Software de Telecomunicações Ferramentas de protecção

Software de Telecomunicações
Ferramentas de protecção
Prof RG Crespo
Software de Telecomunicações
Protecção : 1/15
Detecção de virus (1)
• No mercado existem programas dedicado à detecção e
erradicação de virus (McAfee, Synmatec..), que vamos
referir por AVs.
• Há problemas na taxas de sucesso na detecção e
probabilidade de falsas detecções.
• As 3 estratégias mais adoptadas na detecção são:
– Aparência: pesquisa código com grande probabilidade de não
existir noutros programas.
– Comportamento: monitoriza sistema para encontrar acções
dúbias.
– Alteração: compara atributos chave.
Prof RG Crespo
Software de Telecomunicações
Protecção : 2/15
Detecção de virus (2)
A. Detecção por aparência
• Identificação de “scan strings” de virus previamente
detectados.
• As tabelas do AV (designado por “scanner”) devem ser
periodicamente actualizadas.
• Apear de serem os menos efectivos, acabam por serem
obtidos os melhores resultados (por obrigar o utilizar a
actualizar as tabelas das “scan strings”)
•
Há 3 medidas de fuga à detecção e contra-resposta
Prof RG Crespo
Software de Telecomunicações
Protecção : 3/15
Detecção de virus (3)
1. Fuga: cifra, com chaves limitadas, que obrigaria o AV
ter de decifrar todas as hipóteses (logo, mais pesado).
Contra-resposta: a rotina de cifra pode ser usada como
“scan string”!
2. Fuga: polimorfismo, em que o código possui vários
métodos de cifra sendo substituido sucessivamente o
código aberto.
O DAME é uma ferramenta de apoio ao polimorfismo.
Inconveniente: o virus é muito maior (ex: o Whale, com
10KB, possui 33 alternativas). O efeito nos AV é apenas
aumentar as tabelas das “scan strings”.
Prof RG Crespo
Software de Telecomunicações
Protecção : 4/15
Detecção de virus (4)
3. Fuga: mutação, substituindo instruções por outras
equivalentes (ex: MOV AX,0 por SUB AX,AX ou XOR
AX,AX).
Contra-resposta: os AVs possuem tabelas de substituição
durante a pesquisa e todas as alternativas são comparadas
(logo, mais pesado).
Prof RG Crespo
Software de Telecomunicações
Protecção : 5/15
Detecção de virus (5)
B. Detecção por comportamento
• Um programa, virus ou não, ao pretender executar INT
sob vigilância (ex: abrir ficheiros .COM ou .EXE em
modo de escrita), leva o interceptador obter autorização
para prosseguir.
1. Fuga: curto-circuito , o virus chama directamente as
funções sob vigilância.
Prof RG Crespo
Software de Telecomunicações
Protecção : 6/15
Detecção de virus (6)
C. Detecção por alteração
• Na versão mais simples, os virus alteram o comprimento
do ficheiro infectado, pelo que bastaria o AV verificar
este atributo.
Problema: versões, legítimas, alteram também o
comprimento dos programas. Solução: “checksum”
como atributo (a soma de todos os Bytes do programa
com o “checksum” deve dar 0).
Prof RG Crespo
Software de Telecomunicações
Protecção : 7/15
Regras básicas para evitar virus!
•
•
•
•
Não abrir email “estranhos”
Desconfiar de sites gratuitos
Instalar programas apenas de vendedores seguros
Configurar bloqueador “popup” no navegador (Firefox,
IE, Google Toolbar)
• Usar e manter actualizado um AV
– MacAfee, disponível no Instituto Superior Técnico
– Actualizar periodicamente definições de virus (melhor ainda,
configurar Live update)
Prof RG Crespo
Software de Telecomunicações
Protecção : 8/15
McAfee VirusScan Enterprise 8.0 (1)
Curiosidade, não faz parte da avaliação
•
•
IST subscreveu licença de campus, sendo carregado a
partir de https://delta.ist.utl.pt/software/software.php
Versões:
i.
Gestão centralizada, para computadores fixos: actualização feita
por servidor do CIIST (mais
rápida)
ii. Gestão individual, para
portáteis
•
Passos na instalação:
1. “Dowload” em Administrator
Executar instalação imediatamente
Guardar ficheiro de instalação, correr posteriormente
Prof RG Crespo
Software de Telecomunicações
Protecção : 9/15
McAfee VirusScan Enterprise 8.0 (2)
Curiosidade, não faz parte da avaliação
• Passos de instalação
listados numa nova
janela.
2. Executar “restart” do computador
Prof RG Crespo
Software de Telecomunicações
Protecção : 10/15
McAfee VirusScan Enterprise 8.0 (3)
Curiosidade, não faz parte da avaliação
• Configuração e comandos do AV efectuados com a tecla
direita do rato por cima do ícon mostrado na barra de
tarefas.
Prof RG Crespo
Software de Telecomunicações
Protecção : 11/15
McAfee VirusScan Enterprise 8.0 (4)
Curiosidade, não faz parte da avaliação
3. Depois de instalado
o McAfee, verificar
(“scan”) ficheiros
pelo comando
On-Demand Scan…
Nota: operação demora,
tipicamente, meia hora.
Prof RG Crespo
Software de Telecomunicações
Protecção : 12/15
McAfee VirusScan Enterprise 8.0 (5)
Curiosidade, não faz parte da avaliação
• Na pesquisa são indicados os ficheiros infectados.
Prof RG Crespo
Software de Telecomunicações
Protecção : 13/15
McAfee VirusScan Enterprise 8.0 (6)
Curiosidade, não faz parte da avaliação
• Acção executada sobre
ficheiros afectados
configurada na caixa
Properties.
Prof RG Crespo
Software de Telecomunicações
Protecção : 14/15
McAfee VirusScan Enterprise 8.0 (7)
Curiosidade, não faz parte da avaliação
• McAfee disponibiliza site com informação sobre virus/
vermes/ spyware em http://vil.nai.com/vil/ contendo
– Quadro informativo (data de descoberta, origem, espaço ocupado,
tipo,…)
– Características
– Sintomas e método de infecção
– Instruções de eliminação
– Variantes e aliases
Prof RG Crespo
Software de Telecomunicações
Protecção : 15/15