Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 130, ОКТЯБРЬ 2009 г.

Облачные вычисления против вирусов. На что способен Norton Internet Security?

Степан "Step" Ильин (twitter.com/stepah)

Современные антивирусы все меньше полагаются на то, что раньше для них было святая святых, - сигнатурный анализ. Понимая беспомощность такого подхода против новых вирусов, аверы теперь все внимательнее смотрят, как ведет себя программа, а с недавнего времени используют для проверки и облачные вычисления. Что это дает и как работает, мы посмотрим на примере Norton Internet Security.

По правде говоря, когда я ехал на презентацию новых версий продуктов Norton, то относился к подобного рода релизам весьма скептически. Ведь что там можно показать? Антивирус, который по-прежнему также ищет вирусы, и файрвол, который все так же файрволит - причем проверить эффективность этих решений все-равно можно только в боевых условиях. В остальном - навороченный интерфейс с парой, по-настоящему нужных кнопок, "Запустить сканирование" и "Включить защиту", и целым набором бесполезных элементов, бестолковых по назначению, но зато радующих взгляд, заплативших за продукт пользователей. Но... ребята из Symantec'а меня по-настоящему удивили: я и представить не мог, что с таким интересом буду слушать об их новых подходах, которые они внедрили в своих антивирусах. Я не буду в этой статье говорить о том, насколько лучше или хуже по сравнению с другими продуктами работает Norton Antivirus/Norton Internet Security 2010 - это рассудит наше тестирование, которые мы вскоре проведем. А вместо этого хочу поделиться теперь и с тобой, насколько изворотливыми могут быть разработчики в поиске малвари.

Облачные вычисления

Говоря об облачных вычислениях можно подумать, что свой антивирус Symantec превратило в тонкий клиент, который отправляет через Инет файлы в облако и получает из него результаты проверки. Такая концепция хотя и хороша, но все-таки пока полноценно и в особенности в России неприменима. Поэтому интеграция с облаком реализована в качестве бонуса для вполне привычного антивирусного продукта в качестве дополнения к сигнатурному и эвристическому анализу. Одно из мест, куда интегрировано облако, - это непосредственно в процесс сканирования по запросу. Как это выглядит? Еще в 2009 версии появилась технология Pulse Update, подразумевающая обновления раз в 10 минут. Это небольшие обновления - размером всего в несколько килобайт.

Программа загружает их с небольшим интервалом и кажется, что сигнатуры всегда свежие, но это лишь условность. Обновляются-то они 10 минут, но что мы обновили 10 минут назад, это обнаружено лабораторией Symantec это, скорее всего, часа 3 назад. Процесс выпуска апдейта занимает достаточно долгое время. Симантек ни в коем случае не тупо добавляет сигнатуру и сразу выпускает обновление - так не делает никто. Обязательно должен пройти процесс тестирование. Поэтому даже при апдейтах раз в десять минут, мы имеем серьезный лаг в обновлениях. Что происходит сейчас, в 2010 версии, при сканировании по расписанию? При наличии интернета в момент старта обновления тут же запрашивается последние сигнатуры. Причем сканирование может идти час, и в этот час антивирус будет проверять наличие пульсовых обновлений и устанавливать их прямо в момент сканирования. Второе - это технология SONAR, которая раньше также была облачной, но интегрировалась с облаком в офлайн-режиме, теперь работает с сигнатурами. Т.е. не локально, а с теми, которые лежат в облаке. Сигнатуры SONAR обновляются ежеминутно, и они не требуют такого большого цикла тестирования.

Почему? Для этого хорошо бы вообще разобраться, что такое технология SONAR. Вся технология основывается на сигнатурах типа "сколько баллов выставлять, если приложение делает что-то". Если программа правит реестр, то это может быть опасно, поэтому прибавляются баллы к опасности, и т.д. Это идеология самого приложения: она смотрит на поведение программы и оценивает его. Один критерий говорит, что приложений хорошее, а другой - что оно плохое. В облаке SONAR'а находится огромная база таких сигнатур, и если у NIS есть доступ в Интернет, то работает он именно с облачными сигнатурами. Это не значит, что это требует какого-то внушительного объема трафика. Кто-то из пользователей во время тестирования посчитал, что примерно NIS постоянно подключенный к Инету тратит примерно 200 Кб. Понятно, запустившись в первый раз и начал обновление и скачку рейтингов приложения, трафику может уйти больше. Но во время последующей работы - 200-300 кб в день. Как видишь, это совсем не страшно.

Дальнейшая интеграция с облаком. Следующее, с чем интегрировано облако, - это технология спама. В 2010 версии разработчики отошли от привычной технологии, которая давно использовалась в продуктах к технологии Brightmail, которую Norton купила 6 лет назад. Технология достаточно тяжелая для домашних продуктов, поэтому процесс адаптации занял некоторое время. Надо понимать, что если в 2009 версии чего-то не было, а в 2010 продукте появилось - то это не значит, что процесс разработки занял ровно год. Brightmare - облачная технологии. Отправляется хеш письма в облако и спрашивается, никто ли не сказал кнопочкой что это спам. Если облако отвечает, что многие пользователи сказали, что это спам, то "это письмо с такой темой и таким хешем является спамом". Тоже самое с фишинговыми страницами - также работает по хешам. При заходе на странице ищет iframe, переадресации и в облаке запрашивает в облаке "никто ли не пожаловался, что эта страница является фишинговой".

Продвинутый установщик

Изменения с точки зрения установки. И 2009 и 2008 скачивалась с помощью Norton Download Manager, функциональность которого была ограничена. Все что он мог – это скачать свежий дистрибутив. Но так как это даунлоад менеджер, то хорошо бы она выполнять некоторые другие функции. Теперь появилась возможность остановки и докачки, но это не самое главная. Самая большая проблема всегда заключалась в том, что на сайте лежит самая последняя версия, но вышла она уже несколько месяцев назад. Пользователь скачивает дистрибутив, устанавливает, запускает Live Update и… загружает, как минимум, 40-50 Мб – базы-то за это время устарели. Если проходит месяц, то обновить базы инкерементально (т.е. закачав недостающую часть) уже невозможно – и пользователю приходится закачивать сразу всю базу.

Именно поэтому была изменена архитектура дистрибутива. Понятно, что перекомпилировать дистрибутив каждые две недели геморройно, поэтому все сделали хитрее. Теперь этот давнлоад менеджер скачивает дистрибутив продукта без баз, потом скачивает (он знает откуда) последнюю версию базы, и дальше их компилирует на локальной машине. На выходе получается готовый установочный файл, который в принципе можно размещать где угодно. Эдакий инсталлятор с замороженной базой. Единственный нюанс во время установки – это галочка, определяющая будешь ли ты участвовать в программе Norton Community Watch. Ставь ее! В этом случае ты сам будешь добавлять сигнатуры в облако и делать эту технологию более действенной (тем более ее всегда можно отключить). Впрочем, если не хочешь, обойдутся и без тебя – сейчас в базе облака лежит информацию почти о 65 миллионах файлов.

Вся установка занимает минуту-другую. Кстати говоря, Symantec всячески акцентирует внимание на скорость установки, а также время сканирования, объем занимаемой памяти и т.д., ссылаясь на независимые тестирования. Маркетинг-маркетингом, а ставится авер действительно практически моментально, а после запуска программа использует в системе всего 10 Мб оперативы. У каждого зарегистрированного пользователя – появляется учетка на сайте My Norton Accaunt. Это своего рода оличный кабинет, где можно управлять своими лицензиями.

Незаметная для пользователя работа

Если кликнут после запуска по надписи Norton Insight, то можнор увидеть, что на текущий момент в базе находится почти 65 миллиона файлов. Из них 51,5 миллиона считаются хорошими либо Симантек, либо сами пользователи. И почти 10 миллионов файлов заблокировано - т.е. при закачке будет предупреждение и т.д.

Norton Tasks - одно из окон, где можно просматривать текущее состояние загрузки процесса и памяти. Здесь же настраиваются те процессы, который работают в Idle-моде, т.е. в тот момент времени, когда ты не работаешь за компьютером. Если раньше у меня не раз выскакивало окошко "вы давно не сканировали систему, что может быть опас", то теперь сканирование всегда происходит абсолютно незаметно без меня. Впрочем, как мне сказали, такая фишка была еще в 2009 версии. По умолчанию во время бездействия пользователя выполняется обновления всех баз и сигнатур, а также выполняется быстрое сканирование Idle Quick Scan. При желании - возможно включить и полное сканирование системы.

Забавно, что после установки NIS ты даже не замечаешь, что это не только антивирус, но еще и файрвол. Дело в том, что для брандмауэра рулесы создаются автоматически: для этого в базе программы есть уже готовые настройки (какие порты открыть, где трафик пропускать, а где блокировать) для большинства известных программ. И только если залезть в историю активности NIS, то можно обнаружить в логах строки типа "Firewall rules were automatically created for x-lite".

Анализ изменений в системе

Теперь посмотрим на окно Performance. Раньше здесь отображалось только информация о том, что происходит с CPU и оперативкой в разрезе системы и в разрезе Norton’а. Нововведение в этой версии - технология Norton insight. На красивом графике отображается все, что происходило с компьютером в разрезе нескольких категорий. Для каждого дня отображается:

  • было установлено новое ПО;
  • файлы, которые мы скачали;
  • запускали ли мы оптимизацию;
  • были ли найдены какие-то вирусы или угрозы;
  • запускали ли мы полное/быстрое сканирование;
  • и т.д.

Все, абсолютно все, будет отображаться на этом графике (с момента установки продукта). Допустим, мы видим, что компьютер стал работать медленно сегодня, пользователь может посмотреть и понять, проследить, что же произошло. Тут же доступна функция «оптимизатор» - по сути, это обычная дефрагментация, но только загрузочного раздела. Несмотря на то, что NIS – это продукт по безопасности, в него заложена базовая функциональность по оптимизации.

Не сканируем то, чему доверяем.

Одна из важнейших нововведений новой версии NIS – так называемый рейтинг для приложений (Application rating), который работает напрямую с облаком. Т.е. для каждого приложение (exe, dll и другие pe-файлы) есть определенный уровень доверия (доверяется сообществом, проверен norton, непроверен) – и в зависимости от этого рейтинга крутится вся функциональность программы. Мы можем установить такое поведение программы, что она не будет проверять доверенные сообществом и Symantec'ом файлы – и в этом случае избежим сканирования большинства исполняемых бинарников на своей системе. Например, на моем ноубуке 84% процента таких файлов – проверенные, и сканировать их нет необходимости. Более того, если мы уже выполнили сканирования и выруса не нашли, то вероятно не стоит сканировать его впредь – это так же настраивается в Нортоне. Вообще весь подход, сильно завязана на технологию File insight, собирающую подробную информацию о файле. Что она показывает? Во-первых, есть ли у файла цифровая подпись. С какого момента он находится на компьютере? Когда последний раз использовался? Запускается ли автоматически? И помимо этой локальной информации, отображается информация из облака – сколько пользователей используют это приложение и какой у него уровень доверея.

Самая важная настройка - кому доверять? Norton trusted, Comunity trusted подразумевает доверие либо лаборатории Norton'а, либо компьюнити.
В случае High trust - доверяем и тому, и тому. File insight сделан для того чтобы показать, что произошло. В случае заражение, будет возможность посмотреть, что произошло перед этим – откуда он был скачен.

Если файла рейтинг с недоверием, то можно сказать что файлу доверяешь. Соответственно если много пользователей так скажут, то они ему доверяют, то он может стать доверенным. Замечу, именно может стать, а не становится моментально. Для того чтобы стать доверенным ему необходимо пройти через технологию SONAR (и этого может быть достаточно, даже без фидбека пользорвателей). Работает это примерно следующим образом. Если за месяц такой-то файл не сделал более двух подозрительных действий, но при этом обладает цифровой подписью, анисталятором и т.д., то через месяц Norton начинает ему доверять.

Существует так называемый список приоритезации. Если миллионы пользователей скачали файл adv2.exe, то в лаборатории его скачают в первую очередь, посмотрят и по результатам анализа добавят запись в облако. Получается, чем больше мы что-то скачиваем, тем быстрее это попадает на анализ. Сигнатурный анализ, производимый на локальной машине, при этом, само собой, никуда не девается.

Интеграция с браузером

Еще одна новинка продукта – технология Download insight. Пу своей сути, это больше дизайнерская технология, нежели функциональная. Она позволяет проверять каждый скачиваемый файл, запрашивая информацию облака. Если в облако передается информация о том, что этот файл скачало большое количество человек и SONAR не обнаружил ничего подозрительного, то с определенного момента другим пользователям уже при загрузке будет выдаваться информация о том, что файлу можно доверять.

Либо же наоборот – предупреждение о возможной опасности. Тут надо сказать, что все околобраузерные технологии Norton пока работают только с Internet Explorer'ом и Firefox. В том числе и технология Safe Web, которая в панели браузера отображается уровень доверия к просматриваемому сайту (красный, желтый, зеленый). Мне было интересно послушать специалиста Symantec, который рассказывал как работает эта технология изнутри. Есть достаточно мощный сервер, на котором запущено достаточно большое количество виртуальных машин. На виртуальной машине ставится непропатченный Windows XP, и эта виртуальная машина автоматически ходит на разные сайты. С чистой машины делается слепок. Далее допустим, виртуальная машина идет на xakep.ru и делается повторный слепок уже после посещения.

Делается сверка. Если с системой ничего не произошло, кроме обновления Temporary Internet Files (куписы, кэш и т.д.), то этот сайт чистый. Но если на компьютере окажется какой-то файл и даже, если антивирусных механизмы Symantec не обраружат в нем вирус, то сайт тут же отправляется на анализ в подозрении на атаку Drive By Download. После того как паук сходил на сайт, виртуальная машина пересоздается и далее аналогичным образом проверяет следующий сайт. Чем чаще на сайт происходит посещение пользователями продуктов Norton (статистика исключительно анонимна), тем выше он поднимается в очереди на сканирование. Причем сканирование осуществляется постоянно. Например, сайт Cnn.ocm сканируется каждый 6.5 секунд. Из других интеграций с браузером можно отметить – сохранение учетных записей для быстрого и безопасного логина. Примечательно, что контейнер с данными теперь можно перемещать с машины на машину.

DVD

На нашем диске ты найдешь полноценную версию Norton Internet Secirity 2010 с лицензией на 90 дней

INFO

Релиз Norton 360 запланирован на март-апрель 2011 года и будет включить в себя то, что уже есть в 2010 версии, и те фишки, которые разработчики успеют реализовать к этой версии

Содержание
ttfb: 10.401964187622 ms