, шпион не будет найден. Это подтвердил упомянутый выше тест. Ни один антивирус и антишпион, работающий по сигнатурным базам, не нашел более двух шпионов из девяти.
Кто-то может подумать, что у классических антивирусов – антишпионов есть поведенческий анализ. Но и он бесполезен, поскольку перехват клавиатурного ввода и считывания изображения с экрана является обычным делом для многих программ, которые сам пользователь ставит на свой компьютер. Не знает классический антишпион,  зачем программа это делает – сам пользователь попросил или кто-то следит за ним.
Из всего этого вытекает, что классическими методами бороться со шпионами уже нельзя. И достаточно давно.
Мы выбрали маскировщик COVERT, поскольку разработчики позиционируют его как «новый метод защиты от программ-шпионов».

Начнем обзор с описания программы разработчиками.
Назначение: «Программа предназначена для защиты действий компьютерного пользователя от шпионских программ и вирусов — троянов». Звучит не ново. Так говорят о себе все антишпионы.
Краткое описание: «Программа маскирует действия пользователя, создавая платформу защиты, в которой позволяет запускать приложения для работы, но делает этот процесс невидимым для программ — шпионов или просмотра при помощи удаленного подключения. В программе есть функции, которые позволяют обнаруживать драйверных шпионов, работающих на уровне ядра. Маскировщик контролирует системные службы, сетевые подключения к компьютеру, системные процессы и буфер обмена. В программу встроена функция идентификации (авторизации). Ее назначение — обезопасить и фиксировать приложения и данные в них, чтобы восстанавливать, после внезапного закрытия. Предусмотрены кнопки быстрого запуска избранных приложений».
А вот здесь уже появляются интересные заявления разработчиков: «маскирует, контролирует». Давайте разберемся, что за этим стоит.
Сначала рассмотрим главное окно интерфейса программы COVERT:

Интерфейс COVERT 

Дизайн достаточно банальный. Но впечатляет большое количество функциональных клавиш, обозначенных на картинке цифрами, и окошек для мониторинга.

Главная кнопка интерфейса помечена цифрой «0». Если нажать на большой квадрат с названием программы, пользователь попадает в платформу, которая защищает его, как заявляют разработчики, от 90% всех существующих шпионов. Это достаточно простое действие даже для человека, который очень далек от информационных технологий и не хочет вникать в особенности работы каких-либо программ.

Возникает вопрос, почему только на 90% защиту дает вход в платформу? В информационной безопасности ни одна программа не может гарантировать 100% защиты. А в случае со шпионами, по статистике крупных антивирусных лабораторий, 10% из них используют драйвера, которые перехватывают клавиатурный ввод раньше, чем его получает операционная система. Вот для таких хитрых шпионов и нужен остальной функционал маскировщика COVERT.
Поэтому, чтобы быть уверенным в отсутствие слежки за своей работой, рекомендуется воспользоваться и другим полезным функционалом:
1. Драйверный монитор.
2. Сетевой монитор.
3. Службы системы.
4. Процессы системы.

Как убедиться,  что ваш компьютер чист, я расскажу позже, а сейчас закончу с возможностями, доступными с главного интерфейса.
В левом верхнем меню мы видим двенадцать знакомых нам картинок приложений. Это кнопки быстрого запуска любимых программ пользователя. Именно их часто запускают внутри платформы, чтобы защитить свою работу. Кстати, даже если все 12 окошек уже зарезервированы вами, не проблема. Если нажать на кнопку «Запуск программ», можно вызвать любое приложение, которое есть на вашем компьютере.
Под кнопками быстрого запуска мы видим окошко с очень длинным числом, а над ним надпись: «Идентификатор входа». Оказывается, что это очень удобный механизм для создания нескольких платформ, работающих одновременно.

Идентификатор входа — это цифровая комбинация, которая  сопровождает каждое вхождение пользователя в платформу программы — маскировщика, защищая от внешних воздействий активных вредоносных программ. При каждом новом входе пользователь вводит произвольную комбинацию цифр, либо добавляет или убавляет цифры у действующего идентификатора, который был введён ранее.
Если вы вышли из  платформы, но в ней оставили работать запущенные вами приложения, то позже к ним можете вернуться, используя тот же идентификатор. Если изменить идентификатор входа, тогда создается новая платформа защиты, из которой не будет доступа к приложениям, запущенным ранние в платформе с предыдущем идентификатором.
Запоминая предыдущие идентификаторы входа, вы сможете работать в двух и более платформах одновременно с разными приложениями, и переходить между платформами, указывая идентификаторы входа от разных созданных вами платформ.

Спускаемся ниже по окну интерфейса. Под кнопкой входа в платформу с названием программы COVERT, мы видим небольшое окошечко с надписью «Внутренний режим защиты».
Внутренний режим защиты разработан для контроля запуска приложений внутри платформы. Дело в том, что могут происходить несанкционированные запуски программ. Т.е. не пользователем компьютера. Есть легальные программы, которые при открытии основного приложения, запускают дополнительные процессы. Но, так поступают и вредоносные программы, в том числе шпионские. Они запускают себя, прицепляясь к обычным приложениям, и пользователь не подозревает, что он производит запуск программы, способной причинить вред.

В маскировщике есть три режима внутренней защиты.
Режим «0» — режим защиты от несанкционированного запуска отключён. Полезен, когда вы планируете запустить известное вам приложение, загружающее вспомогательные процессы для своей работы.
 Режим «1»  — режим, в котором происходит отслеживание самостоятельного запуска приложений. В этом режиме все приложения, которые будут запускаться самостоятельно, в списке «Программы открытые в платформе» будут высвечиваться желтым цветом и сопровождаться предупреждающим звуком.
Режим «2» — режим блокировки самостоятельного запуска приложений. Второй режим отлавливает запуск приложения, которое пользователь не запускал, и запрещает ему работать. Блокировка несанкционированного запуска будет сопровождаться коротким звуком. В списке «Программы открытые в платформе» будут высвечиваться только программа запущенная пользователем.

Теперь рассмотрим окно «База угроз», находящееся в правой части интерфейсного окна, под «Сетевым монитором». В нем мы видим перечень программ, которые разработчики относят к шпионским или нежелательным. Список сформирован на основе изучения различных видов шпионских угроз. Пользователь самостоятельно может добавлять или удалять информацию из базы, используя правые кнопки окна программы.

К базе угроз обращаются многие функции программы, такие как: «Сетевой монитор«, «Программы открытые в платформе«, «Службы системы» и «Процессы системы«. Если имя работающего приложения будет совпадать с имеющимися данными в базе, оно будет подсвечено красным цветом. На  это нужно обращать внимание, как на сигнал о возможной угрозе.
Под «Базами угроз» находятся индикаторы  «Буфера обмена», «Загрузки ЦП» и «Загрузки платформы».
«Буфер обмена» программы подменяет системный буфер для защиты пользовательской информации.

И так, мы прошлись только по основным  окнам главного интерфейса программы. А есть еще несколько внутренних, раскрывающихся после нажатия на функциональные клавиши.
Но, как было обещано в начале обзора, давайте вернемся к главному: что нужно сделать, чтобы обнаружить драйверных шпионов, работающих на уровне ядра?

Нужно проверить драйвера, находящиеся в операционной системе. Для этого жмем на кнопку «Драйверный монитор» и видим на экране список активных драйверов файловой системы.

Зелённым цветом высвечиваются драйвера, которые добавлены в «Разрешенную базу».
 
Желтый цвет — говорит о том, что файл не одобрен разработчиком и/или пользователем. По  нему нужно получить дополнительную информацию (можно это сделать прямо из программы COVERT) и  принять решение – куда его добавить.

Красным цветом выделены драйвера, которые занесены в «Базу угроз» или скрывают своё присутствие в системе. Если вы захотите удалить шпионский или зловредный драйвер, можете воспользоваться контекстным меню, выбрав пункт «Удалить драйвер». Вызвать его можно, нажав на правую клавишу мышки. После удаления драйвера нужно перезагрузить компьютер.  Но прежде, чем удалять драйвер, нужно быть уверенным, что это правильное решение.

Далее обратим свой взор на «Сетевой монитор», который предназначен для наблюдения за компьютерной сетью. По умолчанию, в мониторе будут видны программы, имеющие активные сетевые соединения на данный момент. В этом мониторе можно посмотреть и другие типы соединения. Если вы нажмёте на слово «Приложение» в верхней части списка или выберите в контекстном меню пункт «Соединения», появятся строчки, выделенные желтым, зелёным и красным цветом.

Желтый цвет означает, что приложение ожидает соединения, но пока его не имеет.
Зелёный цвет — это приложения, имеющие активное соединение в данный момент.
Красный цвет говорит о том, что приложение, запрашивающее соединение, занесено в базу угроз и будет постоянно блокироваться.

Если в сетевом мониторе вы увидели программу, которую вы не запускали, или подозрительную, вы можете добавить её в «Базу угроз», кликнув два раза левой кнопкой мышки на пункт в списке с именем приложения. Можно нажать на этот пункт правой кнопкой мыши и в контекстном меню выбрать пункт «Добавить в базу угроз». Также вы можете разъединить соединение или завершить подозрительный процесс.

Теперь  перейдем к анализу «Служб системы». 
По умолчанию список служб открывается в режиме «Активные службы«. Чтобы посмотреть все имеющиеся службы в системе, нажмите кнопку «Все службы». Опять  мы видим уже знакомую нам гамму светофора окна активных служб.

Зелённым цветом высвечиваются службы, которые добавлены в «Разрешенную базу«.
Желтый цвет — говорит о том, что файл не одобрен разработчиком и пользователем.
Красным цветом выделены приложения, которые занесены в «Базу угроз».
Если вы хотите остановить выполнение службы, запустить или удалить, используйте контекстное меню либо кнопки в окне справа. Аналогично можно изменить тип запуска службы.

Переходим к последнему этапу проверки чистоты нашей системы – к «Процессам системы».
Внутри работающей Windows находятся десятки программных процессов. Каждый процесс отвечает за выполнение определенной функции: одни следят за подключением устройств, другие заботятся о поддержании соединения с Интернетом, третьи выполняю еще какие-то необходимые для ОС задачи. Однако, периодически, некоторые процессы оказываются явно лишними, и их наличие только замедляет работу компьютера. На это следует обращать ваше внимание. А отдельные процессы просто-напросто опасны, и от них нужно избавляться как можно быстрее.

Один из способов обнаружения вирусов и шпионов на ПК — это просмотр запущенных процессов. У любой программы или службы есть свой процесс, а у некоторых несколько. Например, процесс самой программы и процесс проверки обновлений этой программы. Каждый из этих процессов потребляет определенное количество системных ресурсов и высвечивается в списке процессов.

На скриншоте ниже мы можем увидеть следующую картину.
Зелённым цветом высвечиваются системные процессы. (Процессы созданные самой системой).
Желтым цветом высвечиваются процессы, которые выдают себя под системные. (То есть имя системного процесса, но находится он в неправильной директории).
Красным цветом выделены приложения, которые занесены в «Базу угроз».

Для завершения неугодных процессов можно использовать контекстное меню, нажав нужный пункт списка, или нажать на кнопку «Завершить процесс».
После появления сообщения с предупреждением, примите решение, но будьте очень осторожны, чтобы не навредить системе.
После того, как мы разобрались со всеми «красными» драйверами, соединениями, службами и процессами, а также определились с их «желтыми» собратьями, можно быть уверенными в полной защите при работе в платформе.
Кстати, маскировщик дает возможность безопасно работать и на зараженном компьютере, не удаляя некоторых шпионов. Это позволяет дурачить тех, кто следит за пользователем, поскольку шпионская программа ничего не получает для своего хозяина, но остается активной в системе.
Главное в COVERT – другая философия защиты пользователя. Зачем искать врага, который постоянно меняет свой облик, если можно создать среду, к которой этот враг не будет иметь доступа. А очень искусного врага можно вычислить путем просмотра встроенных мониторов. И совсем не важно, есть ли он в базе шпионов.