Новый бренд на рынке персональных firewall'ов: Kaspersky Anti-Hacker

Интервью с разработчиками Kaspersky Anti-Hacker

Сегодня мы хотим поговорить о достаточно новом продукте - Kaspersky Anti-Hacker. Этот брандмауэр был выпущен Лабораторией Касперского совсем недавно, поэтому мы и обратились к его разработчикам, чтобы получить информацию из первых рук. На наши вопросы отвечает Алексей Калгин, менеджер по продукту Kaspersky Anti-Hacker.

Внимание: Не пропустите регистрационный ключ, который позволяет демонстрационной версии с сайта Касперского полнофункционально работать в течение месяца! Его можно скачать с нашего сайта - здесь.


TanaT: Как давно появился Kaspersky Anti-Hacker, и что стало причиной его создания?

Алексей Калгин: Официально продукт был представлен пользователям в декабре 2002 г. Однако его история началась почти годом раньше, когда мы приняли решение о диверсификации продуктовой линейки и начали разработку не антивирусных систем защиты. Причин тому несколько. Во-первых, с технологической точки зрения, файрвол - это несомненный плюс в защите компьютера не только от хакерских атак, но и от вирусов. В особенности тех из них, которые испытывают слабость к краже конфиденциальной информации, кодов доступа в Интернет, денег с виртуальных счетов, и отсылке их хакерам через Интернет. Причем сегодня подобных вредоносных программ становится все больше и, соответственно, уже трудно переоценить роль firewall'ов. Во-вторых, нельзя не учитывать и маркетинговую составляющую вопроса. Мы стремимся предлагать пользователям комплексные системы защиты от внешних угроз компьютерной безопасности, в числе которых вирусы, хакеры и спам. Таким образом, разработка Kaspersky Anti-Hacker явилась практическим воплощением взятого курса. Как результат, пользователь: а) может приобрести все необходимые средства защиты у одного вендора; б) устойчивость совместного использования этих средств гораздо выше, нежели в случае мультивендорной поставки.



TanaT: На кого ориентирован ваш брандмауэр в первую очередь?

Алексей Калгин: Естественно, что любой серьезной разработке предшествует этап исследования рынка, определения потребностей и поиска рыночной ниши. Наш анализ показал, что главная причина, почему персональные firewall'ы до сих пор не достигли популярности антивирусов, состоит в чрезмерной сложности их настройки и использования. Вместе с тем, большинство респондентов согласилось, что защита от хакеров - весьма актуальная проблема, которая требует решения. Нетрудно было понять, что рынок ждал надежного и простого firewall'а. Эти характеристики и нашли воплощение в Kaspersky Anti-Hacker. Покупателями этого продукта стали начинающие пользователи и люди, которым нужна надежная защита без головной боли. Первые месяцы продаж показали, что таких пользователей действительно очень много.


TanaT: Есть ли у Kaspersky Anti-Hacker уже награды от каких-нибудь журналов или компаний-тестеров? Отзывы пользователей или экспертов?

Алексей Калгин: Да, продукт участвовал во многих обзорах и тестах российских и зарубежных компьютерных изданий и получил большое число положительных отзывов. Среди последних - французские журналы Action Micro и SVM, а также немецкий бестселлер c't. Картину несколько портит отсутствие поддержки ADSL модемов, ведь в Европе эта технология очень распространена и чуть ли не каждый второй пользователь работает на ней. Поэтому мы ожидаем, что следующая версия Kaspersky Anti-Hacker, которая будет поддерживать ADSL, получит еще больше позитивных откликов.

От автора: ADSL (Asymmetrical Digital Subscriber Line, Asymmetrical DSL) - ассиметричная цифровая абонентская линия. Эта технология явилась развитием HDSL (одной из четырех технологий DSL) и ответом телефонных компаний на появление кабельных модемов. Она представляет собой технологию высокоскоростной передачи данных по телефонным линиям (в одну сторону со скоростью от 1,5 до 9 Мбит/с, обратно - 640 кбит/с) на расстоянии до 5,5 км. В будущем скорости ADSL могут быть четырехкратно увеличены.


TanaT: Что бы вы назвали изюминкой Kaspersky Anti-Hacker?

Алексей Калгин: Ответ логично вытекает из позиционирования продукта - уникальное сочетание надежности и простоты. Главный интерфейс Kaspersky Anti-Hacker не шокирует обилием малопонятных переключателей, управляющих элементов и умных терминов. Здесь все предельно понятно - достаточно установить указатель на один из 5 предустановленных уровней безопасности и вся внутренняя система настройки программы автоматически переключится в нужное положение. С другой стороны, Kaspersky Anti-Hacker придется по вкусу профессионалам и любителям "тонкой" настройки - в программе есть возможность ручной установки параметров, что позволяет сделать программу достойной для выполнения даже самых специфических задач.


TanaT: Расскажите, пожалуйста, о технологиях, "зашитых" в Kaspersky Anti-Hacker? Как он обеспечивает безопасность?

Алексей Калгин: В общих чертах, философия Kaspersky Anti-Hacker - это проверка всех входящих и исходящих потоков данных. С одной стороны, программа фильтрует все поступающие пакеты данных и предотвращает хакерские атаки. С другой - проверяет все данные, отсылаемые с компьютера, опять же, на уровне сетевых пакетов, а также приложений. Второе заслуживает более пристального внимания - Kaspersky Anti-Hacker позволяет регламентировать (запрещать или разрешать, и, если разрешать, то по каким правилам) общение установленных на компьютере приложений с Интернетом. Если вдруг программа обнаруживает попытку неавторизованного приложения соединиться с Сетью (очень часто таким образом троянские программы воруют данные), то пользователь тот час получит уведомление и сможет дать добро или прекратить дальнейшую работу этого приложения. Среди других полезных "фичей" в программе также имеется функция самообучения (Kaspersky Anti-Hacker самостоятельно опознает тип интернет-приложения и предлагает применить к нему набор стандартных правил общения с Сетью) и технология SmartStealth, благодаря которой компьютер, по сути, становится невидимым для вредоносных действий извне.


TanaT: Использует ли Kaspersky Anti-Hacker динамическую фильтрацию, как, скажем, Check Point Firewall или Agnitum Outpost Firewall?

Алексей Калгин: Естественно, без этого персональный межсетевой экран не имел бы смысла. Все входящие и исходящие потоки данных проверяются в масштабе реального времени. Более того, в программе имеется режим обучения, в рамках которого правила для интернет-приложений формируются автоматически, "на лету", в случае обнаружения их сетевой активности.


TanaT: От каких видов хакерских атак защищает ваш брандмауэр?

Алексей Калгин: Современная версия Kaspersky Anti-Hacker обеспечивает защиту от всех наиболее распространенных типов хакерских атак, таких как "Ping of death", "Land", SYN/UDP/ICMP Flood, сканирование TCP/UDP портов. В следующей версии программы также будет реализована защита от бестелесных червей типа "Helkern".

От автора: "Helkern" (или "Slammer") является вторым (после "CodeRed") бестелесным червем. Он размножается без вмешательства пользователя, через брешь в Microsoft SQL Server 2000. Так как у червя нет тела (вредоносный код существует в виде интернет-пакетов), то обыденные методы борьбы с ним (сканеры, мониторы, ревизоры и др.) оказываются беспомощными. Для того чтобы обезвредить червя "Halkern", необходимо фильтровать сетевой трафик и вычленять из него вредоносный код.


TanaT: Сколько сегодня стоит Kaspersky Anti-Hacker и где его можно купить?

Алексей Калгин: Kaspersky Anti-Hacker стоит $39, сейчас продукт можно приобрести в интернет-магазине "Лаборатории Касперского" (www.kaspersky.ru), однако вскоре он будет также продаваться в коробочном варианте через розничную сеть.


TanaT: Не боитесь ли Вы конкурировать с такими грандами, как Zone Alarm или Agnitum Outpost?

Алексей Калгин: Казалось бы, рынок вполне насыщен, что нам здесь делать, выводя, к тому же, новый продукт (хотя и под общеизвестным брендом)? Однако детальный анализ конкурентной ситуации показывает наличие достаточно крупной ниши - не просто надежных, но и простых в эксплуатации firewall'ов. Подавляющее большинство конкурирующих систем - слишком сложны для одних пользователей или слишком обременительны и назойливы для других. Kaspersky Anti-Hacker, по сути дела, сейчас является безальтернативным продуктом: на рынке практически нет firewall'ов, сравнимых с нашим по сочетанию простоты и надежности. С Zone Alarm мы нацелены на разные целевые аудитории и поэтому это даже не конкуренция, а сосуществование.


TanaT: Участвовал ли Евгений Касперский в разработке Kaspersky Anti-Hacker?

Алексей Калгин: Евгений Касперский, как гуру мировой антивирусной индустрии и один из совладельцев компании, естественно не мог обойти этот проект стороной. С одной стороны, Kaspersky Anti-Hacker, как перспективная разработка, проходил утверждение на высшем уровне. С другой - при его создании необходимо было внедрить самые современные технологии борьбы с "троянцами". В обоих случаях Евгений принимал участие. Его содействие было особенно заметно на второй стадии. Благодаря этому в Kaspersky Anti-Hacker были интегрирована мощнейшая система защиты от программ-шпионов.


TanaT: Пока мы говорили только о положительных моментах в Kaspersky Anti-Hacker, но есть ли у него какие-нибудь недостатки?

Алексей Калгин: Как я уже сказал выше, главный функциональный недостаток программы - отсутствие поддержки ADSL модемов. Эта особенность не принципиальна в России, но для многих европейских и американских пользователей это принципиально. Трудно также не упомянуть взаимоотношения Kaspersky Anti-Hacker с тестовым центром PC Flank. В частности, по словам тестеров в программе не совсем корректно работает функция SmartStealth.


TanaT: Вы считаете, что тесты PC Flank (www.pcflank.com) далеки от современных практических реалий?

Алексей Калгин: У них свои взгляды на технологию невидимости и они, несомненно, имеют право на существование. Если в процессе тестирования оказалось, что программа не удовлетворяет каким-то правилам защиты, пусть даже такие атаки не встречались на практике, то это все равно хороший повод для модернизации продукта. В Kaspersky Anti-Hacker 1.5, который будет представлен в июне этого года технология SmartStealth будет полностью удовлетворять требованиям PC Flank.


TanaT: Что еще будет улучшено в новой версии Kaspersky Anti-Hacker? Над чем сейчас ведется работа?

Алексей Калгин: Резюмируя все случаи посыпания головы пеплом, которые прозвучали выше, в ближайшей версии произойдут следующие изменения. Поддержка ADSL-модемов, модернизация технологии SmartStealth в соответствии с требованиями PC Flank, защита от атаки SmbDie и бестелесных червей типа CodeRed и Helkern. Среди менее принципиальных дополнений - возможность задания диапазона портов для правил обработки данных; дальнейшее упрощение настройки правил для интернет-приложений; новый улучшенный интерфейс a la XP-style.



TanaT: Расскажите, пожалуйста, подробнее об атаке SmbDie. Это что-то новенькое?

Алексей Калгин: Атака SmbDie заключается в попытке установить соединение по SMB-протоколу; в случае успеха на компьютер-жертву отправляется пакет особого вида, который пытается переполнить буфер. Результатом является перезагрузка компьютера. Этой атаке подвержены операционные системы Windows 2000/XP/NT.


TanaT: Ваш брандмауэр иногда упрекают в том, что он не борется с рекламой и cookies. Почему вы обошли эту "фичу" стороной?

Алексей Калгин: Ответ заложен в названии самого продукта - "Anti-Hacker". Из названия следует, что основное предназначение продукта - предотвращение хакерских атак. Задача борьбы с банерами и рекламой находится все же несколько в стороне от этого. Следует также различать банеры в Web-контенте, который пользователь запрашивает в своем браузере и навязчивый рекламный софт, скрытно существующий на компьютере пользователя и докучающий показом банеров, постоянно выкачивая их из Интернет вне зависимости от желания на то пользователя. Блокировки первого способа баннерной рекламы в нашем продукте нет (хотя опытные пользователи могут создавать запрещающие правила для определенных IP адресов баннерных сетей). Второй тип - навязчивый рекламный софт - очень даже успешно детектируется при попытке рекламного софта скачать новую рекламу из Интернет. Что касается cookies - эта опция сохраняется в старых персональных брандмауэрах многих производителей чисто исторически. Разработка этих персональных firewall была начата довольно давно, в то время, когда в браузерах было недостаточно средств по контролю cookies. В настоящее время, настроек, относящихся к cookies, в новых браузерах, гораздо больше, чем в настройках персональных брандмауэров. Дублирование или интерпретация этих настроек только усложнила бы продукт Anti-Hacker, но не прибавила бы продукту ценности в глазах потенциального пользователя.


TanaT: А вы не думали над тем, чтобы добавить в брандмауэр какие-нибудь приятные "фичи", типа кэширования DNS? Это не требует кардинальной разработки, а пользователям приятно…

Алексей Калгин: Кэширование DNS, по своей сути, - это подстановка IP-адреса запрашиваемого сайта вместо его вербального названия. Таким образом, происходит незначительное ускорения соединения с Сетью, но я не понимаю, какое это имеет отношение к защите от хакеров. Более того, рискну заявить, что это как раз и есть та функциональность, из-за которой обычные пользователи так не любят файрволы. Она добавляет в продукт новые и конфигурационные опции и окошки, не выполняет непосредственно никаких задач связанных с безопасностью и усложняет выполнение задач, за которые продукт непосредственно и отвечает.

Пользователю будет сложно оперировать с базовой функциональностью, когда его отвлекают избыточные "фичи". DNS Resolver Cache - задача операционной системы, а не продукта стороннего производителя. Дублировать функции ОС - неправильно, а если их пытаться расширить - потребуется довольно большой набор опций. Сделать Hardcoded-опцию по кэшированию DNS - нельзя, должна быть возможность ее отключать, настраивать такие параметры как TTL - в противном случае возможны проблемы (например, с изменившимися записями в DNS, c Round-robin-DNS для задач load balancing и т.д.).


TanaT: Есть ли демо-версия Kaspersky Anti-Hacker, чтобы наши читатели могли ознакомиться с возможностями продукта?

Алексей Калгин: Мы с радостью приглашаем пользователей загрузить ознакомительную версию программы с нашего web-сайта. Русская версия Kaspersky Anti-Hacker доступна по адресу ftp://ftp.kaspersky.com/products/release/4.0/Russian/HomeUser/KAntiHacker/; английская - ftp://ftp.kaspersky.com/products/release/4.0/English/HomeUser/KAntiHacker/. Хотя это и не входит в наши правила, но для читателей "Ф-Центра" мы делаем исключение: предлагаем загрузить ключевой файл, с которым программа будет работать в полнофункциональном режиме в течение месяца.


TanaT: Планирует ли Ваша компания в будущем срастить антивирусное и "антихакерное" решения? Если да, какие выгоды от этого получит конечный пользователь?

Алексей Калгин: Действительно, мы планируем такую интеграцию. Как я уже сказал, антивирус и файрвол сегодня, по сути, борются с внешней угрозой в лице вирусов и хакерских атак. Причем все чаще вирусы используются для проведения хакерских атак (например, червь CodeRed предпринимал DoS-атаку на сайте Белого дома) и наоборот - компьютеры взламываются с целью внедрения на них вирусов. Чем дальше, тем эта тенденция будет все более выраженной и для защиты от этой угрозы требуются адекватные действия со стороны антивирусных компаний. Таким образом, "сращивание" технологий позволят пользователям более эффективно противостоять любым посягательствам на их персональные компьютеры. Впрочем, нельзя забывать и о удобстве и эргономичности управления. Рано или поздно пользователи придут к осознанию, что файрвол также необходим, как и антивирус. И тогда наибольшим спросом будут пользоваться продукты, имеющие единый интерфейс управления.


TanaT: Когда пользователи могут рассчитывать получить в свое распоряжение такой "Единый Центр Управления"?

Алексей Калгин: Такая интеграция планируется в 2004 г. Помимо "антихакера" и антивируса в функциональность объединенного продукта также войдет и персональная система по борьбе со спамом.


TanaT: Спасибо, что уделили нам время!

От автора

На сегодняшний день Kaspersky Anti-Hacker защищает вас от следующих видов хакерских атак:

Атака "Ping of death". Ее суть в том, что вашему компьютеру посылается ICMP-пакет размер, которого превышает допустимое значение в 64 Кб. Такая атака может привести к аварийному завершению работы некоторых операционных систем.

Атака "Land". На открытый порт вашего компьютера посылается запрос на установление соединения с самим собой. Атака приводит к зацикливанию машины, в результате чего сильно возрастает загрузка процессора и возможно аварийное завершение работы.

Сканирование TCP портов. Заключается в попытке обнаружить открытые TCP-порты на атакуемом компьютере. Сканирование используется для поиска слабых мест в компьютерной системе и обычно предшествует более мощной атаке. Очень важным элементом защиты является не дать хакеру собрать информацию об открытых портах вашего компьютера.

Сканирование UDP портов. Аналогично сканированию TCP-портов заключается в попытке обнаружить открытые UDP-порты на вашем компьютере. Также как и предыдущая атака, UDP-сканирование обычно предшествует более активным и разрушительным действиям.

Атака "SYN Flood". Злоумышленник отправляет жертве большое количество запросов на установку ложного соединения. Система резервирует определенные ресурсы для каждого из таких соединений, в результате чего тратит их полностью и перестает реагировать на другие попытки соединения. Также может привести к аварийному завершению работы.

Атака "UDP Flood". Заключается в отправке UDP-пакета, который за счет своей структуры бесконечно пересылается от компьютера-жертвы на произвольный доступный компьютеру адрес и обратно. В результате тратятся ресурсы обоих машин и увеличивается нагрузка на канал связи.

Атака "ICMP Flood". Хакер отправляет на компьютер-жертву большое количество ICMP-пакетов. Это приводит к тому, что машина будет вынуждена отвечать на каждый поступивший пакет, в результате сильно возрастает загрузка процессора.