Журнал PC Magazine/RE №11/2009 - PC Magazine/RE

Установка пакета на всех моих тестовых компьютерах заняла не один час, но виноват в этом я сам, а не Microsoft: в течение многих месяцев я непрерывно тестировал программные комплексы и не загружал обновления Windows, поэтому мне пришлось установить их разом, чтобы ускорить установку Security Essentials.

Вредоносная программа, действующая как прокси-сервер, блокировала обновление на одном компьютере. Проблему удалось решить, загрузив самоустанавливающийся пакет обновлений на другой ПК. Многие комплексы безопасности устранили бы угрозу без корректировки настроек системного прокси-сервера и таким образом лишили бы компьютер связи. Программа Security Essentials удалила «вредителя» и исправила настройки прокси-сервера, и это, конечно, произвело сильное впечатление. В целом установка прошла гладко.

Бета-версия программы выдает предупреждение, что проверка может занять несколько часов; окончательная версия сообщает о нескольких минутах, но для многих зараженных компьютеров проверка потребовала больше часа. Полная проверка моего стандартного чистого ПК заняла свыше 45 мин, гораздо больше среднего показателя, равного 30 мин. Повторная проверка не была быстрее.

Оценка Security Essentials за удаление вредоносных программ составила 7,0 балла из 10 возможных. Это средний показатель, хотя он всего лишь на один балл ниже наилучшего результата, принадлежащего Norton Internet Security 2010. Было обнаружено 92% опасных программ, но многие исполняемые файлы остались неудаленными. На отдельном тесте с использованием коммерческих регистраторов нажатий на клавиши оценка оказалась очень низкой – 1,6 балла. Хуже результаты только у Malwarebytes Anti-Malware 1.36 (0,5 балла) и FortiClient Endpoint Security Standard Edition 4.1 (0,7).

Я проверил, насколько эффективно пакет обнаруживает и удаляет rootkit-компоненты, выбирая образцы из категорий вредоносных программ и регистраторов нажатий на клавиши. В Security Essentials применяется динамический мониторинг поведения ядра и другие приемы, которые должны были бы оказаться действенными против компонентов rootkit, но на деле вышло иначе. Было обнаружено только две трети rootkit-компонентов. Два оказались по-прежнему активны, а один функционировал как rootkit после попытки удаления. Оценка на тесте противодействия компонентам rootkit была ниже среднего уровня и составила 3,7 балла.

Компания Microsoft публично предупредила о растущей проблеме ложных программ безопасности (scareware). Я провел отдельный тест специально для таких образцов, и оценка Security Essentials составила всего 4,5 балла – еще один результат ниже среднего.

При выполнении тестов удаления вредителей модуль защиты в реальном времени часто выдавал сообщение об обнаруженной угрозе. Замечательно, что средства защиты в реальном времени способны устранять угрозы даже до первой полной проверки. Но программа Security Essentials не смогла удалить некоторые обнаруженные угрозы. В других случаях программа сообщала об успешном удалении, но вскоре поступало такое же предупреждение об обнаружении той же самой угрозы, и это свидетельствовало о том, что сообщение об успешном удалении было ошибочным. На одном компьютере программа удалила вредителя, запросила перезагрузку, удалила того же вредителя, вновь перезагрузилась, и так до бесконечности. Столь ненадежное поведение вряд ли понравится пользователю.

Защита в реальном времени – главная линия обороны, обеспечиваемая Security Essentials. Не предпринимаются попытки оградить пользователя от известных Web-узлов, содержащих опасные программы. Чтобы убедиться в этом, я попытался заново загрузить мою текущую коллекцию вредоносных программ. Ни один из сайтов не был блокирован. Программа Security Essentials удалила 70% вредителей из папки с заранее загруженными образцами. Для этого ей потребовалось заметно больше времени, чем программам Norton и ZoneAlarm Extreme Security 2010, причем Norton удалил 95% угроз. Образцы были статичными и не запускались, но, как ни странно, от Security Essentials поступил запрос перезагрузить компьютер после очистки.

Большинство остальных образцов было обнаружено в процессе установки, но тем не менее двум из них удалось разместить исполняемые файлы на компьютере. Оценка была чуть выше средней – 8,4 балла. Наилучший результат на этом тесте (9,6 балла) показал Norton, незначительно отстали BitDefender Total Security 2010 и Prevx 3.0: по 9,4 балла.

Результат Security Essentials на тесте блокирования установки регистраторов нажатий на клавиши составил всего 2,8 балла. Было обнаружено лишь 40% образцов. Одному удалось выполнить установку, несмотря на попытку MSE блокировать его. К счастью для Microsoft я назначил этому тесту гораздо меньший вес.

При поиске компонентов rootkit из наборов вредоносных программ и регистраторов нажатий на клавиши программа Security Essentials обнаружила две трети из них и получила оценку 5,9; средний балл – 6,6. Один из образцов выполнил установку и запустил rootkit вопреки попыткам блокировать его. Показатель Security Essentials на тестах предотвращения установки ложных программ безопасности был намного ниже среднего: 4,8 балла.

Microsoft Security Essentials 1.0 – бесплатный продукт, и лучше использовать его, чем остаться вовсе без защиты. Правда, эффективность защиты ненамного выше, чем у пакета OneCare, который Microsoft уже не выпускает. Я ожидал от Security Essentials большего. В настоящее время программы avast! antivirus 4.8 Home Edition и AVG Anti-Virus Free 8.0 более надежны, и обе они также предлагаются бесплатно.

«Проактивная защита», «Монитор производительности»

«1С-Битрикс», www.1c-bitrix.ru

Оценка: отлично

Достоинства. Полезные модули для «1с-Битрикс: Управление сайтом». Уникальные функции, удачная реализация, предоставляются бесплатно покупателям основных версий системы.

Недостатки. Не выявлено.

Разработчики системы управления контентом «1С-Битрикс: Управление сайтом 8.0» выпустили два, без преувеличения, уникальных модуля: «Проактивная защита» и «Монитор производительности». Строго говоря, первый появился еще весной (вместе с версией 8.0 БУС), но первый месяц его использования показал, что разработка несколько сыровата. Вернувшись к нему в конце лета, мы увидели, что за прошедшее время разработчики исправили большую часть проблем, отмечавшихся сразу после выпуска, так что сегодня модуль «Проактивная защита» можно смело рекомендовать для установки на рабочие сайты. И даже не просто рекомендовать, а настоятельно советовать – эта подсистема действительно обеспечивает защиту от самых разнообразных атак.

Любой сколько-нибудь крупный сайт почти непрерывно подвергается нападениям. Это не обязательно злоумышленники-люди, куда больше проблем создают всевозможные «троянские» программы и инструменты автоматического поиска известных «дыр» в программном обеспечении, атаки типа XSS («межсайтовый скриптинг»), поиск путей, по которым в UNIX-системах размещены файлы паролей, попытки SQL-инъекций и т. д. Всевозможная сетевая «живность» пробует сайт «на зуб» тем активнее, чем популярнее ресурс.

Традиционный способ защиты – постоянное обновление ПО, а также ручной мониторинг журналов доступа, с тем, чтобы в предельно короткие сроки заблокировать подобную деятельность. В 99% случаев процедура ответной реакции предполагает вполне фиксированный набор действий: запрет доступа с IP-адреса, откуда ведется атака, реже – коррекция данных, передаваемых в сеансе связи. Работа нудная, рутинная и неплохо поддающаяся автоматизации. Что, собственно, и сделали разработчики «1С-Битрикс».

Модуль «Проактивная защита» включается в обработку обращения на сайт в самом начале процедуры генерации страницы. Анализируется содержимое полей HTTP-запроса, подсистема «узнает в лицо» (руководствуясь набором специальных правил) SQL-инъекции, атаки типа XSS, PHP Including, подделки путей и ряд других.

В случае вторжения вызывается заданная администратором процедура ответной реакции, например, сброс соединения или вставка пробелов в потенциально опасные теги (скажем, тег <script> превращается в <scri pt> – в таком виде он безопасен).

Возможно, особо изощренного хакера проактивная защита и не остановит, но определенно осложнит ему жизнь. Зато стаи малолетних «кулхацкеров» блокируются вполне эффективно. Что более важно – со временем такая санация позволяет уменьшить число атак. Например, сразу после запуска модуля «Проактивная защита» в эксплуатацию на www.pcmag.ru за сутки блокировалось около 3 тыс. злонамеренных запросов. Спустя три месяца среднесуточное число атак снизилось до 200–300 (в основном благодаря динамической блокировке особо злостных роботов, а также автоматизированному пополнению БД хакерских IP-адресов). Незначительное число ложных срабатываний, как выяснилось впоследствии, было связано с некорректными настройками.