AppLocker: Чему могут научить разработчика разгневанные мексиканцы?
Предлагаю в этой отчасти шутливой и короткой заметке совместить приятное с полезным, чтобы показать базовые возможности штатной для последних Windows утилиты AppLocker, которая позволяет быстро и просто защищаться от непрошенной установки троянов и рекламных модулей. И сделаем это на примере обуздания типичного рекламного «говнософта» софта — браузера Амиго.
В иллюстративно-шутливых целях также коснемся трагической судьбы главного разработчика этого российского браузера, который согласно Яндекс-новостям, недавно пал в руки «разгневанной толпы мексиканцев». И пусть это послужит уроком всем разработчикам, говняющих свой говнокод и захламляющих рекламой компьютеры своей паствы.
Постановка задачи Тяжела и неказиста судьба любого разработчика, особенно если он грешит и пишет грязный код в угоду своим корыстным интересами, например, агрессивно продвигает перехаченный им открытый браузер с легионом внедренных туда троянов, а для упокоения бдительности пользователя прикрывшись зонтиком из солидного бренда.
Очень много пишу о том, что софт и ИТ проникает все глубже и шире в наше консервативное общество, делая невольно зависимыми от вас (разработчиков) «братьев наших меньших», т.е. менее технически подкованных сограждан.
Поэтому хотел обсудить в этом плане не только классический сюжет преступления и наказания (то есть взять для примера типичный образчик «низкопробного» софта, чтобы показать к чему приводит его создание в воспитательных целях), и показать очень простой и эффективный способ борьбы с рекламным софтом, который остановит 82.4% зловредов ещё на этапе загрузки.
Попаболь Итак, ниже исходная новость от 15 декабря 2014 (месяц назад). Сразу скажу, что это не результат фотошопа, а чудеса автоматического агрегирования Яндекса:
Скриншот выдачи сервиса Яндекс.Новости, возможно это троллинг коллег из Mail.ru
Я был так впечатлен незавидной судьбой этого парня, что меня потянуло посмотреть, что ж это за зверь такой — «Амиго браузер». И хотя там, где я сейчас сижу, нет «толпы мексиканцев», и вроде бы можно вполне себе расслабиться, я всё-таки отложил все дела в сторону и стал гуглить по теме, попутно узнав, что же такое Амиго, и на кого работал несчастный Евгений.
Очень краткий итог расследования через ссылки: вот ссылка на браузер Амиго, а вот ссылка на того самого Евгения.
Неуловимый Амиго Итак, главный герой нашего небольшого мастер-класса борьбы с троянами и рекламными модулями, которому мы в назидательных целях сейчас будем делать больно — продвинутый браузер Амиго российского производства.
Если вкратце, Амиго — вещь по-настоящему жесткая, по круче иных спайсов. Если вы погуглите, то найдете такое количество матов в его адрес, что карма его разработчиков предстанет перед вами темнее грозовой тучи, от которой до «случайной» встречи с толпой разгневанных мексиканцев лишь один трагический шаг.
Давайте предельно кратко охарактеризуем нашего героя.
1. Амиго — это перехаченный Хромиум. Но сделан он не просто так, «для удобства браузинга в социальных сетях» (как гласит легенда), а распространяется как маркетинговый продукт с вонючим навесом из кучи всякого рода трояноподобного барахла.
2. Браузер Амиго постоянно и непрерывно совершенствуется в плане своей низкой миссии, а именно — как бы впихнуть в вашу систему своей рекламы побольше и поглубже.
В этом плане разработчики творят настоящие чудеса, теперь достаточно просто зайти на специально подготовленную страничку, чтобы:
3. Оцените ситуацию — суппорт Mail.ru при этом вяло игнорирует проклятия в свой адрес, иногда мерзко хихикая в ответ:
4. Погуглив — я ужаснулся, через какие адовы муки проходит Homo Humanitarius, чтобы выдрать из системы инжектированный туда хитрозачесанный специалистами Mail.ru код. Многие реально переустанавливают систему начисто, либо выкачивают сонмы антивирусов, которые в назидание отказываются признавать рекламные модули от солидного Mail.ru как вредный софт.
Прочитанные советы лечения ужаснули меня, ведь простым смертным пользователям компьютера предлагается довольно сложная реестрово-церемониальная магия для изгнания супостата. А их (подобных злодеев) — несть числа!
5. Теперь представьте конечный результат, когда подобную «разработку» супер-пупер браузера выкладывает на главной странице контора с трафиком типа как у Mail.ru.
Метод горячих мексиканцев — не наш метод! Но слава Пресвятой Гваделупе! Я решил сжалиться над людьми гуманитариями и их машинами, чтобы привнести малость конструктива в эту, на самом деле, достаточно запутанную ситуацию, и дать простой и полезный совет, который поможет одним махом сисадминской шашки умертвить прорву рекламно-шпионской нечисти. И сделаем это на примере проекта браузера Амиго от Mail.ru, без переустановки «Винды» или установки пачки тормозящих жизнь антивирусов.
Впредь эту нежить можно будет обуздать сразу скопом даже при «взведенных галках» (или даже отсутствую оных) в инсталляторе. Для чего мы воспользуемся мощью новой утилиты Windows — AppLocker, которую, по моим наблюдениям, юзеры используют пока мало, и как-то робко и неуверенно.
Для тех, кто все последние годы был слишком погружен в программирование, очень краткая вводная справочка про AppLocker.
AppLocker — это новая встроенная функция операционных систем Windows Server 2008 R2 и Windows 7 (и выше), которая расширяет возможности и функциональность политик ограниченного использования программ. AppLocker включает новые возможности и расширения, позволяющие создавать правила разрешения и запрета выполнения приложений на основе уникальных удостоверений файлов (цифровых подписей), а также указывать пользователей или группы, которым разрешено запускать эти приложения.
Все политики ограничения ПО от AppLocker состоят из ряда различных типов правил. Перечислим все их типы: вы можете создавать правила для сертификата, хэш-правила, правила для пути, правила для зон интернета и правила для сетевых зон.
Я не буду здесь останавливаться на скучном описании всей функциональности, потому что там все просто и понятно. Более подробно можно ознакомиться посредством замечательных мануалов по отобранными мной линкам: ссылка 1, ссылка 2, ссылка 3, ссылка 4. Либо, если вы визуал, можно посмотреть это замечательное вводное видео:
[embedded content]
Я же на скриншоте внизу покажу главную идею, как гнать прочь ссаными тряпками все эти Амиго с вашего компьютера, используя лишь один чудесный AppLocker.
Картинка кликабельна
Теперь словами: ключевая идея в том, что любой софт с цифровыми подписями хоть как-то относящимися к данному холдингу у меня стоит в списке запрещенных для запуска программ. Иногда надо хорошенько помучаться, чтобы выловить все цифровые подписи какой-то очередной шараги, но в результате я не боюсь схватить такой же сюрприз повторно.
Таким образом, однажды заметив за некой компанией недостойное по отношению к себе поведение, достаточно единожды внести её в свой локальный черный список, чтобы поставить крест на всех последующих попытках её софта установиться в вашу систему.
Подводные камни Сразу предупреждаю, у некоторых подобных «программ двойного назначения» есть собственный лаунчер (с блекджемом и клюшками) для заметания следов, и тогда ему будет пофиг на эту политику. К счастью, таких находчивых «адварщиков» пока немного.
Второе замечание связано с более общими соображениями. Выше я показал, как создать свой маленький и уютный «черный список», где можно держать в черном теле опасные софт-компании и их ненормальный софт. Методологически, по отношению к AppLocker этот подход неверен. Ведь в мире существует гораздо больше плохих приложений/компаний, которые вы хотите запретить (и значительная часть из них неизвестна заранее), чем приложений, которые вы реально используете.
Поэтому, учитывая эту ассиметричность, гораздо эффективней и правильней изначально составить для своей рабочей ОС Windows «белый список» разрешенных для запуска приложений, которые вы регулярно используете (число которых конечно и редко превышает сотню), чем пытаться выловить и заблокировать все «плохие приложения». Именно такой подход официально и рекомендуют представители компании Microsoft в разработке правил AppLocker, в этом случае вам также потребуется работать не под администраторской учетной записью. В качестве бонуса при таком подходе, потратив час своего времени, вы сможете впредь защитить себя от многих вирусов, которые проникают в систему через различные сетевые уязвимости или браузер.
Злоумышленники все чаще прибегают к размещению вредоносных баннеров внедряющих троян-софт на популярных ресурсах http://t.co/buAVEDUpUG— Игорь Блогератор (@blogerator) 4 февраля 2015
Надеюсь, благодаря примененному мною страшного по своей гипнотической силе мнемоническому приему, который скомпонован на примере ненавистного в народе спам-браузера и трагической судьбы его главного разработчика, мы сможем не только навсегда запомнить что «писать плохой софт опасно для здоровья», но и начать применить гораздо более гуманное и элегантное (по сравнению с антивирусами) средство для борьбы с «говнософтом» — AppLocker.
Я не любитель универсальных решений и панацей на все случаи жизни, но, поверьте, при должном использовании это обезопасит ваш компьютер от любых заражений и неприятностей связанных с троянами. Впрочем, это потребует от пользователя определенной самодисциплины и практики «чистых рук» — культуры осознанного управления своим софтом.
Подписывая контракт с дьяволом, не забудьте снять флажок «Установить Амиго от Mail.ru» © шутка юмора— Игорь Блогератор (@blogerator) 4 февраля 2015
Оптимизируй это В принципе, теперь вы знаете всё про злобных мексиканцев, поджидающих за углом всех писателей криво-софта, а также про удивительное по силе и изящности средство борьбы с вредоносными поделками на своем компьютере.
Единственное, что осталось сообщить в нагрузку счастливому читателю, что запросы по ключевым словам как удалить амиго или как удалить амиго с компьютера полностью — чрезвычайно популярны в силу органической популярности Амиго в народе.
Поэтому просто не мог не упустить эту возможность прооптимизировать эту поучительную историю до сведения поисковых роботов, чтобы лишний раз повторить: выше описан метод удаления браузера амиго и его рекламы полностью. Проявив минимальную сеошную магию мы сообщаем всем заинтересованным лицам, что легким движением руки амиго браузер удаляется с вашего компа полностью и навсегда (без регистраций и СМС).
© dev.by, 2015