стороны, исследователи снизили ошибку в датировках. С помощью уточненных данных удалось реконструировать динамику изгнания из Европы неандертальцев представителями нашего вида.
Выяснилось, что период близкого сосуществования двух видов занимал лишь около пяти тысяч лет, а для одного региона вряд ли превышал тысячу лет (пятьдесят поколений). Помните давнюю мудрость: в борьбе с врагом волей-неволей перенимаешь его черты? Насколько можно судить по древним остаткам, конкуренты успели чему-то научиться друг у друга. «КТ» уже упоминала, что обычай приносить на могилы родственников венки из хвойных ветвей с цветами, по-видимому, был свойствен обоим нашим видам.
А что же сейчас? Неужели мы остались без конкурентов? Судя по стремительному росту численности населения, можно подумать именно так. Но теперь конкурентами человека стало множество сильно отличающихся от нас видов, которые мы называем «вредителями» (звучит не слишком великодушно). Первый среди них – серая крыса, Rattus norvegicus, давний сожитель и враг человека. Давний, но не извечный: расселение серой крысы по всему миру из Индии (а вовсе не Норвегии, как можно подумать исходя из названия) проходило уже в новое историческое время. Хотя образ жизни (экологические ниши) человека и крысы существенно отличается, ресурсы, которые потребляет человек, может использовать и крыса.
Конечно, можно утешить себя тем, что человек гораздо умнее крысы. Но не все так однозначно. Крысиный ум не приспособлен для человеческой жизни, как и наш с вами – для образа жизни крыс. Нам трудно понять, что творится в черепной коробке у ближнего, а чтобы заглянуть в психику крыс, приходятся ставить нетривиальные эксперименты.
Сотрудники Калифорнийского университета в Лос-Анджелесе опубликовали в журнале Science результаты исследования, позволяющие предположить, что крысы способны различать причину и следствие. Подопытных зверьков приучили к тому, что вспышки света могут сопровождаться звуком (нейтральный раздражитель), а иногда – сладким питьем. Следовало ожидать, что животные установят ассоциацию между этими тремя раздражителями и начнут реагировать и на свет, и на звук, как на предвестники угощения. Крыс, которые привыкли к такому сочетанию, разделили на две группы. Первые могли нажимать на рычаг, вызывая звук. Они понимали, что звук является результатом их усилий, и не проверяли поилку. Вторая группа, которая не могла влиять на события, услышав характерный сигнал, кидалась проверять, нет ли вознаграждения. Они-то не знали, кто включал звук: экспериментатор или соседи!
Напоследок зададимся двумя вопросами. Крысы всегда были такими умными или поумнели от общения и борьбы с нами? И еще: а как скажется борьба с крысами на нас самих?
ТЕХНОЛОГИИ: Априорная подозрительность: Программные средства лечения паранойи
Наиболее динамично развивающимся (хотя далеко не самым крупным) сегментом рынка информационной безопасности сегодня стали системы обнаружения и предотвращения атак. В последнее время быстро растет спрос именно на проактивные приложения, которые не просто обнаруживают угрозы, а работают на опережение – обращая внимание на подозрительное поведение программ в системе и предпринимая необходимые меры еще до возникновения серьезных проблем.
Наряду с межсетевыми экранами, криптосредствами, антивирусами и решениями в области antispyware системы обнаружения атак (Intrusion Detecting Systems, IDS) по сей день остаются непременной составляющей «защитного поля» большинства локальных сетей и отдельных компьютеров. В ряде случаев IDS поставляется как модуль в составе программно-аппаратного комплекса и специализируется на обнаружении хакерских вторжений, DoS-атак и сетевых червей. Свою работу система выполняет, сравнивая каждое проникновение в защищаемую зону с так называемыми сигнатурами – то есть шаблонами поведения программ, выработанными на основе анализа предыдущих атак.
В зависимости от типа защищаемого объекта IDS подразделяют на host-based (HIDS) и network-based (NIDS), то есть работающие на уровне отдельного узла и сети в целом. HIDS проверяют целостность файловой системы, анализируют лог-файлы, активность ОС и приложений. «Хостовые» системы, по сути, просматривают журналы системы, но в отличие от сисадминов занимаются этим не раз в день, а после появления каждой новой записи, при этом любое зарегистрированное событие сравнивается с имеющейся базой сигнатур. Система проверяет, не привело ли в прошлом аналогичное действие к вторжению. Подобным образом оцениваются модификации файлов. Основные разновидности HIDS – аудиторы ОС (System Integrity Verifiers) и анализаторы лог-файлов (Log Files Monitors). Для Linux существует и ряд расширений системы, реализующих HIDS-функциональность, например продукты LIDS и OpenWall.
В свою очередь, NIDS непрерывно анализируют сетевой трафик, и с сигнатурами (образцами IP-пакетов) сравниваются данные, содержащиеся в проверяемых пакетах. Среди разновидностей NIDS можно отметить соответствующие функции в файрволах, анализирующие протоколы трафика: «антисканеры» портов (Port Scan Detectors) для определения и пресечения попыток просканировать UDP– и TCP-порты; снифферы [Сниффер (от англ. sniff – нюхать, чуять) – программа, позволяющая перехватывать сетевой трафик. Торговая марка компании Network Associates], снабженные модулями анализа. Также на рынке присутствуют «гибриды», объединяющие функциональность HIDS и NIDS. Сетевой модуль такой системы получает данные об активности еще и от хост-агента, что позволяет иметь более полную картину события для сравнения с сигнатурой. Среди крупных мировых вендоров IDS можно назвать Intrusion, Internet Security Systems, McAfee, NFR, Symantec, Radware, Cisco Systems и др.
Системы предотвращения атак (Intrusion Prevention Systems, IPS) считаются эволюционным преемником IDS и призваны решить недостатки своих «предков», проявляющиеся в последнее время все острее. Слишком много стало случаться неизвестных ранее атак, сигнатуры для которых отсутствуют в принципе. Если десять лет назад для относительно безопасной работы достаточно было пополнять базу сигнатур десятью-двенадцатью шаблонами ежемесячно, то пять лет спустя для достижения аналогичного уровня безопасности требовалось шесть ежедневных сигнатур. Сегодня их количество исчисляется десятками, а то и сотнями.
Поэтому как грибы после дождя последние пару лет появляются системы защиты, в которых от сигнатурного анализа либо отказываются вовсе, либо совмещают его с более «интеллектуальными» методами выявления потенциально опасной активности: детекторами аномалий протоколов, контролем поведения трафика и, наконец, базами поведенческих профилей (наиболее востребованного для защиты рабочих станций и серверов [хостов] решения). Существует еще такой метод, как эвристический анализ кода, но он не получил широкого распространения из-за обилия ложных срабатываний. Впрочем, в комбинации с другими алгоритмами его эффективность достаточно высока.
Если одна сигнатура описывает одну атаку, то поведенческий профиль дает системе представление о целом типе подобных вторжений. Если IDS может опознать одну разновидность червя, но пропустить другую из-за различий в коде, то IPS пресечет активность любой модификации, так как будет ориентироваться на общую схему враждебных действий – например, несанкционированное создание новой учетной записи.
Новые веяния в сфере обнаружения атак и переход от пассивной регистрации вторжений к проактивному предотвращению и являются отличительными чертами IPS. При обнаружении подозрительных действий система принимает те или иные меры в соответствии с настройками администратора. Например, через файрвол блокирует опасный трафик.
Вендоры IPS в основном те же, что и у IDS; правда, переход к новым системам изменил рыночную диспозицию. Классификация на хостовые и сетевые системы тоже сохранилась. Однако если продукты для защиты отдельных рабочих станций так и называют – HIPS, то для сетевых аналогичная аббревиатура NIPS применяется редко. Более распространено название «сетевые IDS/IPS- системы» (системы обнаружения и предотвращения вторжений), поскольку в них наряду с другими методами сохранился сигнатурный анализ. IPS обычно используют для защиты периметра сети, важнейших его сегментов. В остальных случаях довольствуются IDS-функциональностью.
Системы HIPS-класса (локальные сенсоры) дополняют сетевую «линию обороны» защитой рабочих станций. Широкое (для решений подобного класса) распространение получили Cisco Security Agent, Prevx Pro, SecureHost IPS (Intruision), Safe’n’Sec (StarForce), TruPrevent (Panda) и McAfee Entercept. Эти системы можно рассматривать в качестве профилактического