По версии компании Aladdin, шпионское программное обеспечение — проблема номер один
Пакет eSafe устанавливается за сетевым экраном и контролирует передачу данных по двум типам протоколов — Web и электронной почты. В этих протоколах программа выискивает передачу вирусов и других вредоносных кодов, спам, фишинг и коммуникационные протоколы шпионских программ

Почтовые черви уже выходят из моды; компьютерный андеграунд переключился на другие технологии, которые связаны в первую очередь с Web-протоколами. Программы-шпионы устанавливаются на ПК в момент посещения зараженных сайтов, собирают информацию с компьютера и отсылают ее своим владельцам. Также шпионские программы иногда снабжают функциями роботов, выполняющих команды со стороны. Для коммуникации со своими владельцами шпионы пользуются протоколом HTTP, поэтому эти сеансы связи трудно пресекать с помощью сетевых экранов. Нужны системы защиты, которые бы понимали специфику задачи.

Средства защиты от шпионов должны в первую очередь блокировать загрузку постороннего программного обеспечения из Сети. Для этого им приходится распознавать самые различные протоколы, по которым это ПО может попасть на клиентский компьютер. Причем не только знать, как они работают, но и «заглядывать» в передаваемые по ним исполнимые файлы, проверяя, насколько они похожи на шпионское ПО. Конечно, такая работа сродни поиску вирусов, но для нее можно использовать и проактивные методы, такие как определение переполнения и электронной подписи известного производителя шпионского ПО или выявление коммуникационных протоколов, которые используют шпионские программы для общения со своими хозяевами.

Именно на борьбу со шпионами и нацелена прежде всего новая версия средства защиты шлюза Aladdin eSafe 5, выпущенная летом. Пакет eSafe устанавливается за сетевым экраном и контролирует передачу данных по двум типам протоколов — Web и электронной почты. В этих протоколах программа выискивает передачу вирусов и других вредоносных кодов, спам, фишинг и коммуникационные протоколы шпионских программ. Пятая версия eSafe использует все перечисленные методы для выявления и блокировки шпионских программ. В отличие от большинства программ для выявления шпионов, которые устанавливаются на каждое рабочее место, eSafe устанавливается на шлюз и тем самым прикрывает сразу все рабочие места компании. В своей работе eSafe использует сигнатурные и поведенческие проверки на вирусы, списки известных уязвимостей и эксплойтов, стандартизацию почтовых сообщений, базы данных подписей изготовителей шпионских программ, фишинговых сайтов и рассыльщиков спама.

Все перечисленные выше списки и базы данных готовятся в Content Security Response Team (CSRT) — подразделении Aladdin, которое оперативно реагирует на появление новых эксплойтов, шпионов, вирусов и спама. Результатом деятельности CSRT являются всевозможные обновления сигнатур, списков и баз данных, которые нужно регулярно загружать в eSafe. В результате для первичной установки eSafe требуется около 150 Мбайт данных и ежедневно поступает еще 1-2 Мбайт обновлений. Очень редко — примерно раз в год — производится обновление базовой операционной системы, в качестве которой выступает специальный дистрибутив Linux.

В Aladdin рассчитывают, что основными клиентами eSafe станут операторы связи и корпоративные пользователи. Первые смогут предоставить своим клиентам защиту их подключения к Internet, а вторые будут защищать свои рабочие места от вирусов, спама и шпионского программного обеспечения. Для операторов цена будет договорная, а для компаний — в зависимости от рабочих мест. Важной частью расходов на новый продукт станет продление подписки на обновления, без которых eSafe будет пропускать неизвестные ему шпионы и протоколы. Цена подписки на год составит 30-40% первоначальной стоимости продукта. Сергей Груздев, генеральный директор Aladdin, рассчитывает с помощью eSafe получить существенную долю рынка средств проактивной защиты. Уже сейчас есть три проекта у российских операторов, которые тестируют eSafe на своих сетях.


Проблема номер один

Проблемы безопасности, которые приходится решать сотрудникам ИТ-департаментов американских компаний

ПроблемаДоля респондентов
Шпионское ПО65%
Сотрудники, использующие широкополосные приложения42%
Сотрудники, использующие неразрешенные приложения39%
Фишинг32%

Источник: eMarketer, 2005