Лікнеп по ліктестам

Вступленієтермін «ліктест» (leaktest, тест на витік даних) за останніх пару років придбав популярність серед експертів в області ІТ-безпеки. Його можна зустріти в новинах і порівняльних таблицях, але для багатьох об'єм і призначення цього поняття залишаються невідомими. Чому звичайним користувачам ПК варто уважно придивлятися до ліктестам і їх особливостей в своїй щоденною комп'ютерною діяльність? Як результати тестів на витік даних можуть допомогти вам у виборі надійного продукту для захисту ПК?

Дана стаття покликана відповісти на цих і інші питання. Після прочитання ви отримаєте всю інформацію, необхідну для розуміння і грамотної інтерпретації результатів ліктестов.

Що таке ліктест? Ліктест – це інструмент або набір процедур для виявлення здатності рішення по безпеці протистояти спробам незаконної відправки особистої інформації в Мережу. Він показує готовність системи блокувати випадковий або навмисний витік даних.

Ліктести беруть свій початок з моменту появи перших персональних мережевих екранів (брандмауерів) в кінці 90-х років. Першочерговим завданням брандмауерів тих часів був контроль над мережевими діями додатків і запобігання спробам «додзвонитися додому» ( «відправити викрадені дані») недозволеним застосуванням. За останній час ліктести сильно видозмінилися і приросли новими можливостями, такими, як відключення захисної функції брандмауера, використання нового вигляду міжпрограмної взаємодії, експлуатація уразливих служб – це все ті прийоми, які використовують хакери в своїх «працях», і їх можна сміливо віднести до окремої категорії тестових програм.

Якщо якийсь продукт успішно справився з ліктестом, це означає, що він здатний захистити від атаки, в основі якої лежить певна техніка крадіжки даних. На даний момент існує багато прийомів, які активно експлуатуються хакерами, і серйозна захисна програма повинна знати і уміти відображати все з них. Кибер-преступникі не стоять на місці, і з кожним днем створюють нові витончені методи розкрадання інформації з комп'ютерів користувачів, і з цієї причини творцям програм для безпеки потрібно постійно бути напоготові і створювати нові методики для захисту своїх клієнтів.

До моменту виходу Windows XP в 2001, на просторах Інтернету існували шкідливі програми типу Трої і шпигунського ПО, які безперешкодно могли викрасти важливі дані і передати цю інформацію неавторизованим особам по мережі. Для недопущення подібних подій компанії, що спеціалізуються в області безпеки, вийшли на ринок з вирішеннями класу «персональний брандмауер», які були покликані блокувати дії, ініційовані недозволеними застосуваннями, шляхом блокування їх доступу в Мережу. Щоб перевірити, наскільки ефективно працювали такі захисні програми, експерти і технічні фахівці розробили спеціальні засоби для симуляції можливих атак – тестові програми перевіряли здатність брандмауера контролювати їх дії і попереджали користувача про те, що на комп'ютері виявлена спроба виходу в Мережу. Ці тестові засоби і отримали назви «ліктести», вони були порівняно прості, але в теж час їм вдалося виявити серйозні огріхи в захисних інструментах тих часів.

Перші ліктести використовували прості методи перевірки захищеності, такі, як підміна імені довірених програм і запуск довірених програм із зміненими параметрами, які давали команду на відправку певного текстового змісту на видалений ресурс за допомогою нормального застосування. Такими діями ліктести намагалися обдурити брандмауер, розраховуючи, що той подумає, що з Сетьюпитаєтся з'єднатися легальне застосування, і, як наслідок, вирішити таку дію. Одним з перших добре відомих ліктестов став продукт Стіва Гібсона з GRC під простою назвою ? Leak Test;. Ця програма емулювала атаку, в якій шкідливе застосування перейменує себе в Internet Explorer, спробує зайти в Мережу і виявить, чи відмітить встановлений брандмауер таку підміну.

З тих пір багато що змінилося, і сьогоднішні лікстести набагато могутніше і складніше в порівнянні зі своїми прародителями; вони використовують куди витонченішу техніку перевірки дії програм. Ця техніка, на жаль, також використовується авторами шкідливих програм, таких, як клавіатурні шпигуни, для захоплення цільових призначених для користувача даних.

Ліктести перевіряють здібності превентивного захисту, тестуючи, як вирішення безпеки реагують на певну техніку вторгнення, іноді звану «вектором атаки». Цим вони відрізняються від тестів на вилов вірусів, де під тестами розуміється здатність антивірусних рішень ідентифікувати певну сигнатуру коди.

Техніка, що входить в арсенал ліктестовліктести дуже різноманітні, щоб дати їм єдину класифікацію згідно їх діям; вони використовують різну техніку для тестування здібностей захисних програм. Їх дії постійно розширюються і удосконалюються, і, як правило, чим більше ліктестов існують, тим краще – більш повно будуть протестовані вирішення безпеки.

Узагальнюючи, слід зазначити, що ліктести побудовані на одному або декількох прийомах тестування, приведених нижче:

- спроби підробки імені довіреного застосування, що знаходиться на комп'ютері. Вони також можуть використовувати його дозволи на доступ в мережу для відсилання інформації в Інтернет («спуфінг» імені, запуск законного застосування з додатковими параметрами);- взаємодія з легальним застосуванням з використанням вбудованих в Windows засобів (наприклад, OLE Automation або DDE запити);- зміна працюючих застосувань в пам'яті, введення шкідливих компонентів до складу нормальних застосувань. Прикладом таких дій є вставка компоненту, прямій патчинг пам'яті, створення шкідливих тредов підпроцесів;- використання мережевих служб і протоколів нестандартним чином для відсилання даних. В цьому випадку дія націлена на те, що мережевий екран не відмітить не характерну для шкідливої коди мережеву активність, таку, як відправка підроблених запитів DNS, експлуатація служби BITS, недостатня фільтрація ICMP трафіку;- установка в систему драйвера додаткового мережевого інтерфейсу, через який ліктест відправлятиме витікаючі дані;- придушення захисних функцій встановленої програми. Прикладами можуть бути несанкціоноване відключення захисти, спроби провести зміну активного мережевого екрану;- ініціація завершення роботи Windows. Так перевіряється, чи контролює брандмауер роботу активних програм аж до відключення комп'ютера;- перехоплення клавіатурних натиснень. Погляд зсередини: інтерактивність программбольшинство ліктестов створювалося під Windows XP, яка, на відміну від Windows Vista, не перевіряє «права» однієї програми на взаємодію з іншою програмою або надействія, приведені вище, за умови, що їх запуск здійснюється з облікового запису з привілеями «адміністратора». Така ситуація створила численні прецеденти, коли одна програма могла безперешкодно використовувати «права» інший, довіреної програми як механізм для здійснення цільових атак. Пройшов той час, коли шкідливе ПО безпосередньо, від свого імені, намагалося отримати і відіслати викрадені дані в Мережу, - тепер це робиться від імені довіреної програми, яка занесена брандмауером в білий список. Рішення по безпеці повинні не тільки контролювати мережеву активність самих шкідливих програм, але також контролювати цілісність і недоторканність довірених програм і використання мережевих ресурсів для запобігання незаконним операціям і недопущенню незаконних взаємодій з метою крадіжки даних.

Компроміс: постійні сповіщення проти менш інтенсивного контролякаждий година на комп'ютері звичайного користувача виникає безліч програмних взаємодій, і, звичайно, тільки небагато з них можуть бути неправомочними. Таким чином, якщо мережевий екран «питатиме» дозвіл на кожне з них, користувача захлесне нескінченний потік сповіщень, і він втратить можливість продуктивно працювати. Для дозволу такій ситуації творці захисних продуктів розробили механізм, який «запам'ятовує» вибрану дію користувача по відношенню до певної події і згодом враховує цю відповідь на повторно виникаючу подію, не ставлячи ніяких питань. На додаток до цього, творці відомих продуктів, таких, як Outpost Security Suite Pro,, Kaspersky Internet Security і Comodo Firewall використовують інтерактивну службу, що звертається на сайт вендора, щоб автоматично призначити правила більшості програм в середовищі Windows, так щоб рішення були ухвалені непомітно для користувача, і він був позбавлений від питань і сповіщень. Windows Vista з її новим механізмом контролю облікових записів користувача UAC (User Account Control) зробила серйозний прорив в плані заборони нелегальної або небажаної активності програм на комп'ютері. Таке обмеження досягається «пониженням» прав виконуваної програми, до тих пір, поки користувач не схвалить її дії, відповідаючи згодою на видаване сповіщення Windows на «підвищення» має рацію і привілеїв запрошуваного застосування. Але в теж час UAC відрізняється серйозним недоліком - не дозволяє запам'ятати відповідь і уникнути повторного запиту, що часто дратує користувачів нової ОС, деколи примушуючи їх повністю відключати UAC. Отже, такий механізм контролю представляється менш ефективним, чим пропонований вищеназваними продуктами.

Інші компанії, що спеціалізуються на вирішеннях безпеки, такі як Symantec і ESET, вибрали шлях, який передбачаємо мінімізований контроль подій на комп'ютері; як наслідок, користувач отримує менше запитів. Такий шлях, проте, має свої недоліки, оскільки понижений рівень контролю не дозволяє перешкодити багатьом техніці, що знаходиться в арсеналі вірусопісателей. Через це шкідливі програми, які не визначаються вірусними сигнатурами, мають дуже високі шанси зіпсувати дані користувачі, тоді як вирішення з суворішим контролем подій мають можливість перешкоджати техніці вторгнення новітнього шкідливого ПО (zero-day malware).

У разі зниженого контролю недивно, що «полегшені» рішення проявляють себе досить слабо в групових тестах на витік даних.

Час покаже, чий підхід є найбільш переважним, проте, вже зараз стає ясно, що вирішення безпеки повинні прагнути до контролю за максимальним числом подій на ПК і в теж час бути лояльними до користувача, не турбуючи його зайвими питаннями і сповіщеннями.

Використання ліктестовліктести самі по собі є безпечними застосуваннями, покликаними визначити, чи здатний брандмауер відобразити ту або іншу атаку, засновану на певної техніки розкрадання інформації. Ліктести намагаються симулювати атаку, при цьому не шкодячи системі і особистим даним користувача. Їх можна завантажити з Інтернету і запустити локально на призначеному для користувача комп'ютері. Якщо у момент запуску лікстеста вирішення безпеки видає запит на продовження дії лікстеста або активності, до нього що відноситься, це означає, що система безпеки здатна відображати реальну атаку із застосуванням демонстрованої ліктестом техніки вторгнення.

Не дивлячись на те, що успішне проходження тесту на витік даних не завжди говорить про абсолютну здатність захисної програми протистояти всім атакам, це означає, що рішення принаймні непогано підготовлене для віддзеркалення реальних атак в реальних випадках зараження.

Трактування результатовсуществуєт декілька організацій, що спеціалізуються на проведенні тестів на витік даних. Найбільш відомими з них є Matousec Transparent Security і Firewall Leak Tester. Ці майданчики мають обширні інформаційні ресурси по класифікації ліктестов і регулярно оновлюють результати своїх тестів з появою нових версій програм або з виходом нових ліктестов. Що стосується результатів тестування, то тут існує золоте правило – чим ближче вирішення безпеки до 100%, тим воно ефективніше захищає користувача від можливої атаки невідомої шкідливої коди.

Ліктести проти інших іспитанійкак було відмічено раніше, ліктести показують, наскільки високі захисні бар'єри для реальних вірусів (у широкому сенсі), які використовують різну техніку відправки викраденої з комп'ютера інформації. Ліктести о

Схожі статті: