Хаккеры замучали- ПОМОГИТЕ!!!!

[Viktorian]

Цитата:

нынче такие хакеры пошли, что от ламера и не отличишь...

[NIKK]

IronFeliks,

Цитата:

Сообщение от IronFeliks

нынче такие хакеры пошли, что от ламера и не отличишь...

Ты как всегда в точку!

[dobri]

Исследование эффективности средств защиты от шпионских программ

Н.Д. Красноступ, Д.В. Кудин
[email protected]

Быстрый рост киберпреступности остро ставит вопрос: насколько эффективно анти-шпионские и антивирусные программные продукты защищают конфиденциальную информацию от программ, которые специально создаются для кражи этой информации?
Ведь от того, будет ли надежно защищена информация пользователей, зависит развитие и, в сущности, само дальнейшее существование электронной коммерции и финансовых расчетов в Сети.
В связи с угрозой утечки данных о реквизитах кредитных карт и другой конфиденциальной информации исследователи указывают на ощутимое снижение активности онлайновых покупателей. Другими словами, spyware бьет по доверию потребителей к Сети.
Согласно отчету компании Webroot "State of Spyware" за третий квартал 2005 года (http://www.webroot.com/land/sosreport-2005-q3.php), количество шпионских программ продолжает стремительно расти; возрастает и риск, которому подвергаются пользователи в Интернете. Исследование Consumer Reports за третий квартал 2005 показывает, что 86% пользователей так или иначе изменили свое поведение с Сети, боясь утечки данных о своей личности. 30% пользователей уменьшили общее время работы в Интернет; 53% пользователей перестали сообщать свою персональную информацию в Интернет; 25% отказались от покупок онлайн; 29% из тех, кто совершает покупки онлайн, стали реже покупать в Интернет.
Единственная цель нашего исследования – определение именно эффективности антишпионского программного обеспечения против программ, которыми все чаще пользуются киберпреступники для кражи конфиденциальной информации.
Методика нашего исследования такова, что каждый желающий, даже не очень опытный в программировании, сможет сам воспроизвести эти или подобные исследования – и получить сходный результат.
Изучая на протяжении многих лет ситуацию на мировом рынке программных продуктов, предназначенных для защиты конфиденциальной информации, мы пришли к выводу, что необходимо срочно провести собственное сравнительное тестирование антишпионских программных продуктов, опубликовав полученные результаты для всеобщего обсуждения, потому что:
 Хотя в сети Интернет постоянно публикуются различные сравнительные тесты антишпионских, антивирусных и т.п. программных продуктов, эти исследования основаны на совершенно различных методиках тестирования, расчета рейтингов и т.д. Поэтому тесты не всегда отражают реальное положение вещей. Например, одним из основных критериев при сравнении антишпионских продуктов является количество сигнатур в базе. Но даже самые лучшие продукты, побеждающие в таких рейтингах, не в состоянии бороться с угрозами, описанными ниже.
 Даже если в тесте одна программа заблокировала, к примеру, 10 из 10 вредоносных программ, а вторая только 7 из 10, это вовсе не означает, что первая программа лучше защитит конфиденциальную информацию пользователей. Как правило, к шпионским программам причисляются все программы, отсылающие третьей стороне любую информацию о пользователе, независимо от ценности этой информации. Таким образом, в одной группе оказываются и вполне безобидные программы, собирающие информацию о посещенных сайтах и сделанных в Интернете покупках – и чрезвычайно опасные программы и модули, специально разработанные для кражи банковских паролей и другой критической информации.
 Критерии оценки программ определяют результаты тестирования – во многих исследованиях среди критериев оказывается не столько эффективность против наиболее опасных шпионских программ, сколько способность закрывать всплывающие окна (pop-ups), борьба с adware и красота интерфейса.
 Маркетологи отлично знают, что тот товар, что лучше, не обязательно более распространен в мире. Как правило, лучше всех распространяется товар, торговая марка которого хорошо известна, и в продвижение которого на рынок вложены большие финансовые средства.

Цели тестирования

 Оценить программные продукты и составить рейтинг с точки зрения их эффективности против самых опасных шпионских программ – тех, которые опубликованы в сети Интернет в открытых исходных кодах со свободным доступом для всех желающих. Поскольку скомпилировать такой код можно по-разному, как правило, традиционный сигнатурный анализ с ним не справляется.
 Проверить качество работы "эвристических анализаторов", наличие которых в своих программных продуктах декларируют практически все всемирно известные производители антивирусных и антишпионских продуктов.

Предпосылки для разработки методики

В последнее время резко возросло количество публикаций о такой стремительно растущей разновидности киберпреступлений, как кража конфиденциальной информации с помощью программ-шпионов, и мерах по защите от них. В докладе "Превентивный подход к защите информации от современных шпионских программ" (http://bezpeka.com/en/lib/antispy/anot2868.html) подчеркивалась особая опасность угроз класса System Monitors (согласно классификации SpyAudit). К ним относятся кейлоггеры и их усовершенствованные модификации, позволяющие перехватывать нажатия клавиатуры (в пользовательском режиме и в режиме ядра системы), текст из окон приложений и буфера обмена, графические снимки экрана и др. Именно такие угрозы и являются предметом нашего рассмотрения, мы не включаем в понятие "шпионская программа" (spyware) угрозы класса adware, cookie и т.п. Последствия целенаправленной атаки с помощью кейлоггера несоизмеримы с вредом от внедрения adware на ПК пользователя. Со временем, System Monitors становятся все более опасными и вытесняют все остальные угрозы, которые ранее традиционно включались в понятие spyware. Это подтверждается многочисленными сообщениями в прессе, документами Anti-Spyware Coalition (http://www.antispywarecoalition.org), отчетами Webroot, Earthlink SpyAudit и другими ведущими компаниями и организациями в данной сфере. Подробно о нашей классификации шпионских программ см. статью "Шпионские программы и новейшие методы защиты от них" (http://bezpeka.com/ru/lib/sec/gen/art382.html).
Свое описание модели риска выпустила Anti-Spyware Coalition (http://www.antispywarecoalition.org/...scription.htm). К высокому риску Коалиция относит программы, самовоспроизводящиеся через массовые почтовые рассылки, червей и вирусы, а также программы, которые устанавливаются без разрешения или ведома пользователя посредством секьюрити-эксплойта, и программы, которые без согласия пользователя перехватывают сообщения email или интернет-пейджера, передают персональные данные или изменяют параметры защиты. Коалиция надеется, что ее рекомендации приведут к созданию более качественных антишпионских продуктов.
Что же может противопоставить пользователь персонального компьютера программам-шпионам?
Решение данной проблемы возможно только в использовании комплекса программных продуктов:
 Программный продукт N1 – это продукт, который использует эвристические механизмы защиты против программ-шпионов. Он оказывает защиту непрерывно и не использует никакие сигнатурные базы.
 Программный продукт N2 – это Антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы.
 Программный продукт N3 – это персональный Firewall, контролирующий выход в сеть Интернет с персонального компьютера на основании конфигурации, которую определяет сам пользователь.
Антивирусный программный продукт не способен защищать пользователя от новых неизвестных ранее вирусов со встроенными шпионскими модулями, т.к. новые вирусы на момент атаки еще не внесены в сигнатурную базу антивирусного продукта, и как следствие этого, сигнатурная база не успела обновиться на компьютере пользователя. В результате конфиденциальная информация пользователя оказывается похищенной.
Персональный файрволл задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, даже некоторые коммерческие мониторинговые программные продукты (не говоря даже о специализированных хакерских программных продуктах) используют процессы, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты и т.д.). Как правило, пользователь обязан разрешить им выход в Интернет. А это приводит к тому, что украденная шпионской программой информация будет отослана в Интернет на заранее подготовленный злоумышленником адрес (email, ftp и т.д.). Другие типы шпионских программ обходят защиту файрволов иными способами и также невидимы для них.
Антишпионский программный продукт, использующий эффективные эвристические алгоритмы, способен работать непрерывно в фоновом режиме, не требует вмешательства пользователя и осуществляет защиту системы "на лету", блокируя любые попытки перехвата информации пользователя.
Но все ли пользователи устанавливают хотя бы те защитные программы, что имеются на рынке? К сожалению, далеко не все. По результатам недавнего исследования, проведенного совместно компанией AOL и организацией National Cyber Security Alliance (NCSA), на 81% ПК не установлен, по крайней мере, один из трех рекомендуемых компонентов интернет-защиты – межсетевой экран, обновляемый антивирус или приложение для защиты от шпионского ПО. Антивирусная программа вообще не инсталлирована или не обновлялась неделю и более на 56% домашних компьютеров. Межсетевые экраны с неправильными настройками обнаружены на 44% ПК. А антишпионская утилита отсутствует на 44% машин (http://bezpeka.com/ru/news/2005/12/08/5221.html).
Как же выбрать действительно надежную антишпионскую программу? Действительно ли программы, занимающие верхние позиции в различных рейтингах, надежно защитят информацию от кражи? Существующие методики сравнительного тестирования антишпионских продуктов, на основе которых и составляют рейтинги, не учитывают возможность защиты от неизвестных шпионских программ. Первым и одним из наиболее весомых критериев тестирования обычно является количество записей в сигнатурной базе (иными словами – количество обнаруживаемых spyware). Что дают такие сравнительные обзоры? Пользователь, ознакомившись с таблицей, выбирает один из продуктов, занимающих верхние позиции в результатах тестирования, устанавливает его на свой компьютер и верит, что теперь его персональная информация надежно защищена.
Между тем, даже для программиста средней руки не составляет труда написать собственную шпионскую программу, которая не попадет ни в одну сигнатурную базу и не будет обнаруживаться. Те, кто не обладает достаточной квалификацией, могут поступить еще проще – скачать из сети Интернет открытый исходный код шпионской программы. Остается только скомпилировать готовый код, внеся небольшие изменения. И в итоге опять получится уникальный код, против которого невозможно бороться только с помощью классического сигнатурного анализа.

Методика тестирования

Учитывая все вышесказанное, нами был выбран принципиально новый подход к сравнительному тестированию антишпионских программных продуктов. С одной стороны, он довольно прост – любой специалист в состоянии повторить испытания и убедиться в правильности результатов. С другой стороны, результаты тестирования получились наглядными и опровергают расхожее мнение, что самые популярные на сегодняшний день программные продукты надежно защищают конфиденциальную информацию пользователя от кражи.
Тестирование проводилось следующим образом.
Из сети Интернет были скачаны 9 шпионских программ с открытым исходным кодом:
1. Key Logger by Jerome Scott II (K1)

2. KeyLoggerMore_Sample (K2)

3. try_wnd1 (K3)

4. KEYLOGGER (K4)

5. KEY LOGGER, ENREGISTREMENT CRYPTÉ + DÉCODEUR (K5)

6. SIMPLE PETIT KEYLOGGER (K6)

7. TOUCHES DE CLAVIER EN SIMULTANNÉ (HOOK) (K7)

8. Best Free Keylogger (BFK) (K

9. Simple Python Keylogger for Windows (K9)

Данные исходные коды были скомпилированы и использовались в качестве тестовых кейлоггеров для проверки наиболее популярных антишпионских программ.
Испытания проводились на операционных системах Windows XP Professional SP2 и Windows 2000 SP4 с последними обновлениями, на 32-битной архитектуре Intel.
Для тестирования были выбраны 22 всемирно известные антишпионские программы, включаемые в большинство Интернет-рейтингов:

Продукт Версия URL Разработчик
Ad-aware SE Pro
Build 1.06r1 http://www.lavasoft.de/
Lavasoft
AntiSpy
2.13 http://www.softvers.com/antispy/
Softvers
BPS Spyware Remover
9.2.0.9 http://www.bulletproofsoft.com/
Bullet Proof Soft, Inc.
CounterSpy
1.5.82 http://www.sunbelt-software.com/
Sunbelt Software
Maxion Spy Killer
5.0 http://www.maxionsoftware.com/
Maxion Software
McAfee Anti-Spyware
2.0.0.167 http://www.mcafeestore.com/
McAfee, Inc.
Microsoft AntiSpyware
1.0.701 http://www.microsoft.com/
Microsoft Corporation.
PestPatrol
5.0.2.3 http://pestpatrol.com/
Computer Associates International, Inc.
PrivacyKeyboard
7.1 http://www.bezpeka.biz/
Information Security Center Ltd
Spy Cleaner Gold
3.6 http://www.spycleaner-gold.com/
Topdownloads Networks
Spy Sweeper
4.5.7.756 http://www.webroot.com/
Webroot Software, Inc.
Spybot Search & Destroy
1.4 http://www.spybot.info/
Patrick M. Kolla / Safer Networking Limited.
SpyHunter
2.0.1086 http://www.enigmasoftwaregroup.com/
Enigma Software Group, Inc.
SpyRemover
2.46 http://www.itcompany.com/
InfoWorks Technology Company.
SpySubtrac
3.11 http://www.trendmicro.com/
Trend Micro Incorporated.
Spyware Be Gone
7.00 http://www.spywarebegone.com/
MicroSmarts LLC
Spyware Blaster
3.4 http://www.javacoolsoftware.info/
Javacool Software LLC.
Spyware Crusher
1.0.9 http://www.spywarecrusher.com/
Spyware Crusher
Spyware Doctor
3.2 http://www.pctools.com/spyware-doctor/
PC Tools.
Spyware Stormer
1.4.7 http://www.spywarestormer.com/
Spyware Stormer, Inc.
TrueWatch
1.2.0.0 http://www.truesuite.com/
Esaya, Inc.
XoftSpy
4.19 http://www.paretologic.com/products.aspx
ParetoLogic Inc.

Кроме антишпионских продуктов интерес представляют также антивирусные продукты, поскольку на сегодняшний день практически все их производители декларируют функции борьбы со spyware. Поэтому был проведен отдельный тест антивирусных продуктов на тех же шпионских программах.
Для тестирования были выбраны 22 всемирно известные антивирусные программы, включаемые в большинство Интернет-рейтингов (для нашего тестирования использовался специализированный интернет-ресурс http://www.virustotal.com):

Продукт URL Разработчик Версия Обновление
AntiVir
http://www.hbedv.com/en/ H+BEDV (AntiVir) 6.33.0.70 12.23.2005
Avast
http://www.avast.com/ ALWIL (Avast! Antivirus) 4.6.695.0 12.22.2005
AVG
http://www.grisoft.com/ Grisoft (AVG) 718 12.23.2005
Avira
http://www.avira.com/ AVIRA (AVIRA Desktop) 6.33.0.70 12.23.2005
BitDefender
http://www.bitdefender.com/ Softwin (BitDefender) 7.2 12.23.2005
CAT-QuickHeal
http://www.quickheal.co.in/ Cat Computer Services (Quick Heal) 8.00 12.21.2005
ClamAV
http://www.clamwin.com/ ClamAV (ClamWin) devel-20051108 12.19.2005
DrWeb
http://www.drweb.com/ Doctor Web, Ltd. (DrWeb) 4.33 12.23.2005
eTrust-Iris
http://www.ca.com/ Computer Associates (Iris, Vet) 7.1.194.0 12.23.2005
eTrust-Vet
http://www.ca.com/ Computer Associates (Iris, Vet) 12.4.1.0 12.23.2005
Fortinet
http://www.fortinet.com/ Fortinet (Fortinet) 2.54.0.0 12.23.2005
F-Prot
http://www.f-prot.com/ FRISK Software (F-Prot) 3.16c 12.22.2005
Ikarus
http://www.ikarus.at/ Ikarus Software (Ikarus) 0.2.59.0 12.23.2005
Kaspersky
http://www.kaspersky.com/ Kaspersky Lab (AVP) 4.0.2.24 12.23.2005
McAfee
http://www.mcafee.com/ McAfee (VirusScan) 4657 12.23.2005
NOD32v2
http://www.nod32.com/ Eset Software (NOD32) 1.1335 12.22.2005
Norman
http://www.norman.com/ Norman (Norman Antivirus) 5.70.10 12.23.2005
Panda
http://www.pandasoftware.com/ Panda Software (Panda Platinum) 8.02.00 12.22.2005
Sophos
http://www.sophos.com/ Sophos (SAV) 4.01.0 12.23.2005
Symantec
http://www.symantec.com/ Symantec (Norton Antivirus) 8.0 12.23.2005
TheHacker
http://www.hacksoft.com.pe/ Hacksoft (The Hacker) 5.9.1.060 12.21.2005
VBA32
http://www.anti-virus.by/ VirusBlokAda (VBA32) 3.10.5 12.22.2005

Выводы

Результаты тестирования оказались неожиданными даже для проводивших тестирование специалистов. Ведь программы-шпионы, из которых были скомпилированы тестовые шпионы, общедоступны, они свободно распространяются в сети Интернет в виде открытых исходных кодов.
Результаты тестирования четко показали, что самые современные антивирусные и антишпионские продукты не в состоянии противостоять краже конфиденциальной информации с персональных компьютеров через встроенные в вирусы шпионские программы, количество которых постоянно возрастает.
Программный продукт производства ООО "Центр информационной безопасности" PrivacyKeyboard занял первое место, что объясняется отсутствием сигнатурных баз в принципе. Реализованный в программе подход позволяет одинаково эффективно защищать как от известных угроз, связанных с перехватом информации пользователей ПК, так и от неизвестных.
На втором месте оказались 5 продуктов – TrueWatch компании Esaya, Inc., AntiVir компании H+BEDV, Avira компании AVIRA (AVIRA Desktop), CAT-QuickHeal компании Cat Computer Services, Kaspersky Anti-Virus Personal Pro компании Kaspersky Lab, которые справились с двумя из девяти шпионов.
Третье место разделили сразу 10 продуктов. Они смогли обнаружить лишь один (!) из девяти шпионов.
Все остальные 28 продуктов оказались бессильны и не смогли обнаружить ни одного (!) из тестовых шпионов.
Наша методика открыта и потому исключает предвзятость. Любые специалисты в состоянии воспроизвести подобное тестирование, самостоятельно скомпилировав собственные тестовые программы из исходного кода, свободно распространяемого в Интернет, и с условиями испытаний, отличающимися от наших.

[Frutti]

короче, все заворачиваемся в белые простыни и начинаем медленно ползти на кладбище......
(Медленно чтоб панику не наводить....)

[NIKK]

dobri,
Не надо так резко!
Теперь Пушок совсем расстроится, понаставит все эти 43 антивируса сразу и ...... придётся ОКНА переустанавливать!

[dobri]

Одного поля они ягоды, чуть лучше, чуть хуже...
У меня стоит Каспер, есть плюсы, есть минусы,но я им доволен.

[pusok]

NIKK,
хорош прикалываться. Мне самое главное ,чтоб работало все и из нета не вырубало. Кстати С Аваст комп не грузит, вообщем мне нравится.

[makcim76]

Цитата:

Сообщение от pusok

Кстати С Аваст комп не грузит, вообщем мне нравится.

только непугайся, когда он разговаривать начнёт
при всплывании информационного окошка об обновлении вирусной базы (тёмноголубого цвета) в колонках услышишь фразу :
Вирусная база обновлена!

[Baks]

makcim76,
ага прикольно особенно когда фильм смотришь, и тут тебе "вирусная база обновлена", и у меня такой случай был, я смотрел фильм и там фраза такая
"-У нас хоть что нибудь работает??
-Да, у нас... ВИРУСНАЯ БАЗА ОБНАВЛЕНА" Я долго смеялся

[pusok]

makcim76,
уже вчера испытала в 2 часа ночи, вот такие глаза были .