Kaspersky Article Kaspersky Security Network

Verificar a reputação dos ficheiros através da Kaspersky
Security Network
O sistema baseado em cloud Kaspersky Security Network (KSN), criado para
reagir o mais rapidamente possível às novas ameaças que vão aparecendo, foi
lançado em 2008, e desde então foi uma das tecnologias finque para a protecção
do PC aplicada nos produtos Kaspersky. Dado que a velocidade com que
aparece o novo código malicioso aumenta continuamente, e com a sua
proliferação por todo mundo a ocorrer quase instantaneamente, é preciso
claramente um mecanismo de reacção rápida para o combater de maneira eficaz.
A principal distinção entre um sistema baseado em cloud e outros meios mais
tradicionais de protecção do PC é que os utilizadores podem-se envolver e contribuir
na luta contra o cibercrime. Uma vez instalados o Kaspersky Internet Security,
Kaspersky Anti-Vírus ou Kaspersky PURE, os utilizadores podem participar na KSN, o
que implica a transferência automática para a nuvem de diversos dados básicos dos
programas que utilizam. Estes dados são completamente anónimos, mas permitem
identificar novo software malicioso e notificar a todos os utilizadores dos programas da
Kaspersky Lab praticamente em tempo real.
Protecção mais rápida
Há muitas formas de infectar os computadores com malware: através de e-mail, de
páginas
web,
redes
sociais,
mensagens
instantâneas
ou
dispositivos
de
armazenamento externo como pen drives USB. Na maioria dos casos, o utilizador não
sabe se deve confiar num programa disponível para download. Como resposta,
Kaspersky Lab criou um sistema baseado na cloud, a Kaspersky Security Network, que
instantaneamente verifica a “reputação” dos ficheiros e procura as ameaças por todo o
mundo, em tempo real. A seguir analisaremos como funciona exactamente.
A informação básica de todos os ficheiros – sejam legítimos ou maliciosos – que estão
a ser executados pelos utilizadores que participam na KSN é armazenada numa rede
localizada “na nuvem”. Simultaneamente, a actividade dos programas é analisada de
modo local através dos métodos de protecção regular do produto da Kaspersky Lab
Página 1
instalado no PC: se o programa actua de maneira suspeita, por exemplo, tentando
alterar os ficheiros do sistema ou obter acesso não autorizado a dados pessoais, é
enviada para a “nuvem” uma mensagem sobre esta situação. Como resultado, o
utilizador receberá uma mensagem com o veredicto final: perigoso ou não.
Mas o que acontece se o programa for malicioso? Desde o princípio do ataque, o
utilizador que tentar executar o programa estará protegido através de métodos
proactivos. E os demais participantes da Kaspersky Security Network receberão
rapidamente (numa questão de minutos) informação a respeito da nova ameaça
através da interface do seu produto Kaspersky e serão avisados quando tentarem
executar o programa no seu PC. Isto é bem mais rápido que os tempos de reacção dos
programas antivírus tradicionais que apenas se baseiam em bases de dados de vírus,
que podem precisar de várias horas para notificar automaticamente os utilizadores
depois do início do ataque.
A “nuvem”, em modo manual
O sistema de segurança baseado na nuvem opera constantemente em modo
automático (o utilizador normalmente nunca vê os resultados do seu trabalho). Em
qualquer caso, nas versões 2012 do Kaspersky Internet Security e do Kaspersky
Antivírus, a interacção com a nuvem tornou-se algo mais informativo. Agora, nestes
programas existe uma janela especial (ver captura de ecrã mais abaixo) que oferece
informação continuamente actualizada sobre as actividades da Kaspersky Security
Network.
Página 2
O utilizador tem, além disso, acesso a estatísticas da actividade das últimas 24 horas:
no ecrã anterior, por exemplo, os produtos Kaspersky Lab neutralizaram mais de 11
milhões de ataques maliciosos contra mais de 1,5 milhões de utilizadores que fazem
parte da KSN.
Além disso, o sistema cloud pode ser agora utilizado de modo manual. Clicando com o
botão direito do rato em qualquer ficheiro executável guardado num PC e
seleccionando “Check reputation in KSN” no menu desdobrável, o utilizador pode
comprovar a “reputação” de qualquer ficheiro executável no seu PC.
Página 3
No ecrã superior podemos ver os resultados da revisão da reputação de um ficheiro de
instalação do popular visualizador de gráficos IrfanView. Neste caso concreto, a KSN
apresenta a seguinte informação:
•
O veredicto da nuvem sobre se a aplicação é fiável;
•
Uma aproximação do número de utilizadores na KSN que já executaram a
aplicação;
•
A data aproximada em que a informação apareceu pela primeira vez na KSN;
•
Estatísticas sobre distribuição geográfica (por países) do uso do ficheiro por
parte dos participantes na KSN;
•
Informação básica sobre o ficheiro: nome, criador, versão e tamanho.
Analisemos agora a informação recebida. No exemplo superior, no momento em que
se escreveu este artigo, a versão do programa era a 4.28. De acordo com a informação
localizada no site do desenvolvedor, foi lançado a 16 de Dezembro de 2010. Mas de
acordo com os dados da KSN, o ficheiro foi observado pela primeira vez na nuvem da
KSN “há mais de um mês”. Isto evidencia que a informação sobre a “idade” de um
programa é só aproximada, e isto é porque a Kaspersky Security Network não
distingue entre as diferentes versões “oficiais”. Em vez disso, as estatísticas extraem-
Página 4
se a partir da informação dos ficheiros de instalação. Pode haver muitas mais variantes
destes tipos de ficheiros que das versões oficiais de um programa, e cada uma destas
variantes pode ser constituída a partir da mais trivial das mudanças – não informada
aos utilizadores, não mencionada no número de versão, mas detectada pela KSN.
Em qualquer caso, se tomarmos uma versão prévia de IrfanView (a 4.27), lançada
oficialmente em Maio de 2009, a KSN informa correctamente que o ficheiro apareceu
pela primeira vez há mais de um ano (ver o ecrã inferior).
As estatísticas mostram também que o IrfanView é utilizado sobretudo na Alemanha, o
que é lógico, dado que o seu criador reside na Áustria e proporciona suporte
continuado para o programa em alemão.
Verificação de reputação: benefícios
Suponhamos que um utilizador está a procurar trabalho, ou que quer comprar um novo
produto, ou contratar os serviços de uma empresa. Provavelmente, este utilizador
pedirá conselho aos seus amigos ou familiares. A recomendação de alguém em que
ele confie pode condicionar o critério em que se baseie a sua decisão final. Pois bem,
comprovar a reputação na Kaspersky Security Network é, de algum modo, similar, mas
com maior amplitude: centenas de milhares de utilizadores por todo mundo
recomendarão o programa ao utilizador, ou avisá-lo-ão que se mantenha afastado dele.
Mas é importante recordar que o conselho de um amigo na vida real pode não ser
Página 5
sempre fiável, apesar da sua boa intenção. Da mesma forma, a protecção baseada “na
nuvem” é eficaz só em combinação com outros sistemas de segurança, isto é,
incorporando um sistema híbrido de protecção.
Mas analisar a reputação permite ao utilizador avaliar por si mesmo este ou aquele
programa que acaba de descarregar da Internet. Vejamos alguns exemplos:
Outro programa “livre”, o PhotoScape (mais concretamente um programa de edição
fotográfica) é um dos 10 programas mais populares na página Cnet Downloads. Foi
descarregado e instalado por milhões de pessoas. A KSN confirma a reputação do
instalador do programa: confiaram nele mais de 100.000 participantes da rede, e
durante mais de um ano.
Utilizando o catálogo de aplicações descarregáveis da Cnet, tomaremos um exemplo
diferente, oposto: um programa que acaba de aparecer como disponível.
Página 6
A Kaspersky Security Network informa-nos correctamente que o programa apareceu na
rede há só umas horas. Muitos utentes já o executaram, mas a informação obtida até
agora é insuficiente para oferecer um veredicto fiável. Num caso como este, a cautela
nunca é demais. E aconselha-se aqui o uso de uma medida de precaução extra:
executar o programa em questão num meio totalmente “isolado” através do Kaspersky
Internet Security 2012. Para fazê-lo, o utilizador deverá seleccionar o modo “Safe Run”
dentro do menu que surge depois de clicar no ficheiro executável com o botão direito
do rato.
Página 7
Neste mesmo exemplo, um dia depois o número de instâncias do programa que foram
executadas aumentou (mostrando a enorme velocidade a que são actualizados os
dados na Kaspersky Security Network). O programa não foi reconhecido como
malicioso, mas os dados são ainda insuficientes para se ter uma total segurança sobre
a sua fiabilidade.
Aqui, o antivírus gratuito AVG Internet Security System, o mais descarregado no site da
Cnet, foi utilizado por menos de 1.000 utilizadores do KSN, o que é natural, dado que
utilizar mais de um antivírus num mesmo PC pode provocar problemas de
incompatibilidade e outros conflitos. E, da mesma maneira, a KSN reporta que esta
aplicação pode ser fiável, não se baseando na informação dos utilizadores, mas no
facto de a aplicação contar com um certificado digital.
Página 8
Este exemplo demonstra como se pode estar seguro de que a Kaspersky Security
Network também apresenta estatísticas actualizadas para os países onde um
verdadeiro programa é utilizado. Por exemplo, com o programa US AOL Instant
Messenger (AIM7), a KSN mostra correctamente que é utilizado sobretudo nos Estados
Unidos.
Página 9
Aqui, outro programa de mensagens instantâneas, o ICQ, é mostrado correctamente
como utilizado sobretudo na Rússia e países europeus.
E, finalmente, assim aparece mostrado o relatório de revisão de malware. A destacar
que o autor do código malicioso entrou confundindo a informação relativa ao nome da
aplicação e o seu desenvolvedor: o ficheiro tenta parecer-se com um programa
antivírus, mas, de facto, é uma das muitas versões de um Trojan da família TrojanSpy.Win32.Zbot, utilizado para roubar dados pessoais dos utilizadores.
Página 10
Conclusão
A função de revisão de reputação incluída nas versões 2012 do Kaspersky Internet
Security e do Kaspersky Antivírus permite uma revisão adicional dos programas antes
de estes serem executados. A participação na rede Kaspersky Security Network
significa que a revisão é conduzida automaticamente através da nuvem antes que se
execute um programa, ao mesmo tempo que se activam outros métodos de detecção
de malware em modo local no PC. Este uso simultâneo de vários sistemas de
protecção constitui uma abordagem “híbrida” que torna únicas as últimas versões dos
produtos da Kaspersky Lab, e assegura a máxima eficácia na protecção.
A nova função de revisão de reputação será particularmente interessante para os
utilizadores que preferem ter um controlo mais directo do seu computador, e receber a
informação mais recente sobre os novos programas. Os dados recebidos a partir da
KSN ajudam a identificar ficheiros suspeitos executados. Realizar uma revisão de
reputação pode ajudar tanto a comunidade de utilizadores da KSN como os
especialistas da Kaspersky Lab na sua luta contínua contra o malware, o que redunda,
por sua vez, num maior benefício para a comunidade.
Outros links de interesse:
www.securelist.com/en/analysis
www.kaspersky.com
Kaspersky Lab Newsroom
A Kaspersky Lab acaba de lançar a sua nova sala de imprensa online, denominada
Kaspersky Lab Newsroom Europe (http://newsroom.kaspersky.eu), para jornalistas
europeus. Esta sala de imprensa foi concebida para dar resposta a muitos dos pedidos
mais comuns por parte dos meios, com o objectivo de facilitar el acesso a informação
sobre produtos e informação corporativa, notícias e números, publicações, imagens,
ficheiros de áudio e vídeo, assim como detalhes sobre os contactos de imprensa.
Página 11