Безопасная среда выполнения программ в KIS 2010

[SergeyUser]

Раз уж информации мало в открытом доступе (надеюсь, что пока), предлагаю разобраться своими силами, а там глядишь может и из разработчиков кто добавит пару комментариев

 

Вопросы, которые хотелось бы обсудить:

1. Как именно работает указанная функция? Без четкого понимания, что она делает, сложно оценить ее применимость;

2. В чем преимущества указанной функции по отношению к пресловутому UAC в Vista+ (который тоже в определенном смысле виртуализирует запускаемые программы и обеспечивает дополнительную изоляцию и контроль прав), какие принципиальные преимущества есть у БСВП от KIS?

3. В чем преимущества указанной функции по сравнению с "Безопасным режимом", реализованным в IE8 (сравнение напрашивается потому, что по-умолчанию KIS добавляет именно IE в список программ для такого sandbox'инга, и больше никакие)?

4. Какой уровень совместимости обеспечивает данная функция с другими программами, помимо IE8 (подозреваю, что с ним все протестировано нормально ).

 

Итак, "Безопасная среда выполнения программ" (далее БСВП). Официальное описание нашел только в справке, ключевые выдержки приведены ниже.

 

"Для обеспечения максимальной безопасности объектов операционной системы и персональных данных пользователей специалистами "Лаборатории Касперского" реализована возможность запуска сторонних программ в защищаемой виртуальной среде – Безопасной среде.

 

В безопасной среде рекомендуется запускать программы, в подлинности которых вы не уверены. Это позволит избежать изменений объектов операционной системы, которые могут привести к ее некорректной работе.

 

...

 

Запуск интернет-браузеров в безопасной среде обеспечивает безопасность просмотра веб-ресурсов, в том числе защиту от проникновения на компьютер вредоносных программ и защиту пользовательских данных от несанкционированного изменения и удаления, а также возможность удаления всех объектов, накопленных за сеанс работы в сети Интернет: временные файлы, cookies, история посещения веб-страниц и т. п.

 

...

 

Чтобы при работе в обычной среде были доступны файлы, сохраненные или измененные в безопасной среде, следует пользоваться специально созданной для этого общей папкой безопасной среды, доступной как в безопасной, так и в обычной среде. Файлы, размещенные в этой папке не будут удалены в случае очистки безопасной среды.

 

...

 

Не рекомендуется использовать режим Всегда запускать в безопасной среде для системных программ и утилит, так как это может привести к некорректной работе операционной системы.

 

...

 

При запуске программы в безопасной среде все изменения, являющиеся следствием работы программы, производятся только в рамках безопасной среды. По умолчанию при следующем запуске программы все произведенные изменения и сохраненные файлы снова будут доступны в течение сеанса работы в безопасной среде."

 

Из описания складывается ощущение, что используется какая-то форма виртуализации среды, возможно - файлов, реестра, и пр. Далее некоторые простые тесты, чтобы проверить, как это работает на практике, и насколько это вообще работает:

 

Запускаем Far в безопасной среде. Запускается, а вокруг окна появляется неоновая зеленая рамка, видимо указывающая на то, что приложение выполняется в безопасной среде Мило.

 

a. Создаем файл в корне диска C:. Результат - файл создается, при этом в остальных программах он не виден, т.е. используется виртуализация файловой системы, файлы создаются в "своем собственном виртуальном мире", созданном для данной программы. Это достаточно серьезная технология, которая впрочем, уже реализована в рамках UAC;

 

b. Обращение к сетевым ресурсам. Выполняем простейшую команду "ping www.lenta.ru", получаем результат "Не удается обратиться к драйверу IP. Код ошибки 1753.". При этом KIS ничего не спрашивает, просто reject. Посмотрим, что за ошибка такая: "В системе отображения конечных точек не осталось доступных конечных точек". Не слишком дружелюбно, и не понятно, по какому принципу принято решение, что Far'у (и дочерним процессам) нельзя обращаться в сеть;

 

c. Пробуем запустить regedit. Тоже ничего не выходит, получаем ошибку "Служба в настоящее время не может выполнять команды". Видимо тоже безопасность, хотя и не совсем понятно, почему нельзя запустить regedit.

 

Для теста реестра попробуем запустить regedit отдельно в защищенной среде. Отдельно запуск проходит. Ключи появляются как-то странно, с видимой задержкой по сравнению с обычным запуском по сравнению с обычным запуском regedit. Наблюдается та же картина - запись данных в ключи реестра также виртуализируется, и не видна остальным программам.

 

На этом пока простые тесты закончим. Получаем среду виртуализации, похожую по поведению на работу UAC, при этом накладывающую ряд дополнительных ограничений на запуск программ, обращение к сетевым ресурсам и проч., с красивой неоновой рамкой вокруг запускаемых окон Учитывая приемлемую работу UAC и безопасный режим в IE8, однозначного мнение пока не сложилось. Если понадобится запустить что-то действительно потенциально опасное - специалисты для этого будут использовать полноценную виртуальную машину. Куда же "прикрутить" эту функцию?

 

У кого какие мысли и комментарии?

[Roman_Five]

3. В чем преимущества указанной функции по сравнению с "Безопасным режимом", реализованным в IE8 (сравнение напрашивается потому, что по-умолчанию KIS добавляет именно IE в список программ для такого sandbox'инга, и больше никакие)?

 

ИЕ8 у Вас, как впрочем и у меня , добавляется изначально в сендбокс, т.к. это браузер в системе по умолчанию

самостоятельно можно добавить туда (источник)

1. Интернет браузеры

2. IM (ICQ, mail-агент и т.п.)

3. Почтовые клиенты (MS, Outlook Express, The bat…)

4. Файловые менеджеры и архиваторы

5. Видео и аудио проигрыватели

6. Игры

Изменено 20 июня, 2009 пользователем Roman_Five

[SergeyUser]

Roman_Five,

 

Браузер по-умолчанию у меня как раз Google Chrome, но на него KIS внимания не обратил и добавил IE8. За ссылку спасибо. Особенно интересны следующие комментарии из указанной ветки (копирую для полноты картины):

 

"Позволяет безопасно работать с приложениями, полученными из сомнительных источников в т. ч. с приложениями содержащими вредоносные программы"

 

"Работать с любыми приложениями в том числе с приложениями имеющими уязвимости к проникновению вредоносных программ из внешней среды (локальная сеть, Интернет)"

 

Интересно, зачем нормальным, пусть и продвинутым пользователям, пользоваться программами с уязвимостями (вместо того, чтобы скачать новую версию), а также запускать программы из сомнительных источников, в том числе вредоносные? Это, мягко говоря, пользователям советовать не стоит.

 

Ok, в целом можно сделать вывод, что нужно запускать все, что подвержено риску атак извне, прежде всего все, что работает с интернетом, или предоставляет какие-то сервисы "наружу".

 

Вопрос впрочем замены уже имеющихся технологий, входящих в Windows (UAC и защищенный режим IE8), остается открытым. Еще немного, и KIS при установке будет рекомендовать отключить UAC (это шутка, конечно). Разработчики в очередной раз решили, что они лучше, чем MS, знают, как должны быть реализованы базовые механизмы безопасности операционной системы.

[upsidicidan]

Вопрос впрочем замены уже имеющихся технологий, входящих в Windows (UAC и защищенный режим IE8), остается открытым. Еще немного, и KIS при установке будет рекомендовать отключить UAC (это шутка, конечно). Разработчики в очередной раз решили, что они лучше, чем MS, знают, как должны быть реализованы базовые механизмы безопасности операционной системы.

Видимо, да.

 

От того же пинча песочница сомневаюсь, что защитит, ибо ему нужно только право на чтение, а оно в песочнице есть, так что лично я считаю песочницу просто маркетинговой заманухой, не более того. Если есть желание проверить подозрительную программу, нужна виртуальная машина. Песочница для таких экспериментов опасна.

[SergeyUser]

upsidicidan,

 

А в Symantec кстати есть песочница? Поделитесь опытом.

[Roman_Five]

От того же пинча песочница сомневаюсь, что защитит, ибо ему нужно только право на чтение, а оно в песочнице есть

 

частично об этом писали тут

Из Sandboxie FAQ:

It should be noted, however, that Sandboxie does not typically stop sandboxed programs from reading your sensitive data. However, by careful configuration of the ClosedFilePath and ClosedKeyPath settings, you can achieve this goal as well.

Нужно обязательно в нашей Справке на видное место повесить, что Песочница не даёт никаких преимуществ в безопасности при запуске троянцев, ворующих конфиденциальные данные. И хорошо бы тоже иметь настраиваемые пути реальной ФС, запрещённые даже на чтение.

[upsidicidan]

upsidicidan,

 

А в Symantec кстати есть песочница? Поделитесь опытом.

Нет. Там знают, что песочница - тип HIPS, при этом, не самый лучший. Поэтому не морочат голову ни себе, ни людям, а делают нормальные эвристик и проактивку.

[SergeyUser]

Roman_Five,

 

Тем меньший смысл существует в данной технологии (раз вредоностый код сможет прочитать sensitive данные). Смысл в чем, избежать повреждения данных пользователя? Это скорее технология обеспечения совместимости, чем безопасности. Для обеспечения сохранности данных есть резервные копии.

 

Я согласен, что в определенном смысле данная технология является еще одним слоем безопасности, затрудняющим проникновение в систему.. Вот только не факт, что эта технология имеет высокий cost/benefit, в том смысле, что технология тяжелая, влияющая на производительность, совместимость и проч. Уж лучше бы реализовали Exploit Shield по примеру F-Secure. Более точечно, зато проблем на порядок меньше с совместимостью. Надежная система не должна быть очень сложной, а KIS превращается в безумно сложный продукт.

 

P.S.: Да, я помню, что в KIS есть еще и защита конфиденциальных данных. Только они не обязательно должны лежать там, где считает KIS.

[upsidicidan]

Надежная система не должна быть очень сложной, а KIS превращается в безумно сложный продукт.

Полностью согласен. КИС становится безумно сложным, оставаясь при этом существенно глючным, что никак нельзя записать в число его побед. При этом идёт постоянное его отставание от конкурентов на один год, ибо конкуренты придумывают что-то новое, нормально это внедряют, потом, год спустя, ЛК списывает с конкурентов их лучшие достижения, но они при этом работают у ЛК через пень-колоду. Потом продукт за год доводится до ума (но не всегда: KIS 2009 до ума так и не довели), но конкуренты опять оказываются впереди. Что есть КИС 2010? Проактивная защита списана с SEP 11.0, который вышел в прошлом году, интерфейс списан с NIS 2009, который тоже вышел в прошлом году, эвристик - подражание Авире. Так кто же лидер: ЛК или таки конкуренты?

[SergeyUser]

upsidicidan,

 

Копирование, само по себе, для пользователей не проблема, это даже хорошо. Меня не интересует степень уникальности используемых технологий, важна лишь их надежность (основанная, в том числе, и на простоте). Потому что когда копируешь - можешь учесть ошибки первопроходца и сделать лучше (если конечно понимаешь суть, а не тупо копируешь). Ну и при сближении функционала увеличивается вероятность снижения цены... Так что пусть копируют на здоровье, просто чтобы качественно выходило и осмысленно. Microsoft тоже большинство технологий скопировала, но это не мешает им быть лидерами рынка.

 

В случае ЛК просто возникают сомнения, что цель для копирования выбрана правильно.

Изменено 21 июня, 2009 пользователем SergeyUser

[upsidicidan]

Я тоже не возражаю против разумного заимствования. Я лишь возражаю против плохого качества продуктов, характерного для продуктов ЛК начиная с мая прошлого года.

[SergeyUser]

Более подробное тестирование "песочницы" показало, что до полной изоляции ей еще далековато. Например, из песочницы можно удалить папку на диске (пробовал удалить папку Far'ом), и она удалится на самом деле. И это называется песочницей? Просто смех.

 

Ладно, баг и баг, однако сам факт его наличия наводит на, скажем так, мысли о несовершенной архитектуре решения, не устойчивой к ошибкам программистов... Я бы еще понял, если бы ошибка приводила к некорректной работе программы в песочнице, это допустимо. Однако простота и возможность выхода за границы говорит о том, что одного неправильного "if" в коде песочницы достаточно, чтобы раз.. и мы уже и не в песочнице. А ведь для песочницы это фактически самый критичный баг, который только можно иметь (потеря изоляции). Совестимость - это уже дело второе, с ней понятно всегда будут проблемы. В итоге поди пойми, сколько еще десятков таких багов позволит "убежать из песочницы" (или будем использовать термин, который прижился в рядах пользователей iPhone - jailbreak ?)) Пока можно гарантированно утверждать, что убежать весьма тривиально.

[Umnik]

1. Как именно работает указанная функция? Без четкого понимания, что она делает, сложно оценить ее применимость;

Виртуализирует многие файловые операции и операции с реестром

2. В чем преимущества указанной функции по отношению к пресловутому UAC в Vista+ (который тоже в определенном смысле виртуализирует запускаемые программы и обеспечивает дополнительную изоляцию и контроль прав), какие принципиальные преимущества есть у БСВП от KIS?

В Висте+ пользователь (любой) работает с правами User. Когда необходимо повышение прав, UAC делает запрос пароля Admin или согласие Администратора. Песочница же _виртуализирует_.

3. В чем преимущества указанной функции по сравнению с "Безопасным режимом", реализованным в IE8 (сравнение напрашивается потому, что по-умолчанию KIS добавляет именно IE в список программ для такого sandbox'инга, и больше никакие)?

В том, что Песочница _виртуализирует_.

4. Какой уровень совместимости обеспечивает данная функция с другими программами, помимо IE8 (подозреваю, что с ним все протестировано нормально smile.gif).

Совершенно не однозначно. Песочница предназначается в первую очередь для безопасного серфинга. Я лично тестировал ее на IE 7, 8, Fx 3, Opera, Chrome.

файлы создаются в "своем собственном виртуальном мире"

\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\

Это достаточно серьезная технология, которая впрочем, уже реализована в рамках UAC;

Ничего общего.

Far'у (и дочерним процессам) нельзя обращаться в сеть;

Можно.

c. Пробуем запустить regedit. Тоже ничего не выходит, получаем ошибку "Служба в настоящее время не может выполнять команды". Видимо тоже безопасность, хотя и не совсем понятно, почему нельзя запустить regedit.

похожую по поведению на работу UAC

Вы нашли что-то общее?

Вопрос впрочем замены уже имеющихся технологий, входящих в Windows (UAC и защищенный режим IE8), остается открытым

Нашли что-то общее?

От того же пинча песочница сомневаюсь, что защитит, ибо ему нужно только право на чтение, а оно в песочнице есть

Да. А еще есть PDM, который пинча и поймает. Или ловим фишинговые сайты файловым антивирусом?

Там знают, что песочница - тип HIPS

Да

при этом, не самый лучший

Зеленый цвет - это часть белого. При том не самая лучшая.

Поэтому не морочат голову

Знаний и опыта на разработку не хватает просто

а делают нормальные эвристик и проактивку.

Которые плохо показывают себя на тестах.

 

Так. Сейчас я сниму на телефон видео, если найду того зверька. Поймете, что такое SandBox.

[SergeyUser]

Umnik,

 

У вас, судя по всему, отключен UAC. А вы его включите и попробуйте снова. Или порекомендуете всем его (UAC) отключить?

 

Теперь по некоторым пунктам:

 

- Технология виртуализации, если вам не известно, встроена и в Windows Vista, и включается тогда, когда вы включаете UAC. Она более локальная, но тоже виртуализирует часть файловой системы и реестра. Вы даже можете увидеть статус виртуализации в Task Manager'е на закладке Processes (колонка Virtualization);

 

- Что именно не однозначто касательно совместимости? Вот расскажите мне, например, если я хочу использовать в песочнице, к примеру, IM-клиенты (возьмем для примера Live Messanger, идущий в стандартной поставке), то сколько я буду возиться, чтобы все сохраняемые и нужные мне файлы в итоге сохранялись на постоянной основе (речь про настройки и про журналы отправленных и полученных сообщений), а не в неконтролируемом и непрозрачном черном ящике, в котором KIS сохраняет локальные для приложения копии файлов?

 

- Обращение в сеть - я привел простой тест. Включите UAC и те снова;

 

- Запуск дочерних процессов, которые контролирует UAC (вроде regedit) - включите UAC и попробуйте еще раз.

 

Что касается механизма работы функции в целом. Это конечно полезно знать, что она "виртуализирует". Однако виртуализация виртуализации рознь. А вот рассказать подробности, указать, что например при первой записи в файл он целиком (вне зависимости от объема) копируется и создается локальная копия, и больше данное приложение уже никогда не увидит внешней копии, это важно. Тут есть куча альтернатив, и понимание того, как _именно_ происходит виртуализация в отдельных случаях, какие _исключения_ используются при виртуализации (что и при каких условиях не виртуализируется), при каких типичных условиях виртуализация будет давать отрицательный эффект - вот это все было бы полезным для специалистов и продвинутых пользовтаелей.

 

Umnik,

 

К вам дополнительный вопрос. В техническом релизе (9.0.0.459) отсутствуют какие-либо настройки безопасной среды (профили и проч.), хотя, судя по скриншотам на официальном форуме, в предварительных версиях были какие-то доп. настройки (правда указанные, как отладочные). С чем это связано - в окончательной версии и для пользователей не предполагается какие-либо настройки предоставлять?

Изменено 21 июня, 2009 пользователем SergeyUser

[Ummitium]

SergeyUser, а что делать пользователям Windows XP, где UAC отсутствует?