Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 130, ОКТЯБРЬ 2009 г.

Облачные вычисления против вирусов. На что способен Norton Internet Security?

Степан "Step" Ильин (twitter.com/stepah)

Современные антивирусы все меньше полагаются на то, что раньше для них было святая святых, - сигнатурный анализ. Понимая беспомощность такого подхода против новых вирусов, аверы теперь все внимательнее смотрят, как ведет себя программа, а с недавнего времени используют для проверки и облачные вычисления. Что это дает и как работает, мы посмотрим на примере Norton Internet Security.

По правде говоря, когда я ехал на презентацию новых версий продуктов Norton, то относился к подобного рода релизам весьма скептически. Ведь что там можно показать? Антивирус, который по-прежнему также ищет вирусы, и файрвол, который все так же файрволит - причем проверить эффективность этих решений все-равно можно только в боевых условиях. В остальном - навороченный интерфейс с парой, по-настоящему нужных кнопок, "Запустить сканирование" и "Включить защиту", и целым набором бесполезных элементов, бестолковых по назначению, но зато радующих взгляд, заплативших за продукт пользователей. Но... ребята из Symantec'а меня по-настоящему удивили: я и представить не мог, что с таким интересом буду слушать об их новых подходах, которые они внедрили в своих антивирусах. Я не буду в этой статье говорить о том, насколько лучше или хуже по сравнению с другими продуктами работает Norton Antivirus/Norton Internet Security 2010 - это рассудит наше тестирование, которые мы вскоре проведем. А вместо этого хочу поделиться теперь и с тобой, насколько изворотливыми могут быть разработчики в поиске малвари.

Облачные вычисления

Говоря об облачных вычислениях можно подумать, что свой антивирус Symantec превратило в тонкий клиент, который отправляет через Инет файлы в облако и получает из него результаты проверки. Такая концепция хотя и хороша, но все-таки пока полноценно и в особенности в России неприменима. Поэтому интеграция с облаком реализована в качестве бонуса для вполне привычного антивирусного продукта в качестве дополнения к сигнатурному и эвристическому анализу. Одно из мест, куда интегрировано облако, - это непосредственно в процесс сканирования по запросу. Как это выглядит? Еще в 2009 версии появилась технология Pulse Update, подразумевающая обновления раз в 10 минут. Это небольшие обновления - размером всего в несколько килобайт.

Программа загружает их с небольшим интервалом и кажется, что сигнатуры всегда свежие, но это лишь условность. Обновляются-то они 10 минут, но что мы обновили 10 минут назад, это обнаружено лабораторией Symantec это, скорее всего, часа 3 назад. Процесс выпуска апдейта занимает достаточно долгое время. Симантек ни в коем случае не тупо добавляет сигнатуру и сразу выпускает обновление - так не делает никто. Обязательно должен пройти процесс тестирование. Поэтому даже при апдейтах раз в десять минут, мы имеем серьезный лаг в обновлениях. Что происходит сейчас, в 2010 версии, при сканировании по расписанию? При наличии интернета в момент старта обновления тут же запрашивается последние сигнатуры. Причем сканирование может идти час, и в этот час антивирус будет проверять наличие пульсовых обновлений и устанавливать их прямо в момент сканирования. Второе - это технология SONAR, которая раньше также была облачной, но интегрировалась с облаком в офлайн-режиме, теперь работает с сигнатурами. Т.е. не локально, а с теми, которые лежат в облаке. Сигнатуры SONAR обновляются ежеминутно, и они не требуют такого большого цикла тестирования.

Почему? Для этого хорошо бы вообще разобраться, что такое технология SONAR. Вся технология основывается на сигнатурах типа "сколько баллов выставлять, если приложение делает что-то". Если программа правит реестр, то это может быть опасно, поэтому прибавляются баллы к опасности, и т.д. Это идеология самого приложения: она смотрит на поведение программы и оценивает его. Один критерий говорит, что приложений хорошее, а другой - что оно плохое. В облаке SONAR'а находится огромная база таких сигнатур, и если у NIS есть доступ в Интернет, то работает он именно с облачными сигнатурами. Это не значит, что это требует какого-то внушительного объема трафика. Кто-то из пользователей во время тестирования посчитал, что примерно NIS постоянно подключенный к Инету тратит примерно 200 Кб. Понятно, запустившись в первый раз и начал обновление и скачку рейтингов приложения, трафику может уйти больше. Но во время последующей работы - 200-300 кб в день. Как видишь, это совсем не страшно.

Дальнейшая интеграция с облаком. Следующее, с чем интегрировано облако, - это технология спама. В 2010 версии разработчики отошли от привычной технологии, которая давно использовалась в продуктах к технологии Brightmail, которую Norton купила 6 лет назад. Технология достаточно тяжелая для домашних продуктов, поэтому процесс адаптации занял некоторое время. Надо понимать, что если в 2009 версии чего-то не было, а в 2010 продукте появилось - то это не значит, что процесс разработки занял ровно год. Brightmare - облачная технологии. Отправляется хеш письма в облако и спрашивается, никто ли не сказал кнопочкой что это спам. Если облако отвечает, что многие пользователи сказали, что это спам, то "это письмо с такой темой и таким хешем является спамом". Тоже самое с фишинговыми страницами - также работает по хешам. При заходе на странице ищет iframe, переадресации и в облаке запрашивает в облаке "никто ли не пожаловался, что эта страница является фишинговой".

Продвинутый установщик

Изменения с точки зрения установки. И 2009 и 2008 скачивалась с помощью Norton Download Manager, функциональность которого была ограничена. Все что он мог – это скачать свежий дистрибутив. Но так как это даунлоад менеджер, то хорошо бы она выполнять некоторые другие функции. Теперь появилась возможность остановки и докачки, но это не самое главная. Самая большая проблема всегда заключалась в том, что на сайте лежит самая последняя версия, но вышла она уже несколько месяцев назад. Пользователь скачивает дистрибутив, устанавливает, запускает Live Update и… загружает, как минимум, 40-50 Мб – базы-то за это время устарели. Если проходит месяц, то обновить базы инкерементально (т.е. закачав недостающую часть) уже невозможно – и пользователю приходится закачивать сразу всю базу.

Именно поэтому была изменена архитектура дистрибутива. Понятно, что перекомпилировать дистрибутив каждые две недели геморройно, поэтому все сделали хитрее. Теперь этот давнлоад менеджер скачивает дистрибутив продукта без баз, потом скачивает (он знает откуда) последнюю версию базы, и дальше их компилирует на локальной машине. На выходе получается готовый установочный файл, который в принципе можно размещать где угодно. Эдакий инсталлятор с замороженной базой. Единственный нюанс во время установки – это галочка, определяющая будешь ли ты участвовать в программе Norton Community Watch. Ставь ее! В этом случае ты сам будешь добавлять сигнатуры в облако и делать эту технологию более действенной (тем более ее всегда можно отключить). Впрочем, если не хочешь, обойдутся и без тебя – сейчас в базе облака лежит информацию почти о 65 миллионах файлов.

Вся установка занимает минуту-другую. Кстати говоря, Symantec всячески акцентирует внимание на скорость установки, а также время сканирования, объем занимаемой памяти и т.д., ссылаясь на независимые тестирования. Маркетинг-маркетингом, а ставится авер действительно практически моментально, а после запуска программа использует в системе всего 10 Мб оперативы. У каждого зарегистрированного пользователя – появляется учетка на сайте My Norton Accaunt. Это своего рода оличный кабинет, где можно управлять своими лицензиями.

Незаметная для пользователя работа

Если кликнут после запуска по надписи Norton Insight, то можнор увидеть, что на текущий момент в базе находится почти 65 миллиона файлов. Из них 51,5 миллиона считаются хорошими либо Симантек, либо сами пользователи. И почти 10 миллионов файлов заблокировано - т.е. при закачке будет предупреждение и т.д.

Norton Tasks - одно из окон, где можно просматривать текущее состояние загрузки процесса и памяти. Здесь же настраиваются те процессы, который работают в Idle-моде, т.е. в тот момент времени, когда ты не работаешь за компьютером. Если раньше у меня не раз выскакивало окошко "вы давно не сканировали систему, что может быть опас", то теперь сканирование всегда происходит абсолютно незаметно без меня. Впрочем, как мне сказали, такая фишка была еще в 2009 версии. По умолчанию во время бездействия пользователя выполняется обновления всех баз и сигнатур, а также выполняется быстрое сканирование Idle Quick Scan. При желании - возможно включить и полное сканирование системы.

Забавно, что после установки NIS ты даже не замечаешь, что это не только антивирус, но еще и файрвол. Дело в том, что для брандмауэра рулесы создаются автоматически: для этого в базе программы есть уже готовые настройки (какие порты открыть, где трафик пропускать, а где блокировать) для большинства известных программ. И только если залезть в историю активности NIS, то можно обнаружить в логах строки типа "Firewall rules were automatically created for x-lite".

Анализ изменений в системе

Теперь посмотрим на окно Performance. Раньше здесь отображалось только информация о том, что происходит с CPU и оперативкой в разрезе системы и в разрезе Norton’а. Нововведение в этой версии - технология Norton insight. На красивом графике отображается все, что происходило с компьютером в разрезе нескольких категорий. Для каждого дня отображается:

  • было установлено новое ПО;
  • файлы, которые мы скачали;
  • запускали ли мы оптимизацию;
  • были ли найдены какие-то вирусы или угрозы;
  • запускали ли мы полное/быстрое сканирование;
  • и т.д.

Все, абсолютно все, будет отображаться на этом графике (с момента установки продукта). Допустим, мы видим, что компьютер стал работать медленно сегодня, пользователь может посмотреть и понять, проследить, что же произошло. Тут же доступна функция «оптимизатор» - по сути, это обычная дефрагментация, но только загрузочного раздела. Несмотря на то, что NIS – это продукт по безопасности, в него заложена базовая функциональность по оптимизации.

Не сканируем то, чему доверяем.

Одна из важнейших нововведений новой версии NIS – так называемый рейтинг для приложений (Application rating), который работает напрямую с облаком. Т.е. для каждого приложение (exe, dll и другие pe-файлы) есть определенный уровень доверия (доверяется сообществом, проверен norton, непроверен) – и в зависимости от этого рейтинга крутится вся функциональность программы. Мы можем установить такое поведение программы, что она не будет проверять доверенные сообществом и Symantec'ом файлы – и в этом случае избежим сканирования большинства исполняемых бинарников на своей системе. Например, на моем ноубуке 84% процента таких файлов – проверенные, и сканировать их нет необходимости. Более того, если мы уже выполнили сканирования и выруса не нашли, то вероятно не стоит сканировать его впредь – это так же настраивается в Нортоне. Вообще весь подход, сильно завязана на технологию File insight, собирающую подробную информацию о файле. Что она показывает? Во-первых, есть ли у файла цифровая подпись. С какого момента он находится на компьютере? Когда последний раз использовался? Запускается ли автоматически? И помимо этой локальной информации, отображается информация из облака – сколько пользователей используют это приложение и какой у него уровень доверея.

Самая важная настройка - кому доверять? Norton trusted, Comunity trusted подразумевает доверие либо лаборатории Norton'а, либо компьюнити.
В случае High trust - доверяем и тому, и тому. File insight сделан для того чтобы показать, что произошло. В случае заражение, будет возможность посмотреть, что произошло перед этим – откуда он был скачен.

Если файла рейтинг с недоверием, то можно сказать что файлу доверяешь. Соответственно если много пользователей так скажут, то они ему доверяют, то он может стать доверенным. Замечу, именно может стать, а не становится моментально. Для того чтобы стать доверенным ему необходимо пройти через технологию SONAR (и этого может быть достаточно, даже без фидбека пользорвателей). Работает это примерно следующим образом. Если за месяц такой-то файл не сделал более двух подозрительных действий, но при этом обладает цифровой подписью, анисталятором и т.д., то через месяц Norton начинает ему доверять.

Существует так называемый список приоритезации. Если миллионы пользователей скачали файл adv2.exe, то в лаборатории его скачают в первую очередь, посмотрят и по результатам анализа добавят запись в облако. Получается, чем больше мы что-то скачиваем, тем быстрее это попадает на анализ. Сигнатурный анализ, производимый на локальной машине, при этом, само собой, никуда не девается.

Интеграция с браузером

Еще одна новинка продукта – технология Download insight. Пу своей сути, это больше дизайнерская технология, нежели функциональная. Она позволяет проверять каждый скачиваемый файл, запрашивая информацию облака. Если в облако передается информация о том, что этот файл скачало большое количество человек и SONAR не обнаружил ничего подозрительного, то с определенного момента другим пользователям уже при загрузке будет выдаваться информация о том, что файлу можно доверять.

Либо же наоборот – предупреждение о возможной опасности.Тут надо сказать, что все околобраузерные технологии Norton пока работают только с Internet Explorer'ом и Firefox. В том числе и технология Safe Web, которая в панели браузера отображается уровень доверия к просматриваемому сайту (красный, желтый, зеленый). Мне было интересно послушать специалиста Symantec, который рассказывал как работает эта технология изнутри. Есть достаточно мощный сервер, на котором запущено достаточно большое количество виртуальных машин. На виртуальной машине ставится непропатченный Windows XP, и эта виртуальная машина автоматически ходит на разные сайты. С чистой машины делается слепок. Далее допустим, виртуальная машина идет на xakep.ru и делается повторный слепок уже после посещения.

Делается сверка. Если с системой ничего не произошло, кроме обновления Temporary Internet Files (куписы, кэш и т.д.), то этот сайт чистый. Но если на компьютере окажется какой-то файл и даже, если антивирусных механизмы Symantec не обраружат в нем вирус, то сайт тут же отправляется на анализ в подозрении на атаку Drive By Download. После того как паук сходил на сайт, виртуальная машина пересоздается и далее аналогичным образом проверяет следующий сайт. Чем чаще на сайт происходит посещение пользователями продуктов Norton (статистика исключительно анонимна), тем выше он поднимается в очереди на сканирование. Причем сканирование осуществляется постоянно. Например, сайт Cnn.ocm сканируется каждый 6.5 секунд. Из других интеграций с браузером можно отметить – сохранение учетных записей для быстрого и безопасного логина. Примечательно, что контейнер с данными теперь можно перемещать с машины на машину.

DVD

На нашем диске ты найдешь полноценную версию Norton Internet Secirity 2010 с лицензией на 90 дней

INFO

Релиз Norton 360 запланирован на март-апрель 2011 года и будет включить в себя то, что уже есть в 2010 версии, и те фишки, которые разработчики успеют реализовать к этой версии

Содержание
загрузка...
Журнал Хакер #151Журнал Хакер #150Журнал Хакер #149Журнал Хакер #148Журнал Хакер #147Журнал Хакер #146Журнал Хакер #145Журнал Хакер #144Журнал Хакер #143Журнал Хакер #142Журнал Хакер #141Журнал Хакер #140Журнал Хакер #139Журнал Хакер #138Журнал Хакер #137Журнал Хакер #136Журнал Хакер #135Журнал Хакер #134Журнал Хакер #133Журнал Хакер #132Журнал Хакер #131Журнал Хакер #130Журнал Хакер #129Журнал Хакер #128Журнал Хакер #127Журнал Хакер #126Журнал Хакер #125Журнал Хакер #124Журнал Хакер #123Журнал Хакер #122Журнал Хакер #121Журнал Хакер #120Журнал Хакер #119Журнал Хакер #118Журнал Хакер #117Журнал Хакер #116Журнал Хакер #115Журнал Хакер #114Журнал Хакер #113Журнал Хакер #112Журнал Хакер #111Журнал Хакер #110Журнал Хакер #109Журнал Хакер #108Журнал Хакер #107Журнал Хакер #106Журнал Хакер #105Журнал Хакер #104Журнал Хакер #103Журнал Хакер #102Журнал Хакер #101Журнал Хакер #100Журнал Хакер #099Журнал Хакер #098Журнал Хакер #097Журнал Хакер #096Журнал Хакер #095Журнал Хакер #094Журнал Хакер #093Журнал Хакер #092Журнал Хакер #091Журнал Хакер #090Журнал Хакер #089Журнал Хакер #088Журнал Хакер #087Журнал Хакер #086Журнал Хакер #085Журнал Хакер #084Журнал Хакер #083Журнал Хакер #082Журнал Хакер #081Журнал Хакер #080Журнал Хакер #079Журнал Хакер #078Журнал Хакер #077Журнал Хакер #076Журнал Хакер #075Журнал Хакер #074Журнал Хакер #073Журнал Хакер #072Журнал Хакер #071Журнал Хакер #070Журнал Хакер #069Журнал Хакер #068Журнал Хакер #067Журнал Хакер #066Журнал Хакер #065Журнал Хакер #064Журнал Хакер #063Журнал Хакер #062Журнал Хакер #061Журнал Хакер #060Журнал Хакер #059Журнал Хакер #058Журнал Хакер #057Журнал Хакер #056Журнал Хакер #055Журнал Хакер #054Журнал Хакер #053Журнал Хакер #052Журнал Хакер #051Журнал Хакер #050Журнал Хакер #049Журнал Хакер #048Журнал Хакер #047Журнал Хакер #046Журнал Хакер #045Журнал Хакер #044Журнал Хакер #043Журнал Хакер #042Журнал Хакер #041Журнал Хакер #040Журнал Хакер #039Журнал Хакер #038Журнал Хакер #037Журнал Хакер #036Журнал Хакер #035Журнал Хакер #034Журнал Хакер #033Журнал Хакер #032Журнал Хакер #031Журнал Хакер #030Журнал Хакер #029Журнал Хакер #028Журнал Хакер #027Журнал Хакер #026Журнал Хакер #025Журнал Хакер #024Журнал Хакер #023Журнал Хакер #022Журнал Хакер #021Журнал Хакер #020Журнал Хакер #019Журнал Хакер #018Журнал Хакер #017Журнал Хакер #016Журнал Хакер #015Журнал Хакер #014Журнал Хакер #013Журнал Хакер #012Журнал Хакер #011Журнал Хакер #010Журнал Хакер #009Журнал Хакер #008Журнал Хакер #007Журнал Хакер #006Журнал Хакер #005Журнал Хакер #004Журнал Хакер #003Журнал Хакер #002Журнал Хакер #001