avatar

Adrian Ścibor

Właściciel oraz redaktor naczelny wortalu - AVLab.pl
Student informatyki, właściciel oraz redaktor naczelny wortalu - AVLab.pl Główne działania wortalu obejmują testowanie programów antywirusowych zgodnie z założeniami AMTSO. Główne zainteresowania: oprogramowanie antywirusowe oraz stosowane technologie do wykrywania wirusów oraz malicious code.

dodany: 23.05.2013 | tagi:

Jak zachować bezpieczeństwo w sieci?

20

W czasach portali społecznościowych, gdzie większość z nas ma konto na Facebooku, Naszej Klasie itp., w wielu miejscach w sieci zamieszczamy swoje dane osobowe, tj. imię i nazwisko, a w wielu przypadkach również inne prywatne informacje, często nie zastanawiając się, że raz udostępnione dane pozostają tam na zawsze. Wobec tego, czy w takiej przestrzeni, gdzie na każdym kroku kupujemy coś, piszemy, komunikujemy się, wszędzie proszeni jesteśmy o nasze dane – możemy być bezpieczni? Właśnie w tym artykule pragnę Wam przedstawić techniki, które może nie zawsze okażą się wielce skuteczne, ale na pewno podniosą poziom bezpieczeństwa Waszych danych, które tak często przecież udostępniamy.

Pierwszym i głównym problemem, z którym najbardziej się borykamy, jest ochrona naszej tożsamości, o której tak często zapominamy.

W kilku krokach przedstawimy Wam, co należy zrobić, aby Wasza tożsamość była lepiej chroniona niż dotychczas. Może znajdą się wśród czytelników osoby, dla których właśnie te kroki są normą? To właśnie im należą się gratulacje, a sami mogą czuć się bezpieczniej, przynajmniej w jednym z aspektów. Ale przejdźmy do rzeczy i przyjrzyjmy się radom:

Po pierwsze – Nie stosuj prostych haseł!

Wielu z nas, rejestrując się na różnorakich portalach, często, aby zapamiętać dane potrzebne do logowania, stosuje łatwe do zapamiętania hasło, np. „haslo”, albo podwyższa poprzeczkę, stosując dosyć znaną nam wszystkim metodę tworzenia hasła, składającego się z naszego imienia i roku urodzenia, np. „anna1984”. Jednak hasła takie nie są zbyt ciężkie do odgadnięcia, a co za tym idzie, ktoś niepowołany może dostać się na nasze konto i dowiedzieć się o nas tego, czego nie powinien wiedzieć, bo przecież nasi znajomi w większości wiedzą w jakim roku się urodziliśmy. Właśnie zastosowanie takich haseł możemy porównać do przekazania komuś kluczy do naszego domu.

Nasze hasła, aby zyskały na sile, muszą składać się z liter, cyfr, a nawet znaków specjalnych (tj. @#! itd.). Nawet nasze łatwe hasło możemy stworzyć w taki sposób, aby osoby nieproszone nie dostały się do naszego konta, posługując się przykładem hasła: „anna1984”, aby zwiększyć jego siłę i zapamiętać je, możemy zamienić je na podobne: Ann@19*$ – takie oto hasło jest zapewne trudniejsze do odgadnięcia, a co za tym idzie – tylko my sami znamy metodę w jakiej ono powstało (imię pisane z dużej litery, druga litera a, jako @, dwie ostatnie cyfry pisane z klawiszem Shift). Jeżeli nie mamy pewności, że tak stworzone hasło uda nam się zapamiętać, warto je sobie zapisać i schować w dostępne tylko dla nas miejsce.

 Jedno hasło – jedno konto

Tutaj chciałbym zwrócić uwagę na fakt, że aby zwiększyć nasze bezpieczeństwo nie powinniśmy używać wyłącznie jednego hasła do wszystkich portali, ponieważ wyciek na jednym z nich spowoduje otwarcie wszystkich furtek na innych, na których posiadamy konta. Gdy ktoś odgadnie nasze hasło do skrzynki e-mailowej, może być w posiadaniu informacji, gdzie takie konta założyliśmy. Jest to najgorszy ze scenariuszy, ponieważ dostanie się do naszej poczty może skutkować dostaniem się do innych portali, nawet gdy mamy na nich inne hasła, ponieważ wiele stron oferuje zmianę, lub przypomnienie hasła właśnie na adres podany podczas rejestracji.

Dlatego z największą starannością powinniśmy zabezpieczyć naszą skrzynkę poczty elektronicznej. Jeżeli chcemy mieć na wielu portalach różne hasła, ale i chcemy je zapamiętać, a nie spisywać z kartki, możemy posłużyć się wymyślonym przez siebie algorytmem, np. cała baza, czyli Ann@19*$ zostanie zaadaptowana, ale dodamy do niej cechy szczególne dla każdego z portalu, np. dla konta YouTube: youAnn@Tube19*$, facebook: faceAnn@book19*$, Gmail: gAnn@mail19*$. Jest to prosty sposób i dość przyzwoity do zapamiętania, a nasze hasło zyska na sile :)

Rejestracja – proces z którym powinniśmy się dokładnie zapoznać

Rejestrując się lub instalując jakąkolwiek aplikację warto zapoznać się z informacjami, jakie są nam przekazywane.

Zdaję sobie sprawę z tego, że mało kto z nas to robi, ale moglibyśmy uniknąć późniejszych konsekwencji w postaci niechcianych wiadomości reklamowych (SPAM), albo zbędnych aplikacji i/lub toolbarów, czyli pasków, które zaśmiecają naszą przeglądarkę, a czasami nawet uniemożliwiają na przyzwoite korzystanie z Internetu.

Jeżeli chcemy uniknąć sytuacji, w której nasze dane zostaną przekazane innym firmom, należy dokładnie przeczytać regulamin portalu, na którym się rejestrujemy oraz czytać na co tak naprawdę „Wyrażam zgodę…”. Często, aby korzystać z pełnej funkcjonalności strony, musimy także podać dużo informacji o sobie – zaleca się podczas takich procesów wypełniać pola, które są wymagane, czyli zazwyczaj oznaczone * – gwiazdką. Inne pola, które nie są zaznaczone w ten sposób, są opcjonalne, a my nie musimy wprowadzać do nich danych, a co za tym idzie, udostępniamy mniej informacji o sobie.

Nie podawaj swoich danych nieznajomym!

Jest to szczególnie ważne w czatach, jak również podczas wysyłania swojego CV w odpowiedzi na jakąś ofertę pracy. Najlepiej szukajmy ofert na znanych portalach, które zawierają oferty zaufanych pracodawców, zwracajmy podczas takiego procesu uwagę na adres e-mail, na który wysyłamy dokument. Ważne jest to również podczas wykonywania przelewów na czyjeś konto, starając się znaleźć interesującą nas ofertę wykorzystujmy w tym celu zaufane witryny, nie dajmy się zwieść ofertom, które ktoś umieścił na jakimś forum w dziale „Sprzedam”. W momencie, kiedy zostaniemy oszukani, a oszustwo zostało wykonane za pośrednictwem specjalistycznego portalu ogłoszeniowego, możemy sprawę skierować na Policję, która będzie mogła zwrócić się do spółki, która zajmuje się prowadzeniem danego portalu o potrzebne dowody w sprawie, a prawdopodobieństwo zlokalizowania oszusta jest bardzo duże. Często również napomnienia administracji portalu poprzez e-mail pomagają w rozwiązaniu sprawy.

Uważaj na fałszywe wiadomości e-mail

Coraz częściej wielu użytkowników dostaje maile, które podszywają się pod banki, serwisy aukcyjne lub zaufane firmy. Dość często wiadomości takie zawierają informację o problemie z kontem lub hasłem prosząc o uwierzytelnienie, logując się na odpowiednio spreparowanej stronie, która swoim wyglądem nie różni się niczym, lub nieznacznie od oryginalnej strony logowania danego serwisu. Takie zagrożenia nazywamy phishingiem. Należy pamiętać, że taka procedura nigdy nie jest wdrażana przez żaden serwis. Strony logowania banków zawsze używają bezpiecznego protokołu SSL, który ma za zadanie szyfrowanie wysyłanych i odbieranych przez nas danych, taka strona w swoim adresie poprzedzona jest przedrostkiem https. Należy natomiast pamiętać, że strona korzystająca z protokołu SSL nie jest wyznacznikiem pewnego bezpieczeństwa. Podczas logowania należy zwracać szczególną uwagę na adres strony w pasku adresu, ponieważ strony podszywające się pod faktyczne serwisy, dość często mają podobne adresy do oryginalnego odpowiednika, np. lpko.pl, zamiast ipko.pl.

Kolejny problem wiąże się z bezpiecznym połączeniem z siecią Internet. Używaj tylko zaufanego i zaktualizowanego oprogramowania zabezpieczającego

Nasze bezpieczeństwo to nie tylko uważne korzystanie z dobrodziejstwa Internetu. Czasami zdarzyć się może, że na dotychczas zaufanej witrynie pojawił się wirus, ponieważ ktoś znalazł na niej jakąś dziurę w zabezpieczeniach. Dlatego należy używać oprogramowania antywirusowego, zawsze z zaktualizowaną bazą sygnatur wirusów, programu antyspyware oraz firewalla. Często zdarza się, że użytkownicy pobierają piracką wersję płatnego oprogramowania zabezpieczającego, gdyż myślą, że nic im nie grozi, jednak mylą się, gdyż oprogramowanie takie może być odpowiednio przygotowane i może same w sobie zawierać niebezpiecznego wirusa, a wszystkie uzyskane dane wysyłać do jego twórcy. Jeżeli nie chcemy płacić za tego typu oprogramowanie istnieje sporo darmowych odpowiedników, które w normalnym korzystaniu z Internetu są również skuteczne, a czasami ich skuteczność nieznacznie odbiega od płatnego odpowiednika, a nawet nieraz są lepsze od płatnego oprogramowania innego producenta. Jeżeli w tym momencie zastanawiasz się nad „legalnym” korzystaniem z antywirusa i nie wiesz na jaki masz się zdecydować – zapraszamy do zapoznania się z naszymi testami. Należy także pamiętać o aktualizacjach systemu operacyjnego, ponieważ one łatają luki, które zostały znalezione w programach. Zaleca się także aktualizować przeglądarki, dodatki do nich, javę, flasha, ponieważ jest to oprogramowanie, które ma największą styczność z siecią, a jakaś luka w nich umożliwia przedostanie się do naszego komputera. Należy także pamiętać, że dwa programy antywirusowe, jak również zapory, nie zwiększają naszego bezpieczeństwa, a jedynie mogą powodować wzajemne zakłócenia, a nawet problemy z systemem, który może stać się niestabilny.

NIE dla udostępnień w sieciach publicznych

Jeżeli korzystasz z sieci publicznych zwracaj szczególną uwagę, aby nie udostępniać plików niepowołanym osobom w tej sieci, ponieważ w takim przypadku zwykły użytkownik jest w stanie przejrzeć udostępniane przez Ciebie dokumenty nie będąc hakerem. Jeżeli w ogóle nie korzystasz z bezprzewodowego połączenia z Internetem (WiFi) zaleca się całkowicie wyłączyć funkcję sieci bezprzewodowej.

Pomyśli o najmłodszych – funkcja kontroli rodzicielskiej

Jeżeli masz dzieci i nie chciałbyś, aby oglądały one treści, które nie są przeznaczone dla nich, a o takie nie trudno w sieci, należy zainteresować się funkcją kontroli rodzicielskiej, która często wdrażana jest jako dodatkowy moduł w płatnym oprogramowaniu antywirusowym, często jako pakiet Internet Security (nie wszystkie pakiety IS posiadają taką opcję, dlatego należy zapoznać się z funkcjami danego oprogramowania na oficjalnej stronie producenta). Często tego typu programy są tworzone niezależnie lub w formie dodatków dla przeglądarki internetowej.

Pobieraj skąd chcesz i co chcesz – czyli kwestia bezpiecznego pobierania danych z sieci. Pobieraj tylko „pewniaki”

Często poszukując określonego oprogramowania nie powinniśmy kierować się pierwszym wynikiem wyszukania, należy także zwrócić uwagę na stronę, na której znajduje się zasób. Zaleca się pobierać tylko z zaufanych i zweryfikowanych witryn oferujących legalne oprogramowanie. Należy pamiętać, że strona oferująca nielegalne treści chociaż korzysta z niej kilka tysięcy osób nigdy nie może zostać określona mianem zaufanej, gdyż oferowane na niej pliki często zawierają ukryte funkcjonalności (niechciane wirusy) oraz łamie prawa autorskie twórców oprogramowania.

Dokument od nieznajomego – Dziękuję nie skorzystam

Jeżeli otrzymałeś wiadomość od nieznanej osoby i zawiera ona załącznik, pod żadnym pozorem nie pobieraj go, ponieważ istnieje duże prawdopodobieństwo, że to właśnie w nim kryje się niechciany wirus. Nie daj się także złapać na wymyślne teksty zachęty do otwarcia dokumentu.

W przypadku, kiedy korzystasz z klienta pocztowego (Outlook, Thunderbird) wyłącz w nich opcję podglądu załączników, ponieważ w takim przypadku pliki te mogą same podjąć decyzję o swoim otwarciu.

Podsumowanie

Najlepiej jest korzystać z trzech adresów e-mailowych: jeden dla znajomych i stron internetowych, drugi do pracy i kontaktów z klientami oraz kolejny – do korespondencji bankowej, poszukiwania pracy i innych bezpiecznych kontaktów. Pamiętaj, aby na każdym z nich stosować inne i bezpieczne hasło. Warto także tworzyć kopie zapasowe ważnych wiadomości.

W przypadku, gdy zauważymy, że ktoś dostał się do naszego konta bankowego lub innego, należy jak najszybciej skontaktować się z bankiem lub inną jednostką, która odpowiedzialna jest za prowadzenie strony. Procedura taka będzie wymagała zmiany wszystkich haseł.

Kiedy na komputer dostał się wirus, zainstaluj i zaktualizuj antywirusa. Jeżeli program nie może go usunąć poszukaj przeznaczonego do jego unicestwienia oprogramowania (tworzonego przez firmy zajmujące się bezpieczeństwem!) i wykonuj polecenia według zaleceń twórcy.

Gdy wykradziono ci ważne dokumenty, zgłoś sprawę na policję.

Kopię ważnych dokumentów przechowuj na zewnętrznych nośnikach danych lub w formie papierowej.

Źródło: AVLab.pl

dodany: 12.04.2013 | tagi: , ,

Czym jest FUD?

0

Artykuł ten ma na celu zbadanie poprawności nazewnictwa wirusów FUD – całkowicie niewykrywalny / nieusuwalny, z jęz. ang. Fully Undetecdable lub Fully Unremovable; UD – wykrywalny; oraz tak powszechnie stosowana nomenklatura malware zero day.

Do napisania tego artykułu zainspirowała mnie informacja, jakoby Zero Day odnosił się tylko do exploitów, a w przypadku nowego malware – FUD. Tak więc, czy „malware 0-day” jest poprawną nomenklaturą niewykrywalnych wirusów?

Czym jest FUD?

Całkowicie niewykrywalny nie odnosi się tylko do nowych i nienznaych wirusów. Przykład: jeśli złośliwy kod napisany w PHP zostanie wykryty przez program antywirusowy będzie on wykrywalny, ale jeśli ten sam kod zaszyfrujemy w Base64, który najpierw powinien odszyfrować się z Base64, a później wykonać zawarty tam kod, w ten sposób plik będzie znowu niewykrywalny. Jednak czasami pozyskanie kodu źródłowego malware staje się niemożliwe dla ponownej kompilacji w FUD. W takim wypadku stosuje się cryptory lub cryptery. Crypter posiada dwa pliki: builder oraz stub. Stub jest „mini” programem, który w zależności od autora będzie przechowywał drugi plik. Builder szyfruje wybrany plik zazwyczaj algorytmami XOR, RC4, TEA, 3DES. Np. builder szyfruje wykrywalny plik przy pomocy algorytmu z kluczem i zapisuje go w postaci RESOURCES w stub’ie. Stub jest niewykrywalny, zbudowany z dekodera oraz loadera. Stub pobiera z sekcji RESOURCES zaszyfrowany malware, by następnie przy pomocy klucza odszyfrować malware w pamięci. W następnym kroku, loader uruchamia malware z dropem lub bez drop’u. Z drop’em – oznacza to, że dekoder odkodowuje plik, zapisuje go na dysku i dopiero teraz loader uruchamia malware. Jeśli malware uruchamiane jest bez drop’u – oznacza to, że uruchamiany jest bezpośrednio w pamięci.

 

Tak więc, czym różni się FUD od UD?

UD jest wykrywalny przez co najmniej jeden program antywirusowy. UD – undectable odnosi się do znanych malware (know malware), ale tylko o ograniczonym zakresie zdolnych do wykrycia / usunięcia go skanerów antywirusowych. UD odnosi się także do unremovable (nie do usunięcia) – nieznany w sygnaturach, ale malware UD może być wykryte przez analizę heurystyczną.

Jeśli znany jest przynajmniej jeden sposób usunięcia – skanerem antywirusowym lub ręcznie np. po analizie logów z aplikacji firm trzecich takich jak OTL czy GMER (w przypadku rootkitów) to malware nie jest już FUD – mówi Arkadiusz Zakrzewski – Specjalista pomocy technicznej AVG.

Z chwilą pierwszego ataku, który powoduje ujawnienie się malware`u, następuje wykorzystanie 0-day`a i rusza proces zdobycia sampla, analiza i zniesienie statusu FUD, dystrybucja aktualizacji, która obejmuje nowy malware.

FUD – dotyczy tylko wyłącznie procesu „wykrywania”. Przedmiotem wspomnianej detekcji może być exploit, shellcode czy payload. Najcześciej w parze z 0day idzie FUD exploit, FUD shellcode (często) oraz FUD payload (czyli malware, który został pobrany za pomocą shellcode).

 

Czym jest Zero Day?

– Wypowiedź nie jest oficjalnym stanowiskiem AVG, lecz opinią Arkadiusza Zakrzewskiego, specjalisty pomocy technicznej.

Moim zdaniem 0day jest określeniem powagi zagrożenia, a nie jego typu. Zero day to zawsze priority very high/critical czyli incydent o bardzo dużym zagrożeniu, bo albo jest możliwy atak na bardzo dużej liczbie użytkowników np. luka w bardzo popularnym oprogramowaniu – przykład idealny to od zatrzęsienia 0day na IE czy Flasha albo atak 0-day jest bardzo dużym zagrożeniem np. kompletne rozkładanie na łopatki Windowsów przez exploit..

0-day to też atak z wykorzystaniem luki, która nie jest nikomu znana, szczególnie developerom danej aplikacji. Nowy exploit na starą dziurę w Windows już nie będzie 0-day`em bo do ataku wykorzystuje już znaną lukę, dla której albo istnieje już patch/workaround i infekcja ma szanse powodzenia tylko na nieaktualnym oprogramowaniu albo taki patch jest w trakcie opracowywania, a więc żywot infekcji na taką lukę będzie bardzo krótki.”

0-day odnosi się tylko do luk w oprogramowaniu czyli exploitów. Zero-day mówi nam, ile dni miał producent danego oprogramowania na załatanie dziury. Jak nazwa wskazuje, producent miał 0 dni, czyli mamy do czynienia ze scenariuszem:

  • wykrycie dziury
  • stworzenie exploita
  • dystrybucja wild

 

Pierwsze informacje o luce pochodzą z dystrybucji „wild” czyli od userów, którzy padli ofiarą exploita. Specjaliści analizują exploita i dowiadują się o lokalizacji dziury w programie. Sumarycznie, producent miał 0 dni na załatanie dziury, bo nawet o niej nie wiedział (lub wiedział ale nic nie zrobił).

„Malware zaś to ogólne określenie złośliwego oprogramowania. Zarówno exploit jak i backdoor czy trojan mieszczą się w definicji malware`u i każdy z nich może być poziomu 0day threat, czyli po pierwsze wykorzystywać nieznaną i niezabezpieczoną wcześniej lukę, a po drugie atakować popularne oprogramowanie (to najczęściej spotykane 0-day`e) – mówi Arkadiusz Zakrzewski.

 Nomenklatura wg F-Secure

_Jakaś_Nazwa_.0Day.Malware jest to nazwa dla nowego, niezdefiniowanego malware wykrytego przez sygnatury generyczne. Jeśli o takiej nazwie zostanie zablokowane zagrożenie oznacza to, że malware jest niezdefiniowane i nie posiada podpisu w postaci definicji. Jednakże zagrożenie może zostać wykryte za pomocą analizy heurystycznej, czyli w przypadku F-Secure – za pomocą technologii zwanej Zero-Hour Protection zaimplementowanej w niektóre produkty F-Secure z rodziny Antivirus. W przypadku przeanalizowania wirusa, nomenklatura np. Email.0Day.Malware zostaje zastąpiona generyczną, rodzajową nazwą malware.

 

Podsumowując

– nomenklatura zero day to nie tylko luka w oprogramowaniu, ale także powaga zagrożenia

– malware 0 day to poprawne nazewnictwo nowych wirusów, które wykorzystują nowe, nieznane luki lub atakują oprogramowanie (backdoor, exploit, trojan)

– malware FUD to nazewnictwo niewykrywalnych wirusów przez skanery antywirusowe (z definicji oraz poprzez heurystykę)

Malware 0 day = malware FUD

 

Źródło: AVLab.pl

dodany: 25.03.2013 | tagi: ,

eScan Internet Security 14 – rewolucja na rynku security?

18

Kiedy zastanawiamy się, w jaki sposób można skutecznie, ale przede wszystkim szybko, pokonać rozprzestrzeniające się w sieci nowe wirusy, przychodzą nam na myśl rozwiązania często niedostosowane do codziennego komfortu pracy. Ambitniejsi użytkownicy w kwestii bezpieczeństwa komputera instalują różnego rodzaju aplikacji służące najczęściej do walki z określonym typem zagrożenia. A gdyby tak wszystkie moduły ochronne zamknąć w jednym pakiecie?

„Chmura” ma ogromną moc. Dzięki niej producenci są w stanie w ciągu zaledwie kilku chwil zdiagnozować nowo powstały malware. Wystarczy moment, by zneutralizować szkodnika i to na dowolnej liczbie zabezpieczonych systemów operacyjnych. Czyżby najnowsze wydanie oprogramowania antywirusowego eScan okazało się rewolucyjne na rynku security? Sprawdźmy.

 

 Ważniejsze nowości w wersji 14 oraz ulepszenia:

  • dodano nowy GUI;
  • program jest kompatybilny z Windows 8;
  • dodano eScan Security Network (Cloud computing – chmura eScan);
  • ulepszono ochronę proaktywną;
  • dodano dynamiczny filtr ochrony www;
  • dodano możliwość usunięcia rootkitów i innych zagrożeń malware z trybu awaryjnego;
  • dodano szczepionkę USB;
  • ulepszono zaawansowane wykrywanie i usuwanie rootkitów;
  • ulepszono proces aktywacji licencji online;
  • dodano możliwość zablokowania skanowania portów;
  • dodano funkcję przesłania próbek wirusów;
  • usunięto emotikony z wiadomości „Witamy w rodzinie eScan” po instalacji;
  • domyślnie skaner jest uruchamiany z parametrami chmury;
  • zmodyfikowano ostrzeżenia w przeglądarkach;
  • ulepszona funkcjonalność wirtualnej klawiatury.

Porównanie wersji – do pobrania plik pdf.

Instalacja

Nie przysparza żadnych problemów. Polega na bezmyślnym klikaniu „dalej”.

install_big

instalacja4_big

Moduł antywirusowy

Dzięki nowej technologii skanowania wirusów oraz użytej heurystyki, eScan skutecznie wykrywa nieznane malware, które jest stale pisane przez twórców złośliwego oprogramowania. Program wykrywa również i ostrzega użytkowników o aplikacjach, które zachowują się w podejrzany sposób, zapewniając w ten sposób ochronę przed zagrożeniami zero-day. eScan podczas skanowania On-Demand korzysta z whitelistingu – jest to technologia wykorzystująca białe listy programów, dzięki której możliwe jest szybsze skanowanie plików, pamięci, rejestru oraz usług i wszystkich urządzeń, a także pamięci masowej. Technologia ta w połączeniu z usługą w chmurze zapewnia maksymalną ochronę przed nieznanymi zagrożeniami.

Sprawdzanie reputacji plików powinno być przede wszystkim szybkie. Ale co mamy na myśli mówiąc „szybkie”? Ano to, że każdy użytkownik chce, aby wykrywanie nowych zagrożeń obywało się on-the-fly („w locie”). Drugim bardzo ważnym czynnikiem jest dokładność, czyli unikanie fałszywych alarmów.

eScan używa reputacji do analizy plików online. Każdy plik możemy sprawdzić i określić do jakiej kategorii został przydzielony –  czy plik jest czysty lub podejrzany. Sama reputacja pliku jest dynamiczna, więc jego popularność szybko może się zmienić. Dlatego eksperci eScan opracowali nowoczesną technologię o fachowej nazwie eScan Proactive Security Network Behavior Monitoring +, czyli na język polski: Monitor Zachowawczy Proaktywnej Ochrony Sieci.

Zalety:

  • wyższa dokładność;
  • niezależność od tradycyjnych sygnatur wirusów;
  • blokowanie zagrożeń typu zero-day;
  • niskie wykorzystanie zasobów systemowych;
  • zwiększenie szybkości skanowania;
  • mała ilość fałszywych alarmów (z ang. false positive, w skr. FP).

eScan Security Network  co to jest?

eScan Security Network (w skr. ESN) zbiera informacje od milionów komputerów na całym świecie (jeśli są one online). ESN zapewnia szybką reakcję oraz wysoki poziom wykrywania. ESN to nie tylko zdolny do wykrywania i blokowania nieznanych zagrożeń moduł, ale także pierwsza linia obrony przed incydentami zero-day oraz phishingiem. Aktualne zagrożenia, takie jak wirusy, robaki, trojany i phishing stale ewoluują kwestionując tym samym obecne normy bezpieczeństwa określone przez producentów.

 Cele eScan Security Network:

  • Ciągłe monitorowanie (o zasięgu globalnym) rzeczywistych zagrożeń i natychmiastowe dostarczenie zebranych danych na serwery eScan.
  • Analiza zebranych danych oraz ochrona przed nowymi zagrożeniami.
  • ESN automatycznie zbiera informacje i przekazuje dane do laboratoriów eScan. Informacje (metadane) na temat podejrzanych plików (pobranych i uruchomionych) na komputerach są gromadzone, niezależnie od ich źródła (strony internetowe, peer-to-peer, itp.).
  • ESN nie przechowuje danych osobowych, takich jak nazwy użytkowników, hasła lub jakiekolwiek inne dane osobowe.
  • Jeśli program zostanie uznany za szkodliwy lub niebezpieczny, informacja staje się dostępna dla użytkowników eScan. W ten sposób klienci otrzymują szybką reakcję na nowe zagrożenia.

 

Podstawowe zasady działania ESN

Informacje na temat nowo uruchomionych lub pobranych aplikacji są wysyłane do ESN. Następnie pliki są sprawdzane i dodawane do bazy danych jeśli eScan uznał plik za szkodliwy. „Czyste” pliki są dodawane do „białej listy” bazy danych. Informacja o nowo wykrytym szkodliwym pliku staje się dostępna dla wszystkich użytkowników eScan. ESN korzysta z połączenia metod heurystycznych i podpisów cyfrowych.

analizator_big

Włącz analizator kodu. Zaznacz to pole wyboru jeśli chcesz, aby program sprawdzał podejrzane i nieznane obiekty przy pomocy analizy heurystycznej.

Struktura architektury silnika antywirusowego eScan

Złożoność oprogramowania antywirusowego wzrosła ogromnie w ciągu ostatnich kilku lat. Metody stosowane do wykrywania wirusów stały się coraz bardziej skomplikowane. Silniki skanowania składają się z modułów, które są stale rozwijane, aby oferować pełną ochronę przed wszystkimi typami złośliwego oprogramowania.

eScan wykorzystuje proaktywną ochronę – monitor behawioralny oraz technologie heurystyczne w chmurze. Nowa wersja silnika eScan powstała z myślą o zmniejszeniu obciążenia podczas wykonywania operacji skanowania przy użyciu zaawansowanej technologii buforowania (a jak wygląda to w praktyce? – test w dalszej części recenzji). Silnik posiada wysoki współczynnik wykrywania wszystkich rodzajów złośliwego oprogramowania: infektory plików (wirusy), złośliwe skrypty, konie trojańskie, backdoory, rootkity, spyware i adware, robaki sieciowe itp. Analiza heurystyczna używa m.in typowych zachowań szkodliwego oprogramowania do wykrywania nowych i nieznanych zagrożeń, które nie zostały przetworzone przez laboratorium antywirusowe eScan i nie zostały jeszcze dodane do sygnatur wirusów. eScan posiada wbudowany skaner heurystyczny, który pomaga uporać się z nowoczesnymi odmianami złośliwego oprogramowania.

 

Silnik, silnik, silnik (antywirusowy) – co to tak naprawdę jest?

Kiedy mówimy o silniku antywirusowym, mamy tak naprawdę na myśli skaner dostępowy, który pracuje jako TSR (z ang. Terminate and Stay in residence). TSR jest to program (moduł antywirusa), który pozostaje w pamięci, dopóki nie jest potrzebny, by następnie wykonać jakąś operację. Dobrym przykładem TSR jest skaner antywirusowy, który musi pozostać załadowany w pamięci, aby pomóc w ochronie komputera przed wirusami. Silnik skanera musi zaktualizować moduł o najnowsze aktualizacje sygnatur wirusów do wykrywania znanych zagrożeń. Silnik zawiera również analizę heurystyczną oraz jest wielowątkowy (multithreaing) w celu zwiększenia wydajności systemu.

Mechanizm interpretacji musi być specyficzny dla każdego systemu operacyjnego lub jego części, w których program antywirusowy ma być uruchomiony. Za każdym razem, kiedy informacje na dysku / flash odczytujemy / zapisujemy, antywirus skanuje te informacje, które są zapisywane / odczytywane. Operacja ta jest wykonywana przez silnik z poziomu jądra w systemie operacyjnym Windows.

Po przechwyceniu następuje wywołanie żądania pliku, informacje o pliku i jego ścieżka jest wysłana do silnika AV, dalej następuje skanowanie za pomocą różnych metod. Jeśli plik jest zainfekowany, zostaje oznaczony jako wirus i AV podejmuje działania na podstawie konfiguracji domyślnej: kwarantanna / wylecz / usuń. Jeśli znajdzie czysty plik będzie wysyłał go do silnika „B”, gdzie następuje ten sam proces. Jeśli drugi silnik również nic nie wykryje, użytkownik otrzyma dostęp do pliku.

W przeszłości, użytkownicy oprogramowania antywirusowego byli zmuszeni do korzystania z ochrony tylko na podstawie sygnatur. Ta metoda, choć bardzo wiarygodna, jest obecnie nieskuteczna w dobie coraz bardziej „fantazyjnych” wirusów. Dlatego też producenci oprogramowania antywirusowego zostali zmuszeni do dostosowania się do najnowszych „trendów” wyznaczanych przez autorów złośliwego oprogramowania. W tym właśnie celu został opracowany HIPS. System ten jest przeznaczony do wykrywania niechcianych i złośliwych działań programów w celu ich zablokowania. Począwszy od warstwy sieci, aż do warstwy aplikacji, HIPS chroni przed znanymi i nieznanymi atakami.

HIPS w eScan 14 jest zasadniczo taki sam jak w wersji 11, ale został „doszlifowany”.

  • Firewall teraz skanuje blokowane porty. Jest to kolejny element HIPS, który stał się koniecznością ze względu na dużą skalę ataków w sieciach niezabezpieczonych.
  • W warstwie aplikacji wdrożono zarówno statyczne, jak i dynamiczne monitorowanie wykonywalnych plików. Monitorowanie zapewnia 90% skuteczności w blokowaniu złośliwego oprogramowania i zagrożeń zero-day na podstawie wzorców zachowań programów. Każdy plik wykonywalny, który jest uruchamiany na komputerze hosta, jest stale monitorowany na poziomie jądra, a czasem na poziomie użytkownika.

Jeśli analiza osiągnie określony poziom progowy zagrożenia (wskaźnik zagrożenia), plik binarny jest traktowany jako „podejrzany”, a wykonywanie będzie zawieszone. HIPS działa w trybie interaktywnym, więc gdy nieznane zagrożenie zostanie wykryte, wyświetlony zostanie alert dla użytkownika. W ten sposób będziemy musieli podjąć odpowiednie kroki w celu zapobieżenia ryzyku infekcji. Jeśli HIPS wykrywa podejrzaną aktywność będzie o tym alarmować.

Moduł antyspamowy skanuje wszystkie przychodzące (POP3) i wychodzące (SMTP) wiadomości e-mail w poszukiwaniu wirusów, spyware, adware i innych szkodliwych obiektów. Domyślnie moduł „Ochrona Poczty” skanuje tylko przychodzące wiadomości e-mail, ale można go skonfigurować tak, aby skanował wychodzące e-maile z załącznikami. Ponadto, możliwe jest skonfigurowanie modułu w taki sposób, aby administrator otrzymywał raporty w przypadku wykrycia zagrożenia.

 

 eScan używa następujących technologii do identyfikacji i blokowania spamu:

  1. NILP;
  2. RBL (Real-time Black-list);
  3. Reputacja IP;
  4. rDNS (Reverse DNS);
  5. Spoofed Sender;
  6. Sender Policy Framework;
  7. Header Check – sprawdzanie nagłówków, czy wiadomości nie pochodzą od spamerów;
  8. Baza Spamu;
  9. Manipulacja tekstem;
  10. SURBL;
  11. Sprawdzenie zawartości po słowach kluczowych;
  12. Analiza obrazu.

 

1. NILP (Non-Intrusive Learning Pattern)

Technologia Non Intrusive Learning Patterns (NILP) może analizować każdy e-mail w zależności od zachowań i ustawień użytkownika. NILP wykorzystuje algorytm uczenia się na własnych błędach. Używa sztucznej inteligencji do nauczenia się wzorców zachowań użytkownika i zgodnie z nimi klasyfikuje e-maile jako zaufane lub jako SPAM.

Jak działa NILP?

NILP wykorzystuje filtrowanie Bayesa i działa na zasadach sztucznej inteligencji (w skr. AI). Posiada własny system nauczania i wykorzystuje mechanizmy adaptacyjne do kategoryzowania e-maili na podstawie wzorca zachowań użytkownika. NILP aktualizuje się za pomocą serwerów eScan. Gdy nowy e-mail dotrze do użytkownika, NILP analizuje go na podstawie zgromadzonych informacji oraz odpowiednio klasyfikuje go.

2. RBL (Real-time Black List lub Real-Time Black-hole List)

RBL jest to serwer DNS, który zawiera listę adresów IP spamerów. Jeśli IP nadawcy znajdzie się w jakiejś kategorii na czarnej liście, połączenie zostanie przerwane. Inaczej, RBL zawiera adresy serwerów i stron, które przechowują informacje dotyczące spamerów.

3. IP Reputation

Wszystkie e-maile są sprawdzane z jakich pochodzą adresów IP. Jeśli IP jest wątpliwej reputacji, może to oznaczać, że dany adres IP jest odpowiedzialny za wysyłanie spamu lub niechcianych wiadomości Bulk Email (Unsolicited Bulk Email (UBE)).

4. rDNS – Reverse DNS

Jest to odwrotna translacja adresów DNS. Reverse DNS to system serwerów oraz protokół komunikacyjny będący częścią systemu DNS. System ten pozwala na realizację zadania odwrotnego niż większość systemu DNS –Odwrotny DNS zamienia adresy zrozumiałe dla urządzeń tworzących sieć komputerową na adresy znane użytkownikom Internetu. Dzięki wykorzystaniu rDNS adres IP, czyli np. 195.149.227.190 może zostać zamieniony na odpowiadającą mu nazwę mnemoniczną– avlab.pl

5. Spoofed Sender 

Spoofing to technika używana do wysyłania wiadomości e-mail z zewnętrznych źródeł, które podszywają się pod wewnętrzne adresy różnych organizacji. eScan zapewnia ochronę Anti-spoofing, przed tego typu atakami. Przykład:

  • atakujący wysyła e-mail z adresu np. admin@avlab.pl, który nie istnieje!
  • atakujący zmienia oryginalne nagłówki wiadomości, przez co na pierwszy rzut oka wydaje się, że to prawdziwy nadawca.

6. Sender Policy Framework

Sender Policy Framework (SPF) weryfikuje adresy IP nadawcy. SPF pozwala administratorom określić, które hosty mogą wysyłać pocztę z danej domeny, tworząc konkretny rekord SPF w Domain Name System (w skr. DNS). Serwer poczty używa DNS-ów w celu sprawdzenia, czy z danej domeny jest wysyłany przez hosta e-mail.

8. Database Spam – baza spamu

Wydobywa wyrażenia z otrzymanej wiadomości e-mail i porównuje z bazą danych znanych wiadomości spamowych. Jeśli prawdopodobieństwo spamu jest wyższe od ustalonej normy, e-mail jest oznaczony jako spam. To bardzo zaawansowana technologia, która jest realizowana w czasie rzeczywistym.

9. Manipulacja tekstem

W skrócie, manipulacja tekstem jest metodą na zastąpienie niektórych znaków w tekście znakami wizualnie podobnymi. eScan może łatwo wykryć ten rodzaj spamów i im zapobiegać. Na przykład:

  • P0rn zamiast PORN („zero” zamiast „O”).
  • / / arez zamiast Warez  

10. SURBL

Sprawdzanie SURBL (Spam URL Real-time Black-list) – moduł sprawdza adresy URL w treści wiadomości e-mail. Jeśli adres URL jest wpisany w SURBL, e-mail zostanie zablokowany.

11. Sprawdzenie zawartości po słowach kluczowych

To tradycyjna metoda, gdzie można określić blokowaną zawartość. Np. zdefiniowane słowo „sex”, jeśli znajduje się w treści wiadomości, poczta taka zostanie zablokowana lub uznawana za spam.

12. Analiza obrazu

Znaczna część spamu zawiera wizualne treści pornograficzne. Usługa antyspamu wykrywa spam wraz z linkami do zdjęć, gdzie analiza wykorzystująca odpowiednie wzorce będzie wykrywać treści pornograficzne. Nie jest to metoda doskonała. Jak program komputerowy ma odróżnić np. zdjęcia medyczne od pornografii?

 

Filtr Malware URL blokuje dostęp do złośliwych witryn sieci Web / URL-i przeglądanych przez użytkownika. Jeśli URL jest dozwolony, zostanie sprawdzony pod kątem podejrzanych skryptów lub zagrożenia. Jeśli eScan wykryje jakiekolwiek podejrzane zachowanie, użytkownik dostaje wiadomość, że URL jest zablokowany, a zagrożenie jest zneutralizowane.

Ilekroć nowa witryna zawierająca malware zostanie znaleziona, dane zostaną wysłane do ESN na czym korzysta cała społeczność „chmury” eScan. Aby pomóc powstrzymać rosnące zagrożenie w postaci phishingu, eScan został wyposażony zarówno w statyczne jak i dynamiczne filtry chroniące przed wyłudzaniem informacji. Oba filtry działają w tandemie i chronią użytkowników przed dostępem do stron rozprzestrzeniających phishing. Statyczne filtry opierają się na bazach URL. Filtry dynamiczne z kolei sprawdzają wszystkie znane i nieznane linki poprzez wykorzystanie chmury eScan Security Network.

 ochrona www_big

ochrona www6_big

 

ochrona www5

 

Jednak sama ochrona WWW to nie tylko filtry. Wirtualna klawiatura została zaprojektowana do ochrony informacji poufnych, które mogą zostać wykradzione przez szkodliwego malware takie jak keyloggery.

 

klawiatura_big

Wirtualna klawiatura.

 

Firewall 

Wbudowany Firewall obejmuje „monitorowanie ruchu sieciowego” – połączenia przychodzące i wychodzące oraz chroni przed wszystkimi typami ataków na sieć. eScan zawiera zestaw predefiniowanych zasad kontroli dostępu, które można usunąć lub dostosować wg swoich wymagań. Firewall sprawdza najpierw zasady, analizuje pakiety sieciowe, a następnie filtruje je na podstawie określonych reguł.

firewall

firewall2

 

Technologie antywirusowe zastosowane w programie eScan w połączeniu z chmurą – ESN – działają bardzo dobrze, co przedstawiają wyniki w Laboratorium Antywirusowym AVLab.pl.

Test „Real Time”

Test „Malicious URL”

Wykresy AVLab

Czy nowa wersja będzie tak „lekka” jak poprzednia?

Sprawdźmy… (metodologia w teście wydajnościowym pakietów internet Security 2013 – do pobrania z sekcji RAPORTY).

eScan spoczynek_big

Średnie, całkowite użycie pamięci RAM: 2718 MB; średnie, całkowite użycie CPU: 0,996 % – skala dla procesora – 10:1

 

eScan skanowanie_big

Średnie, całkowite użycie pamięci RAM: 2627 MB; średnie, całkowite użycie CPU: 40,210 %

 CPU_big

RAM_big

 

Czy eScan Internet Security 14 wart jest uwagi? Jeśli chodzi o wykrywalność – zdecydowanie tak. Użyte technologie do zwalczania  malware oraz filtr malware URL spisują się znakomicie. Na dodatkową uwagę zasługuje również fakt posiadania kilku dodatkowych narzędzi:

narzedzia0_big

 

eScan to nie tylko sam antywirus czy antyspam. Program został rozbudowany o takie moduły jak:

  • automatyczne tworzenie / przywracanie kopii systemowych plików;
  • tryb laptopa – oszczędzanie baterii;
  • tworzenie dysku ratunkowego;
  • rozszerzona auto-ochrona;
  • szczepionka USB – chroni pamięć przenośną przed wirusami;
  • bezpieczne usuwanie;
  • bezpieczny tryb – program dodaje swój wpis do menu bootowalnego;
  • sprawdzanie krytycznych aktualizacji systemu Windows
  • ochrona peryferii – możliwe hasło na USB;
  • ochrona prywatności – usuwanie plików tymczasowych oraz innych śmieci.

eScan zdecydowanie zawiódł na polu wydajności. Poprzednia wersja była „łagodniejsza” dla zasobów komputera. Używając tego programu na maszynie wyposażonej w 4GB RAM-u oraz dwurdzeniowy procesor, czasami dawało się odczuć spowolnienie pracy w Internecie oraz ogólnej wydajności, jak również czasu rozruchu systemu. Albo też eScan na mojej konfiguracji nie chce pozostać niezauważony?

Wady:

  • Użycie zasobów;
  • Zdarzają się false positive w module ochrony przeglądarki. Jednak, aby odblokować stronę wystarczy otworzyć raport i dodać ją do białej listy z prawokliku;
  • Dużo błędów w spolszczeniu (podobno program tłumaczy Hindus polskiego pochodzenia).

Zalety:

  • eScan Security Network;
  • HIPS;
  • Moduł antyspamowy;
  • Bardzo dobra wykrywalność malware oraz malicious code;
  • Sprawdzanie krytycznych aktualizacji systemu Windows;
  • Dodatkowe narzędzia poprawające bezpieczeństwo;
  • Monitor Zachowawczy Proaktywnej Ochrony Sieci (eScan Proactive Security Network Behavior Monitoring +);
  • Dobra kontrola rodzicielska (test do pobania z sekcji RAPORTY).

 recommended

Za chmurę eScan Security Network, za zaawansowane technologie do ochrony komputera, za bardzo rozbudowany moduł antyspamowy, za bardzo dobrą wykrywalność malware oraz malicious code, za sprawdzanie krytycznych aktualizacji systemu Windows, za dodatkowe narzędzia poprawiające bezpieczeństwo, za Monitor Zachowawczy Proaktywnej Ochrony Sieci (eScan Proactive Security Network Behavior Monitoring +) – polecamy!

Źródło: AVLab.pl

dodany: 20.03.2013 | tagi: , , ,

Test antyphishingowy płatnych oraz darmowych programów antywirusowych 2013

1

Phishing jest to metoda ataków, która jest oparta m.in. o wiadomości e-mail zawierające zamaskowane linki (hiperłącza) odsyłające do witryn wyłudzających informacje, co w konsekwencji prowadzi do kradzieży danych. Technika ta wykorzystuje społeczną inżynierię i polega na celowym podjęciu takich akcji przez cyberprzestępcę,  aby niczego nieświadomy użytkownik przekazał dane, które przejmie oszust.

Test, który opracował AVLab odwzorował rzeczywistość, w której użytkownik jest potencjalną ofiarą phisherów. W tym celu wszystkie programy biorące udział w teście zainstalowane były z ustawieniami domyślnymi. Test przeprowadzono na wirtualnych systemach Windows 7 x32 z najnowszymi aktualizacjami na dzień 11 lutego roku 2013.

Test polegał na sprawdzeniu każdego dnia 10 linków prowadzących do witryn wyłudzających dane: kart kredytowych, zbierających dane logowania do kont mailowych oraz podszywających się pod banki lub inne instytucje. Linki były uruchamiane w przeglądarce Google Chrome 24 z wyłączoną opcją: „Włącz ochronę przed wyłudzaniem danych (phishingiem) i złośliwym oprogramowaniem”. Każdego dnia przed rozpoczęciem testów wszystkie produkty były aktualizowane.

Jak skutecznie programy antywirusowe chronią przed utratą prywatnych danych? Aby odpowiedzieć na to pytanie zapraszam do przeczytania raportu zawierającego test antyphishingowy, który można przeczytać pobierając dokument ze strony http://avlab.pl/page/raporty.