Персональные защиты: что новенького
dl // 31.10.05 01:40
Даже самые рьяные охотники за новым софтом рано или поздно в каждом классе задач останавливаются на определенном продукте, после чего удовлетворяют остатки стремления к новому традиционной погоней за последними версиями.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/10/13.html]
Однако иногда случается непредвиденное и привычная программа тихо умирает или убивается производителем, как это случилось с Kerio, после чего поневоле приходится начинать гонку заново.
Мой личный поиск совершенства еще далеко не завершен, притирка к новому софту - это как покупка новой обуви. Однако попавшиеся в его процессе на глаза продукты нескольких отечественных компаний вполне заслуживают внимания и поддержки, так что я решил мимоходом пройтись по ним в обзоре.
Долгое время для меня абсолютно естественным было использование Agnitum Outpost, за развитием которого я наблюдал с самых ранних версий и функциональность которого более чем устраивала. Год назад пришлось изменить ему с Kerio из-за возникших проблем на системе с hyperthreading'ом и постоянных танцев с бубнами, которые приходилось проделывать, чтобы работать с ftp на машине с ICS. За прошедший год часть проблем вроде бы ушла, этой осенью вышла третья версия, в которую добавился модный модуль для борьбы со spyware, позволяющий отследить критичные изменения в реестре и системных файлых. К сожалению, количество синих экранов за последние пару недель все же превысило привычный уровень, так что точку в поиске ставить рановато.
Достаточно неожиданным для меня оказалось то, что компания Агава, более известная своими web-сервисами, выпустила целую линейку продуктов, направленных на защиту пользователя.
Agava Firewall включает в себя полный джентльменский набор - честная stateful фильтрация, защита от ARP-атак, обучающий режим, поддержка плагинов, инспектор приложений, система обнаружения атак, почтовый и web-фильтры, кэширование DNS. Я бы сказал, что основная проблема этого файрволла - отсутствие за спиной длинной истории развития и связанная с этим естественная настороженность пользователей, но потенциал у него очень неплохой. Agava AntiSpy занимается очисткой системы от spyware. Работает, правда, только в режиме сканирования, хотя постоянный мониторинг критичных системных объектов был бы, конечно, более эффективным. Найденные угрозы отсортированы просто по алфавиту, вне зависимости от опасности, что не слишком облегчает работу. Наконец, SpamProtexx представляет собой спам-фильтр, включающий механизмы, направленные на борьбу с рядом традиционных проблем, характерных для байесовской фильтрации. Работа с ним прозрачна для пользователя и не требует специальной настройки почтового софта. Доступен плагин для Bat, поддерживается автоматически пополняемый белый список. Русскоязычный интерфейс и простота установки/настройки делают эту линейку достаточно привлекательной для пользователей средней квалификации.
Довольно любопытный продукт от компании StarForce, специализирующейся на защите программного обеспечения - Safe’n’Sec, версия 2.0 которого вышла в конце сентября - предлагает несколько иной подход к персональной защите. Safe’n’Sec перехватывает и анализирует все вызовы системных функций на уровне операционной системы (фактически получается аналог явской песочницы). На основе заданных правил принимается решение об уровне опасности запрашиваемых действий, которые после этого запрещаются либо разрешаются. Перехватчик запускается при старте операционной системы и встраивается в цепочку вызовов системных функций до загрузки большинства сервисов. Возможно использование разных политик - от жесткой, при которой контролируются все действия пользователя, до доверительной, при которой контролируется только потенциально опасная активность - работа с реестром, системными файлами и т.п. Возможен вариант поставки с лицензированным антивирусным движком от BitDefender. Выглядит неплохим дополнением к традиционным персональным файрволлам, которые в последнее время (как тот же Outpost) тоже стали отслеживать локальную активность приложений, но пока делают это не столь тотально.
