Тест HIPS-компонент антивирусов

[Сергей Ильин 1538]

Коллеги!

Есть еще одна креативная идея :-) Проактивные технологии не заканчиваются только эвристикой, как это не раз обсуждалось, поэтому было бы здорово сделать такой тест антивирусов, по результатам которого можно было бы сравнить возможности и эффективность работы HIPS-компонент (проактивных средст детектирования и предотвращения вторжений).

Например, многие постоянно хвалят Антивирус Касперского 6.0, мол их проактивная способна успешно детектировать почти 100% новых угроз, но о наличии у себя HIPS-компоненты заявляют почти все вендоры. Чтобы узнать, чьи технологии работают лучше, я и хочу сделать данный тест.

Если ли какие-то идеи на этот счет, может уже кто-то проводил подобное?

[Илья Рабинович 521]

1. IDS к проактивным средствам относить нельзя ибо они основаны на сигнатурах

2. Почему только антивирусы? Как раз наоборот- логично сравнивать интегрированные технологии и отдельные продукты на эффективность и удобство использования!

3. Сразу скажу, что с выработкой методологии будут большие проблемы. Тут два пути:

а) Брать реальные зловреды в количестве Х штук и прогонять каждый на отдельной машине с отдельным HIPS (так делал Андреас Клементи).

б) Выработать набор тестов (типа как leak-tests для файеров) и работать уже с ними.

4. Ну и главное - время. По трудозатратам оно будет посложнее стандартных тестов на детект (типа, из коллекции в Х зловредов найдено Y, ура - продукт Z победил!). Отдельные машины под каждую HIPS, запуск зловредов руками, наблюдение фифектов фикции (ложняки на expert HIPS,к примеру)и прочие вещи.

[Сергей Ильин 1538]

1. IDS к проактивным средствам относить нельзя ибо они основаны на сигнатурах

Но с другой стороны IDS может детектировать еще неизвестный вредоносный код или новую модификацию по поведению. HIPS же почти всегда относят к проактивным методам.

а) Брать реальные зловреды в количестве Х штук и прогонять каждый на отдельной машине с отдельным HIPS (так делал Андреас Клементи).

Что если взять актуальные на настоящий момент экспойты, выбрать их в соответствии с определенными критерями, например:

1. активность угрозы

2. опасность эксплойта

3. широта использования

4. Ну и главное - время. По трудозатратам оно будет посложнее стандартных тестов на детект (типа, из коллекции в Х зловредов найдено Y, ура - продукт Z победил!). Отдельные машины под каждую HIPS, запуск зловредов руками, наблюдение фифектов фикции (ложняки на expert HIPS,к примеру)и прочие вещи.

Согласен, нужно будет включитьв тест и некоторые специализированные продукты. По времени все равно такой тест будет менее трудоемкий, чем тот, который я делал по активному заражению.

[Николай Головко 70]

Коллега, IDS - не проактивная, а реактивная система... Отдельно следует решить, будете ли вы тестировать IPS-продукты или компоненты.

[Maxim 0]

их кстати по типам еще масса вы определитесь что вы хотите тестировать http://en.wikipedia.org/wiki/Intrusion-detection_system ?

[Сергей Ильин 1538]

Коллега, IDS - не проактивная, а реактивная система... Отдельно следует решить, будете ли вы тестировать IPS-продукты или компоненты.

Я в заголовке темы написал IDS/IPS, так как часто грань между этими двумя вещами стирается, часто в описании продуктов так и пишут через слэшь. Если я что-то неверно написал, прошу меня поправить.

их кстати по типам еще масса Smile вы определитесь что вы хотите тестировать

Я лично веду речь о Host-based Intrusion Prevention System, которая IMHO относится к проактивным технологиям и встраивается в современные персональные антивирусные продукты.

[Inkogn 0]

...было бы здорово сделать такой тест антивирусов, по результатам которого можно было бы сравнить возможности и эффективность работы ...проактивных средст детектирования и предотвращения вторжений.

Да,будет чему удивляться,я думаю.Тестировать тем путём,каким заражаются,а как ещё?Для тестов против профи"писателей" нужны профитестеры + то,что им надо.Здесь можно поискать проведённые кем-то профитесты и добавить свои,которые все поймут.А прогонять почему нельзя на одной машине,если потом Image исходной ОС переписывать назад?Где взять каждой проге комп и параллельно сравнивать?

Сравнивать и оценивать так же надо,кем надо быть (домохозяйка(ин),инсталлирую Виндовс сам(а) со всеми настройками,...и т.д. или простопобалльная шкала),что бы высокий уровень защиты данной прогой смочь иметь,кроме оценок по другим пунктам.

[Сергей Ильин 1538]

А прогонять почему нельзя на одной машине,если потом Image исходной ОС переписывать назад?Где взять каждой проге комп и параллельно сравнивать?

На вируальных машинах можно все это сделать, для каждого антивируса будет отдельная машина.

Сравнивать и оценивать так же надо,кем надо быть (домохозяйка(ин),инсталлирую Виндовс сам(а) со всеми настройками,...и т.д. или простопобалльная шкала),что бы высокий уровень защиты данной прогой смочь иметь,кроме оценок по другим пунктам.

Если после запуска эксплойта будет детектировано вредоносное поведение и выведен алерт, то антивирусу будет засчитываться плюс.

[Ego1st 95]

Если после запуска эксплойта будет детектировано вредоносное поведение и выведен алерт, то антивирусу будет засчитываться плюс.

а не нужен ли для этого сплоит мало известный? потому что какие-то действие могут и не IDS/IPS блокироваться..

[Николай Головко 70]

Я в заголовке темы написал IDS/IPS, так как часто грань между этими двумя вещами стирается, часто в описании продуктов так и пишут через слэшь. Если я что-то неверно написал, прошу меня поправить.

http://www.webopedia.com/TERM/i/intrusion_...ion_system.html У нас принято понимать под IDS набор сигнатур брандмауэра, который он использует для определения сетевых атак. Проактивность здесь вообще не при чем. IPS также не всегда то же самое, что HIPS. Предлагаю говорить о тестировании HIPS-компонентов и продуктов.

[Сергей Ильин 1538]

а не нужен ли для этого сплоит мало который неизвестен?

Будем брать свежие экспойты, незакрытые.

говорить о тестировании HIPS-компонентов и продуктов.

Согласен :-) С терминологией разобрались вроде.

[Иван 290]

насчет свежих понятно, ну почему только не закрытые?

мне кажется достаточно тока свежих, т.к. даже если те же микрософты закрыли дырку, а продукт тестируемый сигнатуру в свою IDS компоненту так и не за сунул, то это аргумент в пользу выкинуть такой продукт на помойку

Добавлено спустя 4 минуты 26 секунд:

да и потом опять же к вопросу о проактивности

я так и не понял, что в итоге тестировать собираетесь?

т.е. если на примере KIS брать то тестироваться будет:

- IDS Компонента не имеющая никаокго отношения к проактивности

- PDM

-или все вместе? но тогда мне не очень понятно как...

[Ego1st 95]

я вот тоже малость не представляю как это всё будет проводиться..

[Илья Рабинович 521]

Так, господа хорошие! Разруха начинается не с сортиров...

1. IDS==IPS, это реактивная защита, основанная на сигнатурах. Ни о какой проактивности тут не может быть и речи.

2. Если же речь идёт о проактивности, то здесь два варианта:

а) эвристик.

б) HIPS.

Других нет и быть не может (пока, во всяком случае).

Обращает также на себя внимание то, что системы превентивной защиты не занимаются блокированием эксплойтов- это работа специализированных hardening tools. Программы проактивной защиты занимаются блокированием последствий _успешной_ работы эксплойтов.

Если речь идёт о HIPS, то у нас есть три основные вида продуктов: classical HIPS, sandbox HIPS, expert HIPS.

Classical выбрасывают окна на каждом подозрительном движении процесса и ждут реакции пользователя, sandbox ограничивают набор недоверенных процессов в их действиях и не используют окон с вопросами к пользователю вообще, expert анализируют последовательность действий для выбрасывая окна с вопросом пользователю. Так что от некоторых HIPS-продуктов алерта можно не дождаться никогда в жизни- они так работают.

Так что советую понять, что именно будет тестироваться, после этого, основываясь на спецификациях продуктов понять, как именно это будет тестироваться и выполнить тест.

[Inkogn 0]

На вируальных машинах можно все это сделать, для каждого антивируса будет отдельная машина.

Я переделывал Виндовс прогой nLite.На виртуалке при тесте он "прошёл",реальная же не акцептировала мой активирующий ключ.В большинстве тесты на виртуалке соответствуют реальности,но не всегда.Искажение может оказаться роковым для продукта,поэтому подчеркнуть,что тесты на виртуалке проводились и что в редких случаях на реальной машине может быть другая реакция.Особенно,если автор оспорит,что на реальной машине данная версия так себя в некоем спорном случае не ведёт,как в тесте на виртуалке.

я так и не понял, что в итоге тестировать собираетесь?

Да,к тестам "простых" антивирустехнологий уже все привыкли.Нету доходчивых тестов,где тестируются технологии,расчитанные на предотвращение вредительных последствий от "в лицо" неизвестных.Я бы сигнатурные технологии исключил,а в направлении HIPS,проактивка и подобное.

Если после запуска эксплойта будет детектировано вредоносное поведение и выведен алерт, то антивирусу будет засчитываться плюс.

В таком случае,что бы не обмануть домохозяек,нужно оценивать,какой нужно иметь уровень знаний,что бы правильно ответить,без фолсов.Так как к проге не прилагается тестер,который говорит:"это окошко от вируса(запрети),а то от нужной проги(разреши)".Не обойдёшся без оценки,насколько просто/сложно или безхлопотно/лучшевыключу можно тестируемой прогой высокий уровень защиты иметь.

[Inkogn 0]

Здесь ( http://www.pc-st.com ) находится нам известная тестпрога,тестирущая и несигнатурную защиту.Авторы этой проги имеют АВ,который,судя по описанию, ( http://www.viruskeeper.com/us/info_moteur.htm ,там можно язык на другой иностранный выбрать)) вполне может с KIS сравниться.Почему-то не находятся тесты этой проги.Я хотел сказать,что нужно и её включить,если будем тестировать механизмы защиты от нанесения вреда "неизвестными" вирусами и пр.

[Иван 290]

К вопросу по IDS, вот статья ЛКашного спеца. Кстати моего тезки.

Технологии обнаружения вторжений

Автор: Иван Голенков, Источник: Byte/Россия

Дата: 20 февраля 2007 г.

Иван Голенков, аналитик сетевых атак "Лаборатории Касперского"

Системы обнаружения вторжений, их классификация и требования к ним.

В настоящее время большинство производителей программных средств защиты для домашних и корпоративных пользователей предлагают интегрированные решения, куда включены такие компоненты, как антивирус, антиспам, проактивный модуль и межсетевой экран, в сочетании со встроенной системой обнаружения вторжений (СОВ, или Intrusion Detection System, IDS*). В данной статье мы остановимся на системах обнаружения вторжений, заглянув поглубже на "кухню" сетевой защиты.

Общие сведения

Необходимость в IDS возникла еще в те далекие времена, когда Интернет (в ту пору ARPAnet) вышел за пределы военных и исследовательских институтов США и постепенно начал превращаться в столь же привычный инструмент, как телефон. Привилегированный доступ специалистов и ученых к стратегически важным объектам сети уступил место масштабному и практически неконтролируемому подключению случайных людей. Разумеется, первые практические наработки в области IDS появились гораздо позже, чуть более двух десятилетий назад, и заметно уступали по функциональности современным аналогам. Основополагающими документами при их построении считаются труды Джеймса Андерсона "Мониторинг угроз компьютерной безопасности" и Дороти Деннинг "О модели обнаружения вторжения" (опубликованы в 1980-х гг.).

* Intrusion Detection System, IDS - программное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо нарушения их нормального функционирования и иных попыток взлома.

На сегодняшний день IDS принято классифицировать по нескольким параметрам, к числу которых относятся способ сбора информации, метод анализа информации и способ реагирования на угрозы.

Способ сбора информации

По способу сбора информации (перехвату сетевого трафика) системы обнаружения вторжений делят на два типа: host-based IDS (хостовая, или локальная) и network-based IDS (сетевая). Оба типа имеют свои особенности, определяющие в конечном счете всю архитектуру системы IDS. Здесь необходимо упомянуть следующие их принципиальные различия:

• хостовая IDS теоретически может работать с любым типом трафика, включая изначально зашифрованный;

• сетевая IDS не использует ресурсы процессора и память защищаемого объекта.

Исходя из того, что в гетерогенной сети с высокой вероятностью могут присутствовать клиенты с различными ОС, заметным минусом сетевой IDS становится потенциальная уязвимость к атакам, учитывающим особенности реализации различных TCP/IP-стеков, например, при обработке фрагментированно-го сетевого трафика. Известно несколько разновидностей таких атак.

Fragmentation Reassembly Timeout attacks - это атаки, базирующиеся на различии временных интервалов ("тайм-аутов") стеков TCP/IP разных ОС при сборке фрагментов. Если значения тайм-аутов дефрагментатора IDS отличаются от соответствующих значений на стороне атакуемой системы, для последующего анализа будет собран неправильный поток.

TTL Based attacks - в основном такие атаки реализуются путем генерации ложных фрагментов, которые по замыслу не будут получены жертвой, но будут перехвачены и ошибочно учтены дефрагментатором IDS для текущей сессии. Ситуацию легко воспроизвести, если IDS и атакуемый объект расположены в разных сетевых сегментах.

Overlapping Fragments - при такой атаке происходит (либо не происходит) перезапись уже полученных фрагментов вновь поступающими дубликатами, имеющими аналогичный порядковый номер. В результате сессия на стороне IDS может быть дефрагментирована иначе, чем на стороне жертвы атаки.

Таким образом, чтобы обеспечить защищенность всего периметра гетерогенной сети с помощью сетевой IDS, требуется ее тщательная оптимизация, учитывающая, какое сетевое оборудование и ПО используются в каждом конкретном случае. Хостовая IDS лишена этого недостатка благодаря возможности установки программных перехватчиков как на NDIS-, так и на TDI-уровне ОС.

Метод анализа информации

По методу анализа информации IDS делятся на сигнатурные, поведенческие (накопление статистики и обнаружение аномалий), а также смешанные или комбинированного типа. Сигнатурные IDS выигрывают по скорости анализа входного потока и генерируют сравнительно немного отчетов об ошибочном детектировании, но бессильны перед еще неизвестными им уязвимостями - в этом случае как раз достаточно успешно выступают IDS с применением алгоритмов выявления статистических аномалий. Но зато последние дают ощутимое число ложных срабатываний в совершенно безобидных ситуациях повседневной работы.

Самая известная система обнаружения вторжений на основе сигнатурного поиска - это, безусловно, Snort (www. snort.org). Данная IDS завоевала множество почитателей во многом благодаря открытому формату хранения баз (в виде текстовых файлов), легкости их изменения и внесения собственных наборов правил. В Интернете существует некоммерческий проект Bleeding Edge Threats (www.bleedingthreats. net), посвященный методам борьбы с сетевыми угрозами и созданию соответствующих сигнатур для Snort.

Способ реагирования на угрозы

По способам реагирования на обнаруживаемые угрозы системы IDS можно разделить на два типа: пассивные и активные. Пассивные системы в случае идентификации вторжения обычно создают детальный отчет о произошедшем, включающий лог сетевой атаки, оповещают службу безопасности, например, по электронной почте, и предоставляют рекомендации по устранению выявленной уязвимости. Активные IDS помимо всего вышеперечисленного пытаются противостоять вторжению. Их действия могут включать в себя как разрыв текущего злонамеренного соединения, так и полное блокирование атакующего путем изменения конфигурации межсетевого экрана или иным способом.

На сегодняшний день самый распространенный тип подобных систем - активные IDS. Идеология пассивных IDS более подходит к существующим проектам типа систем-ловушек (honeypot) либо сетей на их основе (honeynet), задача которых - как можно более правдоподобно эмулировать уязвимую систему и сервисы, при этом сохраняя полную историю происходящего (включая сетевую сессию в raw-формате), не выдавая себя и не создавая дополнительной преграды для нарушителя. В итоге с высокой долей вероятности удается определить новые методы компрометации системы.

Требования к IDS

Существует принципиальная разница в программировании логики вынесения вердикта у детекторов, входящих в состав network-based IDS и host-based IDS. Основная причина - различный уровень подготовленности персонала, от которого требуется проанализировать ситуацию и однозначно отреагировать на случившееся. Часто для правильной оценки рисков необходима достаточно высокая квалификация. В связи с этим к хостовым IDS предъявляют повышенные требования по технологиям детектирования и фильтрации шумов. Для сетевых IDS без дополнительной оптимизации приемлемым уровнем false alarms (ложных срабатываний) принято считать цифру 90%, т. е. всего 10% срабатываний действительно относятся к попыткам нарушения безопасности систем. На практике за счет дополнительных усовершенствований процент ложных тревог понижается до 60% и менее, что считается очень хорошим показателем. Для современных host-based IDS аналогичный показатель не может превышать нескольких процентов, другими словами, пользователь должен быть оповещен лишь в случае реальной атаки.

Для обнаружения атак, потенциально реализуемых на любом из уровней стека TCP/IP (от сетевого до прикладного), ядро системы обнаружения вторжений должно быть построено в виде драйвера ОС, с возможностью низкоуровневого перехвата поступающих на интерфейс пакетов, которые далее будут обработаны внутренним анализатором протоколов, входящим в IDS, и непосредственно движком-детектором, окончательно определяющим характер соединения. Важный критерий здесь - скорость сканирования трафика, ведь при работе за компьютером, полностью загруженным только проверкой, не может идти речи ни о какой комфортности. Существенную оптимизацию в такого рода задачах повышения быстродействия обеспечивают математические алгоритмы, в частности, методы хеширования.

Обязательное требование к современным IDS - модульность архитектуры, учитывающая расширяемость и возможность обновления баз, состоящих как из сигнатур атак, так и из дополнительных объектных модулей ядра-детектора, содержащих программный код. Это позволяет оперативно реагировать на обнаруживаемые угрозы любого типа и выпускать критические патчи безопасности в минимальные сроки, тем самым предотвращая глобальные эпидемии сетевых червей. Немаловажен здесь и размер обновлений IDS: в идеальном случае он должен предоставляться по инкремент-ному принципу, в зависимости от текущей базы клиента, и скачиваться в минимальном объеме.

Традиционно в качестве защиты от появившегося эксплойта** пользователям предлагается установить "заплатку", выпущенную производителем соответствующего ПО. Однако проблема в том, что между обнаружением эксплойта и выпуском патча всегда существует временной разрыв. Его продолжительность зависит от многих факторов, например, от того, сколько времени потребует тестирование и отладка патча. Фактически в этот период пользователь остается уязвимым. Один из возможных способов сократить этот опасный период - сбор подозрительной сетевой активности и дальнейшее взаимодействие с экспертами в области информационной безопасности

Например, "Лаборатория Касперско-го" разработала специальную утилиту KLDump (ftp://ftp.kaspersky.ru/utils/KL Dump/KLDump.exe), позволяющую сохранять полный лог сетевой активности в файл, который затем можно отправить по электронной почте экспертам для анализа. Если вредоносность присланного файла подтвердится, пользователь получит от разработчика срочное антивирусное обновление.

Остановимся немного подробнее на вопросе возникновения уязвимостей, их классификации и сути проблемы в целом.

** Эксплойт уязвимости (от англ. exploit - использовать) - это обобщенное наименование компьютерных программ особого типа (обычно небольшого размера), которые используют возможности, предоставляемые ошибкой (уязвимостью) в других программных продуктах, чтобы совершить незапланированные автором этих программных продуктов действия: например, выполнение произвольного кода в контексте уязвимого приложения и т. п.

Использование уязвимостей

Первопричиной программных ошибок и некачественного кода смело можно назвать неизбежную циркуляцию программистской рабочей силы. Текучка в крупных ИТ-компаниях, создающих сложное многокомпонентное ПО, приводит к тому, что количество конструктивных просчетов в технических заданиях и процент однотипных логических ошибок поддерживаются практически на постоянном уровне. Просчетами в данном случае можно считать несоблюдение неких общепринятых стандартов, например, требований RFC (www. ietf.org/rfc.html), и низкий уровень доку-ментированности разрабатываемого проекта. В свою очередь, среди критических с точки зрения информационной безопасности ошибок можно выделить два типа:

• отсутствие проверок выхода за границы массива;

• небезопасная работа с функциями, которые не контролируют корректность переданных им параметров.

К первым относят так называемые ошибки переполнения - buffer overflow, heap overflow, integer overflow и другие, менее известные; исторически значимое упоминание о возможности совершения незапланированных действий при возникновении таких ситуаций зафиксировано еще в 1980-х гг. Из ошибок второго типа назовем нашумевшие ошибки форматной строки, или format string vulnerabilities, которые получили широкую огласку в конце 1990-х и изначально использовались как брешь в защите систем Unix. Одним из первых публичных экс-плойтов подобной уязвимости был WuFTPd 2.6.0 Remote Root Exploit, датируемый серединой 2000 г.

Из-за растущей популярности и повсеместного внедрения разнообразных сервисов на основе Web-технологий появились новые потенциальные векторы атак, привлекающие повышенное внимание злоумышленников. Стал четко формироваться отдельный подкласс уязвимостей в сетевых приложениях, полностью написанных на скриптовых языках и активно использующих в своей работе базы данных. Для них определились новые жаргонные названия, такие, как PHP Inclusions, CrosSite Scripting, SQL Injections. Сегодняшние новостные сводки Bugtraq полны отчетов, шутливо озаглавленных: Summary Daily Web-Based Applications Security Vulnerabilities.

Когда хакер-исследователь изучает исходные тексты интересующего его прило жения или, если таковые недоступны, листинги дизассемблера, найденные места, содержащие перечисленные ошибки, подвергаются тщательному анализу для оценки вероятности их использования.

Часто по ряду причин детальный разбор внутренностей абстрактной системы невозможен (понятие "система" трактуется здесь как программный код либо иное программно-аппаратное решение), и для исследователя она представляет лишь "черный ящик" с множеством входов/выходов (рис. 2). Но и даже в таком, с виду тупиковом, варианте беспроигрышной тактикой, позволяющей выявить наличие брешей, остается универсальная схема "запрос - ответ", или получение слепков реакций изучаемой системы на специально сформированные входные данные, с дальнейшим их накоплением, систематизацией и скрупулезным анализом на финальной стадии. Бинарная структура самих запросов, в частности, определяется типом прощупываемого объекта и иной спецификой, зависящей от изначально сформулированных требований к проводимому исследованию.

На основании собранной информации и построенной с ее помощью статистической модели в ряде случаев есть все шансы написать полнофункциональный "эксплойт" под конкретную уязвимую систему. Разумеется, подобная методика много сложнее, чем анализ запутанных исходных кодов, и помимо больших временных затрат и терпения требует высочайшей профессиональной подготовки.

В современном динамичном мире глобальная Сеть стала тем связующим звеном, каким в XIX веке был междугородный телеграф, с той лишь разницей, что теперь в единое целое объединены сотни мегаполисов, гигантские объемы информации ежесекундно пульсируют по искусственным артериям планеты, а влияние этого технологического эксперимента ощущает на себе каждый человек. Как любой живой организм не обходится без паразитирующих вирусов, так и неосязаемое пространство Сети невозможно без злокачественных образований в том или ином виде.

Сегодня криминальная активность виртуального мира все чаще нацелена на обычных пользователей, не подозревающих, что против них совершается нечто противозаконное. Но подобная тенденция нисколько не уменьшает количества попыток проникновения на защищенные серверы крупных корпораций, где самое ценное - это промышленная информация и внутренний документооборот компании. Отчетливо наблюдается разделение труда в сообществе андергра-унда: специализация одних - уязвимости серверного ПО, для других объектом повышенного внимания становится клиентское ПО, такое, как Web-браузеры, популярные почтовые агенты, разнообразные сетевые службы Windows как самой распространенной пользовательской ОС и, разумеется, самый лакомый кусок - стек TCP/IP (рис. 3). Цена критических ошибок, нелегально предлагаемых в Интернете, достигает 5000 долл.

По заверениям Microsoft (www. microsoft, com/technet/community/columns/ cableguy/cg0905.mspx), с выходом ОС следующего поколения Windows Vista произойдет смена сетевого ядра, отлаженного временем и миллионами компьютеров, на абсолютно новое под кодовым названием Next Generation TCP/IP stack, существенным нововведением в котором будет полная поддержка протокола IPv6. Однако не стоит надеяться, что при подобном подходе общая архитектура системы станет более безопасной и избавится от старых ошибок, даже пройдя многочасовые лабораторные тесты.

В подтверждение этой точки зрения уместно привести некоторые выдержки из Bugtraq, датированные периодом весна-лето 2006 г. В них упоминаются (MS06-025) Microsoft Windows RRAS Buffer Overflow Vulnerability, критическая уязвимость в службе Windows Routing and Remote Access, по степени опасности сопоставимая с печально известными "дырами" в DCOM RPC (MS03-026) и LSASS (MS04-011), а также (MS06-036) Vulnerability in DHCP Client Service Could Allow Remote Code Execution, критическая уязвимость в TCP/IP-стеке Windows (и это спустя пять лет после релиза!).

Соответствующие эксплойты не получили дальнейшего масштабного распространения (в виде составной части червей либо "троянцев") лишь из-за технических сложностей реализации успешной атаки.

Вывод напрашивается сам собой: в отшлифованных годами внутренностях Windows критические ошибки встречаются до сих пор! Что же преподнесет нам релиз Vista?

Тестирование систем IDS

На сегодняшний день не существует общепринятых методик тестирования "действительных" способностей IDS-подсистем, аналогичных антивирусным тестам EICAR. Наиболее показательным, на наш взгляд, могло бы быть тестирование в условиях воздействия реальных угроз на стендах под защитой соответствующих продуктов.

Осенью 2006 г. в "Лаборатории Касперского" было проведено внутреннее тестирование различных средств обеспечения безопасности. В нем использовались наиболее актуальные эксплойты, воздействующие на самые разные приложения, от сервисов Windows (рис. 4) и серверных компонентов для сетевых игр.

***

Модель OSI

Международная организация по стандартизации (International Standards Organization, ISO) спроектировала эталонную модель, определяющую семь различных уровней взаимодействия систем (рис. 1). Каждый из уровней имеет собственное стандартизованное наименование (например, сетевой, транспортный и т. д.) и перечень документов, регламентирующих список протоколов, которые используются на данном уровне. Сама модель получила название "модель взаимодействия открытых систем" (Open System Interconnection, 0SI) или сокращенно модель IS0/0SI.

***

Источники дополнительной информации

I.Arpanet history 1957-1990, http:// www.jmusheneaux.com/21 bb.htm.

2. Sumit Siddharth. Evading NIDS, revisited. SecurityFocus.com, 2005-12-06. http:// www.securityfocus.com/infocus/1852.

3. Kevin Timm. Strategies to Reduce False Positives and False Negatives in NIDS. SecurityFocus.com, 2001-09-11, http:// www.securityfocus.com/infocus/1463.

4. Андрей Беляев, Сергей Петренко. Системы обнаружения аномалий: новые идеи в защите информации. Экспресс-Электроника, 2004-02, http://www.cit-forum.ru/security/articles/anomalis.

[Сергей Ильин 1538]

Коллеги!

Предлагаю вернуться к обсуждению постановки данного теста HIPS.

Вопросы на повестке следующие:

1. Какие конкретно технологии (варианты реализации HIPS) будут тестироваться?

2. На какие этапы можно разбить такой тест?

3. Какие продукты можно взять для теста на каждом этапе?

4. Как оценивать результаты теста?

[Илья Рабинович 521]

Как я и предлагал на Infosecurity- для каждого базового типа HIPS (всего их четыре) выработать отдельные методологии ибо реакции на внешние раздражители у каждого типа HIPS'ок своя.

Этапов проверок две. Первая- концептуальные тесты. Запись в автозагрузку, чувствительные объекты реестра (куда обычно зловреды пишутся), установка/модификация/удаление драйвера/сервиса, снятие скриншотов, кейлоггинг, внедрение в процессы. Вторая- тесты на отобранных реальных зловредах по группам: trojans, spyware, adware, rootkits, keylogers, ransomeware.

Все умные мысли- велкам сюда!

[Иван 290]

я лучше глупые мысли

вы сначала определите что такое в вашем понимании HIPS, а то выше в топике одни метания и неясности. А потом еще сделайте так, чтоб с вашими определениями согласились.

лучше уж тестировать поведенческий блокиратор+эвристик на

зловредах, которые отсутсвуют в базах сигнатур. Такое вот примитивая цель теста на мой взгляд большинству понятна будет.

оценивать грубо так

Запускаем зловредов на машине.

Эвристик дает вердикт типа: BehavesLike:Trojan.

Downloader, probably a variant of Win32/TrojanDownloader.Delf.ACC, Downloader (модификация) оцениваем детект в 1 бал (полноценное обнаружение)

-эвристик дает вердикт просто Suspicious file (Panda такое любит) - даем 0,5 балла, т.к. при таком вердикте пользователь с большой вероятностью не поверит антивирю

-поведенческий блокиратор дает вердикт типа: Trojan.generic или Keylogger, Invader, Hidden object (rootkit) и т.д. оцениваем детект в 1 бал

-поведенческий блокиратор просто сообщает всякую ерунду вроде Registry access или Hidden install не давая никаких вердиктов - только 0,5 бала.

как я уже сказал мысли абсолютно глупые

[ice-berg 30]

HIPS компонентом нереально защитить обычных пользователей...

Если будут плавать постоянные окошки тревоги... это хочет туда, тут что-то так то... (а функции фаирвольной защиты антивируса...)

Как профессионально к этому не подойти, как это не обсуждать, и как только не строить эти "летучие корабли"... всё будет на уровне: есть вирус, его ловит антивирус

HIPS работает, когда хотя бы пользователь - дебаг

[Илья Рабинович 521]

Согласен, глупые. Начнём с того, что эвристик не участвует- только HIPS-компоненты. Далее- классический HIPS будет выдавать только конкретные действия (типа записи в автозагрузку) без всяких там "Trojan.Generic", whitelisting просто будет выкидывать окна при старте исполеянмых файлов вне локальной базы разрешённых, sandbox молча или зарубит зловреда или перенаправит его действия в виртуализационный контейнер. Так как оценивать прикажешь? Norton Antibot (оно же Sana Security Primary Responce), кстати, может выдвинуть совсем иной вердикт, нежели PDM (и с какой стати ты ориентируешься именно на этот blacklisting HIPS и его вердикты как на эталон? Оно ведь нигде так не сказано!).

[Dmitry Perets 30]

оценивать грубо так

Запускаем зловредов на машине.

Эвристик дает вердикт типа: BehavesLike:Trojan.

Downloader, probably a variant of Win32/TrojanDownloader.Delf.ACC, Downloader (модификация) оцениваем детект в 1 бал (полноценное обнаружение)

-эвристик дает вердикт просто Suspicious file (Panda такое любит) - даем 0,5 балла, т.к. при таком вердикте пользователь с большой вероятностью не поверит антивирю

-поведенческий блокиратор дает вердикт типа: Trojan.generic или Keylogger, Invader, Hidden object (rootkit) и т.д. оцениваем детект в 1 бал

-поведенческий блокиратор просто сообщает всякую ерунду вроде Registry access или Hidden install не давая никаких вердиктов - только 0,5 бала.

как я уже сказал мысли абсолютно глупые

Согласен с глупыми мыслями Ивана =) Нужно сделать общий тест на умение антивирусов противостоять неизвестным угрозам. Подобных тестов как таковых нету. Обычно тестируют лишь какие-то конкретные компоненты (только эмулятор, только HIPS и т.п.). А хочется увидеть именно общий тест.

По-поводу вердиктов здесь есть некоторые проблемы. Допустим, у НОДа вердикты эмулятора выглядят как "NewHeur_PE". Это в принципе аналогично Пандовому "Suspicious file" по информативности. Тем не менее, имхо за такой вердикт они оба вполне заслуживают полный балл. Действие подозрительное, файл похож на зловреда, эвристика сделала своё дело.

А 0.5 балла нужно давать только за реакцию на "информационные" действия, свойственные классическому HIPS. К примеру, это алерты монитора реестра КАВ.

К слову, Hidden Install так же заслуживает полного балла имхо. Юзеру сообщается о попытке скрытой установки чего-либо. Это подозрительно, пользователь должен об этом знать! Понятно, что тот, кто это делает, не обязательно ворует пароли. Но, пардон, троян-даунлоадер тоже может чисто по приколу скачать мне на комп безобидный eicar, это не значит, что не нужно детектить поведение, свойственное троян-даунлоадерам.

[A. 876]

Согласен с глупыми мыслями Ивана =) Нужно сделать общий тест на умение антивирусов противостоять неизвестным угрозам. Подобных тестов как таковых нету. Обычно тестируют лишь какие-то конкретные компоненты (только эмулятор, только HIPS и т.п.). А хочется увидеть именно общий тест.

А.Маркс

in proccess

[Dmitry Perets 30]

Начнём с того, что эвристик не участвует- только HIPS-компоненты.

Не стоит того... Мы получим ещё один тест, который не говорит ни о чём... Вот недавно был тест эмуляторов. Ну провели тест, ну посмотрели результаты... Ну специалистам интересно, они могут сравнить качество реализации конкретных методов детекта... А практическая польза какая? Я могу, глядя на эти результаты, ответить на вопрос "Кто лучше справляется с 0-day угрозами?" А зная, что продукт Х ловит 39% эмулятором, 54% поведенческим анализатором первого поколения, 34% поведенческим анализатором второго поколения и ещё 8% статическим эвристиком, могу ли я прикинуть какой примерно процент 0day-угроз будет пойман?

Добавлено спустя 1 минуту 25 секунд:

А.Маркс

in proccess

Гуд =)