Безопасность от Microsoft: шаг к обновленному миру?
Автор: Наталья Касперская
Опубликовано: 18 декабря 2006 года
Источник: "Компьютерра"
Не так давно высокопоставленный менеджер Microsoft Джим Оллчин оказался в неприятной ситуации.
Об авторе: Наталья Касперская - генеральный директор "Лаборатория Касперского", одного из самых известных производителей систем защиты от вирусов, спама и хакерских атак.
Фразу, которую он произнес в интервью, неверно истолковали. Новость, которая немедленно была растиражирована, могла бы стать сенсационной: новая операционная система Windows Vista от корпорации Microsoft настолько хорошо защищена, что не нуждается в дополнительном антивирусном ПО.
Однако сенсации не случилось. Оллчин, извинившись за нечеткость своих формулировок, внес ясность: хотя Vista и является наиболее защищенной операционной системой из всех, разработанных к настоящему моменту Microsoft, она не сможет обеспечить полную защиту пользователей от вирусов и других вредоносных программ.
Эта тема сейчас является одной из самых горячих на рынке, и ведущие игроки индустрии выражают порой противоположные мнения о политике Microsoft и стратегии выхода этой компании на антивирусный рынок. В этой статье мне хотелось бы представить взгляд "Лаборатории Касперского" и мое личное мнение по поводу Windows Vista и ее безопасности.
Немного об организации защиты в Windows Vista
Для начала - немного о новой операционке от софтверного гиганта.
В Windows Vista переработан и улучшен пользовательский интерфейс, облегчен поиск файлов, документов и приложений через встроенный функционал поиска. Все эти изменения упрощают начало использования компьютера новичкам, а для опытных пользователей делают компьютер более удобным в работе.
С точки зрения безопасности в Windows Vista также реализовано большое количество улучшений и дополнительных компонентов защиты.
Например, Windows Vista позволяет минимизировать количество процессов и приложений, запущенных с привилегиями администратора. Из соображений совместимости с различным ПО в предыдущих версиях Windows слишком много пользователей и приложений имели высокие привилегии. Теперь все процессы и приложения по умолчанию будут запускаться с ограниченными привилегиями, и даже если в этих приложениях обнаружатся уязвимости, серьёзно повлиять на работу всей системы и причинить компьютеру вред они не смогут. Эта технология называется User Account Control. Каждый раз, когда какое-то действие требует более высоких привилегий, система спрашивает у пользователя, санкционирует он это действие или нет. Таким образом, в самой операционной системе реализована отсутствовавшая в предыдущих версиях ОС (включая Windows XP) защита от возможных последствий действий пользователя, наделенного высокими полномочиями.
Защищенный режим веб-браузера Internet Explorer 7.0 в Windows Vista делает просмотр интернет-сайтов более безопасным. В этом режиме браузер работает с таким набором системных прав, который не позволит вредоносному коду незаметно внести изменения в критические области системы во время просмотра веб-сайтов. Защищенный режим не защищает от всех типов атак, но существенно ограничивает возможности для их проведения. Необходимо отметить, что Internet Explorer 7 доступен и в версии для Windows XP, но защищенный режим работы браузера возможен только в Windows Vista.
В состав Windows Vista входит программный пакет Windows Defender, который, по словам производителя, "защищает компьютеры пользователей от шпионского ПО и других нежелательных приложений". Поскольку многие полагают, что именно Windows Defender обеспечит защиту от вредоносных программ, хочу подчеркнуть, что Windows Defender не является антивирусным пакетом и покрывает только одно подмножество всех существующих вредоносных программ, не защищая от вирусов, троянских программ, червей и т.д.
Всего в линейке Microsoft заявлено два продукта для защиты от вредоносных программ: Windows Defender (встроенный в Windows, т.е. поставляемый по умолчанию) для защиты от Spyware, и Microsoft OneCare - отдельный продукт для защиты от вирусов и других угроз. При этом OneCare в состав Windows Vista не входит. Этот продукт продается отдельно по подписке, аналогично другим антивирусным программам.
Классификация вредоносных программ по версии Microsoft
В Microsoft разделяют все вредоносные программы (Malware) на Spyware (шпионские программы) и Viruses (иные виды вредоносных программ - вирусы и т.д.).
Деление это весьма условно, разные антивирусные вендоры придерживаются иных классификаций, расходятся в трактовке термина spyware, и поэтому очень сложно провести грань между этими двумя категориями. В частности, согласно определению "Лаборатории Касперского", spyware (шпионские программы) - это программы, скрытно собирающие различную информацию о пользователе компьютера и затем отправляющие ее своему автору.
Однако в последнее время появляется все больше вредоносных программ, содержащих в себе смешанные технологии, которые не могут быть однозначно отнесены к одному классу. Поэтому остается неясным, в какую категорию относит Microsoft шпионские программы, проникающие на компьютер пользователя в качестве составной части интернет-червей, спама или других троянских программ. В этом смысле наличие в Vista модуля защиты лишь от одного вида угроз дезориентирует пользователей, поскольку может создать ложное чувство безопасности, что в свою очередь, может привести к росту числа незащищенных компьютеров.
В отличие от Microsoft, большинство антивирусных вендоров представляет защиту от всех классов угроз, и узкоспециализированные решения типа Anti-Spyware отходят в прошлое. Пару лет назад "антишпионская" тема была очень модной, и появилось множество стартапов, которые создали бизнес по борьбе именно со шпионским ПО. Потом шум поутих, наиболее активных игроков скупили антивирусные компании, а остальные тихо ушли с рынка сами.
Но возвратимся к Vista и антивирусу. Сама Microsoft рекомендует пользователям новой ОС установить дополнительное антивирусное программное обеспечение. Так, Windows Security Center в Windows Vista предупреждает пользователя об отсутствии антивирусной защиты до тех пор, пока соответствующее ПО не будет установлено. Пользователи увидят вот такое окно:
По мысли разработчиков Microsoft, нажав на кнопку Find a program ("найти программу"), пользователь попадет на страницу сайта компании, где будут представлены как OneCare, так и антивирусные продукты сторонних производителей.
Какие антивирусные продукты можно устанавливать на Windows Vista?
С давних времен пользователи привыкли к тому, что устанавливать два антивируса одновременно на один компьютер не рекомендуется. Это действительно чревато зависаниями, падениями системы в синий экран и другими проблемами.
Их причина в том, что резидентные части программ могут конфликтовать между собой, борясь за ресурсы компьютера. Увидев Windows Defender в составе операционной системы, пользователи могут ошибочно подумать, что устанавливать дополнительное антивирусное ПО на Vista опасно. Однако Windows Defender намеренно разработан таким образом, чтобы сохранять совместимость с обычными антивирусными пакетами.
Еще одно возможное заблуждение, которое следует опровергнуть: некоторые думают, что решения Microsoft, такие как OneCare, лучше подойдут пользователям, чем аналогичные решения сторонних производителей. Объясняется это тем, что OneCare якобы обладает более высоким уровнем интеграции с самой операционной системой, поскольку использует недокументированные возможности ОС, тогда как независимые производители лишены такой возможности.
На самом деле, это не более чем миф. Все, что разрабатывает Microsoft, можно условно разделить на платформу (ОС) и приложения, работающие поверх этой ОС. С точки зрения приложений, разработчики Microsoft придерживаются тех же самых библиотек и функций, которые документированы, описаны и доступны независимым разработчикам ПО. Эти условия и правила подробно описаны в разделе Windows Principles на сайте Microsoft. Более того, феноменальный успех компании Microsoft на рынке в значительной мере объясняется успешно построенной партнерской моделью - компания издавна давала широкие возможности разработчикам приложений на своей платформе.
То, что потом компания иногда решает вступить в конкуренцию с этими разработчиками за долю уже готового рынка, - это отдельная история. Но с технологической точки зрения, разработчики приложений Microsoft и независимые производители ПО находятся в равных условиях.
Несколько слов о OneCare
Меня часто спрашивают о коммерческом антивирусном решении Microsoft - OneCare. Как соотносится этот продукт с решениями других производителей? Для того чтобы составить представление о продукте, я рекомендую обращаться к тестам независимых тестовых лабораторий. Насколько мне известно, коммерческая версия OneCare, которая пока продается только в США, уже дважды тестировалась AV-test.org - исследовательской группой Магдебургского Университета (Германия), одной из наиболее авторитетных независимых тестовых лабораторий в мире. Это тестирование позволяет делать первые выводы о качестве детектирования нового антивируса.
На мой взгляд, есть три существенных фактора, которые усложнят Microsoft конкуренцию с ведущими современными антивирусными вендорами.
- Репутация в области безопасности. До сих пор компания не зарекомендовала себя в этой области. Решения от Microsoft по умолчанию считаются незащищенными, "дырявыми". "Дырявость" Windows и офисных приложений объясняется, прежде всего, чрезвычайной их популярностью. Хакеры всего мира взламывают то, чем пользуются большинство. В этом смысле, боюсь, свежеиспеченное антивирусное решение может постичь та же судьба. Это значит, что вирусописатели будут создавать вредоносные программы, в первую очередь, обходящие защиту OneCare.
- Другим немаловажным фактором является скорость реакции на новые угрозы. У любого производителя есть выбор: либо распознавать максимальное число зловредов даже с риском ошибочно принять за вирус чистый файл, либо максимально не допускать ложных срабатываний (т.е. все чистые файлы не определять как вирусы), но рискуя при этом пропустить вирус. Достаточно вспомнить хотя бы нашумевшую новость про ложное детектирование веб-почты Gmail антивирусным продуктом от Microsoft и чуть менее известную историю детектирования майкрософтовским же продуктом российской антивирусной программы Dr.Web. Бренд и известность Microsoft не позволят ей допускать ложные срабатывания. Так как каждый спорный случай надо будет долго проверять и согласовывать с юристами, скорость реакции на новые угрозы будет вынужденно низкой.
- Важным качеством любого антивирусного решения остается уровень детектирования вредоносных программ. Тестовая лаборатория при Магдебургском Университете тестировала OneCare в сентябре и в ноябре 2006 года. Оба показателя (ноябрьский - 81,22%) - результат, довольно низкий даже для среднего антивируса
Резюмируя три вышеупомянутых фактора, рискну предположить следующее. Антивирус от Microsoft, подняв качество распознавания вредоносных программ, в будущем займет свою нишу среди конкурентов, предложив хорошие потребительские свойства (чем компания всегда была сильна). Однако продукт вряд ли станет лидером по скорости реакции на новые угрозы или уровню распознавания зловредов.
Что же делать пользователю сейчас?
Хочу подвести итог всему вышесказанному.
Первое. Windows Vista обладает несколькими полезными чертами с точки зрения обеспечения безопасности, но по-прежнему не гарантирует защиты от проникновения зловредов, поэтому установка отдельного антивирусного продукта необходима.
Второе. Для защиты от этих зловредов покупатель может выбрать решение как от самой Microsoft, так и от стороннего производителя.
Какое же из решений выбрать?
- То, которому вы доверяете.
- То, которое, по вашему мнению, надежно защищает от зловредов (если найдете в себе силы почитать независимые тесты - это будет просто здОрово).
- Ну и то, которое будет совместимо с новой операционной системой (об этом производитель ПО обязан упомянуть в системных требованиях к продукту).
Удачной вам работы с Вистой и безопасного Интернета!
- Автор благодарит Алексея Калгина, заместителя директора по продуктам "Лаборатории Касперского", который помогал при подготовке данной статьи с анализом операционной системы Vista.