2. Система безопасности PrevxI (http://www.Prevx.Com/)

В специальной литературе для обозначения новых неизвестных видов атак часто используется термин zero-day (0-day) attack.

На обучение проактивных систем уходит некоторое время, в течение которого решение о допуске программы принимает пользователь. Подобные системы сегодня задают все меньше вопросов, однако от пользователя требуется некий уровень понимания происходящего в системе — хотя бы такой, чтобы появле­ние нового процесса вызывало подозрение. Созданные профили будут извест­ны только на одном компьютере, поэтому в случае атаки на другую машину обучение придется повторять сначала. Вероятность возникновения ошибки велика, особенно учитывая характерный для проактивных систем высокий процент ошибок.

Эта система только набирает популярность, однако оригинальность решения и эффективность делают ее достойной рассмотрения.

Принцип работы

Впервые прототип нового типа системы отражения атак был представлен об­щественности в феврале 2004 года и назывался Prevx Ноте. Уникального в представленной системе было много. В отличие от антивирусных систем, использующих для определения злонамеренных файлов сигнатуры, или неко­торых систем, работающих со списком разрешенных приложений, в новой системе применялись правила, которые описывали поведение и средства кон­троля целостности программ. Причем в список попадали как заведомо хорошие, так и плохие программы, что позволяло быстро определить характер нового приложения или процесса на компьютере. Однако не это главное.

В системе используется единая база данных Community Watch. Она является наиболее мощным источником информации, определяющим существование, распространение и деятельность как благоприятного, так и злонамеренного программного обеспечения. Используя информацию, собранную в этой базе данных, можно проследить и проанализировать в реальном времени поведение и распространение обществом каждой программы. На каждом клиентском компьютере устанавливаются агенты безопасности, которые отслеживают ситуацию в защищаемой системе. При установке нового приложения либо появлении нового, неизвестного локальной базе процесса агент по Интернету отсылает запрос к центральной базе и на основании полученной информации делает вывод о ее благонадежности.

Если в центральной базе данных нет информации о новой программе, новый модуль заносится в нее и помечается как неизвестный, и пользователь преду­преждается о возможном риске. В отличие от антивирусов, требующих неко­торого времени для анализа специалистами, Community Watch в большинстве случаев способна самостоятельно определить характер программы, основыва­ясь на поведенческих характеристиках. Для этого используется методика Four Axes of Evil, которая определяет характер программы по четырем составляю­щим: скрытность, поведение, происхождение и распространение. В результате создается ее описание, содержащее приблизительно 120 параметров, позволяю­щих однозначно идентифицировать эту программу в будущем, то есть если неизвестная базе утилита выполняет те же действия, что и известная зловред­ная программа, ее назначение очевидно. Если данных, собранных агентом, недостаточно для принятия однозначного решения, база данных может потре­бовать копию программы для проверки. По заявлению разработчиков, только небольшой процент случаев требует особого вмешательства специалистов.

При первом запуске база данных содержала информацию о миллионе событий, а через 20 месяцев в ней уже была информация о миллиарде. Такой принцип работы позволяет устранить ложные срабатывания, поэтому неудивительно, что вскоре появилась программа нового поколения — Prevxl, тестирование которой началось с 16 июля 2005 года. Результат превзошел все ожидания: 100 тыс. раз­бросанных по всему миру компьютеров с установленными на них Prevxl оказа­лись способными противостоять новым угрозам в реальном времени.

Сегодня оптимизированная база данных содержит более 10 млн уникальных событий и 220 тыс. вредных объектов. Ежедневно система автоматически обна­руживает и нейтрализует свыше 400 вредных приложений и около 10 тыс. про­грамм различного назначения. Антивирусам не угнаться за такой производи­тельностью. По статистике, приведенной на сайте, новый пользователь, подключившийся к Prevx 1, в 19 % случаев находит у себя в системе вредоносные программы. Prevx 1 может использоваться автономно, самостоятельно защищая компьютер, и совместно с другими продуктами, усиливающими ее действие брандмауэром, антивирусом и программами для поиска шпионских модулей.

Работа с Prevx CSI

Для установки Prevx потребуется компьютер, имеющий не менее 256 Мбайт оперативной памяти и процессор с частотой 600 Мгц, работающий под управле­нием Windows 2000/ХР/2003 и Vista. Это минимальные требования, для ком­фортной работы желательно использовать более современное оборудование.

Разработчики поступили просто: наличие бесплатной версии привлекает к про­екту новых пользователей, которые добавляют свои сигнатуры в базу данных сообщества и тестируют на своем оборудовании непроверенное программное обеспечение. Версию Free можно установить обычным образом на жесткий диск или на USB-устройство хранения информации. Единственное ограниче­ние этой версии — невозможность удаления найденных вредоносных файлов (производится только проверка компьютера). Зато ее можно производить лю­бое количество раз для подстраховки, запуская вручную или по расписанию, и в случае обнаружения проблем принимать меры с помощью других утилит, описанных в данной книге.

Установка Prevxl не вызывает сложностей, но для верификации требуется подключение к Интернету. Запустите исполняемый файл, подтвердите согла­сие с лицензией, установив флажок и нажав кнопку Continue (Продолжить). Начнется сканирование системной области, по окончании которого будет вы­веден результат (рис. 1).

Обратите внимание на сообщение после System Status. Если значок напротив окрашен в зеленый цвет и подписан Clean, это означает, что на компьютере не обнаружено вредоносных программ. Если значок красный и подпись Infected — на компьютере найдены вредоносные программы и следует принять меры. Если на компьютере будет обнаружена неизвестная программа, значок окрасится в желтый предупреждающий цвет, в этом случае пользователь должен быть внимателен, так как это может быть вредоносная программа.

Рис. 1. Консоль управления Prevx CSI

Prevx должен обновлять локальную базу по мере необходимости, если соеди­нение производится через прокси-сервер, его настройки следует указать на вкладке Configure в поле Activate Proxy Support. Автоматическую проверку системы можно установить на вкладке Scheduler. Установите флажок Scan my system every и с помощью раскрывающихся списков, расположенных справа, укажите периодичность и время проверки. Можно выбрать ежедневную про­верку (Day) или указать на один из дней недели. Чтобы проверка производи­лась, если компьютер был выключен, установите флажок If my computer is not powered is on at the scheduled time. Для проверки компьютера после загрузки системы установите Scan automatically on bootup.