Хотя мы регулярно слышим о взломе браузеров и обнаружении в них очередных уязвимостей, на самом деле они становятся все надежнее и безопаснее. Эксплойты, демонстрируемые хакерами на профильных конференциях, относятся к категории «высшего пилотажа» и готовятся специально к «показательным» выступлениям. И конечно, вскоре после обнаружения уязвимости устраняются разработчиками. Соответственно, для большинства киберпреступников такой подход оказывается неоправданно дорогим, они ищут более доступные и эффективные. И находят… в области социальной инженерии. Оказывается, не так уж трудно заманить среднестатистического пользователя на незнакомый сайт и уговорить воспользоваться неизвестным ПО. Так, согласно недавнему отчету Microsoft, из каждых 14 загружаемых из Интернета программ по крайней мере одна — вредоносная. Это не значит, конечно, что каждый из нас оказывается в подобной ситуации, негативную статистику прежде всего формируют «группы риска» — дети, новички и т. д.
Но тенденция весьма опасная. Поскольку предполагается, что пользователь будет сам запускать вредоносный код, для создания последнего не требуются хитрые приемы, он содержит обычные команды, легко и быстро модифицируется. В данном контексте весьма показательны случаи с поддельными антивирусами, которые изрядно попортили нервы пользователям Windows, а теперь добрались и до Mac OS X (FakeMacdef). В борьбе с подобными атаками сигнатурный поиск — основной инструмент антивирусов — оказывается малоэффективным. Что же касается механизмов поведенческого анализа, HIPS и аналогичных, то их эффективность также не всегда находится на высоте. К примеру, последнее исследование AV-Test продемонстрировало, что основная разница между современными антивирусами заключается именно в их способности противодействовать 0-day угрозам. Причем до среднего уровня не дотянул как бесплатный Microsoft Security Essentials, так и вполне коммерческие комплексные пакеты от CA, McAfee, Eset.
Соответственно, для исходящих из Интернета угроз нужны другие способы защиты и один из доступных вариантов носит достаточно прозаическое название «песочницы» (sandbox). Согласно Википедии так называются любые механизмы безопасного исполнения кода. Достаточно широкая трактовка, под которую при должном использовании, попадают, к примеру, и привычные системы виртуализации. В более же простом случае эти механизмы действуют на уровне конкретных приложений, способных исполнять внешний код, дабы оградить от последнего операционное окружение хоста. К примеру, именно качественная встроенная песочница затрудняет взлом браузера Chrome через уязвимости WebKit. В антивирусах песочницы применяются для тестового запуска неизвестного (потенциально опасного) кода. Но есть и универсальные решения, обеспечивающие в той или иной степени общесистемную защиту.
Именно к категории последних и относится BufferZone. Она не единственная в своем роде, другими примерами могут служить ZoneAlarm ForceField или Sandboxie. Однако с недавних пор полнофункциональная редакция BufferZone Pro стала полностью бесплатной и потому представляет особый интерес. При этом разработчики, судя по всему, не забросили проект (скорее всего он станет тестовым полигоном для обкатки различных технологий, которые потом будут переноситься в решения для организаций) — в разработке находится версия 4.0, хотя, забегая вперед, посетуем, что проблемы с текущей решаются далеко не так оперативно как хотелось бы.
Основу BufferZone Pro представляют системные драйверы, с помощью которых контролируется запуск сторонних программ и их работа с файловой системой и реестром, а также некоторая другая активность. Такие программы будут исполняться в виртуальной среде (т. е. именно в песочнице) и не смогут внести постоянных корректив в конфигурацию системы. Все загружаемые с их помощью файлы, изменения в реестр и другие структуры, будут присутствовать в системе лишь виртуально, а на самом деле — храниться в «зоне», специальной папке C:Virtual (при желании переносится на другой диск), которую можно очистить в любой момент вручную, либо по расписанию.
Очень важно понимать, что BufferZone Pro не пытается отличать плохие программы от хороших и блокировать их совершенно, т. е. пользователь по-прежнему сможет собственноручно загрузить и запустить троянца или клавиатурного логгера, которые, в свою очередь, обязательно попытаются сделать свое черное дело. Поэтому BufferZone Pro предпринимает некоторые дополнительные меры. Во-первых, она перехватывает системные вызовы, используемые клавиатурными логгерами, в результате, многие просто не могут встроиться в систему. Во-вторых, от песочницы скрываются файлы, отнесенные к конфиденциальным. По умолчанию это содержимое папки Мои документы и хранилища Microsoft Outlook, но можно добавить и свои — через настройки BufferZone Pro или контекстное меню Windows.
BufferZone Pro идентифицирует программы исключительно по имени, предопределенный список содержит все популярные браузеры, многие клиенты P2P и систем мгновенных сообщений, при необходимости его можно скорректировать. Пиктограммы и ярлыки таких программ помечаются характерной бело-красной эмблемой BufferZone Pro, а их окно обрамляется тонкой красной рамкой. Впрочем, некоторые классы интернет-программ заведомо вынесены в исключения. Прежде всего это почтовые клиенты — понятно, что пользователь наверняка захочет сохранять свою почту в реальном хранилище, иначе она просто пропадет при очистке «зоны». Однако присоединенные к письмам файлы будут автоматически исполняться в песочнице.
Понимать, чем вызвано такое решение, крайне важно. В «зоне» будут сохраняться абсолютно все следы жизнедеятельности контролируемых программ, будь то закладки браузеров, локальная история мгновенных сообщений или загруженный (не обязательно исполняемый) файл. Конечно, их можно легко возвратить во «внешний» мир через контекстное меню, однако об этом можно легко и забыть. Поэтому иногда, для каких-то конкретных действий, имеет смысл принудительно запускать нужную интернет-программу вне песочницы. Еще лучше, в самом начале выработать некоторые правила работы, иначе вы регулярно будете сталкиваться с различными нюансами. Именно для решения этой проблемы кроме почтовых клиентов разработчики предусмотрели и ряд других списков исключений:
- для приложений, которые все же должны взаимодействовать с программами, исполняемыми в песочнице (по умолчанию это запрещено);
- для доверенных приложений, которые будут всегда исполняться вне песочницы;
- для программ обновлений (Windows Update сюда относится по умолчанию);
- для компиляторов, которые таким образом будут создавать доверенные приложения.
Два последних пункта особенно важны в режиме Application Control — при его активации (по умолчанию он отключен) будет проведена инвентаризация имеющихся исполняемых файлов, а все новые будут автоматически запускаться в песочнице. Кроме Application Control в BufferZone Pro имеется ряд других специальных инструментов и механизмов, с которыми стоит познакомиться особо.
BufferZone Pro поддерживает еще одну разновидность виртуальной среды, так называемую Privacy Zone. Она предназначена для доступа к особо важным сайтам, работа с которыми должна быть максимально конфиденциальной. Список, естественно, нужно сформировать самостоятельно, но как только вы введете в адресной строке браузера один из попавших в него адресов, должно открыться новое окно (оно будет отличаться зеленой рамкой), изолированное от песочницы, в которой может исполняться потенциально небезопасный код. Задумка довольно неплохая, чего, к сожалению, нельзя сказать о реализации. Дело в том, что данная функциональность рассчитана исключительно на Internet Explorer, да к тому же несовместима с текущей девятой версией.
Еще BufferZone Pro умеет контролировать файлы, поступающие не только из Интернета, но и из локальной сети, а также с внешних носителей. По умолчанию данный механизм отключен, а настройки зачем-то сосредоточены в двух местах: в окне Policy специальный ползунок регулирует уровень контроля одинаково для всех внешних устройств, а в Configuration→Advanced Policy это же можно сделать по отдельности для каждого источника. Второй способ обеспечивает более точный контроль: можно вообще запретить исполнение внешних файлов; отнести их к конфиденциальным (невидимым для программ из песочницы); запускать их в песочнице, различая подписанные и нет. Учитывая, что настройки BufferZone Pro можно защитить паролем, функция будет весьма уместна на компьютерах коллективного использования.
Также в BufferZone Pro встроен простенький брандмауэр. Он призван контролировать исходящий трафик для программ, исполняющихся в песочнице. По умолчанию в нем настроено всего одно ограничительное правило — запрет TCP-порта 25, который используется для отправки электронной почты (SMTP). Трудно сказать, насколько популярны такие очевидные коммуникации у киберпреступников, но, наверное, разработчики видели в своем решении какой-то смысл. Пользователь, естественно, может создавать и свои правила.
В процессе изучения и тестирования BufferZone Pro выполняла именно то, что обещано ее разработчиками. За одним исключением — как говорилось выше, Privacy Zone не работает с Internet Explorer 9, что делает ее по сути бесполезной (держать ради нее старую версии не только бессмысленно, но и неразумно). Очистка «зоны» действительно корректно удаляет из системы все следы предыдущей деятельности. По отзывам, многое зловредное ПО просто не может инсталлироваться из песочницы, хотя надо понимать, что то же самое может случиться и с какой-то вполне добропорядочной программой. Архитектура BufferZone Pro такова, что она прекрасно уживается с большинством защитного ПО, включая традиционные антивирусы и персональные брандмауэры. Тем не менее, случаи несовместимости известны, они описаны на сайте разработчиков и в Readme. Отметим также, что папка C:Virtual остается прозрачной для системы, т. е. антивирусы смогут там находить и лечить вредоносные файлы.
Наконец, зададимся вопросом, чем же придется расплачиваться пользователю за в целом достаточно позитивный эффект BufferZone Pro. Влияние программы на производительность имеется, хотя и не критичное. В основном в песочнице несколько замедляются дисковые операции, что больше всего заметно при старте программ. Продемонстрируем это на примере:
| Браузер | Старт вне песочницы, с | Старт в песочнице, с | Замедление, % |
| Chrome 11 | 0,8 | 1,3 | 63 |
| Firefox 4 | 0,7 | 1,2 | 71 |
| Internet Explorer 9 | 0,6 | 0,7 | 17 |
| Opera 11.10 | 0,5 | 0,6 | 20 |
Браузеры запускались с достаточно тяжелой стартовой страницей, время загрузки контролировалось с помощь встроенных скриптов (поэтому сравнивать браузеры между собой не вполне корректно, т. к. они по-разному обрабатывают код страницы). Замеры умышленно проводились на рабочей системе, с тем, чтобы результаты выглядели максимально жизненными. Пожалуй, замедление все же нельзя назвать критичным, тем более, что влияния песочницы на скорость загрузки или исполнения скриптов в дальнейшем обнаружено не было.
Еще одним негативным моментом можно назвать различные побочные эффекты. Так, Chrome в песочнице почему-то на некоторое время замирал на gmail.com. Затем, и в Chrome, и в Firefox, и в Internet Explorer активация плагина Google Talk приводила к срабатыванию механизма UAC. Можно привести и другие примеры, но, как уже говорилось, использование BufferZone Pro вообще требует некоторой подготовки, изучения «материальной части» и, возможно, даже некоторого пересмотра стиля работы с Интернетом. Вот это, пожалуй, и есть главный недостаток — пока что программа не достигла уровня «домохозяек», хотя разработчики явно стремились, чтобы ее можно было полноценно использовать сразу же после установки. Но им следовало еще хотя бы наполнить списки исключений — к примеру, для систем обновлений популярных программ. Посмотрим, что будет сделано в следующей версии.
