Модернизированные версии брандмауэров помогут вам.

Большинство программных брандмауэров вполне адекватно защищают ваш ПК от хакеров, которые пытаются получить доступ к файлам или как-либо иначе испытать его на прочность. Но что же делать, если опасность исходит не снаружи, а изнутри? Некоторые из производителей персональных брандмауэров выпустили обновленные версии своих продуктов, призванные уменьшить уязвимость перед лицом незваных гостей, которые вторгаются в систему, когда вы, ни о чем не подозревая, запускаете какую-нибудь вредительскую программу, замаскировавшуюся под полезное приложение.

Проблема привлекла к себе внимание публики стараниями спеца по безопасности ПК Стива Гибсона, чей сайт Gibson Research (www.grc.com) более всего известен программой ShieldsUp («Щиты поднять») — специально сконструированным тестом для выявления степени уязвимости брандмауэра, подвергающегося атакам извне. Новейшим предложением Гибсона, окрещенным им как LeakTest («Проверка на утечку»), стала бесплатная и простая в использовании программа, сообщающая о том, способен ли брандмауэр обнаружить и остановить внутреннего «троянского коня» — безобидную на вид программу, распространяющуюся по электронной почте или же через Internet. Антивирусные программы способны предупредить об уже известных «троянских конях», но если внутрь проникнет-таки какая-либо новая подобная программа, то брандмауэр, как предполагается, должен обеспечить вторую линию обороны. К сожалению, когда в декабре 2000 г. LeakTest был выпущен, большинство персональных брандмауэров сделать это не смогли.

Переодетые приложения

По идее все брандмауэры должны блокировать попытки получить несанкционированный доступ извне к вашему ПК. Однако многие легальные приложения, работающие на компьютере, как раз и открывают его для внешнего доступа. Например, брандмауэры позволяют вам получать электронную почту и содержимое Web-страниц.

Но как же тогда брандмауэр сможет узнать, какое приложение «стучится» к вам на законном основании, а какое — нет? Большинство из них основывают свои «решения» на имени исполняемого файла, например netscape.exe в сочетании с номером порта, который приписан соединению с Internet, созданному конкретным приложением. Злонамеренный «троянский конь» может одурачить брандмауэр — для этого он притворяется законным приложением, изменяя при работе свое имя и используя нужный порт.

Безопасная имитация

LeakTest безопасно для компьютера имитирует стратегию атаки такого рода. После того как вы скопируете эту 27-килобайтную программу, Гибсон рекомендует переименовать ее и назвать как какое-нибудь популярное Internet-приложение, например Internet Explorer или Eudora. Когда вы запустите эту программу, она использует протокол FTP, для того чтобы попытаться соединиться с одним из гибсоновских серверов. Гибсон считает, что если она здесь преуспеет, то это подтвердит уязвимость вашего ПК, однако никаких персональных данных пересылаться не будет.

В условиях, отличных от лабораторных, случаются, как известно, и другие «троянские» атаки, отличные от имитируемых LeakTest. Тем не менее большинство основных производителей брандмауэров разработали модернизированные версии, ориентированные на решение именно «гибсоновской» проблемы (см. таблицу).

Когда тест был впервые выпущен, его прошла лишь одна из основных программ-брандмауэров — Zone Alarm компании Zone Labs. В число тех производителей, чьи продукты LeakTest одурачил, вошли McAfee.com, Network Associates, Sygate и Symantec. Почти все они уже весной предложили бесплатные модернизации своих продуктов. Внесенные модификации изменяют тот способ, которым брандмауэр идентифицирует приложения, получившие от пользователя право доступа к Web. Вместо того чтобы основываться на имени и номере порта, брандмауэры теперь интересуются содержанием и кодом.

Использование дополнительных средств защиты может быть сопряжено с некоторыми неудобствами. Например, для того чтобы полностью модернизировать Norton Personal Firewall, возможно, придется несколько раз обращаться к Live Update — службе, обеспечивающей копирование необходимых обновлений. Компания Symantec также отключила нортоновскую функцию автоматического создания правил, и теперь пользователей донимают всплывающие окна с запросами на разрешение тех или иных действий. Однако при этом все брандмауэры, даже Zone Alarm, опираются прежде всего на здравый смысл пользователя. Значит, не надо позволять системе иметь дело с подозрительным программным обеспечением.

Мораль: когда речь идет о сохранении ваших данных, осторожность должна быть превыше всего. Лучше потерпеть сегодня и смириться со своим излишне бдительным брандмауэром, чем плакать потом, когда какой-нибудь неизвестный перепишет ваши личные финансовые файлы.

541