Software de Telecomunicações Ferramentas de protecção Prof RG Crespo Software de Telecomunicações Protecção : 1/15 Detecção de virus (1) • No mercado existem programas dedicado à detecção e erradicação de virus (McAfee, Synmatec..), que vamos referir por AVs. • Há problemas na taxas de sucesso na detecção e probabilidade de falsas detecções. • As 3 estratégias mais adoptadas na detecção são: – Aparência: pesquisa código com grande probabilidade de não existir noutros programas. – Comportamento: monitoriza sistema para encontrar acções dúbias. – Alteração: compara atributos chave. Prof RG Crespo Software de Telecomunicações Protecção : 2/15 Detecção de virus (2) A. Detecção por aparência • Identificação de “scan strings” de virus previamente detectados. • As tabelas do AV (designado por “scanner”) devem ser periodicamente actualizadas. • Apear de serem os menos efectivos, acabam por serem obtidos os melhores resultados (por obrigar o utilizar a actualizar as tabelas das “scan strings”) • Há 3 medidas de fuga à detecção e contra-resposta Prof RG Crespo Software de Telecomunicações Protecção : 3/15 Detecção de virus (3) 1. Fuga: cifra, com chaves limitadas, que obrigaria o AV ter de decifrar todas as hipóteses (logo, mais pesado). Contra-resposta: a rotina de cifra pode ser usada como “scan string”! 2. Fuga: polimorfismo, em que o código possui vários métodos de cifra sendo substituido sucessivamente o código aberto. O DAME é uma ferramenta de apoio ao polimorfismo. Inconveniente: o virus é muito maior (ex: o Whale, com 10KB, possui 33 alternativas). O efeito nos AV é apenas aumentar as tabelas das “scan strings”. Prof RG Crespo Software de Telecomunicações Protecção : 4/15 Detecção de virus (4) 3. Fuga: mutação, substituindo instruções por outras equivalentes (ex: MOV AX,0 por SUB AX,AX ou XOR AX,AX). Contra-resposta: os AVs possuem tabelas de substituição durante a pesquisa e todas as alternativas são comparadas (logo, mais pesado). Prof RG Crespo Software de Telecomunicações Protecção : 5/15 Detecção de virus (5) B. Detecção por comportamento • Um programa, virus ou não, ao pretender executar INT sob vigilância (ex: abrir ficheiros .COM ou .EXE em modo de escrita), leva o interceptador obter autorização para prosseguir. 1. Fuga: curto-circuito , o virus chama directamente as funções sob vigilância. Prof RG Crespo Software de Telecomunicações Protecção : 6/15 Detecção de virus (6) C. Detecção por alteração • Na versão mais simples, os virus alteram o comprimento do ficheiro infectado, pelo que bastaria o AV verificar este atributo. Problema: versões, legítimas, alteram também o comprimento dos programas. Solução: “checksum” como atributo (a soma de todos os Bytes do programa com o “checksum” deve dar 0). Prof RG Crespo Software de Telecomunicações Protecção : 7/15 Regras básicas para evitar virus! • • • • Não abrir email “estranhos” Desconfiar de sites gratuitos Instalar programas apenas de vendedores seguros Configurar bloqueador “popup” no navegador (Firefox, IE, Google Toolbar) • Usar e manter actualizado um AV – MacAfee, disponível no Instituto Superior Técnico – Actualizar periodicamente definições de virus (melhor ainda, configurar Live update) Prof RG Crespo Software de Telecomunicações Protecção : 8/15 McAfee VirusScan Enterprise 8.0 (1) Curiosidade, não faz parte da avaliação • • IST subscreveu licença de campus, sendo carregado a partir de https://delta.ist.utl.pt/software/software.php Versões: i. Gestão centralizada, para computadores fixos: actualização feita por servidor do CIIST (mais rápida) ii. Gestão individual, para portáteis • Passos na instalação: 1. “Dowload” em Administrator Executar instalação imediatamente Guardar ficheiro de instalação, correr posteriormente Prof RG Crespo Software de Telecomunicações Protecção : 9/15 McAfee VirusScan Enterprise 8.0 (2) Curiosidade, não faz parte da avaliação • Passos de instalação listados numa nova janela. 2. Executar “restart” do computador Prof RG Crespo Software de Telecomunicações Protecção : 10/15 McAfee VirusScan Enterprise 8.0 (3) Curiosidade, não faz parte da avaliação • Configuração e comandos do AV efectuados com a tecla direita do rato por cima do ícon mostrado na barra de tarefas. Prof RG Crespo Software de Telecomunicações Protecção : 11/15 McAfee VirusScan Enterprise 8.0 (4) Curiosidade, não faz parte da avaliação 3. Depois de instalado o McAfee, verificar (“scan”) ficheiros pelo comando On-Demand Scan… Nota: operação demora, tipicamente, meia hora. Prof RG Crespo Software de Telecomunicações Protecção : 12/15 McAfee VirusScan Enterprise 8.0 (5) Curiosidade, não faz parte da avaliação • Na pesquisa são indicados os ficheiros infectados. Prof RG Crespo Software de Telecomunicações Protecção : 13/15 McAfee VirusScan Enterprise 8.0 (6) Curiosidade, não faz parte da avaliação • Acção executada sobre ficheiros afectados configurada na caixa Properties. Prof RG Crespo Software de Telecomunicações Protecção : 14/15 McAfee VirusScan Enterprise 8.0 (7) Curiosidade, não faz parte da avaliação • McAfee disponibiliza site com informação sobre virus/ vermes/ spyware em http://vil.nai.com/vil/ contendo – Quadro informativo (data de descoberta, origem, espaço ocupado, tipo,…) – Características – Sintomas e método de infecção – Instruções de eliminação – Variantes e aliases Prof RG Crespo Software de Telecomunicações Protecção : 15/15
Download
