Полоса препятствий

Крис Касперски

Спецвыпуск: Хакер, номер #058, стр. 058-058-5

(Файл NIHUYA.bat, созданный и тут же удаленный WallBreaker'ом)

REM 5

REM 11

REM 5

REM 5

REM 2

REM 2

REM 3

REM 13

explorer.exe http://www.firewallleaktester.com/leak_results/wallbreaker_youareleaking.php

REM 1

REM 4

Разумеется, помимо вышеописанных существуют и другие способы проникновения, но объять необъятное еще никому не удавалось.

Какой из брандмауэров лучший

Споры, что круче - "Мерседес или КАМАЗ" - всегда бесполезны. Существует слишком много критериев, чью значимость каждый оценивает по-своему. Например, Outpost – единственный брандмауэр с открытым SDK, что позволяет использовать его как мощный инструмент для исследования сетевого стека и различных хакерских инструментов. SPF ведет удобные профессиональные ориентированные протоколы, интегрированный XP Firewall наименее конфликтен и т.д.

На сайте www.firewallleaktester.com приведены результаты сравнительного тестирования десятка популярнейших брандмауэров на проникновение и выложено большое количество стенобитных утилит, многие из которых распространяются в исходных текстах. После небольшой доработки напильником их можно использовать для атак или встраивать в собственные программы известного назначения. Если исходных текстов нет - не беда. Файловые и сетевые мониторы, шпионы за API-функциями у нормального хакера всегда под рукой. К тяжелой артиллерии в лице IDA Pro и Soft-ice следует прибегать только в клинических случаях, поскольку дизассемблерный анализ требует времени, а время - это самый ценный и к тому же невосполнимый ресурс, которого никогда не хватает.

Как видно, самым стойким оказался Zone Alarm, но цена этой стойкости весьма относительна. Zone Alarm не контролирует вызовы CreateRemoteThread/WriteProcessMemory, и поэтому все трояны, использующие эту технологию внедрения, останутся незамеченными! А ее используют, как показывает практика, очень многие...

Последнее место занял интегрированных XP'ый Firewall, который вообще контролирует неизвестно что и непонятно зачем :). За ним с минимальным отрывом идет Kaspersky Anti-Hacker, попавший в результаты тестирования совершенно случайно (это же совсем не брандмауэр, а дикий сын степей калмык, ядрен его кирдык). Остальные брандмауэры занимают промежуточное положение и более-менее пригодны для контроля над легальным трафиком, но с целенаправленной атакой ни один из них, увы, не справляется.

И?

Выходить в интернет через брандмауэр - все равно что заниматься сексом в презервативе. Неудобно и все равно небезопасно. Правда, без него еще хуже. Так что натягивать эту штуку поверх своего компьютера или нет, каждый должен решать сам. Совет - держи на своей машине SPF, но только затем, чтобы следить за "честными" приложениями. Например, очень забавно, когда Acrobat пытается загрузить свои баннеры (при работе через GPRS это весьма накладно). А от настоящих атак лучшая защита - постоянный Windows Update, хотя это тоже накладно, в среднем приходится качать до полсотни мегабайт каждый месяц, причем докачка не поддерживается. Но альтернативы нет.

Даже в умелых руках персональный брандмауэр - просто красивая игрушка, требующая внимания, заботы и правильной настройки (что-то вроде тамагочи). Про конфигурацию по умолчанию можно вообще забыть. Это равносильно полному отсутствию брандмауэра, особенно если пользователь не вполне отчетливо понимает смысл задаваемых ему вопросов и не знает, что отвечать :).