Support us

AppLocker: как обуздать рекламный софт от российского интернет-гиганта

Оставить комментарий
AppLocker: как обуздать рекламный софт от российского интернет-гиганта

Как с помощью штатной для последних версий Windows-утилиты AppLocker быстро и просто оградить вашу систему от непрошенной установки троянов и рекламных модулей — в нашем развесёлом мастер-классе на примере обуздания скандального браузера «Амиго» от Mail.ru.

В иллюстративно-шутливых целях мы также коснёмся трагической судьбы главного разработчика этого российского браузера, который согласно «Яндекс.Новостям» недавно попал в руки «разгневанной толпы мексиканцев».

Читать далее

Кадр из кинофильма «Three Amigos»

Постановка задачи

Тяжела и неказиста судьба любого разработчика, особенно если он грешит и пишет грязный код в угоду корыстным интересам. Например, агрессивно продвигает «перехаченный» им открытый браузер с легионом внедрённых туда троянов, а для усыпления бдительности пользователя прикрывается зонтиком из солидного бренда.

Очень много пишу о том, что софт и ИТ всё глубже и шире проникают в наше консервативное общество, делая невольно зависимыми от вас (разработчиков) «братьев наших меньших» — менее технически подкованных сограждан.

Поэтому хотел обсудить не только классический сюжет преступления и наказания (взять для примера типичный образчик низкопробного софта и показать, к чему приводит его создание в воспитательных целях), но и продемонстрировать очень простой и эффективный способ борьбы с рекламным ПО, который остановит 82.4% зловредов ещё на этапе загрузки.

Попаболь

Итак, ниже исходная новость от 15 декабря 2014 (два месяца назад). Сразу скажу, что это не результат фотошопа, а чудеса автоматического агрегирования «Яндекса»:

Скриншот выдачи сервиса «Яндекс.Новости», возможно, это троллинг коллег из Mail.ru

Я был так впечатлён незавидной судьбой этого парня, что меня потянуло посмотреть, что ж это за зверь такой — браузер «Амиго». И хотя там, где я сейчас сижу, нет «толпы мексиканцев», и вроде бы можно вполне себе расслабиться, я всё-таки отложил все дела в сторону и стал гуглить по теме, попутно узнавая, что же такое «Амиго» и на кого работал несчастный Евгений.

Очень краткий итог расследования через ссылки: вот ссылка на браузер, а вот — на того самого Евгения.

Неуловимый «Амиго»

Итак, главный герой нашего небольшого мастер-класса борьбы с троянами и рекламными модулями, которому мы в назидательных целях сейчас будем делать больно, — продвинутый браузер «Амиго» российского производства.

Если вкратце, «Амиго» — вещь по-настоящему жёсткая, покруче иных спайсов. Если вы погуглите, то найдёте такое количество матов в его адрес, что карма его разработчиков предстанет перед вами темнее грозовой тучи, от которой до «случайной» встречи с толпой разгневанных мексиканцев — лишь один трагический шаг.

Давайте предельно кратко охарактеризуем нашего героя.

  1. «Амиго» — это перехаченный «Хромиум». Но сделан он не просто так, «для удобства браузинга в социальных сетях» (как гласит легенда), а распространяется как маркетинговый продукт с дурно пахнущим навесом из кучи всякого рода трояноподобного барахла.


     
  2. Браузер «Амиго» постоянно и непрерывно совершенствует свою низкую миссию, а именно — как бы впихнуть в вашу систему своей рекламы побольше и поглубже. В этом плане разработчики творят настоящие чудеса, теперь достаточно просто зайти на специально подготовленную страничку, чтобы:


  3.  
  4. Оцените ситуацию. Служба поддержки Mail.ru при этом вяло игнорирует проклятия в свой адрес, иногда мерзко хихикая в ответ:

  5. Погуглив, я ужаснулся, через какие адовы муки проходит Homo Humanitarius, чтобы выдрать из системы инжектированный туда хитрозачёсанный специалистами Mail.ru код. Многие реально переустанавливают систему начисто, либо выкачивают сонмы антивирусов, которые в назидание отказываются признавать рекламные модули от солидного Mail.ru как вредный софт. 
     
  6. Теперь представьте конечный результат, когда подобную «разработку» супер-пупер браузера выкладывает на главной странице контора с таким трафиком, как у Mail.ru.

Метод горячих мексиканцев — не наш метод!

Я решил сжалиться над гуманитариями и их машинами, чтобы привнести малость конструктива в эту достаточно запутанную ситуацию и дать простой и полезный совет, который поможет одним махом сисадминской шашки умертвить прорву рекламно-шпионской нечисти. И сделаем мы это без переустановки «винды» или установки пачки тормозящих компьютер антивирусов.

Впредь эту нежить можно будет обуздать сразу скопом даже при «взведённых галках» (или даже отсутствию оных) в инсталляторе. Для чего мы воспользуемся мощью новой утилиты Windows — AppLocker, которую, по моим наблюдениям, юзеры используют пока мало и как-то робко и неуверенно.

Для тех, кто последние годы был слишком погружён в программирование, очень краткая вводная справочка про AppLocker.

AppLocker — это новая встроенная функция операционных систем Windows Server 2008 R2 и Windows 7 (и выше), которая расширяет возможности и функциональность политик ограниченного использования программ. AppLocker включает новые возможности и расширения, позволяющие создавать правила разрешения и запрета выполнения приложений на основе уникальных удостоверений файлов (цифровых подписей), а также указывать пользователей или группы, которым разрешено запускать эти приложения.

 

Все политики ограничения ПО от AppLocker состоят из ряда различных типов правил. Перечислим все их типы: вы можете создавать правила для сертификата, хэш-правила, правила для пути, правила для зон интернета и правила для сетевых зон.

Я не буду здесь останавливаться на скучном описании всей функциональности, потому что там всё просто и понятно. Более подробно можно ознакомиться посредством замечательных мануалов по отобранным мной линками: ссылка 1, ссылка 2, ссылка 3, ссылка 4. Либо, если вы визуал, можно посмотреть это замечательное вводное видео:

Я же на скриншоте внизу покажу главную идею: как гнать прочь все эти «Амиго» с вашего компьютера, используя лишь один чудесный AppLocker.

Ключевая идея заключается в том, что любой софт с цифровыми подписями, хоть как-то относящимися к данному холдингу, у меня стоит в списке запрещённых для запуска программ. Иногда надо хорошенько помучаться, чтобы выловить все цифровые подписи какой-то очередной шараги, но в результате я не боюсь подхватить такой же сюрприз повторно.

Таким образом, однажды заметив за некой компанией недостойное по отношению к себе поведение, достаточно единожды внести её в свой локальный чёрный список, чтобы поставить крест на всех последующих попытках её софта установиться в вашу систему.

Подводные камни

Сразу предупреждаю: у некоторых подобных «программ двойного назначения» есть собственный установщик для заметания следов, и тогда ему будет начхать на эту политику. К счастью, таких находчивых «адварщиков» пока немного.

Второе замечание связано с более общими соображениями. Выше я показал, как создать свой маленький и уютный «чёрный списочек», где можно держать в чёрном теле опасные софт-компании и их вредоносный софт. Методологически, по отношению к AppLocker, этот подход неверен. Ведь в мире существует гораздо больше плохих приложений/компаний, которые вы силитесь запретить (и значительная часть из них неизвестна заранее), чем приложений, которые вы реально используете.

Поэтому, учитывая эту асимметричность, гораздо эффективней и правильней изначально составить для своей рабочей ОС Windows «белый список» разрешённых для установки и запуска приложений, которые вы регулярно используете (число которых редко превышает сотню), чем пытаться выловить и заблокировать все «плохие» приложения. Именно такой подход официально и рекомендуют представители компании Microsoft при разработке правил AppLocker. В этом случае вам также потребуется работать не под администраторской учётной записью. В качестве бонуса при таком подходе, потратив час своего времени, вы сможете впредь защитить себя от многих вирусов, которые проникают в систему через различные сетевые уязвимости или браузер.

Я не любитель универсальных решений и панацей на все случаи жизни, но, поверьте, при должном использовании это обезопасит ваш компьютер от любых заражений и неприятностей, связанных с троянами. Впрочем, это потребует от пользователя определённой самодисциплины и практики «чистых рук» — культуры осознанного управления своим софтом.

В принципе, теперь вы знаете всё про злобных мексиканцев, поджидающих за углом всех писателей криво-софта, а также про удивительное по силе и изящности средство борьбы с вредоносными поделками на своём компьютере.

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
Хуже Windows. Linux стала рекордсменом по росту числа вредоносов
Хуже Windows. Linux стала рекордсменом по росту числа вредоносов
Хуже Windows. Linux стала рекордсменом по росту числа вредоносов
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Group-IB: вирусы-шифровальщики атакуют втрое чаще
Group-IB: вирусы-шифровальщики атакуют втрое чаще
Group-IB: вирусы-шифровальщики атакуют втрое чаще
Страны G7 предоставят Украине аппаратное обеспечение против кибератак
Страны G7 предоставят Украине аппаратное обеспечение против кибератак
Страны G7 предоставят Украине аппаратное обеспечение против кибератак

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.