Защита жесткого диска от проникновения, №1

 

Мой Компьютер, №5, 28.01.2008

Немного фантастики

Не обращая внимания на удивленных прохожих, Штирлиц уходил от преследования гестаповцев на угнанном «Мерседесе», вдавив педаль газа в пол. Никогда еще Штирлиц не был так близок к провалу. Гестаповцы выжимали из старенького «Опеля» все, на что он был только способен, но, пытаясь обойти Штирлица тихими берлинскими переулочками, то и дело запутывались в бельевых веревках. Штирлиц начинал нервничать, ведь ему любой ценой нужно было попасть в штаб и, закрывшись в служебном кабинете, удалить все конфиденциальные данные с рабочего компьютера. И нужно было это сделать, не причинив вреда ни самому компьютеру, ни его операционной системе. Только так он сможет обеспечить себе железное алиби и попутно не уронить престиж страны в глазах противника. Штирлиц посмотрел на часы, времени еще хватало, да и фашисты отстали, поймав в одном из переулков на лобовое стекло панталоны какой-то фройляйн. Кинув взгляд в сторону приемника фирмы Grundig, Штирлиц произнес: «Да. Это полное падение нравов…», но делать Rammstein тише не стал, полностью переключившись на управление автомобилем. Подъехав к штабу, Штирлиц поднялся по мраморной лестнице в свой кабинет, держа себя в рамках нордического характера. И только закрыв за собой бронированную дверь, он метнулся к компьютеру.

Спустя пять минут дверь в кабинет стала угрожающе скрипеть под натиском вражеского плеча. Но Штирлиц со свойственной ему выдержкой что-то колдовал на компьютере (в фильме этого не видно из-за его могучей спины). Наконец дверь в кабинет не выдержала, и в него ввалились пять здоровенных арийцев во главе с Борманом.

— Прошу всех покинуть помещение! — скомандовал Борман бравым зольдатен. — А вас, Штирлиц, я попрошу остаться!

Поправляя «шмайсеры», эсэсовцы покинули помещение, а Штирлиц постарался принять такой вид, как будто его застали не в служебном кабинете за шпионажем, а дома у холодильника «за пивком».

— Итак, объясните мне, пожалуйста, что вы тут делали в столь поздний час, и почему работает компьютер?! — не унимался Борман.

— А я примчался сюда, как только вспомнил, что не ответил на пост пастора Шлага в форуме, посвященном горнолыжному спорту, — не растерялся Штирлиц.

— А-а-а! Вот оно что. Ну, так бы и сказали сразу! — обрадовался Борман и полез в бар за стаканами и виски. — Ну что, Штирлиц, за победу?

— Да, за победу… за нашу победу! — ответил Штирлиц.

Спустя два часа компьютер обследовали лучшие специалисты в области компьютерной безопасности Третьего Рейха, но так ничего и не нашли. Репутация советского разведчика была спасена.

А ведь если бы не та замечательная программа, которую мы так и не увидели из-за плеча ловкого Максим Максимыча Исаева, исход войны мог бы быть совершенно иным…

 

А если серьезно…

А если серьезно относиться к вещам, то можно и к бабке Хивре не ходить, как станет ясно, что приватность работы за компьютером — далеко не самая последняя вещь, на которую следует обращать внимание. Многие пользователи совершенно не подозревают, что извлеченный из их компьютера жесткий диск может открыть абсолютно все тайны его исследователю. И совершенно не важно, что будет искать этот исследователь, — следы какого-нибудь «кулхацкера» Пети Крякина или добывать конфиденциальную информацию о фирме-конкуренте. Многие пользователи считают, что, если они удалили с винчестера документ Word или jpeg-файл, то его нельзя будет восстановить. Как же они ошибаются в этом случае!

Информация на жестком диске размещается и кодируется на нескольких уровнях. Если все предельно упростить, то останутся только физический уровень и программный. Ну, с физическим все понятно, информация кодируется особым способом в секторы жесткого диска, каждый из которых содержит область для данных объемом в 512 байт (в будущем производители обещают увеличить этот параметр до 4096 байт, попутно усложнив систему коррекции ошибок). Именно в эту область информация и записывается, но записывается она туда с учетом файловой системы, а это уже у нас совсем другой уровень, называемый программным. Файловая система — это как бы матрац на холодном полу, чтобы нам было удобней лежать (хранить файлы и адресоваться к ним). Удаляя информацию с жесткого диска, мы ее вычеркиваем из журнала файловой системы и физически переносим в область, специально отведенную для этого, которая называется «Корзина». Для корзины мы выделяем определенное количество дискового пространства, в процентном отношении от объема HDD. Можно задать опцию, при которой файлы не будут перемещаться в корзину, а будут удаляться из файловой системы сразу (аналог Shift+Del). Но возникает вопрос, куда девается информация с жесткого диска в этот момент, и девается ли она куда-нибудь вообще? Ответ прост как день — никуда не девается, а остается лежать на прежнем месте! Да, именно так, товарищи. И, проанализировав данную ситуацию, хочется задать еще один вопрос: а зачем, собственно, затевать все эти приколы с корзиной, если информация никуда не пропадает? Чтобы ответить на этот вопрос, нужно хотя бы отдаленно представлять себе операцию удаления информации из файловой системы.

Чтобы удалить файл, операционная система вычеркивает его из файловой таблицы (FAT или MFT в FAT16/32 и NTFS, соответственно), и проходит эта операция гораздо быстрей записи такого же объема данных на диск. Теперь анализируем дальше: к примеру, у нас есть записанные 2 гигабайта информации, в первом случае RAR-архив, во втором — папка с мелкими файлами. Попробуйте удалить то и другое по очереди. Сразу бросается в глаза скорость, с которой это будет происходить. Так, если архив RAR удалится практически мгновенно, то папка такого же размера будет удаляться заметно дольше. А происходит это из-за того, что операционной системе гораздо легче удалить запись об одном большом файле, чем о сотне мелких. Если перевести эту процедуру на человеческий язык, она будет выглядеть примерно так: «файл name.xxx, начинающийся в кластере №хххх и заканчивающийся в кластере №хххх, удален; файл name.xxx, начинающийся в кластере №хххх и заканчивающийся в кластере №хххх, удален….» Я думаю, что идея понятна. Если удаляли с помещением в корзину, то файл скопируется в директорию [диск, с которого удаляли]:RECYCLER, затем в таблице размещения файлов записи о нем удаляются. Но физически, в недрах файловой системы и секторов жесткого диска, они останутся точно там же, где и лежали прежде. С этого момента операционная система разрешает запись данных по этим адресам, записывая свежую информацию поверх старых данных. Я надеюсь, что многим стало ясно, почему данные переносятся в корзину. Если вы захотите восстановить данные из корзины, они будут восстановлены в тот же каталог, из которого были удалены, но физически уже будут размещены в других кластерах ФС. Даже если директория, в которой находились файлы, была удалена, то умная Windows сначала восстановит всю иерархию каталогов, а уж затем поместит туда файл из корзины. Если бы в корзину помещались не файлы физически, а только ссылки на их местоположение, с флагом запрета записи по этим адресам в файловой системе, то со временем появилась бы сильная фрагментация данных на жестком диске, что, в свою очередь, сильно ухудшило бы производительность дисковой подсистемы в целом. Таким образом, удаляя файл или директорию, содержащую файлы, нужно позаботиться об их надежном удалении — в противном случае все то, во что вы не хотели бы посвящать посторонних, в один прекрасный момент может стать очень даже доступным.

Помимо не очень качественно удаленных файлов, есть повод еще кое о чем переживать, а именно — о приватности работы за компьютером. Следы работы остаются повсюду, а пользователи даже не подозревают о том, что, «пройдясь» по некоторым местам, можно узнать приблизительную деятельность юзера, сидящего за компьютером. Куда «ходил»; что открывал; что в строке поиска набирал; по каким сайтам лазил; какую информацию на своем жестком диске искал; какие компьютеры в локальной сети искал; в какое время что распечатывал и на каком принтере; куда что сохранял; что удалял. Да этот список бесконечен! Если еще учитывать файл подкачки и куки, честно нажитые в сети, а также директории TEMP, TMP, то можно «прокрутить» всю вашу деятельность за определенный период, не напрягаясь, и это под силу даже начинающему хакеру (как бы противоречив не был этот термин). Если уж быть до конца параноиком, то нужно еще опасаться и программ-шпионов, которые могут отправить своему создателю абсолютно всю информацию о вашей деятельности. Не верите? Смотрите скриншот. Данная программа имеет русский интерфейс, малый размер и умеет маскироваться под безобидный с виду notepad.exe, но вред от ее деятельности может быть поистине сокрушающим. Судите сами: «слушает» программные прерывания всех клавиш и записывает в лог (все пароли как на ладони); делает скриншоты экрана и сохраняет в gif размером 5-10 Кб; следит за содержимым буфера обмена; запоминает, какое приложение было запущено и сколько проработало. Это далеко не весь список; сколько еще вреда может принести эта программа, остается только догадываться. Самое обидное, что большинство таких программ замаскированы под безобидные «следилки» админов за пользователями и продаются вполне официально — дескать, ножом можно и зарезать, а можно и кусок хлеба отрезать. С такими программами может справиться далеко не каждый антивирус, для этой заразы нужен только антивирус, умеющий анализировать поведение программы (так называемый поведенческий анализатор), в противном случае процесс notepad.exe будет принят за безобидное травоядное животное и будет пропущен. Также для борьбы с такими программами может подойти антишпион, который специально для этого предназначен. Антишпионы имеют на борту базы антивирусных сигнатур и поведенческий анализатор. Расширенная эвристика по сигнатурам и качественно продуманные алгоритмы поведенческого анализатора не дадут разгуляться разного рода Ad-Ware и SpyWare на вашем компьютере.

 

No Pasaran!

Даже если пользователь не является шпионом, его пребывание за компьютером по его же желанию должно оставаться конфиденциальным, а компания Microsoft не очень-то об этом беспокоится — а может быть, и наоборот (например, по просьбе правительства), припасла несколько бэкдоров для мирных жителей Америки, дабы наблюдать за их свободной жизнью. Но это лишь мои предположения, хотя в сети то и дело появляются заметки о том, что в лицензионной копии Windows был обнаружен Spyware. Поскольку нашей приватностью не хочет заниматься Microsoft, за нее это сделали другие компании, выпустив на рынок программное обеспечение, способное сделать нашу компьютерную жизнь спокойней. Об одном из таких решений и пойдет речь в статье.

Фирма Acronis уже давно закрепилась на софтверном рынке, зарекомендовав себя со стороны хорошего специалиста в области работы с жесткими дисками, и появление системы обеспечения безопасности и конфиденциальности привело в восторг поклонников продуктов данной компании, к числу которых я также отношусь. Acronis Privacy Expert Suite (Corporate) — по моему мнению, самый удачный продукт в своей категории, и мнение мое не беспочвенно. Первая причина, почему я так считаю, это отличная русификация интерфейса, а для программного продукта, чьи диалоги во многих случаях просто не могут быть восприняты интуитивно, это несомненный плюс. Другими немаловажными аргументами я считаю небольшую цену данного продукта (она составляет всего 165 гривен), хорошую поддержку пользователя с предоставлением обновлений баз Anti-Spyware модуля программы. Это уже повод для того, чтобы установить на компьютер этот продукт и почувствовать, что такое приватность и конфиденциальность, тем более, что Acronis Privacy Expert Suite имеет триал-период 15 дней, во время которого он будет честно трудиться без каких-либо ограничений. Скачать его можно с официального сайта программы www.acronis.ru, для этого потребуется пройти простенькую регистрацию и, получив окошко, в котором будет указан триал-серийник, скачать пробную версию. Размер файла составляет 47 мегабайт, а версия Corporate гораздо «тяжелее», ее вес почти на 100 Мегабайт больше).

Установка программы ничем не отличается от остальных продуктов фирмы Acronis, о которых речь идет далеко не в первый раз; единственное, чем не стоит пренебрегать, это перезагрузкой компьютера перед первым запуском, а так никаких секретов и тонкостей. Давайте откроем главное окно программы Acronis Privacy Expert Suite (дальше — Акронис), и в ходе знакомства с его интерфейсом еще немного поговорим о некоторых ситуациях, которые могут нарушить вашу конфиденциальность.

 

Смотрины

Сразу после установки программы на компьютер в меню Пуск появится нехилый списочек во вкладке Privacy Expert. Здесь сверху вниз находятся такие инструменты: Acronis Drive Cleaner — позволит безвозвратно уничтожить данные с жесткого диска (или выбранного раздела); Acronis Pop-up Blocker — поселяет в системный трей убийцу всплывающих окон браузера; Acronis Privacy Expert Suite — собственно виновник торжества; Acronis Защита от программ-шпионов — анализирует поведение компьютера и выявляет потенциальных «шпиёнов», поддается тонкой настройке, равно как и другие инструменты; Создание загрузочных дисков — позволяет создать загрузочный диск, и если какая-то операция не доступна в Win32, то до нее можно добраться из загрузочного варианта программы. Остальные пункты меню не так важны, и поэтому я воздержусь от их перечисления. Также отмечу, что после перезагрузки в контекстном меню появляются несколько пунктов, позволяющих производить надежное удаление файлов и директорий, но о них мы поговорим немного позже.

Давайте запустим из этого списка ярлык Acronis Privacy Expert Suite и начнем борьбу с негодяями, внедрившимися в наши машины. Главное окно может иметь два варианта, «Классический» и «Вид по категориям», мне больше всего нравится первый, практически все инструменты как на ладони. Интерфейс в таком представлении состоит из трех разделов: Быстрая очистка — позволяет очистить все закоулочки компьютера оптом, не вдаваясь в тонкие настройки; Компоненты Интернета — позволяет избавиться от накопившихся данных в момент серфинга просторами Интернета; Системные компоненты — производит очистку схожую с первым пунктом, но уже гибко настраивая каждый удаляемый объект.

Основное окно также имеет строку меню, в которой можно найти практически все инструменты, которыми располагает программа. Так, например, меню «Сервис» дублирует одноименную боковую панель и содержит инструменты по уничтожению информации и защите от шпионов с «попапами». Тоже самое касается и меню «Очистка». Я порой задумываюсь, зачем ребята из «Акрониса» во всех своих продуктах занимаются дублированием менюшек, ведь можно обойтись только кнопками на панели инструментов и в центре окна. Теперь давайте начнем работать, попутно разбираясь что к чему.

 

Вчера шпионов душили-душили…

Откуда берутся шпионы — их что, как и детвору, приносят аисты? Нет, шпионы (Spyware) — это дело рук нечистых на руку людишек :). К этому перечню уместно будет добавить и Ad-Ware модули, навязывающие нам рекламу, нередко являющиеся частью вируса, трояна или червя. Такой «подарочек» можно получить вместе с крэкнутой программой или даже условно бесплатной, бороздя просторы Интернета браузером, Аськой или Миркой (этот список очень большой, не будем перечислять весь софт). Также сильно подвержены риску пользователи пиринговых сетей (многие юзеры до сих пор не знают, что районные сети, в которых они ищут бесплатную «медию» с помощью клиентов DC++, Apex и т.п., это и есть те самые пиринговые сети). Коммерческий софт, как я уже и говорил, также может содержать шпионские модули, которые следят за нами и отправляют их создателю данные о наших предпочтениях, пристрастиях и страстях 🙂 . (Ну, в случае с WinAMP мне не жалко делиться с nullsoft информацией, но это ведь не единственная программа с такими функциями, верно? — Прим. ред.) На базе полученных данных (на этом топливе) зачастую и работают мощные маркетинговые двигатели корпораций. Понять, что ваш компьютер заражен шпионом, можно довольно просто, вариантов море, вот некоторые из них: страница браузера «по умолчанию» не изменяется на about:blank, а постоянно открывает вам страницу с голыми девицами или рекламой чудо-пилюль на каком-то птичьем языке (это и есть «адваря») (некоторые пытаются сделать это якобы с согласия юзера, например, сайт megaupload.com, который просит для скачивания с него установить плагин для браузера, но при этом в Firefox чистые вкладки (на которых положено быть строчке поиска от Google) превращаются в мешанину из бесполезных ссылок на веб-каталоги. — Прим. ред.); сеть в режиме простоя постоянно отправляет куда-то данные (это можно узнать из диспетчера задач, вкладка Сеть); браузер зачем-то постоянно «прыгает» на не запрошенные вами страницы. Можно задаться вопросом: а кому нужно переправлять меня на сайты с голыми девицами? А это нужно владельцу данного сайта, который за посещения получает прибыль; кстати, очень часто шпионов на таких ресурсах и цепляют. (Именно, проверено практикой. — Прим. ред.) Spyware сложно причислить к вирусам, так как они редко выполняют вредоносный код, скорей, они выполняют полезный код, полезный для их создателя :), а если серьезно, то это чистой воды Risk ware.

В категории «Быстрая очистка» нажмите кнопку с изображением персонажа советских фильмов про иностранных шпионов, и запустится мастер очистки системы от вредоносного ПО. Как вариант: можно нажать ссылку «Приступить!» в боковой панели или вызвать ее из меню «Очистка». Запустится мастер удаления. (Я с вашего позволения не буду перегружать ненужной графикой страницы журнала, а остановлюсь лишь на самых важных моментах — думаю, редакция МК меня не осудит.) Как можно увидеть из рисунка, в первом окошке есть ссылка голубого цвета, предлагающая настроить мастера поиска шпионов; если ее нажать, то вы попадете в диалог настройки, позволяющий выбрать два варианта сканирования системы. Интеллектуальный будет искать шпионов в наиболее уязвимых местах, а Полный будет сканировать каждую директорию отдельно и займет довольно продолжительное время, но отыщет даже не активных шпионов или их отдельные модули. По умолчанию установлен интеллектуальный метод сканирования, и если в главном окне не трогать настройки, а нажать кнопку «Поиск», Акронис приступит непосредственно к процедуре. После непродолжительной процедуры сканирования Акронис выведет на экран окно, в котором будет перечислено количество найденных шпионов. Нам остается нажать кнопку «Далее» и в следующем окне кнопку «Приступить», сразу после этого все шпионы будут удалены, а вы получите поздравление и отчет о проделанной работе. Такие поздравления будут преследовать вас в процессе работы с Акронисом постоянно, так уж сложилось, такие они там все доброжелательные… Вот если бы еще триал-период увеличили до ста дней… 🙂

(Кстати, те, кому не нравится платить за программы подобного рода, могут без проблем найти бесплатную альтернативу или прошерстить сайт производителя своего антивируса на предмет такого плагина (уж антивирусы-то, надеюсь, все используют легально?) Возни может получиться чуть больше, придётся покурить мануал, но суть та же, что и у Акрониса. Хотя нередки случаи, когда «антишпионские» программы всего лишь сканируют реестр в самых опасных местах, позволяя пользователю удалить подозрительные ключи. Тоже помогает, но софт с анализом активности всё-таки надёжнее. — Прим. ред.)

 

Заметая следы

Пора научиться заметать следы, чтобы никто не смог, сев за компьютер, узнать о том, что еще вчера мы посещали политически неугодные для правительства ресурсы Интернета (это скорей актуально для жителей Китая и России :)). Из категории «Быстрая очистка» нажмите кнопку «Полная очистка компьютера», и перед вами предстанет во всей красе окошко, как и в предыдущем случае, но теперь нужно будет как следует настроить критерии поиска, чтобы в запале не удалить чего лишнего. Для входа в меню тонких настроек нажмите ссылочку «Сюда». Меню настроек позволит разгуляться на широкую ногу, здесь их столько, что десяти номеров журнала не хватит для перечисления, поэтому буду краток. Фактически, в этом меню вы можете сделать абсолютно все настройки программы и очищать компьютер одним нажатием кнопки, а кому угодно, например, очистить только строку поиска компьютера в сети, добро пожаловать в самое нижнее меню главного окна (нижние кнопки главного меню позволяют запускать каждый пункт этого меню по отдельности). Окно настроек очистки содержит две основные вкладки, «Компоненты Интернета» и «Системные компоненты». Компоненты Интернета настраивают параметры удаления кэша, куков, введенных адресов, автозаполнения форм и других вкусностей. Для того чтобы настроить тот или иной пункт, откройте вкладку плюсиком, и перед вами откроются все доступные параметры из этой вкладки (некоторые из них могут быть недоступными). После этого нажмите на интересующий вас пункт и в открывшемся окне создайте нужные настройки. Практически каждый пункт выглядит по-своему, но все наглядно и просто, в крайнем случае — существует отличная контекстная справка. Если вы откроете вкладку «Введенные адреса», то сможете увидеть все адреса, которые вводили в строке адреса проводника, и знаете, сколько таких потайных мест, по которым можно установить ваше перемещение только в пределах компьютера, не говоря об Интернете! Вкладка Системные компоненты содержит настройки удаления и очистки корзины, временных файлов, списка недавних документов, системные пароли и даже список недавно открытых и сохраненных документов. Впечатляет? Многие пользователи приходят в ужас, после того как узнают, что за ними можно следить, как в подзорную трубу. Но теперь беспокоиться не о чем, Акронис позаботится о надежном удалении всей информации, и восстановить ее будет невозможно. Одним словом, данное меню позволит гибко настроить ваши предпочтения в конфиденциальности и впредь по нажатии одной кнопки удалять все ненужное. В главном окне данного мастера есть кнопка «Восстановить настройки по умолчанию» — это пригодится в том случае, если вы, заигравшись, нашкодите так, что удалится не только лишняя информация, но и пара микросхем с материнской платы :).

Перечислять кнопки, расположенные в основном окне, я не стану; как уже и говорилось выше, это есть быстрый доступ к отдельно выбранному инструменту удаления информации. Например, если вы захотите удалить только файлы cookies, то просто запустите мастер удаления куков, и после запуска мастера можете, тонко настроив метод удаления куков, удалить их. Если нет желания возиться с настройками, то сразу жмите «Поиск» и после обнаружения всех «печенюшек» давите «Удалить». Так можно поступать абсолютно со всеми параметрами удаления приватных данных на компьютере. Конечно, диалог настроек будет во всех случаях разный, но, немного пораскинув мозгами, можно понять, о чем идет речь. Если же боитесь все испортить, доверьтесь настройкам по умолчанию. По окончании работы обязательно появляется диалоговое окно с отчетом.

«Акронис» — довольно надежная компания, и навредить системным файлам ее продукт не сможет. Единственное, что нужно иметь в виду, это тот момент, что, удалив список запуска программ меню «Выполнить», вы лишитесь быстрого выполнения команд в дальнейшем, и придется набирать что-то вроде «RunDll32 advpack.dll,LaunchINFSection %windir%INFmsmsgs.inf,BLC.Remove» вручную. Одним словом, трижды думайте, что удаляете, восстановить утраченное будет невозможно. Теперь давайте завершим сокрытие нашего пребывания «за рулем» и займемся надежным удалением информации с жесткого диска. Прикоснемся к этому процессу, что называется, руками.

Отдельным пунктом можно вынести очистку файла подкачки, так как это не мастер, который будет очищать файл подкачки по вашему требованию, а самый натуральный твик реестра, который заставит стирать файл подкачки всякий раз при перезагрузке или отключении компьютера. Это несомненно увеличит время отключения Windows XP еще больше (ах, старая добрая Win 98), но поможет защитить некоторые данные. В Pagefile.sys может храниться информация типа паролей или незашифрованных акаунтов. Для запуска настройки этого твика в главном окне Акрониса нужно выбрать меню Сервис, а в нем найти пункт «Очистка файла подкачки». После запуска мастера вам будет доступно диалоговое окно, в котором нужно будет выбрать положение радиокнопки между Вкл и Выкл. Также этот мастер запускается с боковой панели Сервис, кому как удобно.

Максим ДЕРКАЧ aka Astra