Online Armor Security Suite

Судить о качестве файерволла по так называемым лик-тестам (Leak tests) последнее время стало модно. И хотя к реальной жизни все эти тесты имеют весьма слабое отношение, появление в рейтинге сайта Matousec [1] какого-то неизвестного Online Armor Personal Firewall, разделившего с Outpost Firewall Pro 2008 аж первое место, не могло пройти мимо нашего внимания.

Но для начала — что же такое все эти пресловутые лик-тесты (тесты утечек). Это небольшие тестовые программки (на сегодня таких порядка 30), которые с помощью самых разных хитрых методик пытаются обойти файерволл, отправив незаметно для него в интернет какую-то информацию. Тем самым как бы имитируется работа троянов, ворующих вашу приватную информацию. Лучше всего ситуация вокруг них описана в статье [2] Николая Гребенникова из Лаборатории Касперского.

В принципе, ничего плохого в такой проверке файерволла на утечки нет. Чем надёжнее брандмауэр, чем больше способов обхода сетевых экранов он знает, тем лучше. Дело в том, как относиться к результатам этих тестов. Во-первых, тестовые программы хорошо известны, и настроить файерволл на борьбу именно с ними, пожалуй, не так сложно. Как он будет себя вести в случае реального трояна — уже другой вопрос. Да и будет ли новый троян использовать такие же методики, как эти распространённые тесты, или будет содержать другие, менее известные решения? Во-вторых, файерволл — лишь один из рубежей защиты. По идее, трояна должен перехватить антивирус ещё до того, как он попадёт на ваш ПК и будет запущен. А если не поймал — то при попытке запуска. В-третьих, даже если файерволл зафиксирует попытку зловредной деятельности и сообщит о ней пользователю, не факт, что тот поступит адекватно. Как вы, например, выявите среди нескольких десятков подгружаемых к explorer.exe внешних библиотек ту, которую пытается ему подсунуть троянец? И, наконец, даже про стопроцентном прохождении всех лик-тестов продукт может содержать миллион уязвимостей других типов (тема эта обсуждается, например, на форуме kaspersky.com [3]). Так что лик-тесты — лишь очередное веяние моды, и молиться на их результаты не стоит. Но, безусловно, программа, прошедшая их со 100% результатом (причём в виде бесплатной, несколько урезанной версии!), заслуживает того, чтобы взглянуть на её возможности и удобство её использования.

Знакомство с пакетом Online Armor Security Suite [4] 2.1.0.31 начинается со сканирования вашей системы на предмет установленных программ, опасных процессов и известных уязвимостей. Может показаться, что это очень неплохое решение — поиск программ производится по ярлыкам меню «Пуск», что гораздо быстрее, чем сканирование всех дисков в системе в поисках «экзешников». В результате для известных программ правила создавались бы автоматом, а для нераспознанных было бы предоставлено право выбора — разрешаете ли вы им доступ в сеть или нет. Но дело в том, что тут создаются правила не для выхода в сеть, что было бы логично, а для запуска вообще! То есть если вы поставите какому-то элементу меню «Пуск» флажок «Блокировать», то эту программу больше просто не запустите, пока вручную не измените правило. Зачем так делать — совершенно непонятно, ведь трояны не создают ярлыки в «Пуске»… Аналогичным образом создаются правила для элементов автозагрузки и расширений Internet Explorer. После этого предлагается настроить кое-какие незначительные опции программы и перезагрузить ПК.

Сразу после перезагрузки отмечаем, что программа действительно отслеживает элементы автозапуска Windows, что не является типичной функцией файерволла — это, скорее, задача антивируса. Но зато интернет, локальная сеть и сетевые ресурсы работают без всякой дополнительной настройки. И это при том, что по умолчанию режим обучения отключен. Так что начинающего пользователя программа в ступор не приведёт. Пытаемся запускать основные интернет-программы — всё работает, и «чайник» может уже забыть о каких-либо дополнительных телодвижениях.

А что же продвинутый пользователь? А продвинутый пользователь полезет в раздел Configuration…

В настройках мы обнаруживаем, что пакет Online Armor Security Suite состоит, по сути, из нескольких основных компонентов: фишинг-фильтра Mail Shield, блокировщика опасных сайтов Web Shield, менеджера приложений Program Guard и собственно брандмауэра Firewall (отличия бесплатной версии можно увидеть на страничке www.tallemu.com/comparisons.html [5]). В результате мы получаем довольно неплохую оборону по нескольким фронтам сразу. А если поставить ещё и антивирус или выбрать расширенный пакет Online Armor AV+ с интегрированным движком Антивируса Касперского, то защита становится почти исчерпывающей. Почти — поскольку, например, встроенного блокировщика баннеров найти, к великому сожалению, не удалось. Так что придётся ставить ещё одну лишнюю программу типа AdMuncher.

Раздел настроек Programs предоставляет доступ к функционалу, отвечающему за запрет/разрешение запуска программ и выполнения ими потенциально опасных процедур — например, запуска других модулей, прямого доступа к памяти, изменения удалённого кода и так далее. Во многом именно это и позволяет Online Armor проходить упомянутые выше лик-тесты — именно здесь сосредоточена защита от основных методов обхода файерволлов. Разделы Startup Items и IE Add-ons соответственно отвечают за блокировку нежелательных элементов автозапуска и плагинов браузера. Следующий пункт — Key Loggers — отображает выявленные программой перехватчики клавиатуры. В нашей тестовой системе это оказались утилита Quick Launch Buttons, обслуживающая дополнительные клавиши ноутбука и почему-то Bluetooth Tray Application. А вот Punto Switcher Online Armor, как ни странно, проигнорировал…

Следующий пункт настроек — Hosts, позволяет оперативно контролировать содержимое файла Hosts, а на странице My Web sites отображаются посещённые вами веб-узлы с пометками TRUSTED, NOT TRUSTED, BLOCKED и так далее. Отметки эти проставляются автоматом в зависимости от того, есть ли сайт в базе данных фишинговых ресурсов или он считается надёжным, либо в соответствии с тем, как вы сами его определяете, если сайт программе неизвестен. При этом на доверенных сайтах разрешается выполнение любого активного содержимого без каких-либо предупреждений, а на непонятных ресурсах все опасные апплеты блокируются. К сожалению, вручную что-либо задать тут невозможно. Так что если на сайте надо разрешить, например, Flash и запретить всплывающие окна, то вас ждёт облом. (Есть ещё специальный режим работы — Banking, при его выборе доступ разрешается только к доверенным сайтам.)

Диалог настроек Firewall самый главный — именно здесь задаются правила брандмауэра. Первое удивление — в списке программ, которым разрешён доступ — Program Access — нельзя просто добавить новую. Только при переходе на вкладку Rules появляется возможность создать новое правило. Начинаешь создавать правило — и опять обламываешься. Нет такого понятия как «Разрешить всё». Обязательно надо вручную указывать номера портов. Плюс ко всему, правила по разным программам свалены в кучу и идут общим, крайне неудобным списком — это, кстати, характерно для многих файерволлов. Ну неужели их авторы не понимают, что гораздо эргономичнее группировать правила по каждому приложению (как это делалось, например, в AtGuard [6] — самом удобном файерволле всех времён и народов)? Хорошо хоть, есть возможность создавать запретные и доверенные зоны в локальной сети, а также прописывать глобальные правила для протокола ICMP. Есть и функция импорта блоклистов в формате Bluetack — подобные уже готовые блоклисты можно использовать и для блокировки некоторых рекламных сайтов, и для борьбы со spyware, и даже для противодействия всевозможным антипиринговым конторам. Ещё одна интересная опция — Restricted Ports List. Здесь вы можете указать порты, по которым разрешается работать только в локальной сети. Доступ в интернет по ним будет запрещён для любых программ. По умолчанию, например, к таким относятся порты, отвечающие за доступ к расшаренным папкам вашего ПК.

Online Armor Security Suite имеет и некоторые другие не очень существенные особенности и внутренние технологии, о которых лучше почитать на сайте программы, мы же на этом знакомство с новым игроком на рынке пакетов безопасности, пожалуй, завершим. Несмотря на довольно обширный и порой весьма нетипичный функционал, очень много важных вещей, обязательных атрибутов мощного файерволла мы здесь не нашли. Нет, в частности, никакой возможности настроить почтовый фильтр (запретить-разрешить блокировку писем со скриптами, внешними картинками и так далее), нельзя выборочно блокировать активные элементы веб-страниц, нет хоть сколько-нибудь приличного блокировщика рекламы и тем более — поддержки плагинов, очень слабое протоколирование (нельзя, например, узнать URL, по которым обращался браузер, и хотя в статус-мониторе они показываются в реальном времени, скопировать URL оттуда нельзя) невозможно указать порты, по которым следует отслеживать активность браузера и почтового клиента. Сюда же можно отнести неудобное составление правил брандмауэра и отсутствие готовых шаблонов стандартных правил (браузер, почтовый клиент, клиент Torrent и так далее), отсутствие какого-либо механизма контроля за несанкционированным доступом к конфиденциальным пользовательским данным и так далее. Перечислять можно долго. Достаточно вспомнить возможности того же Outpost или NIS 2005 [7]. Есть даже некоторое ощущение какой-то недоделанности Online Armor Security Suite (его подкрепляют некоторые страницы встроенной справки — абсолютно пустые). Была задача — обеспечить 100% прохождение ликтестов — её добились. А остальное сделаем со временем. Может быть…

В общем и целом же программа совсем не хуже многих конкурентов (слабоват общий фон, да…), а может, даже и лучше. Особенно для начинающих пользователей. Особенно завёрнутых на ликтестах…




Темы