Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Сергей Яремчук
Несмотря на все заявления разработчиков, Windows так и не стала сверхзащищенной системой, способной противостоять современным угрозам. И вряд ли ктото уверен, что традиционно используемые средства защиты способны полноценно защитить компьютер от неизвестных 0-day-атак. Только комплексный подход способен решить эту проблему.
В UNIX-подобных операционных системах давно известны решения, позволяющие остановить неизвестную атаку путем принудительного ограничения рабочего пространства приложения, глобально через chroot или более тонко RSBAC, LIDS и пр. В последнем случае поступают очень просто. Запускают приложение и наблюдают, к каким файлам происходит обращение и какой режим – чтение/запись – требуется. Затем в результате создается профиль приложения, который и описывается в виде правил, контролируемых на уровне ядра. Если приложение попробует выйти за указанные рамки, то такое действие в зависимости от настроек может быть запрещено. Безотказно в UNIX действуют и утилиты контроля целостности. Стоит только измениться какому-то важному файлу, как администратор будет оповещен. Но для Windows реализовать такую вроде бы довольно простую систему как-то не решались. Причин здесь, вероятно, много, и сказать, какая из них является решающей довольно трудно. В UNIX и Windows не только разные архитектуры, но и строение файловой системы. Так, в UNIX все исполняемые файлы согласно стандарта файловой системы традиционно собраны в одном месте (/bin, /sbin и пр.), статические конфигурационные – в другом, а растущие журналы – в третьем, пользователи также ограничены своим рабочим пространством. Это все довольно легко описать при помощи простых правил. В Windows все несколько сложнее. Файлы раскиданы по разным каталогам, настройки могут сохраняться не только в разные ветки реестра, но и в индивидуальных конфигурационных файлах. Все это порождает некий бардак, так как программа должна иметь доступ во множество мест, что отследить гораздо труднее, да и пользователь традиционно имеет самые высокие права в системе. Также не вызывает сомнений, что UNIX-пользователь, подготовлен на порядок лучше пользователя Windows, который обычно полностью полагается на работу мастеров, часто не вникая в подробности. Поэтому последний скорее всего не будет в восторге от того, что придется описывать поведение для каждой устанавливаемой им программы. А если их десятки? Но должен же быть выход?
Подход CORE FORCE
Вероятно, разработчиков CORE FORCE [1] эти и другие проблемы не смогли остановить, и была создана система, которая при правильной настройке способна решить задачу по защите персонального компьютера от вирусов, известных и неизвестных уязвимостей, шпионских программ, червей, троянских программ и прочих подарков, которыми традиционно богат сегодняшний Интернет. CORE FORCE представляет собой несколько нетрадиционное решение по обеспечению безопасности персональных компьютеров, работающих под управлением Windows 2000 и XP.
Это узловая система предотвращения атак (host-based Intrusion Prevention System – H-IPS) с интегрированным сетевым экраном. Контролируется четыре основных параметра: входящие и исходящие сетевые пакеты, доступ к файловой системе и реестру, целостность исполняемых файлов. Эти возможности могут быть сконфигурированы как на системном, так и прикладном уровнях для специфических программ (почтовых клиентов, веб-браузеров, видео- и аудиопроигрывателей и пр.). Каждому приложению можно дать доступ к определенным частям файловой системы и реестра, со строгим ограничением прав, только на чтение или возможность модификации объектов. Также определяется разрешенная конкретному приложению сетевая активность.