Come posso spiegare come funziona la protezione antivirus a un utente non Super?

12

Ho trovato questa domanda che espande un po 'in dettaglio come funzionano esattamente i software antivirus. Ma ho avuto un cliente che mi chiedeva questo e non potevo davvero dargli una risposta buona, semplice e facile da capire. La cosa migliore che ho potuto immaginare è che ogni virus ha una specifica "impronta digitale" e il software esegue la scansione delle aree infette conosciute per loro.

Come posso spiegarlo in modo semplice e comprensibile?

anti-virus 
James Mertz
fonte
1
Buona domanda. Ho messo insieme una risposta maldestra nella speranza che possiamo costruirci sopra.
Moab
Mi ricorda la discussione sulla "virtualizzazione ... per la tua ragazza": P
nhinkle,
"Non sei perfetto, il sistema operativo certamente non è perfetto. La mancanza di perfezione porta a molti problemi."
tobylane,
1
@ muntoo, sì, il mio isp non può più vedere ciò che cerco.
Moab,

Risposte:

10

Meccanismo di rilevazione o come sono a un livello più profondo?

Quando le persone mi dicono su come sono arrivati ​​i malware sul loro computer e perché non è sempre possibile rimuoverli una volta che sono sul sistema, e praticamente qualsiasi cosa abbia a che fare con i malware, rispondo sempre con una combinazione / simile a questa metafora:

(E quando lo scrivo, devo sembrare un po 'un idiota, ma spero che ti piaccia!)

Immagina che la tua casa sia il computer, un programma antivirus è costituito da diversi meccanismi di sicurezza.

Download / Creazione nuovo file:

Immagina un buttafuori sulla tua porta di casa - chiunque entri in casa (i file che arrivano sulla tua macchina) lo attraversi e lui controlla che siano puliti *. Se trova qualcosa di brutto, di solito ti dà la possibilità di cosa fare.

Scanner attivo

Immagina un team di sicurezza interno che controlla tutti (processi attivi) nella tua casa, qualsiasi oggetto (file) che toccano viene guardato per assicurarsi che siano puliti *

Scansione passiva / manuale

Quando non c'è nient'altro da fare, o si sceglie, è possibile fare in modo che il team di sicurezza controlli ogni oggetto della casa, solo per assicurarsi che siano puliti dalle ultime minacce.

Rootkit / una volta infettati

Mentre la tua sicurezza domestica farà sempre del suo meglio, nulla è efficace al 100%. Una volta che qualcuno è in casa, se non sono stati fermati, possono fare quello che vogliono. Mentre è possibile ripulire dopo di loro, e nella maggior parte dei casi, annullare tutti i danni ... potrebbero lasciare dietro di sé il proprio team di sicurezza che interferisce con il proprio.

`* Come diceva Randolph nella sua risposta, in genere si tratta di un mix di impronte digitali ed euristica )

Non riesco a trovarlo, ma Microsoft aveva un documento API sulla creazione di software AV, riesco solo a trovare un link alla guida API MS Office / IE . Immagino che a causa di falsi kit AV / Root abbiano rimosso queste informazioni.

(Inoltre, Symantec ha un articolo interessante per ulteriori letture)

Modifica: ho appena trovato una domanda di overflow dello stack interessante ... In che modo un antivirus Windows si aggancia al processo di accesso ai file?

William Hilsum
fonte
5

Operano su più livelli, tra cui:

  • La definizione dell'impronta digitale, come hai affermato, che verifica l'attività o le firme dei file che corrispondono a un database

  • Comportamento sospetto, ad esempio, il settore di avvio viene modificato da qualcosa che non viene riconosciuto o la memoria viene sovrascritta da un processo che non dovrebbe avere accesso

  • Rilevamento di rootkit, che richiede che l'AV venga eseguito quasi come un virus stesso (* questo è il motivo per cui ad AVG non piace ComboFix, ad esempio - fa cose che sono indistinguibili dal comportamento del virus), in quanto deve nascondersi dal rootkit.

Questo non è certamente un elenco completo e accolgo con favore le modifiche alla risposta.

user3463
fonte
3
"Accolgo con favore le modifiche alla risposta" Perché non farlo in CW allora?
Ciao,
1

Più volte sono stato in grado di dire alle persone che avevano bisogno del software AV mentre respingevano le critiche "esperte" volontarie sul fatto che il software AV fosse "inutile" perché i nuovi virus non identificati non sarebbero stati fermati e, come dice Wil, possono lasciare dietro di sé ciò rende impossibile la vera pulizia.

Penso che sia importante che gli utenti non super capiscano questi ultimi due punti ma non pensino che il software AV sia inutile. Devono anche comprendere un terzo punto, che è necessario un attento piano di backup con un occhio verso "Nuke it from orbit, is only only to be sure" cleanup in cui il sistema viene cancellato e il sistema operativo viene reinstallato da backup noti noti.

mcgyver5
fonte
1

Il tuo sistema operativo è un edificio e il virus è un ladro

Windows è un edificio per uffici

Mentre a tutti è permesso di entrare e uscire, devono passare attraverso la sicurezza dove vengono controllati i loro bagagli e camminano attraverso una radiografia. Questo sarebbe l'equivalente di uno scanner attivo . Tutto è controllato, quindi c'è una piccola possibilità che qualcosa venga portato dalla porta principale.

In tutta la struttura ci sono telecamere e guardie di sicurezza che li monitorano per cercare attività sospette. Questa è la scansione passiva . Le guardie di sicurezza sono abbastanza brave a individuare comportamenti maliziosi comuni perché passano tutto il giorno ogni giorno a guardare le persone.

Il kicker è che se fai la danza del pollo funky attraverso lo scanner a raggi X che supererai, senza fare domande.

Un'infezione va così. Il ladro fa ballare il pollo funky davanti alla guardia di fronte. Una volta che entrano e prendono ciò che vogliono, devono solo trovare (o creare) una porta sul retro per uscire con la merce.

Se i ladri non sono sofisticati, gli scanner passivi genereranno un allarme e invieranno sicurezza dopo di loro ma, se hai guardato Oceans Eleven ultimamente, capirai cosa intendo quando dico "non tutti i ladri non sono sofisticati". In sostanza, una volta che un cattivo entra, se è bravo saprà sfuggire e sovvertire il tuo sistema di sorveglianza in modo da non sapere nemmeno che è lì. Quindi è un gioco gratuito con i tuoi dati.

Ancora peggio, sono influenti. Fanno amicizia all'interno del tuo sistema (infettano altre applicazioni), quindi, anche se riesci a dare loro l'avvio, possono semplicemente chiamare un amico per farli rientrare. Gli scanner passivi non guardano solo i cattivi, ma guarda il comportamento di tutti ma non sono perfetti.

Un Trojan è come un ladro nascosto nascosto da una delle uscite di emergenza, se sente bussare segreto da uno dei suoi amici fuori, apre la porta dall'interno. Davvero non vuoi uno di questi nel tuo edificio perché sono estremamente talentuosi.

Un Mac è un edificio per uffici ma con un sistema keycard

Una volta entrato nell'edificio, devi accedere con la guardia per ottenere il tuo pass. Ma, una volta entrato, hai la libertà di spostarti nelle aree in cui hai il permesso di vagare. Se è necessario accedere all'inventario dell'azienda, è necessario accedere nuovamente per passare a un livello superiore per continuare. Ogni volta che lasci un livello di sicurezza, perdi il pass, quindi devi firmarlo ogni volta che devi rientrare.

La vulnerabilità qui è, assicurati di sapere che la persona a cui stai dando accesso dovrebbe essere autorizzata.

Linux è come una base militare

Devi passare la sicurezza per entrare nel cancello ma hai anche bisogno di rango / titolo per accedere a parti della base. Ad esempio, non puoi entrare nel campo aereo se non sei un pilota (e non sei un ufficiale superiore), non puoi entrare nel sottomarino se non sei un sottotitolo.

Pensa all'account di root come al Generale. Non ha bisogno del permesso per andare da nessuna parte perché è il più alto ufficiale della base. Pertanto, non vuoi lasciare che il tuo generale vada in giro lasciando entrare chiunque nella base (perché verrà obbedito senza dubbio).

Il trucco con Linux è, non farti il ​​Generale. Renditi un sottufficiale che compie scrupolosamente il suo lavoro. Quindi, quando quel sottufficiale scopre che ha bisogno di alcune risorse aggiuntive per svolgere il suo lavoro, aggiornalo temporaneamente (il comando per privilegi elevati in Linux è sudo che garantisce un accesso temporaneo alla radice) a Generale per far muovere e agitare le cose.

In realtà Linux e Unix usano lo stesso modello di sicurezza per i privilegi. I Mac semplicemente non compartimentano il sistema come fa Linux per renderlo più user friendly.

Il problema principale con tutti questi sistemi è che, una volta che i ladri riescono a entrare, possono creare una backdoor per rientrare in un secondo momento senza dover passare attraverso la sicurezza.

L'unica sicurezza davvero sicura sarebbe avere un sistema più sofisticato. Come, tornare indietro nel tempo all'inizio della giornata alla fine di ogni giornata. Questo è l'equivalente della virtualizzazione sandbox . Ogni volta che carichi il sistema operativo, carica una nuova copia non modificata. Non esistono backdoor perché il sistema operativo verrà riportato allo stato in cui si trovava prima che i ladri entrassero. Esistono limiti a questo metodo, ma sono troppo dettagliati / complessi per essere trattati qui.

Il trucco che la maggior parte delle persone (alcuni convenientemente) trascura è. Una volta che hai lasciato entrare qualcuno nell'edificio e hai dato loro i privilegi di accesso, possono far entrare gli altri. Quindi, non lasciare che il ragazzo che indossa la camicia a strisce bianche e nere (e, in alcuni casi, la bambina con il libro di meccanica quantistica) in la porta d'ingresso in primo luogo. Ad eccezione della danza funky del pollo, non possono entrare se non glielo lasci fare.

Il problema con gli scanner antivirus è che le persone si affidano troppo a loro. Considera che né i tuoi scanner attivi o passivi conoscono il trucco funky del pollo. Hai appena lasciato liberamente entrare un cattivo nel tuo sistema. Se sei fortunato, farà qualcosa che attira l'attenzione dello scanner passivo. Se non sei fortunato, si sposterà da un'ombra all'altra all'interno del tuo sistema causando il caos e non saprai nemmeno che è lì.

Le vulnerabilità del software di 0 giorni (difetti noti del software che espongono una falla di sicurezza che non è stata ancora patchata) sono l'equivalente della danza funky del pollo. Anche Microsoft non è la sola parte responsabile di questi; Ho visto un hack di Adobe Flash superare e distruggere il mio sistema irreparabilmente in <15 secondi.

Windows / Linux tendono a non avere il problema del pollo funky perché porti i tuoi privilegi di accesso (keycard, rango) ovunque tu vada attraverso il sistema.

Un rootkit è come avere uno di questi ragazzi che rapiscono il tuo ufficiale di sicurezza, lo bloccano nell'armadio e lo impersonano. Con il grado di capo della sicurezza, ha il potere di assumere / licenziare chiunque e cambiare politica a suo piacimento. Se arrivano a lui, sei davvero fregato perché può licenziare tutto il personale di sicurezza o attuare politiche che costringono il personale di sicurezza a fissare i loro piedi e sedersi per mano sulla minaccia di essere licenziato. Vale a dire. si davvero non vuoi che questo ragazzo per essere compromessa.

Spero che aiuti.

Evan Plaice
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.