17 декабря 2004 года Microsoft официально объявила о приобретении компании, занимающейся защитой от программ-шпионов, удивив многих в отрасли. Это приобретение примечательно по двум причинам. Во-первых, Microsoft уже раскрыла свои планы выйти на рынок защиты от программ-шпионов. Во-вторых, компания Giant Software Company, которую купила Microsoft, была почти неизвестной в этой отрасли. Но блеснул редкий миг удачи - и вот я фактически стал болельщиком, пользователем и пропагандистом Giant AntiSpyware, поскольку их решение по защите от программ-шпионов выйдет на первое место в течение нескольких месяцев. Фактически, я обнаружил, что это программное решение существенно эффективнее отраслевых фаворитов Ad-aware и Spybot Search & Destroy. И с тех пор стал всюду рекомендовать его.
Однако везение на этом не закончилось. Применяя Giant Antispyware, я увидел уникальные перспективы этого продукта, и мне опять повезло: я взял интервью у соучредителя компании Эндрю Ньюмена за несколько дней до того, как Giant Software купила Microsoft. Он рассказал мне о планах относительно будущих версий этого программного обеспечения, в том числе о версии с централизованным управлением, которая, как мне кажется, занимает большое место в планах Microsoft. Ньюмен объяснил мне, почему подход Giant Antispyware к блокировке шпионских программ является оптимальным и как можно противостоять шпионским программам и победить их.
Немного о Giant
Компания Giant Software была основана Роном Франчеком и Эндрю Ньюменом в Чикаго в ноябре 2000 года. Они оба работали в корпорациях и были в растерянности от потока спама и никуда не годных решений по борьбе с ним, которые были доступны в то время. Они организовали компанию Giant Software с целью создания лучших средств для борьбы против спама. Полученный в результате продукт Giant Spam Inspector теперь защищает более чем 2 миллиона почтовых ящиков электронной почты.
Несмотря на свое имя, Giant Software Company, компания никогда не была гигантской. Число ее служащих возросло с двух соучредителей до 11 сотрудников, которые в настоящее время находятся в Чикаго, Атланте и Нью-Йорке. Компания также продает блокиратор всплывающей рекламы и решение по защите от программ-шпионов, которые сегодня представляют наибольший интерес. Но проект Giant был рентабелен и самостоятелен с самого начала, как сказал мне Ньюмен, и его программами в настоящее время пользуется почти миллион клиентов. "Тот успех, - считает он, - основан на подходе, который применяла Giant".
"Мы решили совместными усилиями создать сообщество против спама - сказал Ньюмен. - Теперь стало много похожих программ, в том числе Cloudmark и другие, а вот четыре года назад ничего похожего не было. Мы призываем сообщество Internet помогать нам решить огромную проблему и настраиваем эту систему на разумный подход к защите от спама, комбинируя правила с эвристикой"
Приблизительно год назад компания Giant начала изучать средства защиты от программ-шпионов как для потребителей, так и для предприятий. Учредителям стало ясно, что они могут использовать часть своих средств защиты от спама. Кроме того, они также внедрили свой подход, основанный на наличии общественного Web-сайта, который получил наименование Spynet (сеть для шпионов). Spynet помогает компании Giant обеспечивать своих клиентов предупреждающей информацией об угрозе со стороны шпионских программ. Успех к Spynet пришел мгновенно - более 200 000 помощников только за первый месяц!
Почему Giant AntiSpyware лучше?
Многие компании, выходящие на рынок средств защиты от спама, имели свои методы, которые работали против спама. "Это имело определенный смысл, - отметил Ньюмен, - потому что шпионские программы, по существу, являются расширением спама, или его технологическим преемником". Однако борьба против спама и против шпионских программ - не одно и то же. Дело в том, что программы-шпионы, как правило, явление более агрессивное, чем спам.
"Windows была разработана как платформа, причем чрезвычайно расширяемая платформа, так что мы можем интегрироваться в эту систему, - заявил Ньюмен. - Проблема в том, что это может делать кто угодно, в том числе авторы почтовых программ". Чтобы эффективно бороться с программами-шпионами, требуется такое программное обеспечение, которое может делать больше, чем один лишь просмотр файла, запрос черного списка известных файлов и выяснение, нормальный файл или опасный. Программы-шпионы часто подражают обычным файлам или находят способы прятаться на системе. По этой причине Giant AntiSpyware использует логику, частично основанную на обратной связи от Spynet для исследования "генетических отпечатков" файлов и для выяснения, являются ли файлы корректными. "Мы можем обнаруживать изменения файлов, - пояснил Ньюмен. - Метод работы нашей программы состоит в том, что она "смотрит" на строки и образы в файле. Оценивает файл в целом. Она применяет совершенно другие подходы".
Действительно, методы, основанные на сигнатуре и используемые для борьбы против спама, неэффективны против шпионских программ. Дело в том, что методы, которые используют шпионские программы для атаки систем, часто меняются. Ньюмен сказал, что Giant AntiSpyware использует атаку на шпионские программы по трем направлениям. Первое, Giant AntiSpyware может выполнить сканирование и чистку, как и следовало ожидать. Второе, вышеупомянутая сеть Spynet обеспечивает нашего "гиганта" ценной поддержкой со стороны сообщества пользователей. И третье, Giant AntiSpyware работает в вашей системе постоянно, обеспечивая защиту от шпионских программ в реальном времени, предотвращая захват ими плацдарма в системе. Лучше предотвратить нападение, чем проверять и удалять вредные почтовые программы после того, как они уже заполонили систему.
"Защита в реальном масштабе времени - вот ключ", - считает Ньюмен. "Шпионские программы должны пробраться в ваш компьютер, так или иначе, используя Browser Helper Object или что-нибудь подобное. Защита в реальном времени позволяет контролировать любую точку автозапуска на системе, обнаруживая изменения и уведомляя о них пользователя с помощью всплывающего окна. Если вы в данный момент устанавливаете приложение, то вы, например, понимаете, что надо закрыть всплывающее окно, потому что было сделано изменение, которое защита и обнаружила. Но если вы просматриваете Web-сайт и получаете такое уведомление, то на это как раз и следует обратить внимание".
В результате моего, вероятно, ненаучного испытания, оказалось, что Giant AntiSpyware был существенно точнее постоянных фаворитов типа Ad-aware и Spybot Search & Destroy. Многие рецензенты рекомендуют установить как Ad-aware, так и Spybot Search & Destroy, чтобы полностью защитить себя от шпионских программ. Но дело в том, что ни Ad-aware, ни Spybot Search & Destroy, похоже, не могут удалить все шпионские программы на компьютерах, которые я проверял. Я имел лучшие результаты в случае с Giant AntiSpyware. И не я один: в испытаниях Spywarewarrior.com продукт Giant AntiSpyware тоже был впереди, он обнаружил 111 из 138 случаев возможных установок шпионских программ, тогда как Ad-aware (второе место) только 79, а Spybot (четвертое место) - 69. Ни одна из этих программ не сообщала о каких-либо ложных обнаружениях, хотя другая популярная программа, Pest Patrol, получила такой результат: 10 ложных обнаружений и только 55 случаев реального выявления шпионских программ.
Очевидно, что эффективность - это наиболее важный аспект решения для защиты от шпионских программ, но мне, кроме того, очень нравится пользовательский интерфейс Giant AntiSpyware. Он значительно лучше интерфейсов Ad-aware и Spybot, к тому же больше похож на интерфейс Windows.
Внутри Giant AntiSpyware
Если AntiSpyware устанавливается правильно, вы никогда не увидите его после первого сканирования шпионских программ, управляемого вручную, потому что это приложение будет находиться в системе резидентно и незаметно автоматически заниматься обнаружением большинства шпионских атак, иногда только извещая вас о происходящем всплывающими сообщениями. Однако Giant AntiSpyware, в отличие от других подобных решений, представляет приятный, простой в управлении интерфейс, который в определенном смысле похож на панель от Microsoft.
Сканирование. Здесь имеется три главных экрана. Из экрана Spyware Scan можно начать поиск шпионского программного обеспечения вручную, можно устанавливать режимы просмотра, а также просмотреть информацию о результатах предыдущих сеансов.
Если выбрать запуск сканирования, Giant AntiSpyware может выполнить несколько видов сканирования, в том числе глубокое сканирование, при котором будут сканироваться все файлы и папки, и более стандартное гибкое сканирование, когда проверяются только общие точки нахождения шпионского программного обеспечения. Когда поиск закончится, можно будет просмотреть результаты этого сканирования.
Затем можно принять решение, что делать с найденными шпионскими программами; шпионское программное обеспечение можно игнорировать, изолировать, удалить (по умолчанию) или игнорировать всегда.
Защита в реальном масштабе времени. На экране Real-time Protection показана настройка защиты в реальном масштабе времени.
В этом окне можно установить, будет ли защита активной, и просматривать статус трех типов агентов Giant AntiSpyware (агенты Internet, System и Application). Internet Agents защищают от приложений, вносящих изменения в Internet-подключение и параметры настройки этого подключения. Системные агенты System Agents предотвращают угрозы, в результате которых происходят несанкционированные или опасные изменения в системе, включая предупреждение об изменении прав доступа. Прикладные агенты Аpplication Agents предотвращают угрозы, связанные с установкой, удалением или изменениями в Internet Explorer или загрузкой элементов управления ActiveX, которые могут содержать код злоумышленника.
В настоящее время эти три типа агента защищают 58 так называемых системных контрольных точек, точки входа в систему, куда код злоумышленника может быть вставлен. Например, одна типичная контрольная точка называется точкой выполнения процесса. Эта контрольная точка не допускает, чтобы шпионская программа выполняла процессы (приложения или службы) на вашем компьютере. Если неизвестный процесс пытается запуститься на компьютере, процесс будет блокирован, а вы получите предупреждение, которое позволит удалить процесс. Это, возможно, самая критическая функция данного программного обеспечения: она блокирует возможность выполнения несанкционированной программы на системе, прежде чем это произойдет.
В окне защиты Real-time Protection можно также обращаться к информации о блокированных событиях, которые представляют собой изменения системы и которые были выбраны для блокировки.
Расширенные инструменты. Третий экран, Advanced Tools, предоставляет ссылки на многие другие функции, включая System Explorers, которые являются системными параметрами настройки и которые зачастую трудно или невозможно установить по-другому.
Например, может быть, вам известно о новых функциональных возможностях управления подключаемыми модулями, Manage Add-ons, которые реализованы в версии Internet Explorer из Windows XP SP2. Эта функция позволяет включать или отключать Browser Helper Objects и другие подключаемые программы IE. Однако Internet Explorer System Explorer в Giant AntiSpyware также дает возможность постоянно удалять такие модули, и это как раз то, что нужно.
В Giant AntiSpyware есть все виды System Explorer, и если вы заинтересованы в безопасности, то следует потратить некоторое время. Вы можете указать, какие приложения запускаются при старте Windows, какие средства управления ActiveX устанавливаются и какие процессы в настоящее время выполняются. Это замечательный набор функциональных возможностей, которые Microsoft должна была бы реализовать непосредственно в самой системе Windows.
Другие Advanced Tools включают System Inoculation, Browser Hijack, Restore Tracks Eraser и Secure File Shredder.
Приложение System Inoculation исследует компьютер на наличие ошибок; Browser Hijack Restore помогает восстановить функции IE, удаленные программами злоумышленников, а приложение Tracks Eraser можно применить для удаления истории действий пользователя в очень широком диапазоне приложений и системных служб типа Adobe Acrobat Reader, Windows Common Dialog, Google Toolbar.
Secure File Shredder - замечательная утилита, которая может использоваться для того, чтобы полностью вычистить файлы с вашего компьютера с помощью рекомендации DOJ по безопасному удалению файлов. Непонятно, почему в заголовке этой программы нет слов "пакет программ".
Сообщения AntiSpyware
Подобно брандмауэру или антивирусному приложению, Giant AntiSpyware, как правило, обнаруживается, когда выводит окно в нижнем правом углу рабочего стола. Эти всплывающие сообщения появляются при выявлении возможной атаки со стороны шпионских программ или, по умолчанию, когда программа завершила просмотр шпионских программ (в последнем случае можно отключать это сообщение, что я и советую делать).
Некоторые из таких всплывающих сообщений безвредны. Например, при переходе на более новые версии программ. В таком случае Giant AntiSpyware будет обычно обращать внимание на возможное изменение приложения, и будет предлагать пользователю в дальнейшем отказаться от таких одобрений при обновлении.
Другие же всплывающие сообщения, однако, предупреждают о более серьезных проблемах. Возможно, вы побывали на Web-сайте злоумышленников, которые пытаются установить шпионские программы. Или, возможно, вы (или приложение) предпримете попытку изменения конфигурации системы, о котором неизвестно Giant iSpyware. В таком случае появится информация о предполагаемом изменении и предложение разрешить или блокировать его.
Microsoft выходит на рынок
Итак, теперь, когда Microsoft купила Giant и ее решение по защите от программ-шпионов, всех интересует, что компания с этим продуктом будет делать. До покупки Microsoft объявляла, что выпустила бы решение по защите от программ-шпионов в 2005 году, а в середине 2006 выпустила бы Longhorn (где, как первоначально планировалось, будет реализовано решение по защите от программ-шпионов). Компания вела свои внутренние проекты по защите от шпионов и вредоносных программ под кодовыми названиями Strider и GhostBuster, соответственно. Они должны были выполнять поставленные задачи. Все, с кем я говорил, считали, что Microsoft лучше всех понимает, как программы-шпионы проникают в системы Windows. Поэтому компания намеревается исправить положение. В конце 2004 года Microsoft начала бета-тестирование Giant AntiSpyware под кодовым названием Atlanta. Эта программа является только незначительной ревизией версии Giant последнего выпуска. Самая последняя версия Giant AntiSpyware, которая у меня есть, - это версия 1.0.285, а первая версия Microsoft Internal была 1.0.305. Версия базы данных шпионских программ, однако, одинаковая - 5678.
Многих интересует вопрос о лицензировании и цене. Возможно, Giant AntiSpyware будет доступен клиентам за ежегодную плату, и я думаю, что Microsoft продолжит эту модель. Однако это, по-моему, не то, что компания должна делать. Мне бы хотелось, чтобы Microsoft сделала Giant AntiSpyware бесплатным для всех пользователей Windows, в виде бонуса за использование их операционной системы. Откровенно говоря, архитектурные проблемы в Windows, которые позволяют шпионским и другим программам злоумышленников инфицировать системы пользователей, Microsoft должна устранить бесплатно. Пока же представители компании говорят, что вопрос о лицензировании и цене еще не решен.
Время покажет, конечно. Я скоро буду беседовать с представителями Microsoft о планах компании по защите от программ-шпионов, а компания представит общественности бета-решение по защите, полученное из AntiSpyware, в конце января 2005 года, так что я проверю эту программу, когда она будет доступна. А пока я в восторге от того, что Microsoft купила Giant. Будем надеяться, что процесс, в котором принято верное решение, пойдет успешно.