Охота на «трояна»

Автор: . Рубрика: Сервисы будущего. Опубликовано: 24.05.2008, 20:55.

Я не вирусолог, не специалист по защите корпоративных сетей – обычный юзер, предпочитающий на компьютере работать или развлекаться, а не бесконечно совершенствовать политики безопасности. Как и многие, я в свое время наивно пытался найти универсальное средство, обеспечивающее стопроцентную защиту ПК по принципу «поставил и забыл». К тому времени, когда понял, что такое средство создать невозможно, успел познакомиться с одной весьма полезной антивирусной утилитой – AVZ, которую можно использовать в качестве дополнения к основному антивирусу.

Это только присказка, сказка – впереди. Но вначале – еще несколько слов об этой утилите. Благодаря большому набору менеджеров процессов, служб, драйверов, расширений IE и проводника, открытых портов и т.д. AVZ позволяет вести эффективный ручной поиск деструктивных файлов. Изучение принципов работы утилиты увлекло, заставило почитать help и… на долгие месяцы сделало поиск вирусов одним из моих любимых увлечений. Вы когда-нибудь обнаруживали самостоятельно незваного «зверя» где-нибудь в дебрях папок /system32/ или /Temp/? Поверьте – это не менее увлекательно, чем охота за компьютерными 3D-монстрами.

А теперь – идея. Уверен, этот азарт способен заразить и многих других «обычных юзеров» (при этом, кроме азарта, у каждого юзера будет вполне конкретный практический интерес: получить знания и навыки, позволяющие самостоятельно выяснить причины участившихся зависаний, глюков, замедления работы ПК и т.д.).

А там, где азарт – появляется почва для формирования нового массового интернет-сообщества. Инвестиции можно поискать в антивирусных компаниях, атакже в крупных корпоративных и банковских структурах, потери которых от вирусописателей и хакеров с каждым годом растут (и света в этом тоннеле пока не видно). Но вначале нужно решить две задачи:
создать привлекательный механизм участия в сообществе;
разработать для его членов простой в использовании и интуитивный понятный клиентский модуль.
С модуля и начнем.

Сборка-разборка «кибердвустволки»

Утилит, позволяющих искать вирусы, трояны, руткиты, клавиатурные шпионы и прочую дрянь вручную – более чем достаточно. Но все они, как правило, рассчитаны на системных администраторов, специалистов по компьютерной безопасности и пользователей с уровнем подготовки намного выше среднего. Программы с такой идеологией не смогут увлечь среднестатистического юзера настолько, чтобы он потратил некоторые усилия на освоение help’а и практических навыков «охоты» за вирусами и троянами. Тут нужна иная идеология. На мой взгляд, она должна соответствовать по меньшей мере трем пунктам:

1. Умный интерфейс. Он сам по себе должен служить подсказкой.

Например, просматривая процессы, вы сразу видите, какие из них имеют выход в сеть (при этом красным цветом подсвечиваются все процессы, использующие нестандартные библиотеки, расположенные в необычных местах и т.п.). Изучая сетевую активность, вы видите все удаленные соединения с подробной WhoIs-информацией, а также использующие их локальные процессы (при этом подсвечиваются все соединения, осуществляемые нестандартными процессами, а также генерирующие необычный объем, скорость трафика, периодичность запросов и т.д.).

Под рукой, в одном окне всегда должны быть кнопки, позволяющие проделать над выделенным файлом (процессом, соединением) все мыслимые операции:
удалить/выгрузить,
остановить/разорвать,
отправить в карантин,
разослать антивирусным лабораториям (текст письма формируется автоматически),
отправить на сайт сообщества,
отправить файл/информацию «друзьям» (партнерам по охоте),
отправить жалобу провайдеру удаленного соединения,
найти информацию о файле в энциклопедии/в интернете.
Я что-нибудь упустил? Ну да – функцию «отката»:).

2. Фильтрация заведомо безопасных файлов. Невозможно создать продуктивное сообщество, каждому члену которого придется заново изобретать велосипед. Чем больше файлов, среди которых необходимо искать вирусную «иголку» – тем меньше участников присоединится к сообществу.

В уже упоминавшейся утилите AVZ отлично реализована фильтрация известных/неизвестных процессов, служб, драйверов, библиотек, расширений BHO и т.д.: зеленым цветом подсвечиваются системные файлы, включенные в базу Microsoft, а также программные файлы из базы безопасных файлов, созданной коллективными усилиями пользователей AVZ и ее автора, вирусолога Олега Зайцева (пользователи присылают подозрительные файлы – либо просто неопознанные в качестве безопасных – а разработчик утилиты их анализирует с помощью многоступенчатой технологии). Сегодня в базе утилиты накоплено свыше ста тысяч контрольных сумм «чистых» файлов. Утилита «знает в лицо» подавляющее большинство программ, которые могут оказаться на компьютере обычного пользователя.

Аналогичное решение, положенное в конструкцию нашей «кибердвустволки», не только облегчит поиск вирусов, но и относительно быстро сведет к минимуму интернет-трафик, необходимый для рассылки подозрительных файлов.

3. Прямая контекстно-зависимая связь с онлайновой «Энциклопедией ручного поиска». Впрочем, пока размер энциклопедии позволяет, она должна быть встроена в утилиту, постоянно обновляться, подобно сигнатурным базам, и поддерживать технологию всплывающих подсказок. И онлайновая, и оффлайновая версии энциклопедии должны поддерживать возможность быстрой сортировки записей по признакам вирусной активности, способам обнаружения и нейтрализации вирусов.

Энциклопедия должна облегчить вам не только поиск конкретного вируса, но и быстрое освоение:
теории (например, если вы подозреваете, что поймали «червя», то должны иметь возможность вызвать: краткое сравнительное описание всех типов вирусных опасностей; более подробное описание типа «сетевые и почтовые черви»; список наиболее опасных «червей», симптомов их проникновения на компьютер и способов обнаружения; аналогичный список всех известных «червей»; отчеты о прошлых, текущих и прогнозируемых эпидемиях);
практики (не связывая инициативу пользователя, программа должна мягко подсказывать наработанные экспертами и наиболее опытными «охотниками» варианты ближайших шагов, а также просто и внятно объяснять назначение каждого инструмента, окна, кнопки, которыми в данный момент манипулирует пользователь).

Самому неопытному пользователю близка и понятна идея обезопасить свой компьютер. Так предоставьте же ему, наконец, возможность на лету, без отрыва от производства и развлечений, осваивать технологии защиты – и вчерашний ламер сравняется по миссионерскому азарту с футбольным фанатом.

Итак, открывается «вебдванольный» ресурс, адресованный «охотникам» за вирусами, троянами и прочими компьютерными «зловредами». Его посетителям предлагается скачать клиентский модуль, который автоматически выявит на компьютере все неизвестные файлы (т.е. не входящие в список заведомо безопасных) и поможет их переслать в адрес проекта.

В лаборатории проекта каждый присланный файл автоматически проверяется «батареей» из нескольких известных антивирусов (по примеру Virustotal и других подобных интернет-сервисов). Заподозренные и попавшие в карантин файлы автоматически пересылаются на проверку в антивирусные лаборатории, чьи продукты используются в проекте. Таким образом, база безопасных файлов проекта постоянно обновляется (каждый файл перед занесением в базу проверяется вручную штатным вирусологом проекта). Пользователь автоматически получает уведомления о завирусованных файлах. А после очередного обновления базы список неизвестных файлов на его компьютере, составленный клиентской программой, сокращается вплоть до нуля.

И вот тут начинается самая интересная часть проекта, которая поможет превратить рутинную процедуру в азартную охоту.

За каждый добавленный в базу файл пользователь, который его прислал, получает по одному очку.

За каждый присланный файл, в котором тестовая система проекта обнаружила зловредный код, пользователь получает, допустим, три очка.

Если пользователь самостоятельно выявит на компьютере подозрительный файл, и он действительно окажется вредоносной программой – пользователь получит, скажем, семь очков.

Если пользователь пришлет для «Энциклопедии ручного поиска» подробное описание: где и как он нашел этот вирус, какое поведение компьютера, операционной системы, приложений вызвало подозрения и т.д. – пользователь получает, к примеру, 12 очков.

Если обнаруженный пользователем вирус входит в официальный список наиболее опасных (по версии любой известной антивирусной компании) – пользователь получает 20 очков и статус «киберохотник».

Ну, а если он первым обнаружит совершенно новый вирус – тут и сотни очков, на мой взгляд, не жалко.

Каждый охотник открывает на сайте персональный аккаунт: юзер-инфо, общее количество и динамика очков, место в общем рейтинге, список личных записей в «Энциклопедии», закрытый чат для обсуждения компьютерных проблем с опытными юзерами, персональный блог, комментарии посетителей страницы, комментарии комментариев, фото любимой собаки в обнимку с компьютером и т.д…

На сайте создаются сообщества для обсуждения способов борьбы с различными типами деструктивных программ, технологий «ручного» поиска, путей развития проекта в целом и антивирусного клиента в частности, присвоения «киберохотникам» статуса «мастер» (учитывается множество факторов, в т.ч. авторитет, реальная помощь начинающим и т.д.).

Общий рейтинг разделяется на региональные (возможность стать «первым парнем на деревне» – хороший стимул для начинающих охотников), а также имеет открытый интерфейс для объединения в перспективе с рейтингами других стран.

Со временем клиентский модуль может быть усовершенствован для коллективной охоты: в сложной ситуации вы будете вольны предоставить удаленный доступ к интерфейсу клиента «киберохотникам» и «мастеру», которым вы доверяете. В таком режиме вам будет легче устранить проблему и набраться опыта у более продвинутых «юзеров».

Вы скажете: кончено, хакеры будут присылать для рейтинга собственные вирусы, рваться в мастера и зомбировать компьютеры новичков. Ну, во-первых, эту опасность могут предусмотреть разработчики антивирусного клиента. А если в ней таки останутся бреши, свое слово скажет коллективная мудрость социальной сети.





Спасибо всем, кто добавляет мои посты в "Фейсбук"!



...и поднимает их в поиске Gооgle с помощью кнопки "+1"!