Исследование эффективности средств защиты от шпионских программ

Н.Д. Красноступ, Д.В. Кудин
16.01.2006 | 14:38

contacts@bezpeka.com

Быстрый рост киберпреступности остро ставит вопрос: насколько эффективно анти-шпионские и антивирусные программные продукты защищают конфиденциальную информацию от программ, которые специально создаются для кражи этой информации?

Ведь от того, будет ли надежно защищена информация пользователей, зависит развитие и, в сущности, само дальнейшее существование электронной коммерции и финансовых расчетов в Сети.

В связи с угрозой утечки данных о реквизитах кредитных карт и другой конфиденциальной информации исследователи указывают на ощутимое снижение активности онлайновых покупателей. Другими словами, spyware бьет по доверию потребителей к Сети.

Согласно отчету компании Webroot "State of Spyware" за третий квартал 2005 года (http://www.webroot.com/land/sosreport-2005-q3.php), количество шпионских программ продолжает стремительно расти; возрастает и риск, которому подвергаются пользователи в Интернете. Исследование Consumer Reports за третий квартал 2005 показывает, что 86% пользователей так или иначе изменили свое поведение с Сети, боясь утечки данных о своей личности. 30% пользователей уменьшили общее время работы в Интернет; 53% пользователей перестали сообщать свою персональную информацию в Интернет; 25% отказались от покупок онлайн; 29% из тех, кто совершает покупки онлайн, стали реже покупать в Интернет.

Единственная цель нашего исследования - определение именно эффективности антишпионского программного обеспечения против программ, которыми все чаще пользуются киберпреступники для кражи конфиденциальной информации.

Методика нашего исследования такова, что каждый желающий, даже не очень опытный в программировании, сможет сам воспроизвести эти или подобные исследования - и получить сходный результат.

Изучая на протяжении многих лет ситуацию на мировом рынке программных продуктов, предназначенных для защиты конфиденциальной информации, мы пришли к выводу, что необходимо срочно провести собственное сравнительное тестирование антишпионских программных продуктов, опубликовав полученные результаты для всеобщего обсуждения, потому что:

  • Хотя в сети Интернет постоянно публикуются различные сравнительные тесты антишпионских, антивирусных и т.п. программных продуктов, эти исследования основаны на совершенно различных методиках тестирования, расчета рейтингов и т.д. Поэтому тесты не всегда отражают реальное положение вещей. Например, одним из основных критериев при сравнении антишпионских продуктов является количество сигнатур в базе. Но даже самые лучшие продукты, побеждающие в таких рейтингах, не в состоянии бороться с угрозами, описанными ниже.
  • Даже если в тесте одна программа заблокировала, к примеру, 10 из 10 вредоносных программ, а вторая только 7 из 10, это вовсе не означает, что первая программа лучше защитит конфиденциальную информацию пользователей. Как правило, к шпионским программам причисляются все программы, отсылающие третьей стороне любую информацию о пользователе, независимо от ценности этой информации. Таким образом, в одной группе оказываются и вполне безобидные программы, собирающие информацию о посещенных сайтах и сделанных в Интернете покупках - и чрезвычайно опасные программы и модули, специально разработанные для кражи банковских паролей и другой критической информации.
  • Критерии оценки программ определяют результаты тестирования - во многих исследованиях среди критериев оказывается не столько эффективность против наиболее опасных шпионских программ, сколько способность закрывать всплывающие окна (pop-ups), борьба с adware и красота интерфейса.
  • Маркетологи отлично знают, что тот товар, что лучше, не обязательно более распространен в мире. Как правило, лучше всех распространяется товар, торговая марка которого хорошо известна, и в продвижение которого на рынок вложены большие финансовые средства.
Цели тестирования
  • Оценить программные продукты и составить рейтинг с точки зрения их эффективности против самых опасных шпионских программ - тех, которые опубликованы в сети Интернет в открытых исходных кодах со свободным доступом для всех желающих. Поскольку скомпилировать такой код можно по-разному, как правило, традиционный сигнатурный анализ с ним не справляется.
  • Проверить качество работы "эвристических анализаторов", наличие которых в своих программных продуктах декларируют практически все всемирно известные производители антивирусных и антишпионских продуктов.
Предпосылки для разработки методики

В последнее время резко возросло количество публикаций о такой стремительно растущей разновидности киберпреступлений, как кража конфиденциальной информации с помощью программ-шпионов, и мерах по защите от них. В докладе "Превентивный подход к защите информации от современных шпионских программ" (http://bezpeka.com/en/lib/antispy/anot2868.html) подчеркивалась особая опасность угроз класса System Monitors (согласно классификации SpyAudit). К ним относятся кейлоггеры и их усовершенствованные модификации, позволяющие перехватывать нажатия клавиатуры (в пользовательском режиме и в режиме ядра системы), текст из окон приложений и буфера обмена, графические снимки экрана и др. Именно такие угрозы и являются предметом нашего рассмотрения, мы не включаем в понятие "шпионская программа" (spyware) угрозы класса adware, cookie и т.п. Последствия целенаправленной атаки с помощью кейлоггера несоизмеримы с вредом от внедрения adware на ПК пользователя. Со временем, System Monitors становятся все более опасными и вытесняют все остальные угрозы, которые ранее традиционно включались в понятие spyware. Это подтверждается многочисленными сообщениями в прессе, документами Anti-Spyware Coalition (http://www.antispywarecoalition.org), отчетами Webroot, Earthlink SpyAudit и другими ведущими компаниями и организациями в данной сфере. Подробно о нашей классификации шпионских программ см. статью "Шпионские программы и новейшие методы защиты от них" (http://bezpeka.com/ru/lib/sec/gen/art382.html).

Свое описание модели риска выпустила Anti-Spyware Coalition (http://www.antispywarecoalition.org/documents/RiskModelDescription.htm). К высокому риску Коалиция относит программы, самовоспроизводящиеся через массовые почтовые рассылки, червей и вирусы, а также программы, которые устанавливаются без разрешения или ведома пользователя посредством секьюрити-эксплойта, и программы, которые без согласия пользователя перехватывают сообщения email или интернет-пейджера, передают персональные данные или изменяют параметры защиты. Коалиция надеется, что ее рекомендации приведут к созданию более качественных антишпионских продуктов.

Что же может противопоставить пользователь персонального компьютера программам-шпионам?

Решение данной проблемы возможно только в использовании комплекса программных продуктов:

  • Программный продукт N1 - это продукт, который использует эвристические механизмы защиты против программ-шпионов. Он оказывает защиту непрерывно и не использует никакие сигнатурные базы.
  • Программный продукт N2 - это Антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы.
  • Программный продукт N3 - это персональный Firewall, контролирующий выход в сеть Интернет с персонального компьютера на основании конфигурации, которую определяет сам пользователь.

Антивирусный программный продукт не способен защищать пользователя от новых неизвестных ранее вирусов со встроенными шпионскими модулями, т.к. новые вирусы на момент атаки еще не внесены в сигнатурную базу антивирусного продукта, и как следствие этого, сигнатурная база не успела обновиться на компьютере пользователя. В результате конфиденциальная информация пользователя оказывается похищенной.

Персональный файрволл задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, даже некоторые коммерческие мониторинговые программные продукты (не говоря даже о специализированных хакерских программных продуктах) используют процессы, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты и т.д.). Как правило, пользователь обязан разрешить им выход в Интернет. А это приводит к тому, что украденная шпионской программой информация будет отослана в Интернет на заранее подготовленный злоумышленником адрес (email, ftp и т.д.). Другие типы шпионских программ обходят защиту файрволов иными способами и также невидимы для них.

Антишпионский программный продукт, использующий эффективные эвристические алгоритмы, способен работать непрерывно в фоновом режиме, не требует вмешательства пользователя и осуществляет защиту системы "на лету", блокируя любые попытки перехвата информации пользователя.

Но все ли пользователи устанавливают хотя бы те защитные программы, что имеются на рынке? К сожалению, далеко не все. По результатам недавнего исследования, проведенного совместно компанией AOL и организацией National Cyber Security Alliance (NCSA), на 81% ПК не установлен, по крайней мере, один из трех рекомендуемых компонентов интернет-защиты - межсетевой экран, обновляемый антивирус или приложение для защиты от шпионского ПО. Антивирусная программа вообще не инсталлирована или не обновлялась неделю и более на 56% домашних компьютеров. Межсетевые экраны с неправильными настройками обнаружены на 44% ПК. А антишпионская утилита отсутствует на 44% машин (http://bezpeka.com/ru/news/2005/12/08/5221.html).

Как же выбрать действительно надежную антишпионскую программу? Действительно ли программы, занимающие верхние позиции в различных рейтингах, надежно защитят информацию от кражи? Существующие методики сравнительного тестирования антишпионских продуктов, на основе которых и составляют рейтинги, не учитывают возможность защиты от неизвестных шпионских программ. Первым и одним из наиболее весомых критериев тестирования обычно является количество записей в сигнатурной базе (иными словами - количество обнаруживаемых spyware). Что дают такие сравнительные обзоры? Пользователь, ознакомившись с таблицей, выбирает один из продуктов, занимающих верхние позиции в результатах тестирования, устанавливает его на свой компьютер и верит, что теперь его персональная информация надежно защищена.

Между тем, даже для программиста средней руки не составляет труда написать собственную шпионскую программу, которая не попадет ни в одну сигнатурную базу и не будет обнаруживаться. Те, кто не обладает достаточной квалификацией, могут поступить еще проще - скачать из сети Интернет открытый исходный код шпионской программы. Остается только скомпилировать готовый код, внеся небольшие изменения. И в итоге опять получится уникальный код, против которого невозможно бороться только с помощью классического сигнатурного анализа.

Методика тестирования

Учитывая все вышесказанное, нами был выбран принципиально новый подход к сравнительному тестированию антишпионских программных продуктов. С одной стороны, он довольно прост - любой специалист в состоянии повторить испытания и убедиться в правильности результатов. С другой стороны, результаты тестирования получились наглядными и опровергают расхожее мнение, что самые популярные на сегодняшний день программные продукты надежно защищают конфиденциальную информацию пользователя от кражи.

Тестирование проводилось следующим образом.

Из сети Интернет были скачаны 9 шпионских программ с открытым исходным кодом:

  1. Key Logger by Jerome Scott II (K1)
    http://www.planet-source-code.com/vb/scripts/ShowCode.asp?txtCodeId
    =1645&lngWId=7
  2. KeyLoggerMore_Sample (K2)
    http://www.codeguru.com/code/legacy/system/KeyLoggerMore_Sample.zip
  3. try_wnd1 (K3)
    http://www.ladia.ru/cpp/appli/files/log.zip
  4. KEYLOGGER (K4)
    http://www.delphifr.com/gma/Keyloggers
  5. KEY LOGGER, ENREGISTREMENT CRYPTÉ + DÉCODEUR (K5)
    http://www.delphifr.com/code.aspx?id=12616
  6. SIMPLE PETIT KEYLOGGER (K6)
    http://www.delphifr.com/code.aspx?id=12279
  7. TOUCHES DE CLAVIER EN SIMULTANNÉ (HOOK) (K7)
    http://www.delphifr.com/code.aspx?id=12276
  8. Best Free Keylogger (BFK) (K8)
    http://sourceforge.net/projects/bfk
  9. Simple Python Keylogger for Windows (K9)
    http://sourceforge.net/projects/pykeylogger

Данные исходные коды были скомпилированы и использовались в качестве тестовых кейлоггеров для проверки наиболее популярных антишпионских программ.

Испытания проводились на операционных системах Windows XP Professional SP2 и Windows 2000 SP4 с последними обновлениями, на 32-битной архитектуре Intel.

Для тестирования были выбраны 22 всемирно известные антишпионские программы, включаемые в большинство Интернет-рейтингов:


Продукт Версия URL Разработчик
Ad-aware SE Pro Build 1.06r1 http://www.lavasoft.de/ Lavasoft
AntiSpy 2.13 http://www.softvers.com/antispy/ Softvers
BPS Spyware Remover 9.2.0.9 http://www.bulletproofsoft.com/ Bullet Proof Soft, Inc.
CounterSpy 1.5.82 http://www.sunbelt-software.com/ Sunbelt Software
Maxion Spy Killer 5 http://www.maxionsoftware.com/ Maxion Software
McAfee Anti-Spyware 2.0.0.167 http://www.mcafeestore.com/ McAfee, Inc.
Microsoft AntiSpyware 1.0.701 http://www.microsoft.com/ Microsoft Corporation.
PestPatrol 5.0.2.3 http://pestpatrol.com/ Computer Associates International, Inc.
PrivacyKeyboard 7.1 http://www.bezpeka.biz/ Information Security Center Ltd
Spy Cleaner Gold 3.6 http://www.spycleaner-gold.com/ Topdownloads Networks
Spy Sweeper 4.5.7.756 http://www.webroot.com/ Webroot Software, Inc.
Spybot Search & Destroy 1.4 http://www.spybot.info/ Patrick M. Kolla / Safer Networking Limited.
SpyHunter 2.0.1086 http://www.enigmasoftwaregroup.com/ Enigma Software Group, Inc.
SpyRemover 2.46 http://www.itcompany.com/ InfoWorks Technology Company.
SpySubtrac 3.11 http://www.trendmicro.com/ Trend Micro Incorporated.
Spyware Be Gone 7 http://www.spywarebegone.com/ MicroSmarts LLC
Spyware Blaster 3.4 http://www.javacoolsoftware.info/ Javacool Software LLC.
Spyware Crusher 1.0.9 http://www.spywarecrusher.com/ Spyware Crusher
Spyware Doctor 3.2 http://www.pctools.com/spyware-doctor/ PC Tools.
Spyware Stormer 1.4.7 http://www.spywarestormer.com/ Spyware Stormer, Inc.
TrueWatch 1.2.0.0 http://www.truesuite.com/ Esaya, Inc.
XoftSpy 4.19 http://www.paretologic.com/products.aspx ParetoLogic Inc.

Кроме антишпионских продуктов интерес представляют также антивирусные продукты, поскольку на сегодняшний день практически все их производители декларируют функции борьбы со spyware. Поэтому был проведен отдельный тест антивирусных продуктов на тех же шпионских программах.

Для тестирования были выбраны 22 всемирно известные антивирусные программы, включаемые в большинство Интернет-рейтингов (для нашего тестирования использовался специализированный интернет-ресурс http://www.virustotal.com):


Продукт URL Разработчик Версия Обновление
AntiVir http://www.hbedv.com/en/ H+BEDV (AntiVir) 6.33.0.70 12.23.2005
Avast http://www.avast.com/ ALWIL (Avast! Antivirus) 4.6.695.0 12.22.2005
AVG http://www.grisoft.com/ Grisoft (AVG) 718 12.23.2005
Avira http://www.avira.com/ AVIRA (AVIRA Desktop) 6.33.0.70 12.23.2005
BitDefender http://www.bitdefender.com/ Softwin (BitDefender) 7.2 12.23.2005
CAT-QuickHeal http://www.quickheal.co.in/ Cat Computer Services (Quick Heal) 8 12.21.2005
ClamAV http://www.clamwin.com/ ClamAV (ClamWin) devel-20051108 12.19.2005
DrWeb http://www.drweb.com/ Doctor Web, Ltd. (DrWeb) 4.33 12.23.2005
eTrust-Iris http://www.ca.com/ Computer Associates (Iris, Vet) 7.1.194.0 12.23.2005
eTrust-Vet http://www.ca.com/ Computer Associates (Iris, Vet) 12.4.1.0 12.23.2005
Fortinet http://www.fortinet.com/ Fortinet (Fortinet) 2.54.0.0 12.23.2005
F-Prot http://www.f-prot.com/ FRISK Software (F-Prot) 3.16c 12.22.2005
Ikarus http://www.ikarus.at/ Ikarus Software (Ikarus) 0.2.59.0 12.23.2005
Kaspersky http://www.kaspersky.com/ Kaspersky Lab (AVP) 4.0.2.24 12.23.2005
McAfee http://www.mcafee.com/ McAfee (VirusScan) 4657 12.23.2005
NOD32v2 http://www.nod32.com/ Eset Software (NOD32) 1.1335 12.22.2005
Norman http://www.norman.com/ Norman (Norman Antivirus) 5.70.10 12.23.2005
Panda http://www.pandasoftware.com/ Panda Software (Panda Platinum) 8.02.00 12.22.2005
Sophos http://www.sophos.com/ Sophos (SAV) 4.01.0 12.23.2005
Symantec http://www.symantec.com/ Symantec (Norton Antivirus) 8 12.23.2005
TheHacker http://www.hacksoft.com.pe/ Hacksoft (The Hacker) 5.9.1.060 12.21.2005
VBA32 http://www.anti-virus.by/ VirusBlokAda (VBA32) 3.10.5 12.22.2005

Результаты тестирования

Результаты тестирования антишпионских продуктов:


AntiSpy Product \Test Spy K1 K2 K3 K4 K5 K6 K7 K8 K9
Ad-aware SE Pro - - - - - - - - -
AntiSpy - - - - - - - - -
BPS Spyware Remover - - - - - - - - +
CounterSpy - - - - - - - - -
Maxion Spy Killer - - - - - - - - -
McAfee Anti-Spyware - - - - - - - + -
Microsoft AntiSpyware - - - - - - - - -
PestPatrol - - - - - - - - -
PrivacyKeyboard + + + + + + + + +
Spy Cleaner Gold - - - - - - - - -
Spy Sweeper - - - - - - - + -
Spybot Search & Destroy - - - - - - - - -
SpyHunter - - - - - - - - -
SpyRemover - - - - - - - - -
SpySubtrac - - - - - - - + -
Spyware Be Gone - - - - - - - - -
Spyware Blaster - - - - - - - - -
Spyware Crusher - - - - - - - - -
Spyware Doctor - - - - - - - - -
Spyware Stormer - - - - - - - - -
TrueWatch - - - - - - - + +
XoftSpy - - - - - - - - -

Результаты тестирования антивирусных продуктов:


AntiVirus Product \ Test Spy K1 K2 K3 K4 K5 K6 K7 K8 K9
AntiVir no no no Heuristic
/ Trojan.
Keylogger
no Heuristic
/Trojan.
Keylogger
no no no
Avast no no no no no no no no no
AVG no no no no no no no no no
Avira no no no Heuristic
/Trojan.
Keylogger
no Heuristic
/Trojan.
Keylogger
no no no
BitDefender no no no no no no no Generic
.Malware.
SLM.
10535C5E
no
CAT-QuickHeal no no no Monitor.
KeyLogger.
i (Not a Virus)
no no no Monitor.
BFK.
11 (Not a Virus)
no
ClamAV no no no no no no no no no
DrWeb Trojan
.KeyLogger.
342
no no no no no no no no
eTrust-Iris no no no no no no no no no
eTrust-Vet no no no no no no no no no
Fortinet no no no no no no no Keylog!tr no
F-Prot no no no no no no no no no
Ikarus no no no no no no no no no
Kaspersky no no no not-a-virus:
Monitor.
Win32.
KeyLogger.i
no no no not-a-virus:
Monitor.
Win32.
BFK.11
no
McAfee no no no no no no no Keylog.gen no
NOD32v2 no no no no no no no probably
unknown
NewHeur_PE
virus
no
Norman no no no no no no no no no
Panda no no no no no no no no no
Sophos no no no no no no no no no
Symantec no no no no no no no no no
TheHacker no no no no no no no no no
VBA32 Trojan.
KeyLogger.
342
no no no no no no no no

Итоговая таблица

Рейтинг продуктов, осуществляющих противодействие программам-шпионам:


NN Продукт Обнаруженные шпионские программы, %
1 PrivacyKeyboard 100,00
2 AntiVir
Avira
CAT-QuickHeal
Kaspersky
TrueWatch
22,22
3 BitDefender
BPS Spyware Remover
DrWeb
Fortinet
McAfee
McAfee Anti-Spyware
NOD32v2
Spy Sweeper
SpySubtrac
VBA32
11,11
4 Ad-aware SE Pro
AntiSpy
Avast
AVG
ClamAV
CounterSpy
eTrust-Iris
eTrust-Vet
F-Prot
Ikarus
Maxion Spy Killer
Microsoft AntiSpyware
Norman
Panda
PestPatrol
Sophos
Spy Cleaner Gold
Spybot Search & Destroy
SpyHunter
SpyRemover
Spyware Be Gone
Spyware Blaster
Spyware Crusher
Spyware Doctor
Spyware Stormer
Symantec
TheHacker
XoftSpy
0,00

Выводы

Результаты тестирования оказались неожиданными даже для проводивших тестирование специалистов. Ведь программы-шпионы, из которых были скомпилированы тестовые шпионы, общедоступны, они свободно распространяются в сети Интернет в виде открытых исходных кодов.

Результаты тестирования четко показали, что самые современные антивирусные и антишпионские продукты не в состоянии противостоять краже конфиденциальной информации с персональных компьютеров через встроенные в вирусы шпионские программы, количество которых постоянно возрастает.

Программный продукт производства ООО "Центр информационной безопасности" PrivacyKeyboard занял первое место, что объясняется отсутствием сигнатурных баз в принципе. Реализованный в программе подход позволяет одинаково эффективно защищать как от известных угроз, связанных с перехватом информации пользователей ПК, так и от неизвестных.

На втором месте оказались 5 продуктов - TrueWatch компании Esaya, Inc., AntiVir компании H+BEDV, Avira компании AVIRA (AVIRA Desktop), CAT-QuickHeal компании Cat Computer Services, Kaspersky Anti-Virus Personal Pro компании Kaspersky Lab, которые справились с двумя из девяти шпионов.

Третье место разделили сразу 10 продуктов. Они смогли обнаружить лишь один (!) из девяти шпионов.

Все остальные 28 продуктов оказались бессильны и не смогли обнаружить ни одного (!) из тестовых шпионов.

Наша методика открыта и потому исключает предвзятость. Любые специалисты в состоянии воспроизвести подобное тестирование, самостоятельно скомпилировав собственные тестовые программы из исходного кода, свободно распространяемого в Интернет, и с условиями испытаний, отличающимися от наших.





Скачать полный текст статьи в одном файле (41 500 байт, DOC+ZIP)