AppLocker: как обуздать рекламный софт от российского интернет-гиганта

1 комментарий
AppLocker: как обуздать рекламный софт от российского интернет-гиганта

Как с помощью штатной для последних версий Windows-утилиты AppLocker быстро и просто оградить вашу систему от непрошенной установки троянов и рекламных модулей — в нашем развесёлом мастер-классе на примере обуздания скандального браузера «Амиго» от Mail.ru.

В иллюстративно-шутливых целях мы также коснёмся трагической судьбы главного разработчика этого российского браузера, который согласно «Яндекс.Новостям» недавно попал в руки «разгневанной толпы мексиканцев».

Читать далее

Кадр из кинофильма «Three Amigos»

Постановка задачи

Тяжела и неказиста судьба любого разработчика, особенно если он грешит и пишет грязный код в угоду корыстным интересам. Например, агрессивно продвигает «перехаченный» им открытый браузер с легионом внедрённых туда троянов, а для усыпления бдительности пользователя прикрывается зонтиком из солидного бренда.

Очень много пишу о том, что софт и ИТ всё глубже и шире проникают в наше консервативное общество, делая невольно зависимыми от вас (разработчиков) «братьев наших меньших» — менее технически подкованных сограждан.

Поэтому хотел обсудить не только классический сюжет преступления и наказания (взять для примера типичный образчик низкопробного софта и показать, к чему приводит его создание в воспитательных целях), но и продемонстрировать очень простой и эффективный способ борьбы с рекламным ПО, который остановит 82.4% зловредов ещё на этапе загрузки.

Попаболь

Итак, ниже исходная новость от 15 декабря 2014 (два месяца назад). Сразу скажу, что это не результат фотошопа, а чудеса автоматического агрегирования «Яндекса»:

Скриншот выдачи сервиса «Яндекс.Новости», возможно, это троллинг коллег из Mail.ru

Я был так впечатлён незавидной судьбой этого парня, что меня потянуло посмотреть, что ж это за зверь такой — браузер «Амиго». И хотя там, где я сейчас сижу, нет «толпы мексиканцев», и вроде бы можно вполне себе расслабиться, я всё-таки отложил все дела в сторону и стал гуглить по теме, попутно узнавая, что же такое «Амиго» и на кого работал несчастный Евгений.

Очень краткий итог расследования через ссылки: вот ссылка на браузер, а вот — на того самого Евгения.

Неуловимый «Амиго»

Итак, главный герой нашего небольшого мастер-класса борьбы с троянами и рекламными модулями, которому мы в назидательных целях сейчас будем делать больно, — продвинутый браузер «Амиго» российского производства.

Если вкратце, «Амиго» — вещь по-настоящему жёсткая, покруче иных спайсов. Если вы погуглите, то найдёте такое количество матов в его адрес, что карма его разработчиков предстанет перед вами темнее грозовой тучи, от которой до «случайной» встречи с толпой разгневанных мексиканцев — лишь один трагический шаг.

Давайте предельно кратко охарактеризуем нашего героя.

  1. «Амиго» — это перехаченный «Хромиум». Но сделан он не просто так, «для удобства браузинга в социальных сетях» (как гласит легенда), а распространяется как маркетинговый продукт с дурно пахнущим навесом из кучи всякого рода трояноподобного барахла.


     
  2. Браузер «Амиго» постоянно и непрерывно совершенствует свою низкую миссию, а именно — как бы впихнуть в вашу систему своей рекламы побольше и поглубже. В этом плане разработчики творят настоящие чудеса, теперь достаточно просто зайти на специально подготовленную страничку, чтобы:


  3.  
  4. Оцените ситуацию. Служба поддержки Mail.ru при этом вяло игнорирует проклятия в свой адрес, иногда мерзко хихикая в ответ:

  5. Погуглив, я ужаснулся, через какие адовы муки проходит Homo Humanitarius, чтобы выдрать из системы инжектированный туда хитрозачёсанный специалистами Mail.ru код. Многие реально переустанавливают систему начисто, либо выкачивают сонмы антивирусов, которые в назидание отказываются признавать рекламные модули от солидного Mail.ru как вредный софт. 
     
  6. Теперь представьте конечный результат, когда подобную «разработку» супер-пупер браузера выкладывает на главной странице контора с таким трафиком, как у Mail.ru.

Метод горячих мексиканцев — не наш метод!

Я решил сжалиться над гуманитариями и их машинами, чтобы привнести малость конструктива в эту достаточно запутанную ситуацию и дать простой и полезный совет, который поможет одним махом сисадминской шашки умертвить прорву рекламно-шпионской нечисти. И сделаем мы это без переустановки «винды» или установки пачки тормозящих компьютер антивирусов.

Впредь эту нежить можно будет обуздать сразу скопом даже при «взведённых галках» (или даже отсутствию оных) в инсталляторе. Для чего мы воспользуемся мощью новой утилиты Windows — AppLocker, которую, по моим наблюдениям, юзеры используют пока мало и как-то робко и неуверенно.

Для тех, кто последние годы был слишком погружён в программирование, очень краткая вводная справочка про AppLocker.

AppLocker — это новая встроенная функция операционных систем Windows Server 2008 R2 и Windows 7 (и выше), которая расширяет возможности и функциональность политик ограниченного использования программ. AppLocker включает новые возможности и расширения, позволяющие создавать правила разрешения и запрета выполнения приложений на основе уникальных удостоверений файлов (цифровых подписей), а также указывать пользователей или группы, которым разрешено запускать эти приложения.

 

Все политики ограничения ПО от AppLocker состоят из ряда различных типов правил. Перечислим все их типы: вы можете создавать правила для сертификата, хэш-правила, правила для пути, правила для зон интернета и правила для сетевых зон.

Я не буду здесь останавливаться на скучном описании всей функциональности, потому что там всё просто и понятно. Более подробно можно ознакомиться посредством замечательных мануалов по отобранным мной линками: ссылка 1, ссылка 2, ссылка 3, ссылка 4. Либо, если вы визуал, можно посмотреть это замечательное вводное видео:

Я же на скриншоте внизу покажу главную идею: как гнать прочь все эти «Амиго» с вашего компьютера, используя лишь один чудесный AppLocker.

Ключевая идея заключается в том, что любой софт с цифровыми подписями, хоть как-то относящимися к данному холдингу, у меня стоит в списке запрещённых для запуска программ. Иногда надо хорошенько помучаться, чтобы выловить все цифровые подписи какой-то очередной шараги, но в результате я не боюсь подхватить такой же сюрприз повторно.

Таким образом, однажды заметив за некой компанией недостойное по отношению к себе поведение, достаточно единожды внести её в свой локальный чёрный список, чтобы поставить крест на всех последующих попытках её софта установиться в вашу систему.

Подводные камни

Сразу предупреждаю: у некоторых подобных «программ двойного назначения» есть собственный установщик для заметания следов, и тогда ему будет начхать на эту политику. К счастью, таких находчивых «адварщиков» пока немного.

Второе замечание связано с более общими соображениями. Выше я показал, как создать свой маленький и уютный «чёрный списочек», где можно держать в чёрном теле опасные софт-компании и их вредоносный софт. Методологически, по отношению к AppLocker, этот подход неверен. Ведь в мире существует гораздо больше плохих приложений/компаний, которые вы силитесь запретить (и значительная часть из них неизвестна заранее), чем приложений, которые вы реально используете.

Поэтому, учитывая эту асимметричность, гораздо эффективней и правильней изначально составить для своей рабочей ОС Windows «белый список» разрешённых для установки и запуска приложений, которые вы регулярно используете (число которых редко превышает сотню), чем пытаться выловить и заблокировать все «плохие» приложения. Именно такой подход официально и рекомендуют представители компании Microsoft при разработке правил AppLocker. В этом случае вам также потребуется работать не под администраторской учётной записью. В качестве бонуса при таком подходе, потратив час своего времени, вы сможете впредь защитить себя от многих вирусов, которые проникают в систему через различные сетевые уязвимости или браузер.

Я не любитель универсальных решений и панацей на все случаи жизни, но, поверьте, при должном использовании это обезопасит ваш компьютер от любых заражений и неприятностей, связанных с троянами. Впрочем, это потребует от пользователя определённой самодисциплины и практики «чистых рук» — культуры осознанного управления своим софтом.

В принципе, теперь вы знаете всё про злобных мексиканцев, поджидающих за углом всех писателей криво-софта, а также про удивительное по силе и изящности средство борьбы с вредоносными поделками на своём компьютере.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Горячие события

Конкурс EY Entrepreneur Of The Year 2020
31 мая

Конкурс EY Entrepreneur Of The Year 2020

EMERGE 2020
1 июня — 3 июня

EMERGE 2020

Вебинар «Советы от рекрутеров: как найти квалифицированную работу в Европе»
4 июня

Вебинар «Советы от рекрутеров: как найти квалифицированную работу в Европе»

Читайте также

Разработчики гиперказуальных игр получат по $50 тыс. от подразделения Mail.ru
Разработчики гиперказуальных игр получат по $50 тыс. от подразделения Mail.ru

Разработчики гиперказуальных игр получат по $50 тыс. от подразделения Mail.ru

Mail.ru перезапустила ICQ и добавила новые функции
Mail.ru перезапустила ICQ и добавила новые функции

Mail.ru перезапустила ICQ и добавила новые функции

3 комментария
Mail.Ru инвестировала в 2 белорусские студии и еще с 3 ведёт переговоры
Mail.Ru инвестировала в 2 белорусские студии и еще с 3 ведёт переговоры

Mail.Ru инвестировала в 2 белорусские студии и еще с 3 ведёт переговоры

Инвестиционный фонд Mail.Ru Games Ventures (MRGV) в прошлом году «консолидировал» белорусскую гейм-студию SWAG MASHA, инвестировал в ещё один белорусский стартап (название не называют) и готов продолжить. В MRGV рассказали подробно, зачем они нужны белорусскому геймдеву, а в REVERA — о местных законах по этому поводу.
1 комментарий
Расследование про роль силовиков в ИТ: Mail.ru хотела завести дело на Гурского
Расследование про роль силовиков в ИТ: Mail.ru хотела завести дело на Гурского

Расследование про роль силовиков в ИТ: Mail.ru хотела завести дело на Гурского

12 комментариев

Обсуждение

iskr
iskr Manager в АлюсофтБел
2

Вчера не мог понять, откуда у детей на ноуте столько б-гомерзких спутников интернета и прочей шелупони вместе с зелёным амигой. Думал - вирус поймали. Оказывается, вот оно что. Спасибо за статью. Поржал.

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже