Jak wyjaśnić działanie ochrony antywirusowej nieużytkownikowi?

Znalazłem to pytanie, które wyjaśnia szczegółowo, jak dokładnie działa oprogramowanie antywirusowe. Ale właśnie poprosił mnie o to klient i naprawdę nie mogłem udzielić mu dobrej, prostej i łatwej do zrozumienia odpowiedzi. Najlepsze, co mogłem wymyślić, to to, że każdy wirus ma określony „odcisk palca”, a oprogramowanie skanuje go w znanych zainfekowanych obszarach.

Jak mam to wyjaśnić w prosty, łatwy do zrozumienia sposób?

Mechanizm wykrywania, czyli jak na głębszym poziomie?

Kiedy ludzie mówią mi o tym, w jaki sposób złośliwe oprogramowanie dostało się na ich komputer i dlaczego nie zawsze jest możliwe usunięcie go, gdy jest już w systemie, i prawie cokolwiek wspólnego ze złośliwym oprogramowaniem, zawsze odpowiadam kombinacją / podobną do tej metafory:

(A kiedy to zapiszę, muszę brzmieć trochę jak idiota, ale mam nadzieję, że ci się spodoba!)

Wyobraź sobie, że twój dom to komputer, program antywirusowy to kilka różnych mechanizmów bezpieczeństwa.

Pobierz / Utwórz nowy plik:

Wyobraź sobie bramkarza przy drzwiach wejściowych - każdy, kto wchodzi do domu (pliki przychodzące do twojej maszyny), przechodzi przez niego i sprawdza, czy są czyste *. Jeśli znajdzie coś złego, zwykle daje ci możliwość zrobienia tego.

Aktywny skaner

Wyobraź sobie, że wewnętrzny zespół bezpieczeństwa obserwuje wszystkich (aktywne procesy) w twoim domu, każdy obiekt (plik), którego dotyka, jest sprawdzany, aby upewnić się, że są czyste *

Skanowanie pasywne / ręczne

Jeśli nie masz nic innego do roboty, lub możesz wybrać, możesz poprosić zespół bezpieczeństwa, by sprawdził każdy obiekt w domu, aby upewnić się, że są one czyste przed najnowszymi zagrożeniami.

Rootkity / raz zainfekowane

Podczas gdy Twoje bezpieczeństwo w domu zawsze da z siebie wszystko, nic nie jest w 100% skuteczne. Gdy ktoś jest w domu, jeśli nie został zatrzymany, może robić, co chce. Chociaż można po nich posprzątać, aw większości przypadków cofnąć wszystkie szkody ... mogliby pozostawić swój własny zespół bezpieczeństwa, który przeszkadza twojemu.

`* Jak powiedział Randolph w swojej odpowiedzi, zazwyczaj jest to połączenie odcisku palca i heurystyki )

Nie mogę go znaleźć, ale Microsoft miał dokument API dotyczący tworzenia oprogramowania AV, mogę tylko znaleźć link do przewodnika MS Office / IE API . Zgaduję, że z powodu fałszywych zestawów AV / root usunęli te informacje.

(Symantec ma również ciekawy artykuł do dalszego czytania)

Edycja - właśnie znalazłem ciekawe pytanie o przepełnieniu stosu ... W jaki sposób program antywirusowy Windows zaczepia się w procesie dostępu do pliku?

Działają na kilku poziomach, w tym:

• Jak już wspomniałeś, definicja odcisku palca, która sprawdza aktywność lub sygnatury plików pasujące do bazy danych

• Podejrzane zachowanie, na przykład sektor rozruchowy jest modyfikowany przez coś, co nie jest rozpoznawane lub pamięć jest zastępowana przez proces, który nie powinien mieć dostępu

• Wykrywanie rootkitów, które wymaga, aby AV działał prawie jak sam wirus (* dlatego AVG nie lubi na przykład ComboFix - robi rzeczy, których nie można odróżnić od zachowania wirusa), ponieważ musi ukrywać się przed rootkitem.

To z pewnością nie jest pełna lista i z zadowoleniem przyjmuję zmiany w odpowiedzi.

Kilkakrotnie byłem w stanie powiedzieć ludziom, że potrzebują oprogramowania AV, odpierając z własnej woli „ekspercką” krytykę, że oprogramowanie AV jest „bezwartościowe”, ponieważ nowe wirusy bez odcisku palca nie zostaną zatrzymane i, jak mówi Wil, mogą zostawić coś za sobą to uniemożliwia prawdziwe czyszczenie.

Myślę, że ważne jest, aby użytkownicy nie będący super-użytkownikami rozumieli te dwie ostatnie kwestie, ale nie uważali, że oprogramowanie AV jest bezwartościowe. Muszą także zrozumieć trzeci punkt, że wymagany jest ostrożny plan tworzenia kopii zapasowych z myślą o „Nuke it from orbit, to jedyny sposób, aby mieć pewność” czyszczenia w miejscu, w którym system jest czyszczony, a system operacyjny jest instalowany ponownie ze znanych dobrych kopii zapasowych.

Twój system operacyjny to budynek, a wirus to złodziej

Windows to budynek biurowy

Podczas gdy wszyscy mogą wchodzić i wychodzić, muszą przejść przez ochronę, gdzie sprawdzane są ich torby, i przechodzą przez zdjęcie rentgenowskie. Byłby to odpowiednik aktywnego skanera . Wszystko jest sprawdzane, więc istnieje niewielka szansa, że ​​cokolwiek przejdzie przez drzwi wejściowe.

W całym obiekcie znajdują się kamery i strażnicy monitorujący je w poszukiwaniu podejrzanych działań. To jest skanowanie pasywne . Strażnicy są całkiem dobrzy w wykrywaniu typowych psotnych zachowań, ponieważ spędzają cały dzień każdego dnia obserwując ludzi.

Najważniejsze jest to, że jeśli wykonasz funky tańca z kurczaka za pomocą skanera rentgenowskiego, przejdziesz, bez zadawania pytań.

Infekcja przebiega w ten sposób. Złodziej tańczy funky z kurczaka przed strażnikiem z przodu. Po wejściu i zabraniu tego, czego chcą, muszą tylko znaleźć (lub stworzyć) tylne drzwi, aby wydostać się z towarem.

Jeśli złodzieje nie są wyrafinowani, pasywne skanery wzbudzą alarm i wyślą po nich ochronę, ale jeśli ostatnio obserwowałeś Ocean Jedenaście, będziesz wiedział, co mam na myśli, mówiąc: „nie wszyscy złodzieje są wyrafinowani”. Zasadniczo, gdy zły facet wejdzie do środka, jeśli będzie dobry, będzie wiedział, jak uniknąć systemu informacyjnego i obalić go, abyś nawet nie wiedział, że on tam jest. To darmowa gra z twoimi danymi.

Co gorsza, mają wpływ. Nawiązują znajomości w twoim systemie (infekują inne aplikacje), więc nawet jeśli uda ci się zapewnić im boot, mogą po prostu wezwać znajomego, aby wpuścić ich z powrotem. Skanery pasywne nie tylko szukają złych facetów, ale obserwuj zachowanie wszystkich, ale nie są idealne.

Trojan jest jak ukryty złodziej ukrywający się przy jednym z wyjść awaryjnych, jeśli usłyszy sekretne pukanie jednego ze swoich kumpli na zewnątrz, otwiera drzwi od wewnątrz. Naprawdę nie chcesz jednego z nich w swoim budynku, ponieważ są niezwykle utalentowani.

Mac to budynek biurowy z systemem kart-kluczy

Po wejściu do budynku musisz zalogować się ze strażnikiem, aby otrzymać przepustkę. Ale kiedy już tam jesteś, masz swobodę poruszania się po obszarach, w których masz pozwolenie na wędrowanie. Jeśli chcesz uzyskać dostęp do zasobów firmy, musisz zalogować się ponownie, aby przejść na wyższy poziom, aby kontynuować. Za każdym razem, gdy opuszczasz poziom bezpieczeństwa, tracisz przepustkę, więc musisz się podpisać za każdym razem, gdy musisz wrócić.

Luka polega na tym, aby upewnić się, że osoba, której udzielasz dostępu, ma być dozwolona.

Linux jest jak baza wojskowa

Musisz przejść bezpieczeństwo, aby dostać się do bramy, ale potrzebujesz także rangi / tytułu, aby uzyskać dostęp do części bazy. Na przykład nie możesz dostać się na pole lotnicze, jeśli nie jesteś pilotem (i nie jesteś przełożonym), nie możesz dostać się na łódź podwodną, ​​jeśli nie jesteś podwodnym facetem.

Pomyśl o koncie root jako o Generale. Nie potrzebuje pozwolenia, aby nigdzie iść, ponieważ jest najbardziej przełożonym w bazie. Dlatego nie chcesz pozwolić swemu generałowi na przechodzenie, wpuszczając tylko nikogo do bazy (ponieważ będzie on posłuszny bez pytania).

Sztuką Linuksa jest to, że nie stań się generałem. Stań się małym podoficerem, który posłusznie wykonuje swoją pracę. Następnie, gdy ten drobny oficer odkryje, że potrzebuje dodatkowych zasobów, aby wykonać swoją pracę, tymczasowo go ulepsz (polecenie o podwyższonych przywilejach w systemie Linux to sudo, które zapewnia tymczasowy dostęp do konta root) Generałowi, aby wszystko się poruszyło.

W rzeczywistości Linux i Unix używają tego samego modelu bezpieczeństwa dla uprawnień. Komputery Mac po prostu nie dzielą systemu na części, tak jak robi to Linux, aby uczynić go bardziej przyjaznym dla użytkownika.

Główny problem ze wszystkimi tymi systemami polega na tym, że gdy złodzieje znajdą wejście, mogą stworzyć tylne drzwi, aby wrócić później bez konieczności przechodzenia przez zabezpieczenia.

Jedynym naprawdę bezpiecznym pod względem bezpieczeństwa systemem byłoby posiadanie bardziej wyrafinowanego systemu. Na przykład cofnij się w czasie do początku dnia na koniec każdego dnia. Jest to odpowiednik wirtualizacji piaskownicy . Za każdym razem, gdy ładujesz system operacyjny, ładuje on świeżą, nieuprawnioną kopię. Żadne backdoory nie będą istnieć, ponieważ system operacyjny zostanie przywrócony do stanu, w jakim znajdował się przed włamaniami złodziei. Istnieją pewne ograniczenia tej metody, ale są zbyt szczegółowe / złożone, aby je tutaj opisać.

Sztuką, którą większość ludzi (niektórzy wygodnie) przeoczy, jest. Gdy wpuścisz kogoś do budynku i nadasz mu uprawnienia dostępu, mogą wpuścić innych. Więc nie pozwól, aby facet ubrany w czarno-białą koszulę w paski (a w niektórych przypadkach dziewczynka z książką mechaniki kwantowej) w przede wszystkim drzwi frontowe. Z wyjątkiem funky tańca z kurczaka, nie mogą wejść, dopóki im nie pozwolisz.

Problem ze skanerami wirusów polega na tym, że ludzie za bardzo na nich polegają. Weź pod uwagę, że ani twoje aktywne, ani pasywne skanery nie znają sztuczki z kurczakiem. Właśnie wpuściłeś złego faceta do swojego systemu. Jeśli masz szczęście, zrobi coś, co zwróci uwagę skanera pasywnego. Jeśli nie masz szczęścia, przesunie się z cienia do cienia w twoim systemie, siejąc spustoszenie, a ty nawet nie będziesz wiedział, że on tam jest.

0-dniowe luki w oprogramowaniu (znane wady oprogramowania ujawniające lukę bezpieczeństwa, która nie została jeszcze załatana) są odpowiednikiem funky dance chicken. Microsoft nie jest jedyną stroną, za którą można winić; Widziałem włamanie do Adobe Flash, które zniszczyło mój system nie do naprawienia w <15 sekund.

Windows / Linux zwykle nie ma problemu z funky kurczaka, ponieważ przenosisz swoje uprawnienia dostępu (karta, ranga) wszędzie, gdziekolwiek jesteś w całym systemie.

Rootkit jest jak jeden z tych facetów porwać swoją Naczelny zabezpieczeń, zablokować go w szafie, i podszywania się pod nim. Mając rangę szefa bezpieczeństwa, ma on moc zatrudniania / zwalniania kogokolwiek i zmiany polityki według własnego uznania. Jeśli się do niego dostaną, to naprawdę pieprzysz się, ponieważ może zwolnić cały personel ochrony lub wdrożyć zasady, które zmuszają pracowników ochrony do patrzenia na ich stopy i siedzenia na rękach na groźbę zwolnienia. To znaczy. ty naprawdę nie chcesz tego faceta być zagrożona.

Mam nadzieję że to pomogło.