Предлагаемая статья является попыткой установить единое терминологическое пространство в сфере антивирусного ПО и на его основе описать структуру товарного предложения этого класса продуктов на российском рынке. В связи с большим объемом информации, описывающей возможности программных пакетов, здесь мы ограничиваемся рассмотрением продуктов для дома и малого офиса*.
Компании, представленные в таблице, сами спозиционировали свои продукты на обозначенный сегмент рынка. Этим определяется разное число продуктов в таблице от разных компаний. У некоторых к данному классу отнесено 2-3 пакета, а, например, у компании Dr.Web оказалась сильно консолидированная линейка. По существу представлен один продукт, что, однако, не означает ограниченности его потребительского функционала по сравнению с совокупностью пакетов других компаний. В условиях, когда у разных компаний системы описания потребительских характеристик пакетов заметно отличаются, мы приняли такой вариант. За основу систематизации параметров антивирусного ПО мы взяли систему параметров, используемую «Лабораторий Касперского», и попытались наложить на эту систему координат характеристики всех рассматриваемых пакетов. В значительном числе случае это удалось. В случае, если трактовка конкретного параметра у какой-то компании сильно отличается, мы ставили в таблице значок особого мнения (ОМ), суть которого изложена в тексте. Кроме того, у некоторых компаний оказалось немало своего рода уникальных характеристик, которые не вписывались в принятые базовые координаты. Их мы также изложили словесно.
Приведем разъяснения по некоторым параметрам продуктов.
«Проверка „на лету“ веб-страниц, открываемых из интернет-пейджеров». Это инспекция текста почтовых сообщений на наличие в них вредоносных ссылок. В момент, когда интернет-пейджер, такой, как ICQ или MSN, получает или отправляет сообщения, сам текст сообщения проверяется антивирусной системой на присутствие в нем опасных ссылок. Хотя это может выглядеть аналогично тому, как проводится «проверка на лету» веб-антивирусом, протокол, по которому передается сам текст, отличается.
«Эвристический поиск потенциальных уязвимостей в системе». Это проверка операционной системы на наличие возможных «дыр» и/или уязвимостей, связанных с ее настройками. Примером такой уязвимости может быть активированная функция автозапуска (autorun) для флэш-накопителей .
«Защита от фишинга в письмах/при открытии сайтов в браузере». Текст почтового сообщения проверяется на наличие вредоносных ссылок. Если подобная ссылка найдена, она удаляется из текста сообщения. Общее при проверке email-сообщения и сообщения из интернет-пейджера — это то, что формально они могут быть проверены дважды. Первый раз — в момент получения, второй раз (если ссылка каким-то образом «проскользнула») — при открытии браузера.
Неудивительно, что таблица, детализирующая возможности антивирусных пакетов, по праву первенства составленная на основе анализа свойств пакетов одного производителя, в максимальной степени подчеркивает его сильные стороны.
Dr.Web
Старейшая школа разработки средств компьютерной безопасности, ведущая свою историю от первого отечественного антивируса, идет своим путем развития и имеет оригинальные подходы, порой принципиально отличающиеся от методов конкурентов. Предлагаем на суд читателей особые мнения (ОМ) разработчиков этой фирмы.
ОМ 1. Защита настроек паролем. Любой пароль может украсть самый простой «троянец», которого антивирус может и не заметить. У нас защита реализована через компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером (см. http://ru.wikipedia.org/wiki/CAPTCHA). Только человек, сидящий за компьютером, может отключить защиту и изменить настройки. Помимо этого паролируются параметры «Родительского контроля» и «HTTP-монитора», который работает в связке с ним.
ОМ 2. Список опасных/безопасных программ. Если имеется в виду некоторая база доверенных и потенциально опасных файлов программ, в которых были замечены уязвимости, то в некоторых случаях такой способ защиты может быть вредным. Например, при инфицировании файла программы из списка.
ОМ 2.1. Ограничение прав программ, не попавших в списки. Связано с предыдущим пунктом.
ОМ 3. Проактивная защита. В антивирусном пакете Dr.Web действуют уникальные технологии Origins Tracing, FLY-CODE, реализованные в поисковом модуле, которые позволяют без системы HIPS с довольно большой вероятностью определять неизвестный код. Но термин «проактивная защита» мы не применяем.
ОМ 4. «Лечение» объектов внутри архивов. Dr.Web не считает лечение в архивах необходимым. Оно редко требуется, потому что при наличии в архиве вируса ценность его для пользователя весьма сомнительна. Несмотря на это, антивирус Dr.Web определяет вирусы в архивах. Если пользователь все же хочет вылечить инфицированный вирусом файл в архиве, то последний надо распаковать, исходный (инфицированный) архив удалить, проверить сканером Dr.Web распакованные файлы и удалить/вылечить/переместить нужные. При наличии оставшихся чистых файлов их можно запаковать.
ОМ 5. Проверка SSL-соединений. Если соединение шифруется, это делается для того, чтобы информация была известна только отправителю и получателю. Доступ к этой информации других лиц и программ может привести к раскрытию информации. Для таких случаев лучше применять подключаемые модули для почтовых клиентов, которые сейчас разрабатываются.
ОМ 6. Проверка только новых и измененных файлов. Это опасный маркетинговый ход. Тот файл, который казался чистым полчаса назад, на самом деле мог быть пока неизвестным «трояном», его нельзя исключать из следующей проверки. Да, это экономит время сканирования, но приводит к уязвимости!
ОМ 7. Виртуальная клавиатура — защита конфиденциальных данных при вводе. Не обольщайтесь: виртуальная клавиатура — это не гарантия! Никто не мешает перехватить и ее, было бы желание. Считаем реализацию этой опции не критичной. Она более уместна в других продуктах, а не в антивирусах.
OM 8. Анти-баннер. Интернет в его существующем виде живет за счет баннеров. В них нет ничего вредоносного, зачем же тогда с ними бороться? Если кто-то не хочет их видеть, то для борьбы с ними в Интернете широко представлены бесплатные подключаемые модули для браузеров!
Agnitum
Методы этого, самого молодого отечественного участника рынка антивирусов и самого заслуженного — фирмы Dr.Web — во многом отличаются, но в подходе к исправлению инфицированных файлов, оказавшихся запакованными в архивах, они оказались солидарны. То есть особые мнения Agnitum по этому вопросу совпадают с. ОМ 4 фирмы Dr.Web.
А вот по пункту «Лечение» объектов внутри архивов у компании свое уникальное мнение:
ОМ 9. Не лечим, но распаковываем и обнаруживаем.
Кроме того, продукты фирмы Agnitum обладают рядом оригинальных функций.
Расширенное протоколирование событий.
Приватное перемещение в Интернете — при включении этого режима блокируются файлы cookies и referrers, что позволяет не оставлять следов посещений сайтов.
Избирательная фильтрация активного содержимого (элементов веб-страниц, почты и новостей) включает фильтрацию веб-анимации, ActiveX, Flash, Java-applets, сценариев ActvieX, JavaScript, VBScript, скрытых фреймов, всплывающих окон и внешних объектов.
Монитор системной активности и активности приложений (с управлением из интерфейса) позволяет создавать правила для приложений и завершать их одним кликом.
Панели для управления фильтрацией веб-трафика в браузере (только в Internet Explorer).
ESET
В антивирусных пакетах этой фирмы реализован ряд функций, расширяющих область этих продуктов. Особенно это относится к блокированию сменных носителей. Кроме того, они обладают следующими возможностями: создания дисков восстановления системы; настройки лимитов сканирования для архивов по размеру файлов и по времени; настройки лимитов сканирования глубины упаковки архивов; контроля критических обновлений безопасности для ОС Windows; сканирования по защищенным протоколам HTTPs и POP3s; идентификации ПК и автоматического включения энергосберегающего режима работы; низкоуровневого сканирования трафика; поддержки протокола Ipv6.
Trend Micro
Среди уникальных функций антивирусных пакетов этого производителя:
— сетевое сканирование — позволяет защищать другие компьютеры в сети (с функцией оценки состояния их защищенности), а также блокировать доступ к вашей домашней сети неизвестных компьютеров, находящихся по соседству.;
— уведомления и отчеты — сообщения в реальном времени и подробный ретроспективный обзор событий;
— журнал событий — аналог журнала событий Windows, но в рамках данных продуктов;
— веб-репутационный сервис — позволяет блокировать опасные сайты, причем не только, когда пользователь пытается открыть ссылку в Интернете, но и при обнаружении подобных ссылок в составе писем электронной/веб-почты, а также в сообщениях программ обмена мгновенными сообщениями;
— защита критически важных данных в специальном защищенном паролем хранилище на компьютере (электронном сейфе). В случае кражи компьютера такой электронный сейф удаленно блокируется через trendsecure.com и данные остаются в безопасности;
— оптимизация работы системы (System Tuner) — возможность улучшения работы ОС за счет оптимизации дискового пространства, реестра, запускаемого при загрузке компьютера ПО, информационных файлов (cookies) и истории посещений сайтов в браузере;
— контентный фильтр — модуль, позволяющий предотвратить случайную отправку важных данных (например, номера кредитной карты) через почту (SMTP), веб-сайт (HTTP) или программы обмена мгновенными сообщениями;
— файловая репутация — включает в себя понятие «Список опасных/безопасных программ» (см. табл.). По контрольной сумме, содержащей ряд формальных признаков файла, в глобальных дата-центрах Trend Micro ему присваивается один из трех статусов: нормальный, вредоносный или неизвестный.
Мы надеемся, что предложенный материал поможет перейти от иррационального метода выбора антивирусных пакетов к осознанному.
* Подробнее о сегментации рынка антивирусов см. «Бестселлеры IT-рынка», 2008, № 4, с. 35.
Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.