artykuły

Norton 360 6.0 – antywirus plus pakiet ochrony internetowej i nie tylko

Totalna ochrona

67 8 maja 2012, 13:24 Agnieszka Serafinowicz

Wbudowane zabezpieczenia

Bardzo wiele osób określa całą rozbudowaną grupę aplikacji zabezpieczających jednym słowem: antywirus. O ile pasuje ono do takich programów, jak Norton Antivirus, Avast Free Antivirus i AVG Antivirus, to używanie go na określenie opisywanego pakietu byłoby poważnym niedomówieniem. Moduł antywirusowy to zaledwie ułamek ochronnego arsenału wbudowanego w Nortona 360, choć trzeba przyznać, że bardzo istotny.

Norton 360 jest standardowo tak skonfigurowany, żeby skanowanie dysku w poszukiwaniu złośliwego kodu było automatycznie wykonywane w trakcie bezczynności systemu. Domyślnie ustawiony czas bezczynności wynosi 10 minut, ale można to zmienić w opcjach konfiguracyjnych programu. Podczas skanowania poszczególne pliki są poddawane analizie opartej na zaktualizowanym zbiorze sygnatur zagrożeń, a także behawioralnej. Obie techniki stosowane są równolegle. Taka strategia praktycznie wyklucza potrzebę samodzielnego włączania skanowania plików i folderów, ale oczywiście pozostawiono taką możliwość. Można skanować tylko newralgiczne składniki systemu (tzw. skanowanie szybkie), cały system albo tylko wybrane składniki.  

 


Standardowo skonfigurowana ochrona antywirusowa obejmuje zarówno nośniki lokalne, jak i wszelkiego rodzaju wymienne. Aktywna jest również funkcja SONAR (Symantec Online Network for Advanced Response), odpowiedzialna za analizę behawioralną i wykrywanie nieznanych (niesklasyfikowanych w bazie sygnatur) zagrożeń. Mechanizm ten jest standardowo tak ustawiony, że program usunie automatycznie każdy plik czy program, w którego przypadku szacowane prawdopodobieństwo, że stanowi zagrożenie, jest wysokie. Pozostawiono możliwość zmiany czułości tego mechanizmu: najbezpieczniejszym ustawieniem dla doświadczonego użytkownika jest pytanie w razie wykrycia zagrożenia, mniej doświadczeni lepiej niech pozostaną przy podstawowych nastawach.

Norton 360 to program kierowany na rynek masowy, dlatego standardowo jest tak ustawiony, by chronić nie tylko przed kodem będącym rzeczywistym zagrożeniem, ale także przed aplikacjami, które użyte w niewłaściwy sposób mogą zagrażać np. prywatności mniej doświadczonych użytkowników. 

 

 

Oznacza to, że Norton 360 zablokuje działanie nie tylko szkodliwego kodu, ale również takich narzędzi, jak skanery portów, sniffery, niektóre programy służące do zdalnego dostępu, a nawet takie, które „udają” zagrożenia (tzw. programy żarty). Blokada niektórych narzędzi do analizy sieci może być dość irytująca dla bardziej doświadczonych użytkowników, którzy zamierzają ich używać, ale czułość Nortona 360 na tym polu można regulować, usuwając zaznaczenie wybranych kategorii.

Innym podstawowym składnikiem zabezpieczeń jest dwukierunkowa zapora sieciowa. Standardowy poziom ochrony nie wymaga żadnych dodatkowych ustawień i jest optymalny praktycznie dla każdego komputera domowego. Wszystkie porty z aktywną zaporą są ustawione jako ukryte, działa również mechanizm o nazwie Stanowy filtr protokołów. Działa on w ten sposób, że najpierw sprawdzane jest, czy protokół komunikacyjny dotyczący przychodzących informacji w przypadku połączeń otwartych przez jakiś program jest dozwolony, następnie identyfikowane jest źródło ruchu i weryfikowany adres źródłowy. Od wyników analizy zależy, czy dana transmisja zostanie przepuszczona czy zablokowana.

 

 

W oknie konfiguracyjnym można przeglądać i ewentualnie modyfikować ustawienia zapory. Zakres ustawień jest bardzo duży: obejmuje nie tylko włączanie i wyłączanie wybranych funkcji zapory, ale także edycję, tworzenie i usuwanie reguł programów oraz reguł ruchu. Z poziomu okna konfiguracyjnego można także wpływać na działanie mechanizmu chroniącego przeglądarki oraz systemu detekcji i blokowania włamań. Wbudowany w Nortona 360 mechanizm neutralizacji takich prób jest tak ustawiony, by komputer, z którego są przeprowadzane, był blokowany na jakiś czas. Standardowo jest to 30 minut, ale użytkownik może go wydłużyć nawet do 48 godzin. Oprócz tego program odnotowuje, z jakiego komputera został przeprowadzony atak, i pozwala dodać go do tzw. strefy ograniczonej. Komunikacja z takim komputerem zostanie zablokowana do czasu, aż użytkownik usunie go ze strefy ograniczonej. 

 

 

Wspomnieliśmy o ochronie przeglądarek. Obejmuje ona trzy programy: Internet Explorer, Google Chrome oraz Mozilla Firefox. Ochrona blokuje próby przeprowadzenia ataku typu drive-by downloads, który polega na zdalnym wykorzystaniu luk w przeglądarce po odwiedzeniu zainfekowanej strony WWW.

W razie próby wejścia na zainfekowaną stronę komunikacja przeglądarki zostanie zablokowana, a użytkownik zobaczy komunikat o następującej treści:

 

Kliknięcie widocznego w komunikacie odnośnika Szczegółowy raport spowoduje wyświetlenie raportu generowanego przez inną funkcję wbudowaną w Nortona 360 – Norton Safe Web

 



Raport Norton Safe Web zawiera szczegółowe informacje o danej witrynie, o ile została ona wcześniej przeanalizowana przez producenta. Raport ten można wywołać nie tylko z komunikatu wygenerowanego przez mechanizm blokujący zainfekowane strony, ale także z paska zadań Norton Toolbar w samej przeglądarce WWW. Możliwe jest również generowanie raportów dla witryn bezpiecznych.

 

 

Norton Safe Web wyświetla ocenę bezpieczeństwa danej strony już w wynikach wyszukiwania. Mechanizm oceny reputacji witryn WWW wdrożony przez Symanteca jest bardziej wiarygodny od takich rozwiązań, jak wtyczka Web of Trust, która również wyświetla oceny stron w wynikach wyszukiwania, ale której oceny są oparte na reputacji budowanej przez społeczność samych użytkowników/internautów, a to czasem prowadzi do kuriozalnych wyników. Przykładem może być polska strona z ankietą związaną z badaniami prowadzonymi przez Megapanel PBI/Gemius. Nie zawiera ona żadnego złośliwego kodu i produkt Symanteca właśnie tak ją klasyfikuje, tymczasem Web of Trust sugeruje, że mamy do czynienia z bardzo niebezpiecznym miejscem, i to tylko dlatego, że wielu internautów nie lubi ankiet i pojawiającego się w wielu polskich witrynach okna z prośbą o wzięcie udziału w badaniach.

Moduł ochrony przeglądarek i Norton Safe Web współpracują tylko z niektórymi programami. Dużo bardziej uniwersalna jest inna funkcja ochronna: Download Intelligence, za pomocą której można sterować inną, Download Insight, zapewniającą dane o reputacji każdego pobranego pliku, przy czym plik może zostać pobrany nie tylko za pośrednictwem przeglądarek WWW (zarówno IE, Chrome i Firefoksa, jak też Opery i Safari), ale także innych programów sieciowych: klientów poczty elektronicznej, komunikatorów internetowych, aplikacji P2P czy popularnych menedżerów pobierania.

Kolejną funkcją zabezpieczającą jest moduł antyspamowy. W komputerze testowym był zainstalowany program Microsoft Outlook 2010. Funkcje antyspamowe integrują się automatycznie z każdą wersją Outlooka od 2002, a także z programem Outlook Express od wersji 6.0. 

 

 

Dodawana do Wstążki programu Outlook 2010 karta Norton zawiera ikony pozwalające ręcznie klasyfikować poszczególne wiadomości oraz budować listy dozwolonych i blokowanych adresów e-mail, ale – podobnie jak w przypadku wielu innych funkcji zabezpieczających – w praktyce nie ma takiej potrzeby, bo mechanizm filtruje pocztę za pomocą wielu wbudowanych filtrów, wspieranych dodatkowo przez funkcję Kwerenda internetowa, która skutecznie blokuje wiadomości zawierające adresy URL służące do wyłudzania danych bądź uzupełniania baz spamerów.

8