Исследование эффективности средств защиты от шпионских программ
Быстрый рост киберпреступности остро ставит вопрос: насколько эффективно анти-шпионские и антивирусные программные продукты защищают конфиденциальную информацию от программ, которые специально создаются для кражи этой информации?
Ведь от того, будет ли надежно защищена информация пользователей, зависит развитие и, в сущности, само дальнейшее существование электронной коммерции и финансовых расчетов в Сети.
В связи с угрозой утечки данных о реквизитах кредитных карт и другой конфиденциальной информации исследователи указывают на ощутимое снижение активности онлайновых покупателей. Другими словами, spyware бьет по доверию потребителей к Сети.
Согласно отчету компании Webroot "State of Spyware" за третий квартал 2005 года (http://www.webroot.com/land/sosreport-2005-q3.php), количество шпионских программ продолжает стремительно расти; возрастает и риск, которому подвергаются пользователи в Интернете. Исследование Consumer Reports за третий квартал 2005 показывает, что 86% пользователей так или иначе изменили свое поведение с Сети, боясь утечки данных о своей личности. 30% пользователей уменьшили общее время работы в Интернет; 53% пользователей перестали сообщать свою персональную информацию в Интернет; 25% отказались от покупок онлайн; 29% из тех, кто совершает покупки онлайн, стали реже покупать в Интернет.
Единственная цель нашего исследования - определение именно эффективности антишпионского программного обеспечения против программ, которыми все чаще пользуются киберпреступники для кражи конфиденциальной информации.
Методика нашего исследования такова, что каждый желающий, даже не очень опытный в программировании, сможет сам воспроизвести эти или подобные исследования - и получить сходный результат.
Изучая на протяжении многих лет ситуацию на мировом рынке программных продуктов, предназначенных для защиты конфиденциальной информации, мы пришли к выводу, что необходимо срочно провести собственное сравнительное тестирование антишпионских программных продуктов, опубликовав полученные результаты для всеобщего обсуждения, потому что:
- Хотя в сети Интернет постоянно публикуются различные сравнительные тесты антишпионских, антивирусных и т.п. программных продуктов, эти исследования основаны на совершенно различных методиках тестирования, расчета рейтингов и т.д. Поэтому тесты не всегда отражают реальное положение вещей. Например, одним из основных критериев при сравнении антишпионских продуктов является количество сигнатур в базе. Но даже самые лучшие продукты, побеждающие в таких рейтингах, не в состоянии бороться с угрозами, описанными ниже.
- Даже если в тесте одна программа заблокировала, к примеру, 10 из 10 вредоносных программ, а вторая только 7 из 10, это вовсе не означает, что первая программа лучше защитит конфиденциальную информацию пользователей. Как правило, к шпионским программам причисляются все программы, отсылающие третьей стороне любую информацию о пользователе, независимо от ценности этой информации. Таким образом, в одной группе оказываются и вполне безобидные программы, собирающие информацию о посещенных сайтах и сделанных в Интернете покупках - и чрезвычайно опасные программы и модули, специально разработанные для кражи банковских паролей и другой критической информации.
- Критерии оценки программ определяют результаты тестирования - во многих исследованиях среди критериев оказывается не столько эффективность против наиболее опасных шпионских программ, сколько способность закрывать всплывающие окна (pop-ups), борьба с adware и красота интерфейса.
- Маркетологи отлично знают, что тот товар, что лучше, не обязательно более распространен в мире. Как правило, лучше всех распространяется товар, торговая марка которого хорошо известна, и в продвижение которого на рынок вложены большие финансовые средства.
Цели тестирования
- Оценить программные продукты и составить рейтинг с точки зрения их эффективности против самых опасных шпионских программ - тех, которые опубликованы в сети Интернет в открытых исходных кодах со свободным доступом для всех желающих. Поскольку скомпилировать такой код можно по-разному, как правило, традиционный сигнатурный анализ с ним не справляется.
- Проверить качество работы "эвристических анализаторов", наличие которых в своих программных продуктах декларируют практически все всемирно известные производители антивирусных и антишпионских продуктов.
Предпосылки для разработки методики
В последнее время резко возросло количество публикаций о такой стремительно растущей разновидности киберпреступлений, как кража конфиденциальной информации с помощью программ-шпионов, и мерах по защите от них. В докладе "Превентивный подход к защите информации от современных шпионских программ" (http://bezpeka.com/en/lib/antispy/anot2868.html) подчеркивалась особая опасность угроз класса System Monitors (согласно классификации SpyAudit). К ним относятся кейлоггеры и их усовершенствованные модификации, позволяющие перехватывать нажатия клавиатуры (в пользовательском режиме и в режиме ядра системы), текст из окон приложений и буфера обмена, графические снимки экрана и др. Именно такие угрозы и являются предметом нашего рассмотрения, мы не включаем в понятие "шпионская программа" (spyware) угрозы класса adware, cookie и т.п. Последствия целенаправленной атаки с помощью кейлоггера несоизмеримы с вредом от внедрения adware на ПК пользователя. Со временем, System Monitors становятся все более опасными и вытесняют все остальные угрозы, которые ранее традиционно включались в понятие spyware. Это подтверждается многочисленными сообщениями в прессе, документами Anti-Spyware Coalition (http://www.antispywarecoalition.org), отчетами Webroot, Earthlink SpyAudit и другими ведущими компаниями и организациями в данной сфере. Подробно о нашей классификации шпионских программ см. статью "Шпионские программы и новейшие методы защиты от них" (http://bezpeka.com/ru/lib/sec/gen/art382.html).
Свое описание модели риска выпустила Anti-Spyware Coalition (http://www.antispywarecoalition.org/documents/RiskModelDescription.htm). К высокому риску Коалиция относит программы, самовоспроизводящиеся через массовые почтовые рассылки, червей и вирусы, а также программы, которые устанавливаются без разрешения или ведома пользователя посредством секьюрити-эксплойта, и программы, которые без согласия пользователя перехватывают сообщения email или интернет-пейджера, передают персональные данные или изменяют параметры защиты. Коалиция надеется, что ее рекомендации приведут к созданию более качественных антишпионских продуктов.
Что же может противопоставить пользователь персонального компьютера программам-шпионам?
Решение данной проблемы возможно только в использовании комплекса программных продуктов:
- Программный продукт N1 - это продукт, который использует эвристические механизмы защиты против программ-шпионов. Он оказывает защиту непрерывно и не использует никакие сигнатурные базы.
- Программный продукт N2 - это Антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы.
- Программный продукт N3 - это персональный Firewall, контролирующий выход в сеть Интернет с персонального компьютера на основании конфигурации, которую определяет сам пользователь.
Антивирусный программный продукт не способен защищать пользователя от новых неизвестных ранее вирусов со встроенными шпионскими модулями, т.к. новые вирусы на момент атаки еще не внесены в сигнатурную базу антивирусного продукта, и как следствие этого, сигнатурная база не успела обновиться на компьютере пользователя. В результате конфиденциальная информация пользователя оказывается похищенной.
Персональный файрволл задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, даже некоторые коммерческие мониторинговые программные продукты (не говоря даже о специализированных хакерских программных продуктах) используют процессы, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты и т.д.). Как правило, пользователь обязан разрешить им выход в Интернет. А это приводит к тому, что украденная шпионской программой информация будет отослана в Интернет на заранее подготовленный злоумышленником адрес (email, ftp и т.д.). Другие типы шпионских программ обходят защиту файрволов иными способами и также невидимы для них.
Антишпионский программный продукт, использующий эффективные эвристические алгоритмы, способен работать непрерывно в фоновом режиме, не требует вмешательства пользователя и осуществляет защиту системы "на лету", блокируя любые попытки перехвата информации пользователя.
Но все ли пользователи устанавливают хотя бы те защитные программы, что имеются на рынке? К сожалению, далеко не все. По результатам недавнего исследования, проведенного совместно компанией AOL и организацией National Cyber Security Alliance (NCSA), на 81% ПК не установлен, по крайней мере, один из трех рекомендуемых компонентов интернет-защиты - межсетевой экран, обновляемый антивирус или приложение для защиты от шпионского ПО. Антивирусная программа вообще не инсталлирована или не обновлялась неделю и более на 56% домашних компьютеров. Межсетевые экраны с неправильными настройками обнаружены на 44% ПК. А антишпионская утилита отсутствует на 44% машин (http://bezpeka.com/ru/news/2005/12/08/5221.html).
Как же выбрать действительно надежную антишпионскую программу? Действительно ли программы, занимающие верхние позиции в различных рейтингах, надежно защитят информацию от кражи? Существующие методики сравнительного тестирования антишпионских продуктов, на основе которых и составляют рейтинги, не учитывают возможность защиты от неизвестных шпионских программ. Первым и одним из наиболее весомых критериев тестирования обычно является количество записей в сигнатурной базе (иными словами - количество обнаруживаемых spyware). Что дают такие сравнительные обзоры? Пользователь, ознакомившись с таблицей, выбирает один из продуктов, занимающих верхние позиции в результатах тестирования, устанавливает его на свой компьютер и верит, что теперь его персональная информация надежно защищена.
Между тем, даже для программиста средней руки не составляет труда написать собственную шпионскую программу, которая не попадет ни в одну сигнатурную базу и не будет обнаруживаться. Те, кто не обладает достаточной квалификацией, могут поступить еще проще - скачать из сети Интернет открытый исходный код шпионской программы. Остается только скомпилировать готовый код, внеся небольшие изменения. И в итоге опять получится уникальный код, против которого невозможно бороться только с помощью классического сигнатурного анализа.
Методика тестирования
Учитывая все вышесказанное, нами был выбран принципиально новый подход к сравнительному тестированию антишпионских программных продуктов. С одной стороны, он довольно прост - любой специалист в состоянии повторить испытания и убедиться в правильности результатов. С другой стороны, результаты тестирования получились наглядными и опровергают расхожее мнение, что самые популярные на сегодняшний день программные продукты надежно защищают конфиденциальную информацию пользователя от кражи.
Тестирование проводилось следующим образом.
Из сети Интернет были скачаны 9 шпионских программ с открытым исходным кодом:
- Key Logger by Jerome Scott II (K1)
http://www.planet-source-code.com/vb/scripts/ShowCode.asp?txtCodeId
=1645&lngWId=7 - KeyLoggerMore_Sample (K2)
http://www.codeguru.com/code/legacy/system/KeyLoggerMore_Sample.zip - try_wnd1 (K3)
http://www.ladia.ru/cpp/appli/files/log.zip - KEYLOGGER (K4)
http://www.delphifr.com/gma/Keyloggers - KEY LOGGER, ENREGISTREMENT CRYPTÉ + DÉCODEUR (K5)
http://www.delphifr.com/code.aspx?id=12616 - SIMPLE PETIT KEYLOGGER (K6)
http://www.delphifr.com/code.aspx?id=12279 - TOUCHES DE CLAVIER EN SIMULTANNÉ (HOOK) (K7)
http://www.delphifr.com/code.aspx?id=12276 - Best Free Keylogger (BFK) (K8)
http://sourceforge.net/projects/bfk - Simple Python Keylogger for Windows (K9)
http://sourceforge.net/projects/pykeylogger
Данные исходные коды были скомпилированы и использовались в качестве тестовых кейлоггеров для проверки наиболее популярных антишпионских программ.
Испытания проводились на операционных системах Windows XP Professional SP2 и Windows 2000 SP4 с последними обновлениями, на 32-битной архитектуре Intel.
Для тестирования были выбраны 22 всемирно известные антишпионские программы, включаемые в большинство Интернет-рейтингов:
Кроме антишпионских продуктов интерес представляют также антивирусные продукты, поскольку на сегодняшний день практически все их производители декларируют функции борьбы со spyware. Поэтому был проведен отдельный тест антивирусных продуктов на тех же шпионских программах.
Для тестирования были выбраны 22 всемирно известные антивирусные программы, включаемые в большинство Интернет-рейтингов (для нашего тестирования использовался специализированный интернет-ресурс http://www.virustotal.com):
Продукт | URL | Разработчик | Версия | Обновление |
---|---|---|---|---|
AntiVir | http://www.hbedv.com/en/ | H+BEDV (AntiVir) | 6.33.0.70 | 12.23.2005 |
Avast | http://www.avast.com/ | ALWIL (Avast! Antivirus) | 4.6.695.0 | 12.22.2005 |
AVG | http://www.grisoft.com/ | Grisoft (AVG) | 718 | 12.23.2005 |
Avira | http://www.avira.com/ | AVIRA (AVIRA Desktop) | 6.33.0.70 | 12.23.2005 |
BitDefender | http://www.bitdefender.com/ | Softwin (BitDefender) | 7.2 | 12.23.2005 |
CAT-QuickHeal | http://www.quickheal.co.in/ | Cat Computer Services (Quick Heal) | 8 | 12.21.2005 |
ClamAV | http://www.clamwin.com/ | ClamAV (ClamWin) | devel-20051108 | 12.19.2005 |
DrWeb | http://www.drweb.com/ | Doctor Web, Ltd. (DrWeb) | 4.33 | 12.23.2005 |
eTrust-Iris | http://www.ca.com/ | Computer Associates (Iris, Vet) | 7.1.194.0 | 12.23.2005 |
eTrust-Vet | http://www.ca.com/ | Computer Associates (Iris, Vet) | 12.4.1.0 | 12.23.2005 |
Fortinet | http://www.fortinet.com/ | Fortinet (Fortinet) | 2.54.0.0 | 12.23.2005 |
F-Prot | http://www.f-prot.com/ | FRISK Software (F-Prot) | 3.16c | 12.22.2005 |
Ikarus | http://www.ikarus.at/ | Ikarus Software (Ikarus) | 0.2.59.0 | 12.23.2005 |
Kaspersky | http://www.kaspersky.com/ | Kaspersky Lab (AVP) | 4.0.2.24 | 12.23.2005 |
McAfee | http://www.mcafee.com/ | McAfee (VirusScan) | 4657 | 12.23.2005 |
NOD32v2 | http://www.nod32.com/ | Eset Software (NOD32) | 1.1335 | 12.22.2005 |
Norman | http://www.norman.com/ | Norman (Norman Antivirus) | 5.70.10 | 12.23.2005 |
Panda | http://www.pandasoftware.com/ | Panda Software (Panda Platinum) | 8.02.00 | 12.22.2005 |
Sophos | http://www.sophos.com/ | Sophos (SAV) | 4.01.0 | 12.23.2005 |
Symantec | http://www.symantec.com/ | Symantec (Norton Antivirus) | 8 | 12.23.2005 |
TheHacker | http://www.hacksoft.com.pe/ | Hacksoft (The Hacker) | 5.9.1.060 | 12.21.2005 |
VBA32 | http://www.anti-virus.by/ | VirusBlokAda (VBA32) | 3.10.5 | 12.22.2005 |
Результаты тестирования
Результаты тестирования антишпионских продуктов:
AntiSpy Product Test Spy | K1 | K2 | K3 | K4 | K5 | K6 | K7 | K8 | K9 |
---|---|---|---|---|---|---|---|---|---|
Ad-aware SE Pro | - | - | - | - | - | - | - | - | - |
AntiSpy | - | - | - | - | - | - | - | - | - |
BPS Spyware Remover | - | - | - | - | - | - | - | - | + |
CounterSpy | - | - | - | - | - | - | - | - | - |
Maxion Spy Killer | - | - | - | - | - | - | - | - | - |
McAfee Anti-Spyware | - | - | - | - | - | - | - | + | - |
Microsoft AntiSpyware | - | - | - | - | - | - | - | - | - |
PestPatrol | - | - | - | - | - | - | - | - | - |
PrivacyKeyboard | + | + | + | + | + | + | + | + | + |
Spy Cleaner Gold | - | - | - | - | - | - | - | - | - |
Spy Sweeper | - | - | - | - | - | - | - | + | - |
Spybot Search & Destroy | - | - | - | - | - | - | - | - | - |
SpyHunter | - | - | - | - | - | - | - | - | - |
SpyRemover | - | - | - | - | - | - | - | - | - |
SpySubtrac | - | - | - | - | - | - | - | + | - |
Spyware Be Gone | - | - | - | - | - | - | - | - | - |
Spyware Blaster | - | - | - | - | - | - | - | - | - |
Spyware Crusher | - | - | - | - | - | - | - | - | - |
Spyware Doctor | - | - | - | - | - | - | - | - | - |
Spyware Stormer | - | - | - | - | - | - | - | - | - |
TrueWatch | - | - | - | - | - | - | - | + | + |
XoftSpy | - | - | - | - | - | - | - | - | - |
Результаты тестирования антивирусных продуктов:
AntiVirus Product Test Spy | K1 | K2 | K3 | K4 | K5 | K6 | K7 | K8 | K9 |
---|---|---|---|---|---|---|---|---|---|
AntiVir | no | no | no | Heuristic / Trojan. Keylogger |
no | Heuristic /Trojan. Keylogger |
no | no | no |
Avast | no | no | no | no | no | no | no | no | no |
AVG | no | no | no | no | no | no | no | no | no |
Avira | no | no | no | Heuristic /Trojan. Keylogger |
no | Heuristic /Trojan. Keylogger |
no | no | no |
BitDefender | no | no | no | no | no | no | no | Generic .Malware. SLM. 10535C5E |
no |
CAT-QuickHeal | no | no | no | Monitor. KeyLogger. i (Not a Virus) |
no | no | no | Monitor. BFK. 11 (Not a Virus) |
no |
ClamAV | no | no | no | no | no | no | no | no | no |
DrWeb | Trojan .KeyLogger. 342 |
no | no | no | no | no | no | no | no |
eTrust-Iris | no | no | no | no | no | no | no | no | no |
eTrust-Vet | no | no | no | no | no | no | no | no | no |
Fortinet | no | no | no | no | no | no | no | Keylog!tr | no |
F-Prot | no | no | no | no | no | no | no | no | no |
Ikarus | no | no | no | no | no | no | no | no | no |
Kaspersky | no | no | no | not-a-virus: Monitor. Win32. KeyLogger.i |
no | no | no | not-a-virus: Monitor. Win32. BFK.11 |
no |
McAfee | no | no | no | no | no | no | no | Keylog.gen | no |
NOD32v2 | no | no | no | no | no | no | no | probably unknown NewHeur_PE virus |
no |
Norman | no | no | no | no | no | no | no | no | no |
Panda | no | no | no | no | no | no | no | no | no |
Sophos | no | no | no | no | no | no | no | no | no |
Symantec | no | no | no | no | no | no | no | no | no |
TheHacker | no | no | no | no | no | no | no | no | no |
VBA32 | Trojan. KeyLogger. 342 |
no | no | no | no | no | no | no | no |
Итоговая таблица
Рейтинг продуктов, осуществляющих противодействие программам-шпионам:
Выводы
Результаты тестирования оказались неожиданными даже для проводивших тестирование специалистов. Ведь программы-шпионы, из которых были скомпилированы тестовые шпионы, общедоступны, они свободно распространяются в сети Интернет в виде открытых исходных кодов.
Результаты тестирования четко показали, что самые современные антивирусные и антишпионские продукты не в состоянии противостоять краже конфиденциальной информации с персональных компьютеров через встроенные в вирусы шпионские программы, количество которых постоянно возрастает.
Программный продукт производства ООО "Центр информационной безопасности" PrivacyKeyboard занял первое место, что объясняется отсутствием сигнатурных баз в принципе. Реализованный в программе подход позволяет одинаково эффективно защищать как от известных угроз, связанных с перехватом информации пользователей ПК, так и от неизвестных.
На втором месте оказались 5 продуктов - TrueWatch компании Esaya, Inc., AntiVir компании H+BEDV, Avira компании AVIRA (AVIRA Desktop), CAT-QuickHeal компании Cat Computer Services, Kaspersky Anti-Virus Personal Pro компании Kaspersky Lab, которые справились с двумя из девяти шпионов.
Третье место разделили сразу 10 продуктов. Они смогли обнаружить лишь один (!) из девяти шпионов.
Все остальные 28 продуктов оказались бессильны и не смогли обнаружить ни одного (!) из тестовых шпионов.
Наша методика открыта и потому исключает предвзятость. Любые специалисты в состоянии воспроизвести подобное тестирование, самостоятельно скомпилировав собственные тестовые программы из исходного кода, свободно распространяемого в Интернет, и с условиями испытаний, отличающимися от наших.
Источник: http://bezpeka.com/
Авторизуйтесь для добавления комментариев!