Kaspersky Article Kaspersky Security Network
Transcrição
Verificar a reputação dos ficheiros através da Kaspersky Security Network O sistema baseado em cloud Kaspersky Security Network (KSN), criado para reagir o mais rapidamente possível às novas ameaças que vão aparecendo, foi lançado em 2008, e desde então foi uma das tecnologias finque para a protecção do PC aplicada nos produtos Kaspersky. Dado que a velocidade com que aparece o novo código malicioso aumenta continuamente, e com a sua proliferação por todo mundo a ocorrer quase instantaneamente, é preciso claramente um mecanismo de reacção rápida para o combater de maneira eficaz. A principal distinção entre um sistema baseado em cloud e outros meios mais tradicionais de protecção do PC é que os utilizadores podem-se envolver e contribuir na luta contra o cibercrime. Uma vez instalados o Kaspersky Internet Security, Kaspersky Anti-Vírus ou Kaspersky PURE, os utilizadores podem participar na KSN, o que implica a transferência automática para a nuvem de diversos dados básicos dos programas que utilizam. Estes dados são completamente anónimos, mas permitem identificar novo software malicioso e notificar a todos os utilizadores dos programas da Kaspersky Lab praticamente em tempo real. Protecção mais rápida Há muitas formas de infectar os computadores com malware: através de e-mail, de páginas web, redes sociais, mensagens instantâneas ou dispositivos de armazenamento externo como pen drives USB. Na maioria dos casos, o utilizador não sabe se deve confiar num programa disponível para download. Como resposta, Kaspersky Lab criou um sistema baseado na cloud, a Kaspersky Security Network, que instantaneamente verifica a “reputação” dos ficheiros e procura as ameaças por todo o mundo, em tempo real. A seguir analisaremos como funciona exactamente. A informação básica de todos os ficheiros – sejam legítimos ou maliciosos – que estão a ser executados pelos utilizadores que participam na KSN é armazenada numa rede localizada “na nuvem”. Simultaneamente, a actividade dos programas é analisada de modo local através dos métodos de protecção regular do produto da Kaspersky Lab Página 1 instalado no PC: se o programa actua de maneira suspeita, por exemplo, tentando alterar os ficheiros do sistema ou obter acesso não autorizado a dados pessoais, é enviada para a “nuvem” uma mensagem sobre esta situação. Como resultado, o utilizador receberá uma mensagem com o veredicto final: perigoso ou não. Mas o que acontece se o programa for malicioso? Desde o princípio do ataque, o utilizador que tentar executar o programa estará protegido através de métodos proactivos. E os demais participantes da Kaspersky Security Network receberão rapidamente (numa questão de minutos) informação a respeito da nova ameaça através da interface do seu produto Kaspersky e serão avisados quando tentarem executar o programa no seu PC. Isto é bem mais rápido que os tempos de reacção dos programas antivírus tradicionais que apenas se baseiam em bases de dados de vírus, que podem precisar de várias horas para notificar automaticamente os utilizadores depois do início do ataque. A “nuvem”, em modo manual O sistema de segurança baseado na nuvem opera constantemente em modo automático (o utilizador normalmente nunca vê os resultados do seu trabalho). Em qualquer caso, nas versões 2012 do Kaspersky Internet Security e do Kaspersky Antivírus, a interacção com a nuvem tornou-se algo mais informativo. Agora, nestes programas existe uma janela especial (ver captura de ecrã mais abaixo) que oferece informação continuamente actualizada sobre as actividades da Kaspersky Security Network. Página 2 O utilizador tem, além disso, acesso a estatísticas da actividade das últimas 24 horas: no ecrã anterior, por exemplo, os produtos Kaspersky Lab neutralizaram mais de 11 milhões de ataques maliciosos contra mais de 1,5 milhões de utilizadores que fazem parte da KSN. Além disso, o sistema cloud pode ser agora utilizado de modo manual. Clicando com o botão direito do rato em qualquer ficheiro executável guardado num PC e seleccionando “Check reputation in KSN” no menu desdobrável, o utilizador pode comprovar a “reputação” de qualquer ficheiro executável no seu PC. Página 3 No ecrã superior podemos ver os resultados da revisão da reputação de um ficheiro de instalação do popular visualizador de gráficos IrfanView. Neste caso concreto, a KSN apresenta a seguinte informação: • O veredicto da nuvem sobre se a aplicação é fiável; • Uma aproximação do número de utilizadores na KSN que já executaram a aplicação; • A data aproximada em que a informação apareceu pela primeira vez na KSN; • Estatísticas sobre distribuição geográfica (por países) do uso do ficheiro por parte dos participantes na KSN; • Informação básica sobre o ficheiro: nome, criador, versão e tamanho. Analisemos agora a informação recebida. No exemplo superior, no momento em que se escreveu este artigo, a versão do programa era a 4.28. De acordo com a informação localizada no site do desenvolvedor, foi lançado a 16 de Dezembro de 2010. Mas de acordo com os dados da KSN, o ficheiro foi observado pela primeira vez na nuvem da KSN “há mais de um mês”. Isto evidencia que a informação sobre a “idade” de um programa é só aproximada, e isto é porque a Kaspersky Security Network não distingue entre as diferentes versões “oficiais”. Em vez disso, as estatísticas extraem- Página 4 se a partir da informação dos ficheiros de instalação. Pode haver muitas mais variantes destes tipos de ficheiros que das versões oficiais de um programa, e cada uma destas variantes pode ser constituída a partir da mais trivial das mudanças – não informada aos utilizadores, não mencionada no número de versão, mas detectada pela KSN. Em qualquer caso, se tomarmos uma versão prévia de IrfanView (a 4.27), lançada oficialmente em Maio de 2009, a KSN informa correctamente que o ficheiro apareceu pela primeira vez há mais de um ano (ver o ecrã inferior). As estatísticas mostram também que o IrfanView é utilizado sobretudo na Alemanha, o que é lógico, dado que o seu criador reside na Áustria e proporciona suporte continuado para o programa em alemão. Verificação de reputação: benefícios Suponhamos que um utilizador está a procurar trabalho, ou que quer comprar um novo produto, ou contratar os serviços de uma empresa. Provavelmente, este utilizador pedirá conselho aos seus amigos ou familiares. A recomendação de alguém em que ele confie pode condicionar o critério em que se baseie a sua decisão final. Pois bem, comprovar a reputação na Kaspersky Security Network é, de algum modo, similar, mas com maior amplitude: centenas de milhares de utilizadores por todo mundo recomendarão o programa ao utilizador, ou avisá-lo-ão que se mantenha afastado dele. Mas é importante recordar que o conselho de um amigo na vida real pode não ser Página 5 sempre fiável, apesar da sua boa intenção. Da mesma forma, a protecção baseada “na nuvem” é eficaz só em combinação com outros sistemas de segurança, isto é, incorporando um sistema híbrido de protecção. Mas analisar a reputação permite ao utilizador avaliar por si mesmo este ou aquele programa que acaba de descarregar da Internet. Vejamos alguns exemplos: Outro programa “livre”, o PhotoScape (mais concretamente um programa de edição fotográfica) é um dos 10 programas mais populares na página Cnet Downloads. Foi descarregado e instalado por milhões de pessoas. A KSN confirma a reputação do instalador do programa: confiaram nele mais de 100.000 participantes da rede, e durante mais de um ano. Utilizando o catálogo de aplicações descarregáveis da Cnet, tomaremos um exemplo diferente, oposto: um programa que acaba de aparecer como disponível. Página 6 A Kaspersky Security Network informa-nos correctamente que o programa apareceu na rede há só umas horas. Muitos utentes já o executaram, mas a informação obtida até agora é insuficiente para oferecer um veredicto fiável. Num caso como este, a cautela nunca é demais. E aconselha-se aqui o uso de uma medida de precaução extra: executar o programa em questão num meio totalmente “isolado” através do Kaspersky Internet Security 2012. Para fazê-lo, o utilizador deverá seleccionar o modo “Safe Run” dentro do menu que surge depois de clicar no ficheiro executável com o botão direito do rato. Página 7 Neste mesmo exemplo, um dia depois o número de instâncias do programa que foram executadas aumentou (mostrando a enorme velocidade a que são actualizados os dados na Kaspersky Security Network). O programa não foi reconhecido como malicioso, mas os dados são ainda insuficientes para se ter uma total segurança sobre a sua fiabilidade. Aqui, o antivírus gratuito AVG Internet Security System, o mais descarregado no site da Cnet, foi utilizado por menos de 1.000 utilizadores do KSN, o que é natural, dado que utilizar mais de um antivírus num mesmo PC pode provocar problemas de incompatibilidade e outros conflitos. E, da mesma maneira, a KSN reporta que esta aplicação pode ser fiável, não se baseando na informação dos utilizadores, mas no facto de a aplicação contar com um certificado digital. Página 8 Este exemplo demonstra como se pode estar seguro de que a Kaspersky Security Network também apresenta estatísticas actualizadas para os países onde um verdadeiro programa é utilizado. Por exemplo, com o programa US AOL Instant Messenger (AIM7), a KSN mostra correctamente que é utilizado sobretudo nos Estados Unidos. Página 9 Aqui, outro programa de mensagens instantâneas, o ICQ, é mostrado correctamente como utilizado sobretudo na Rússia e países europeus. E, finalmente, assim aparece mostrado o relatório de revisão de malware. A destacar que o autor do código malicioso entrou confundindo a informação relativa ao nome da aplicação e o seu desenvolvedor: o ficheiro tenta parecer-se com um programa antivírus, mas, de facto, é uma das muitas versões de um Trojan da família TrojanSpy.Win32.Zbot, utilizado para roubar dados pessoais dos utilizadores. Página 10 Conclusão A função de revisão de reputação incluída nas versões 2012 do Kaspersky Internet Security e do Kaspersky Antivírus permite uma revisão adicional dos programas antes de estes serem executados. A participação na rede Kaspersky Security Network significa que a revisão é conduzida automaticamente através da nuvem antes que se execute um programa, ao mesmo tempo que se activam outros métodos de detecção de malware em modo local no PC. Este uso simultâneo de vários sistemas de protecção constitui uma abordagem “híbrida” que torna únicas as últimas versões dos produtos da Kaspersky Lab, e assegura a máxima eficácia na protecção. A nova função de revisão de reputação será particularmente interessante para os utilizadores que preferem ter um controlo mais directo do seu computador, e receber a informação mais recente sobre os novos programas. Os dados recebidos a partir da KSN ajudam a identificar ficheiros suspeitos executados. Realizar uma revisão de reputação pode ajudar tanto a comunidade de utilizadores da KSN como os especialistas da Kaspersky Lab na sua luta contínua contra o malware, o que redunda, por sua vez, num maior benefício para a comunidade. Outros links de interesse: www.securelist.com/en/analysis www.kaspersky.com Kaspersky Lab Newsroom A Kaspersky Lab acaba de lançar a sua nova sala de imprensa online, denominada Kaspersky Lab Newsroom Europe (http://newsroom.kaspersky.eu), para jornalistas europeus. Esta sala de imprensa foi concebida para dar resposta a muitos dos pedidos mais comuns por parte dos meios, com o objectivo de facilitar el acesso a informação sobre produtos e informação corporativa, notícias e números, publicações, imagens, ficheiros de áudio e vídeo, assim como detalhes sobre os contactos de imprensa. Página 11
Documentos relacionados
ALERTA DE SEGURANÇA - Kaspersky Lab – Newsroom Europe.
- Geralmente as mensagens de e-mails maliciosas enviadas pelos cibercriminosos possuem muitos erros de grafia, em alguns casos também é possível identificá-las pelo uso do Português Brasileiro, esp...
Leia maisManual de Início Rápido
em: support.kaspersky.com. Contém respostas detalhadas a perguntas sobre como instalar, configurar e usar os produtos da Kaspersky Lab. • Minha Conta Kaspersky®, disponível em my.kaspersky.com. Pa...
Leia maisnão seja refém do ransomware
A Kaspersky Lab é a maior fabricante do mundo de capital fechado de soluções de proteção endpoint. A empresa está classificada entre as quatro melhores do mundo no quesito fornecedores de soluções ...
Leia maisKaspersky Lab Media Alert Virus Chupa Cabra
fácil e segura de roubar informações e clonar cartões de créditos. Dessa cooperação nasceu o “vírus chupa cabra”, que já atravessou o oceano e chegou à Europa. A ideia do vírus é simples: em vez de...
Leia maiskaspersky ddos protection
estabelecidos. A Kaspersky Lab e os seus parceiros podem prestar-lhe a ajuda de que necessita para o processo de configuração. Caso precise de uma solução completa, a Kaspersky Lab e os seus parcei...
Leia maisKaspersky Internet Security 2009 Special Edition for Ultra
Caro Utilizador do Kaspersky Internet Security 2009! Obrigado por escolher o nosso produto. Esperamos que esta documentação o ajude no seu trabalho e lhe forneça respostas relativamente a este pro...
Leia maisKaspersky Anti-Virus 2016
Obrigado por escolher o nosso produto. Esperamos que este documento auxilie o desempenho das suas funções e que forneça respostas relativamente a este produto de software. Atenção! Este documento é...
Leia maisKaspersky Internet Security 7.0
CAPÍTULO 8. ANTI-VÍRUS DE E-MAIL ..................................................................... 110 8.1. Seleccionar um nível de segurança de e-mail ............................................
Leia mais