Ликбез по ликтестам

Термин «ликтест» (leaktest, тест на утечку данных) за последние пару лет приобрел популярность среди экспертов в области ИТ-безопасности. Его можно встретить в новостях и сравнительных таблицах, но для многих объем и назначение этого понятия остаются неведомыми. Почему обычным пользователям ПК стоит внимательно присматриваться к ликтестам и их особенностям в своей ежедневной компьютерной деятельность? Как результаты тестов на утечку данных могут помочь вам в выборе надежного продукта для защиты ПК?

Данная статья призвана ответить на эти и другие вопросы. По прочтении вы получите всю информацию, необходимую для понимания и грамотной интерпретации результатов ликтестов.

Ликтест – это инструмент или набор процедур для выявления способности решения по безопасности противостоять попыткам незаконной отправки личной информации в Сеть. Он показывает готовность системы блокировать случайную или преднамеренную утечку данных.

Ликтесты берут свое начало с момента появления первых персональных сетевых экранов (брандмауэров) в конце 90-х годов. Первоочередной задачей брандмауэров тех времен был контроль над сетевыми действиями приложений и предотвращение попыток «дозвониться домой» ( «отправить похищенные данные») недозволенным приложениям. За последнее время ликтесты сильно видоизменились и приросли новыми возможностями, такими, как отключение защитной функции брандмауэра, использование новых видов межпрограммного взаимодействия, эксплуатация уязвимых служб – это все те приемы, которые используют хакеры в своих «трудах», и их можно смело отнести к отдельной категории тестовых программ.

Если какой-то продукт успешно справился с ликтестом, это означает, что он способен защитить от атаки, в основе которой лежит определенная техника кражи данных. На данный момент существует много приемов, которые активно эксплуатируются хакерами, и серьезная защитная программа должна знать и уметь отражать все из них. Кибер-преступники не стоят на месте, и с каждым днем создают новые изощренные методы хищения информации с компьютеров пользователей, и по этой причине создателям программ для безопасности нужно постоянно быть начеку и создавать новые методики для защиты своих клиентов.

К моменту выхода Windows XP в 2001, на просторах Интернета существовали зловредные программы типа троянцев и шпионского ПО, которые беспрепятственно могли похитить важные данные и передать эту информацию неавторизованным лицам по сети. Для недопущения подобных событий компании, специализирующиеся в области безопасности, вышли на рынок с решениями класса «персональный брандмауэр», которые были призваны блокировать действия, инициированные недозволенными приложениями, путем блокирования их доступа в Сеть. Чтобы проверить, насколько эффективно работали такие защитные программы, эксперты и технические специалисты разработали специальные средства для симуляции возможных атак – тестовые программы проверяли способность брандмауэра контролировать их действия и предупреждали пользователя о том, что на компьютере обнаружена попытка выхода в Сеть. Эти тестовые средства и получили названия «ликтесты», они были сравнительно простые, но в тоже время им удалось выявить серьезные огрехи в защитных инструментах тех времен.

Первые ликтесты использовали простые методы проверки защищенности, такие, как подмена имени доверенных программ и запуск доверенных программ с измененными параметрами, которые давали команду на отправку определенного текстового содержания на удаленный ресурс с помощью нормального приложения. Такими действиями ликтесты пытались обмануть брандмауэр, рассчитывая, что тот подумает, что с Сетьюпытается соединиться легальное приложение, и, как следствие, разрешить такое действие. Одним из первых хорошо известных ликтестов стал продукт Стива Гибсона из GRC под простым названием ?Leak Test‛. Эта программа эмулировала атаку, в которой зловредное приложение переименует себя в Internet Explorer, попытается зайти в Сеть и выявит, заметит ли установленный брандмауэр такую подмену.

С тех пор многое изменилось, и сегодняшние ликстесты намного мощнее и сложнее по сравнению со своими прародителями; они используют куда более изощренные техники проверки действия программ. Эти техники, к сожалению, также используются авторами вредоносных программ, таких, как клавиатурные шпионы, для захвата целевых пользовательских данных.

Ликтесты проверяют способности превентивной защиты, тестируя, как решения безопасности реагируют на определенную технику вторжения, иногда называемую «вектором атаки». Этим они отличаются от тестов на отлов вирусов, где под тестами понимается способность антивирусных решений идентифицировать определенную сигнатуру кода.

Ликтесты слишком разнообразны, чтобы дать им единую классификацию согласно их действиям; они используют различные техники для тестирования способностей защитных программ. Их действия постоянно расширяются и совершенствуются, и, как правило, чем больше ликтестов существуют, тем лучше – более полно будут протестированы решения безопасности.

Обобщая, следует отметить, что ликтесты построены на одном или нескольких приемах тестирования, приведенных ниже:

Большинство ликтестов создавалось под Windows XP, которая, в отличие от Windows Vista, не проверяет «права» одной программы на взаимодействие с другой программой или надействия, приведенные выше, при условии, что их запуск осуществляется с учетной записи с привилегиями «администратора». Такая ситуация создала многочисленные прецеденты, когда одна программа могла беспрепятственно использовать «права» другой, доверенной программы как механизм для осуществления целевых атак. Прошло то время, когда зловредное ПО напрямую, от своего имени, пыталось получить и отослать похищенные данные в Сеть,- теперь это делается от имени доверенной программы, которая занесена брандмауэром в белый список. Решения по безопасности должны не только контролировать сетевую активность самих зловредных программ, но также контролировать целостность и неприкосновенность доверенных программ и использование сетевых ресурсов для предотвращения незаконных операций и недопущения незаконных взаимодействий с целью кражи данных.

Каждый час на компьютере обычного пользователя возникает множество программных взаимодействий, и, конечно, только немногие из них могут быть неправомочным. Таким образом, если сетевой экран будет «спрашивать» разрешение на каждое из них, пользователя захлестнет бесконечный поток оповещений, и он утратит возможность продуктивно работать. Для разрешения такой ситуации создатели защитных продуктов разработали механизм, который «запоминает» выбранное действие пользователя по отношению к определенному событию и впоследствии учитывает этот ответ на повторно возникающее событие, не задавая никаких вопросов. В дополнение к этому, создатели известных продуктов, таких, как Outpost Security Suite Pro, Kaspersky Internet Security и Comodo Firewall, используют интерактивную службу, обращающуюся на сайт вендора, чтобы автоматически назначить правила большинству программ в среде Windows, так чтобы решения были приняты незаметно для пользователя, и он был избавлен от вопросов и оповещений. Windows Vista с ее новым механизмом контроля учетных записей пользователя UAC (User Account Control) сделала серьезный прорыв в плане сдерживания нелегальной или нежелательной активности программ на компьютере. Такое ограничение достигается «понижением» прав исполняемой программы, до тех пор, пока пользователь не одобрит ее действия, отвечая согласием на выдаваемое Windows оповещение на «повышение» прав и привилегий запрашиваемого приложения. Но в тоже время UAC отличается серьезным недостатком - не позволяет запомнить ответ и избежать повторного запроса, что зачастую раздражает пользователей новой ОС, порой заставляя их полностью отключать UAC. Следовательно, такой механизм контроля представляется менее эффективным, чем предлагаемый вышеназванными продуктами.

Другие компании, специализирующиеся на решениях безопасности, такие как Symantec и ESET, выбрали путь, который предусматриваем минимизированный контроль событий на компьютере;как следствие, пользователь получает меньше запросов. Такой путь, однако, имеет свои недостатки, поскольку сниженный уровень контроля не позволяет воспрепятствовать многим техникам, находящимся в арсенале вирусописателей. Из-за этого вредоносные программы, которые не определяются вирусными сигнатурами, имеют очень высокие шансы подпортить данные пользователи, в то время как решения с более жестким контролем событий имеют возможность препятствовать техникам вторжения новейшего вредоносного ПО (zero-day malware).

В случае пониженного контроля неудивительно, что «облегченные» решения проявляют себя достаточно слабо в групповых тестах на утечку данных.

Время покажет, чей подход является наиболее предпочтительным, однако, уже сейчас становится ясно, что решения безопасности должны стремиться к контролю за максимальным числом событий на ПК и в тоже время быть лояльными к пользователю, не беспокоя его излишними вопросами и оповещениями.

Ликтесты сами по себе являются безопасными приложениями, призванными определить, способен ли брандмауэр отразить ту или иную атаку, основанную на определенной техники хищения информации. Ликтесты пытаются симулировать атаку, при этом не вредя системе и личным данным пользователя. Их можно загрузить из Интернета и запустить локально на пользовательском компьютере. Если в момент запуска ликстеста решение безопасности выдает запрос на продолжение действия ликстеста или активности, к нему относящейся, это означает, что система безопасности способна отражать реальную атаку с применением демонстрируемой ликтестом техники вторжения.

Несмотря на то, что успешное прохождение теста на утечку данных не всегда говорит об абсолютной способности защитной программы противостоять всем атакам, это означает, что решение по крайней мере неплохо подготовлено для отражения реальных атак в реальных случаях заражения.

Существует несколько организаций, специализирующихся на проведении тестов на утечку данных. Наиболее известными из них являются Matousec Transparent Security и Firewall Leak Tester. Эти площадки имеют обширные информационные ресурсы по классификации ликтестов и регулярно обновляют результаты своих тестов с появлением новых версий программ или с выходом новых ликтестов. Что касается результатов тестирования, то здесь существует золотое правило – чем ближе решение безопасности к 100%,тем оно эффективнее защищает пользователя от возможной атаки неизвестного зловредного кода.

Как было отмечено ранее, ликтесты показывают, насколько высоки защитные барьеры для реальных вирусов (в широком смысле) , которые используют различные техники отправки похищенной с компьютера информации. Ликтесты ориентируются на технику вторжения, этим они отличаются от тестирования на вирусы, которое, в основном, привязано к тестам антивирусных сигнатур. Ликтесты определяют способность решения противостоять неизвестным атакам, которые нельзя идентифицировать посредством известных сигнатур враждебного кода.

Тяжело переоценить вклад ликтестов в тестирование защищенности системы. Ликтесты являются основным средством тестирования защитных решений на предмет блокировки неизвестного вредоносного кода путем подавления его активности и возможного взаимодействия в контексте системы. Ликтесты также имеют практический смысл для конечного пользователя – многие обзоры существующих продуктов по обеспечению безопасности сопровождаются результатами тестирования на утечку данных, что должно дать пользователю представление о том, насколько хорошо тестируемый продукт справляется с угрозой незаметных, но чрезвычайно опасных вирусов и троянцев.

Надеемся, что эта статья помогла вам получить начальное представление о ликтестах и их значимости. Не забывайте, что ликтесты- это практичное и эффективное средство измерения качества и глубины защиты от изощренных приемов, практикуемых реальными вирусами и другими опасными программами.