Перейти к содержанию
Сергей Ильин

Тест HIPS-компонент антивирусов

Recommended Posts

Сергей Ильин

Коллеги!

Есть еще одна креативная идея :-) Проактивные технологии не заканчиваются только эвристикой, как это не раз обсуждалось, поэтому было бы здорово сделать такой тест антивирусов, по результатам которого можно было бы сравнить возможности и эффективность работы HIPS-компонент (проактивных средст детектирования и предотвращения вторжений).

Например, многие постоянно хвалят Антивирус Касперского 6.0, мол их проактивная способна успешно детектировать почти 100% новых угроз, но о наличии у себя HIPS-компоненты заявляют почти все вендоры. Чтобы узнать, чьи технологии работают лучше, я и хочу сделать данный тест.

Если ли какие-то идеи на этот счет, может уже кто-то проводил подобное?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

1. IDS к проактивным средствам относить нельзя ибо они основаны на сигнатурах :)

2. Почему только антивирусы? Как раз наоборот- логично сравнивать интегрированные технологии и отдельные продукты на эффективность и удобство использования!

3. Сразу скажу, что с выработкой методологии будут большие проблемы. Тут два пути:

а) Брать реальные зловреды в количестве Х штук и прогонять каждый на отдельной машине с отдельным HIPS (так делал Андреас Клементи).

б) Выработать набор тестов (типа как leak-tests для файеров) и работать уже с ними.

4. Ну и главное - время. По трудозатратам оно будет посложнее стандартных тестов на детект (типа, из коллекции в Х зловредов найдено Y, ура - продукт Z победил!). Отдельные машины под каждую HIPS, запуск зловредов руками, наблюдение фифектов фикции (ложняки на expert HIPS,к примеру)и прочие вещи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
1. IDS к проактивным средствам относить нельзя ибо они основаны на сигнатурах

Но с другой стороны IDS может детектировать еще неизвестный вредоносный код или новую модификацию по поведению. HIPS же почти всегда относят к проактивным методам.

а) Брать реальные зловреды в количестве Х штук и прогонять каждый на отдельной машине с отдельным HIPS (так делал Андреас Клементи).

Что если взять актуальные на настоящий момент экспойты, выбрать их в соответствии с определенными критерями, например:

1. активность угрозы

2. опасность эксплойта

3. широта использования

4. Ну и главное - время. По трудозатратам оно будет посложнее стандартных тестов на детект (типа, из коллекции в Х зловредов найдено Y, ура - продукт Z победил!). Отдельные машины под каждую HIPS, запуск зловредов руками, наблюдение фифектов фикции (ложняки на expert HIPS,к примеру)и прочие вещи.

Согласен, нужно будет включитьв тест и некоторые специализированные продукты. По времени все равно такой тест будет менее трудоемкий, чем тот, который я делал по активному заражению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Коллега, IDS - не проактивная, а реактивная система... Отдельно следует решить, будете ли вы тестировать IPS-продукты или компоненты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Коллега, IDS - не проактивная, а реактивная система... Отдельно следует решить, будете ли вы тестировать IPS-продукты или компоненты.

Я в заголовке темы написал IDS/IPS, так как часто грань между этими двумя вещами стирается, часто в описании продуктов так и пишут через слэшь. Если я что-то неверно написал, прошу меня поправить.

их кстати по типам еще масса Smile вы определитесь что вы хотите тестировать

Я лично веду речь о Host-based Intrusion Prevention System, которая IMHO относится к проактивным технологиям и встраивается в современные персональные антивирусные продукты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
...было бы здорово сделать такой тест антивирусов, по результатам которого можно было бы сравнить возможности и эффективность работы ...проактивных средст детектирования и предотвращения вторжений.

Да,будет чему удивляться,я думаю.Тестировать тем путём,каким заражаются,а как ещё?Для тестов против профи"писателей" нужны профитестеры + то,что им надо.Здесь можно поискать проведённые кем-то профитесты и добавить свои,которые все поймут.А прогонять почему нельзя на одной машине,если потом Image исходной ОС переписывать назад?Где взять каждой проге комп и параллельно сравнивать?

Сравнивать и оценивать так же надо,кем надо быть (домохозяйка(ин),инсталлирую Виндовс сам(а) со всеми настройками,...и т.д. или простопобалльная шкала),что бы высокий уровень защиты данной прогой смочь иметь,кроме оценок по другим пунктам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А прогонять почему нельзя на одной машине,если потом Image исходной ОС переписывать назад?Где взять каждой проге комп и параллельно сравнивать?

На вируальных машинах можно все это сделать, для каждого антивируса будет отдельная машина.

Сравнивать и оценивать так же надо,кем надо быть (домохозяйка(ин),инсталлирую Виндовс сам(а) со всеми настройками,...и т.д. или простопобалльная шкала),что бы высокий уровень защиты данной прогой смочь иметь,кроме оценок по другим пунктам.

Если после запуска эксплойта будет детектировано вредоносное поведение и выведен алерт, то антивирусу будет засчитываться плюс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Если после запуска эксплойта будет детектировано вредоносное поведение и выведен алерт, то антивирусу будет засчитываться плюс.

а не нужен ли для этого сплоит мало известный? потому что какие-то действие могут и не IDS/IPS блокироваться..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Я в заголовке темы написал IDS/IPS, так как часто грань между этими двумя вещами стирается, часто в описании продуктов так и пишут через слэшь. Если я что-то неверно написал, прошу меня поправить.

http://www.webopedia.com/TERM/i/intrusion_...ion_system.html У нас принято понимать под IDS набор сигнатур брандмауэра, который он использует для определения сетевых атак. Проактивность здесь вообще не при чем. IPS также не всегда то же самое, что HIPS. Предлагаю говорить о тестировании HIPS-компонентов и продуктов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
а не нужен ли для этого сплоит мало который неизвестен?

Будем брать свежие экспойты, незакрытые.

говорить о тестировании HIPS-компонентов и продуктов.

Согласен :-) С терминологией разобрались вроде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

насчет свежих понятно, ну почему только не закрытые?

мне кажется достаточно тока свежих, т.к. даже если те же микрософты закрыли дырку, а продукт тестируемый сигнатуру в свою IDS компоненту так и не за сунул, то это аргумент в пользу выкинуть такой продукт на помойку

Добавлено спустя 4 минуты 26 секунд:

да и потом опять же к вопросу о проактивности

я так и не понял, что в итоге тестировать собираетесь?

т.е. если на примере KIS брать то тестироваться будет:

- IDS Компонента не имеющая никаокго отношения к проактивности

- PDM

-или все вместе? но тогда мне не очень понятно как...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

я вот тоже малость не представляю как это всё будет проводиться..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Так, господа хорошие! Разруха начинается не с сортиров...

1. IDS==IPS, это реактивная защита, основанная на сигнатурах. Ни о какой проактивности тут не может быть и речи.

2. Если же речь идёт о проактивности, то здесь два варианта:

а) эвристик.

б) HIPS.

Других нет и быть не может (пока, во всяком случае).

Обращает также на себя внимание то, что системы превентивной защиты не занимаются блокированием эксплойтов- это работа специализированных hardening tools. Программы проактивной защиты занимаются блокированием последствий _успешной_ работы эксплойтов.

Если речь идёт о HIPS, то у нас есть три основные вида продуктов: classical HIPS, sandbox HIPS, expert HIPS.

Classical выбрасывают окна на каждом подозрительном движении процесса и ждут реакции пользователя, sandbox ограничивают набор недоверенных процессов в их действиях и не используют окон с вопросами к пользователю вообще, expert анализируют последовательность действий для выбрасывая окна с вопросом пользователю. Так что от некоторых HIPS-продуктов алерта можно не дождаться никогда в жизни- они так работают.

Так что советую понять, что именно будет тестироваться, после этого, основываясь на спецификациях продуктов понять, как именно это будет тестироваться и выполнить тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
На вируальных машинах можно все это сделать, для каждого антивируса будет отдельная машина.

Я переделывал Виндовс прогой nLite.На виртуалке при тесте он "прошёл",реальная же не акцептировала мой активирующий ключ.В большинстве тесты на виртуалке соответствуют реальности,но не всегда.Искажение может оказаться роковым для продукта,поэтому подчеркнуть,что тесты на виртуалке проводились и что в редких случаях на реальной машине может быть другая реакция.Особенно,если автор оспорит,что на реальной машине данная версия так себя в некоем спорном случае не ведёт,как в тесте на виртуалке.

я так и не понял, что в итоге тестировать собираетесь?

Да,к тестам "простых" антивирустехнологий уже все привыкли.Нету доходчивых тестов,где тестируются технологии,расчитанные на предотвращение вредительных последствий от "в лицо" неизвестных.Я бы сигнатурные технологии исключил,а в направлении HIPS,проактивка и подобное.

Если после запуска эксплойта будет детектировано вредоносное поведение и выведен алерт, то антивирусу будет засчитываться плюс.

В таком случае,что бы не обмануть домохозяек,нужно оценивать,какой нужно иметь уровень знаний,что бы правильно ответить,без фолсов.Так как к проге не прилагается тестер,который говорит:"это окошко от вируса(запрети),а то от нужной проги(разреши)".Не обойдёшся без оценки,насколько просто/сложно или безхлопотно/лучшевыключу можно тестируемой прогой высокий уровень защиты иметь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Здесь ( http://www.pc-st.com ) находится нам известная тестпрога,тестирущая и несигнатурную защиту.Авторы этой проги имеют АВ,который,судя по описанию, ( http://www.viruskeeper.com/us/info_moteur.htm ,там можно язык на другой иностранный выбрать)) вполне может с KIS сравниться.Почему-то не находятся тесты этой проги.Я хотел сказать,что нужно и её включить,если будем тестировать механизмы защиты от нанесения вреда "неизвестными" вирусами и пр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

К вопросу по IDS, вот статья ЛКашного спеца. Кстати моего тезки.

Технологии обнаружения вторжений

Автор: Иван Голенков, Источник: Byte/Россия

Дата: 20 февраля 2007 г.

Иван Голенков, аналитик сетевых атак "Лаборатории Касперского"

Системы обнаружения вторжений, их классификация и требования к ним.

В настоящее время большинство производителей программных средств защиты для домашних и корпоративных пользователей предлагают интегрированные решения, куда включены такие компоненты, как антивирус, антиспам, проактивный модуль и межсетевой экран, в сочетании со встроенной системой обнаружения вторжений (СОВ, или Intrusion Detection System, IDS*). В данной статье мы остановимся на системах обнаружения вторжений, заглянув поглубже на "кухню" сетевой защиты.

Общие сведения

Необходимость в IDS возникла еще в те далекие времена, когда Интернет (в ту пору ARPAnet) вышел за пределы военных и исследовательских институтов США и постепенно начал превращаться в столь же привычный инструмент, как телефон. Привилегированный доступ специалистов и ученых к стратегически важным объектам сети уступил место масштабному и практически неконтролируемому подключению случайных людей. Разумеется, первые практические наработки в области IDS появились гораздо позже, чуть более двух десятилетий назад, и заметно уступали по функциональности современным аналогам. Основополагающими документами при их построении считаются труды Джеймса Андерсона "Мониторинг угроз компьютерной безопасности" и Дороти Деннинг "О модели обнаружения вторжения" (опубликованы в 1980-х гг.).

* Intrusion Detection System, IDS - программное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо нарушения их нормального функционирования и иных попыток взлома.

На сегодняшний день IDS принято классифицировать по нескольким параметрам, к числу которых относятся способ сбора информации, метод анализа информации и способ реагирования на угрозы.

Способ сбора информации

По способу сбора информации (перехвату сетевого трафика) системы обнаружения вторжений делят на два типа: host-based IDS (хостовая, или локальная) и network-based IDS (сетевая). Оба типа имеют свои особенности, определяющие в конечном счете всю архитектуру системы IDS. Здесь необходимо упомянуть следующие их принципиальные различия:

• хостовая IDS теоретически может работать с любым типом трафика, включая изначально зашифрованный;

• сетевая IDS не использует ресурсы процессора и память защищаемого объекта.

Исходя из того, что в гетерогенной сети с высокой вероятностью могут присутствовать клиенты с различными ОС, заметным минусом сетевой IDS становится потенциальная уязвимость к атакам, учитывающим особенности реализации различных TCP/IP-стеков, например, при обработке фрагментированно-го сетевого трафика. Известно несколько разновидностей таких атак.

Fragmentation Reassembly Timeout attacks - это атаки, базирующиеся на различии временных интервалов ("тайм-аутов") стеков TCP/IP разных ОС при сборке фрагментов. Если значения тайм-аутов дефрагментатора IDS отличаются от соответствующих значений на стороне атакуемой системы, для последующего анализа будет собран неправильный поток.

TTL Based attacks - в основном такие атаки реализуются путем генерации ложных фрагментов, которые по замыслу не будут получены жертвой, но будут перехвачены и ошибочно учтены дефрагментатором IDS для текущей сессии. Ситуацию легко воспроизвести, если IDS и атакуемый объект расположены в разных сетевых сегментах.

Overlapping Fragments - при такой атаке происходит (либо не происходит) перезапись уже полученных фрагментов вновь поступающими дубликатами, имеющими аналогичный порядковый номер. В результате сессия на стороне IDS может быть дефрагментирована иначе, чем на стороне жертвы атаки.

Таким образом, чтобы обеспечить защищенность всего периметра гетерогенной сети с помощью сетевой IDS, требуется ее тщательная оптимизация, учитывающая, какое сетевое оборудование и ПО используются в каждом конкретном случае. Хостовая IDS лишена этого недостатка благодаря возможности установки программных перехватчиков как на NDIS-, так и на TDI-уровне ОС.

Метод анализа информации

По методу анализа информации IDS делятся на сигнатурные, поведенческие (накопление статистики и обнаружение аномалий), а также смешанные или комбинированного типа. Сигнатурные IDS выигрывают по скорости анализа входного потока и генерируют сравнительно немного отчетов об ошибочном детектировании, но бессильны перед еще неизвестными им уязвимостями - в этом случае как раз достаточно успешно выступают IDS с применением алгоритмов выявления статистических аномалий. Но зато последние дают ощутимое число ложных срабатываний в совершенно безобидных ситуациях повседневной работы.

Самая известная система обнаружения вторжений на основе сигнатурного поиска - это, безусловно, Snort (www. snort.org). Данная IDS завоевала множество почитателей во многом благодаря открытому формату хранения баз (в виде текстовых файлов), легкости их изменения и внесения собственных наборов правил. В Интернете существует некоммерческий проект Bleeding Edge Threats (www.bleedingthreats. net), посвященный методам борьбы с сетевыми угрозами и созданию соответствующих сигнатур для Snort.

Способ реагирования на угрозы

По способам реагирования на обнаруживаемые угрозы системы IDS можно разделить на два типа: пассивные и активные. Пассивные системы в случае идентификации вторжения обычно создают детальный отчет о произошедшем, включающий лог сетевой атаки, оповещают службу безопасности, например, по электронной почте, и предоставляют рекомендации по устранению выявленной уязвимости. Активные IDS помимо всего вышеперечисленного пытаются противостоять вторжению. Их действия могут включать в себя как разрыв текущего злонамеренного соединения, так и полное блокирование атакующего путем изменения конфигурации межсетевого экрана или иным способом.

На сегодняшний день самый распространенный тип подобных систем - активные IDS. Идеология пассивных IDS более подходит к существующим проектам типа систем-ловушек (honeypot) либо сетей на их основе (honeynet), задача которых - как можно более правдоподобно эмулировать уязвимую систему и сервисы, при этом сохраняя полную историю происходящего (включая сетевую сессию в raw-формате), не выдавая себя и не создавая дополнительной преграды для нарушителя. В итоге с высокой долей вероятности удается определить новые методы компрометации системы.

Требования к IDS

Существует принципиальная разница в программировании логики вынесения вердикта у детекторов, входящих в состав network-based IDS и host-based IDS. Основная причина - различный уровень подготовленности персонала, от которого требуется проанализировать ситуацию и однозначно отреагировать на случившееся. Часто для правильной оценки рисков необходима достаточно высокая квалификация. В связи с этим к хостовым IDS предъявляют повышенные требования по технологиям детектирования и фильтрации шумов. Для сетевых IDS без дополнительной оптимизации приемлемым уровнем false alarms (ложных срабатываний) принято считать цифру 90%, т. е. всего 10% срабатываний действительно относятся к попыткам нарушения безопасности систем. На практике за счет дополнительных усовершенствований процент ложных тревог понижается до 60% и менее, что считается очень хорошим показателем. Для современных host-based IDS аналогичный показатель не может превышать нескольких процентов, другими словами, пользователь должен быть оповещен лишь в случае реальной атаки.

Для обнаружения атак, потенциально реализуемых на любом из уровней стека TCP/IP (от сетевого до прикладного), ядро системы обнаружения вторжений должно быть построено в виде драйвера ОС, с возможностью низкоуровневого перехвата поступающих на интерфейс пакетов, которые далее будут обработаны внутренним анализатором протоколов, входящим в IDS, и непосредственно движком-детектором, окончательно определяющим характер соединения. Важный критерий здесь - скорость сканирования трафика, ведь при работе за компьютером, полностью загруженным только проверкой, не может идти речи ни о какой комфортности. Существенную оптимизацию в такого рода задачах повышения быстродействия обеспечивают математические алгоритмы, в частности, методы хеширования.

Обязательное требование к современным IDS - модульность архитектуры, учитывающая расширяемость и возможность обновления баз, состоящих как из сигнатур атак, так и из дополнительных объектных модулей ядра-детектора, содержащих программный код. Это позволяет оперативно реагировать на обнаруживаемые угрозы любого типа и выпускать критические патчи безопасности в минимальные сроки, тем самым предотвращая глобальные эпидемии сетевых червей. Немаловажен здесь и размер обновлений IDS: в идеальном случае он должен предоставляться по инкремент-ному принципу, в зависимости от текущей базы клиента, и скачиваться в минимальном объеме.

Традиционно в качестве защиты от появившегося эксплойта** пользователям предлагается установить "заплатку", выпущенную производителем соответствующего ПО. Однако проблема в том, что между обнаружением эксплойта и выпуском патча всегда существует временной разрыв. Его продолжительность зависит от многих факторов, например, от того, сколько времени потребует тестирование и отладка патча. Фактически в этот период пользователь остается уязвимым. Один из возможных способов сократить этот опасный период - сбор подозрительной сетевой активности и дальнейшее взаимодействие с экспертами в области информационной безопасности

Например, "Лаборатория Касперско-го" разработала специальную утилиту KLDump (ftp://ftp.kaspersky.ru/utils/KL Dump/KLDump.exe), позволяющую сохранять полный лог сетевой активности в файл, который затем можно отправить по электронной почте экспертам для анализа. Если вредоносность присланного файла подтвердится, пользователь получит от разработчика срочное антивирусное обновление.

Остановимся немного подробнее на вопросе возникновения уязвимостей, их классификации и сути проблемы в целом.

** Эксплойт уязвимости (от англ. exploit - использовать) - это обобщенное наименование компьютерных программ особого типа (обычно небольшого размера), которые используют возможности, предоставляемые ошибкой (уязвимостью) в других программных продуктах, чтобы совершить незапланированные автором этих программных продуктов действия: например, выполнение произвольного кода в контексте уязвимого приложения и т. п.

Использование уязвимостей

Первопричиной программных ошибок и некачественного кода смело можно назвать неизбежную циркуляцию программистской рабочей силы. Текучка в крупных ИТ-компаниях, создающих сложное многокомпонентное ПО, приводит к тому, что количество конструктивных просчетов в технических заданиях и процент однотипных логических ошибок поддерживаются практически на постоянном уровне. Просчетами в данном случае можно считать несоблюдение неких общепринятых стандартов, например, требований RFC (www. ietf.org/rfc.html), и низкий уровень доку-ментированности разрабатываемого проекта. В свою очередь, среди критических с точки зрения информационной безопасности ошибок можно выделить два типа:

• отсутствие проверок выхода за границы массива;

• небезопасная работа с функциями, которые не контролируют корректность переданных им параметров.

К первым относят так называемые ошибки переполнения - buffer overflow, heap overflow, integer overflow и другие, менее известные; исторически значимое упоминание о возможности совершения незапланированных действий при возникновении таких ситуаций зафиксировано еще в 1980-х гг. Из ошибок второго типа назовем нашумевшие ошибки форматной строки, или format string vulnerabilities, которые получили широкую огласку в конце 1990-х и изначально использовались как брешь в защите систем Unix. Одним из первых публичных экс-плойтов подобной уязвимости был WuFTPd 2.6.0 Remote Root Exploit, датируемый серединой 2000 г.

Из-за растущей популярности и повсеместного внедрения разнообразных сервисов на основе Web-технологий появились новые потенциальные векторы атак, привлекающие повышенное внимание злоумышленников. Стал четко формироваться отдельный подкласс уязвимостей в сетевых приложениях, полностью написанных на скриптовых языках и активно использующих в своей работе базы данных. Для них определились новые жаргонные названия, такие, как PHP Inclusions, CrosSite Scripting, SQL Injections. Сегодняшние новостные сводки Bugtraq полны отчетов, шутливо озаглавленных: Summary Daily Web-Based Applications Security Vulnerabilities.

Когда хакер-исследователь изучает исходные тексты интересующего его прило жения или, если таковые недоступны, листинги дизассемблера, найденные места, содержащие перечисленные ошибки, подвергаются тщательному анализу для оценки вероятности их использования.

Часто по ряду причин детальный разбор внутренностей абстрактной системы невозможен (понятие "система" трактуется здесь как программный код либо иное программно-аппаратное решение), и для исследователя она представляет лишь "черный ящик" с множеством входов/выходов (рис. 2). Но и даже в таком, с виду тупиковом, варианте беспроигрышной тактикой, позволяющей выявить наличие брешей, остается универсальная схема "запрос - ответ", или получение слепков реакций изучаемой системы на специально сформированные входные данные, с дальнейшим их накоплением, систематизацией и скрупулезным анализом на финальной стадии. Бинарная структура самих запросов, в частности, определяется типом прощупываемого объекта и иной спецификой, зависящей от изначально сформулированных требований к проводимому исследованию.

На основании собранной информации и построенной с ее помощью статистической модели в ряде случаев есть все шансы написать полнофункциональный "эксплойт" под конкретную уязвимую систему. Разумеется, подобная методика много сложнее, чем анализ запутанных исходных кодов, и помимо больших временных затрат и терпения требует высочайшей профессиональной подготовки.

В современном динамичном мире глобальная Сеть стала тем связующим звеном, каким в XIX веке был междугородный телеграф, с той лишь разницей, что теперь в единое целое объединены сотни мегаполисов, гигантские объемы информации ежесекундно пульсируют по искусственным артериям планеты, а влияние этого технологического эксперимента ощущает на себе каждый человек. Как любой живой организм не обходится без паразитирующих вирусов, так и неосязаемое пространство Сети невозможно без злокачественных образований в том или ином виде.

Сегодня криминальная активность виртуального мира все чаще нацелена на обычных пользователей, не подозревающих, что против них совершается нечто противозаконное. Но подобная тенденция нисколько не уменьшает количества попыток проникновения на защищенные серверы крупных корпораций, где самое ценное - это промышленная информация и внутренний документооборот компании. Отчетливо наблюдается разделение труда в сообществе андергра-унда: специализация одних - уязвимости серверного ПО, для других объектом повышенного внимания становится клиентское ПО, такое, как Web-браузеры, популярные почтовые агенты, разнообразные сетевые службы Windows как самой распространенной пользовательской ОС и, разумеется, самый лакомый кусок - стек TCP/IP (рис. 3). Цена критических ошибок, нелегально предлагаемых в Интернете, достигает 5000 долл.

По заверениям Microsoft (www. microsoft, com/technet/community/columns/ cableguy/cg0905.mspx), с выходом ОС следующего поколения Windows Vista произойдет смена сетевого ядра, отлаженного временем и миллионами компьютеров, на абсолютно новое под кодовым названием Next Generation TCP/IP stack, существенным нововведением в котором будет полная поддержка протокола IPv6. Однако не стоит надеяться, что при подобном подходе общая архитектура системы станет более безопасной и избавится от старых ошибок, даже пройдя многочасовые лабораторные тесты.

В подтверждение этой точки зрения уместно привести некоторые выдержки из Bugtraq, датированные периодом весна-лето 2006 г. В них упоминаются (MS06-025) Microsoft Windows RRAS Buffer Overflow Vulnerability, критическая уязвимость в службе Windows Routing and Remote Access, по степени опасности сопоставимая с печально известными "дырами" в DCOM RPC (MS03-026) и LSASS (MS04-011), а также (MS06-036) Vulnerability in DHCP Client Service Could Allow Remote Code Execution, критическая уязвимость в TCP/IP-стеке Windows (и это спустя пять лет после релиза!).

Соответствующие эксплойты не получили дальнейшего масштабного распространения (в виде составной части червей либо "троянцев") лишь из-за технических сложностей реализации успешной атаки.

Вывод напрашивается сам собой: в отшлифованных годами внутренностях Windows критические ошибки встречаются до сих пор! Что же преподнесет нам релиз Vista?

Тестирование систем IDS

На сегодняшний день не существует общепринятых методик тестирования "действительных" способностей IDS-подсистем, аналогичных антивирусным тестам EICAR. Наиболее показательным, на наш взгляд, могло бы быть тестирование в условиях воздействия реальных угроз на стендах под защитой соответствующих продуктов.

Осенью 2006 г. в "Лаборатории Касперского" было проведено внутреннее тестирование различных средств обеспечения безопасности. В нем использовались наиболее актуальные эксплойты, воздействующие на самые разные приложения, от сервисов Windows (рис. 4) и серверных компонентов для сетевых игр.

***

Модель OSI

Международная организация по стандартизации (International Standards Organization, ISO) спроектировала эталонную модель, определяющую семь различных уровней взаимодействия систем (рис. 1). Каждый из уровней имеет собственное стандартизованное наименование (например, сетевой, транспортный и т. д.) и перечень документов, регламентирующих список протоколов, которые используются на данном уровне. Сама модель получила название "модель взаимодействия открытых систем" (Open System Interconnection, 0SI) или сокращенно модель IS0/0SI.

***

Источники дополнительной информации

I.Arpanet history 1957-1990, http:// www.jmusheneaux.com/21 bb.htm.

2. Sumit Siddharth. Evading NIDS, revisited. SecurityFocus.com, 2005-12-06. http:// www.securityfocus.com/infocus/1852.

3. Kevin Timm. Strategies to Reduce False Positives and False Negatives in NIDS. SecurityFocus.com, 2001-09-11, http:// www.securityfocus.com/infocus/1463.

4. Андрей Беляев, Сергей Петренко. Системы обнаружения аномалий: новые идеи в защите информации. Экспресс-Электроника, 2004-02, http://www.cit-forum.ru/security/articles/anomalis.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Коллеги!

Предлагаю вернуться к обсуждению постановки данного теста HIPS.

Вопросы на повестке следующие:

1. Какие конкретно технологии (варианты реализации HIPS) будут тестироваться?

2. На какие этапы можно разбить такой тест?

3. Какие продукты можно взять для теста на каждом этапе?

4. Как оценивать результаты теста?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Как я и предлагал на Infosecurity- для каждого базового типа HIPS (всего их четыре) выработать отдельные методологии ибо реакции на внешние раздражители у каждого типа HIPS'ок своя.

Этапов проверок две. Первая- концептуальные тесты. Запись в автозагрузку, чувствительные объекты реестра (куда обычно зловреды пишутся), установка/модификация/удаление драйвера/сервиса, снятие скриншотов, кейлоггинг, внедрение в процессы. Вторая- тесты на отобранных реальных зловредах по группам: trojans, spyware, adware, rootkits, keylogers, ransomeware.

Все умные мысли- велкам сюда!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

я лучше глупые мысли

вы сначала определите что такое в вашем понимании HIPS, а то выше в топике одни метания и неясности. А потом еще сделайте так, чтоб с вашими определениями согласились.

лучше уж тестировать поведенческий блокиратор+эвристик на

зловредах, которые отсутсвуют в базах сигнатур. Такое вот примитивая цель теста на мой взгляд большинству понятна будет.

оценивать грубо так

Запускаем зловредов на машине.

Эвристик дает вердикт типа: BehavesLike:Trojan.

Downloader, probably a variant of Win32/TrojanDownloader.Delf.ACC, Downloader (модификация) оцениваем детект в 1 бал (полноценное обнаружение)

-эвристик дает вердикт просто Suspicious file (Panda такое любит) - даем 0,5 балла, т.к. при таком вердикте пользователь с большой вероятностью не поверит антивирю

-поведенческий блокиратор дает вердикт типа: Trojan.generic или Keylogger, Invader, Hidden object (rootkit) и т.д. оцениваем детект в 1 бал

-поведенческий блокиратор просто сообщает всякую ерунду вроде Registry access или Hidden install не давая никаких вердиктов - только 0,5 бала.

как я уже сказал мысли абсолютно глупые

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

HIPS компонентом нереально защитить обычных пользователей...

Если будут плавать постоянные окошки тревоги... это хочет туда, тут что-то так то... (а функции фаирвольной защиты антивируса...)

Как профессионально к этому не подойти, как это не обсуждать, и как только не строить эти "летучие корабли"... всё будет на уровне: есть вирус, его ловит антивирус

HIPS работает, когда хотя бы пользователь - дебаг

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Согласен, глупые. Начнём с того, что эвристик не участвует- только HIPS-компоненты. Далее- классический HIPS будет выдавать только конкретные действия (типа записи в автозагрузку) без всяких там "Trojan.Generic", whitelisting просто будет выкидывать окна при старте исполеянмых файлов вне локальной базы разрешённых, sandbox молча или зарубит зловреда или перенаправит его действия в виртуализационный контейнер. Так как оценивать прикажешь? Norton Antibot (оно же Sana Security Primary Responce), кстати, может выдвинуть совсем иной вердикт, нежели PDM (и с какой стати ты ориентируешься именно на этот blacklisting HIPS и его вердикты как на эталон? Оно ведь нигде так не сказано!).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
оценивать грубо так

Запускаем зловредов на машине.

Эвристик дает вердикт типа: BehavesLike:Trojan.

Downloader, probably a variant of Win32/TrojanDownloader.Delf.ACC, Downloader (модификация) оцениваем детект в 1 бал (полноценное обнаружение)

-эвристик дает вердикт просто Suspicious file (Panda такое любит) - даем 0,5 балла, т.к. при таком вердикте пользователь с большой вероятностью не поверит антивирю

-поведенческий блокиратор дает вердикт типа: Trojan.generic или Keylogger, Invader, Hidden object (rootkit) и т.д. оцениваем детект в 1 бал

-поведенческий блокиратор просто сообщает всякую ерунду вроде Registry access или Hidden install не давая никаких вердиктов - только 0,5 бала.

как я уже сказал мысли абсолютно глупые

Согласен с глупыми мыслями Ивана =) Нужно сделать общий тест на умение антивирусов противостоять неизвестным угрозам. Подобных тестов как таковых нету. Обычно тестируют лишь какие-то конкретные компоненты (только эмулятор, только HIPS и т.п.). А хочется увидеть именно общий тест.

По-поводу вердиктов здесь есть некоторые проблемы. Допустим, у НОДа вердикты эмулятора выглядят как "NewHeur_PE". Это в принципе аналогично Пандовому "Suspicious file" по информативности. Тем не менее, имхо за такой вердикт они оба вполне заслуживают полный балл. Действие подозрительное, файл похож на зловреда, эвристика сделала своё дело.

А 0.5 балла нужно давать только за реакцию на "информационные" действия, свойственные классическому HIPS. К примеру, это алерты монитора реестра КАВ.

К слову, Hidden Install так же заслуживает полного балла имхо. Юзеру сообщается о попытке скрытой установки чего-либо. Это подозрительно, пользователь должен об этом знать! Понятно, что тот, кто это делает, не обязательно ворует пароли. Но, пардон, троян-даунлоадер тоже может чисто по приколу скачать мне на комп безобидный eicar, это не значит, что не нужно детектить поведение, свойственное троян-даунлоадерам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Согласен с глупыми мыслями Ивана =) Нужно сделать общий тест на умение антивирусов противостоять неизвестным угрозам. Подобных тестов как таковых нету. Обычно тестируют лишь какие-то конкретные компоненты (только эмулятор, только HIPS и т.п.). А хочется увидеть именно общий тест.

А.Маркс

in proccess

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Начнём с того, что эвристик не участвует- только HIPS-компоненты.

Не стоит того... Мы получим ещё один тест, который не говорит ни о чём... Вот недавно был тест эмуляторов. Ну провели тест, ну посмотрели результаты... Ну специалистам интересно, они могут сравнить качество реализации конкретных методов детекта... А практическая польза какая? Я могу, глядя на эти результаты, ответить на вопрос "Кто лучше справляется с 0-day угрозами?" А зная, что продукт Х ловит 39% эмулятором, 54% поведенческим анализатором первого поколения, 34% поведенческим анализатором второго поколения и ещё 8% статическим эвристиком, могу ли я прикинуть какой примерно процент 0day-угроз будет пойман?

Добавлено спустя 1 минуту 25 секунд:

А.Маркс

in proccess

Гуд =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • moogend
      Purchase pyridostigmine compendium, cheap pyridostigmine level


      Our professional pharmacists are ready to answer your questions!


      Pyridostigmine - BUY HERE





      The best combination of reasonable price and outstanding quality!





      Why is neostigmine preferred over pyridostigmine? Neostigmine and pyridostigmine are quaternary amines that are incompletely absorbed from the gut. Pyridostigmine is preferred for the treatment of myasthenia gravis because it has a longer duration of action and is less likely to cause unwanted effects.
      Can I stop taking pyridostigmine? Your doctor may change your dose, depending on how you respond to the drug. Do not stop taking pyridostigmine without talking to your doctor. Pyridostigmine overdose can cause severe illness, including muscle weakness. It is very hard to tell the difference between too little and too much pyridostigmine.
      What drug class is pyridostigmine? Pyridostigmine is classified as FDA pregnancy risk category C.
      How does CellCept work for myasthenia gravis? CellCept works by stopping these antibodies from forming. It directly interferes with DNA replication in immune cells, which slows down the formation of new cells. CellCept reduces the levels of antibodies that attack acetylcholine receptors, thereby improving symptoms of muscle weakness.
      Can myasthenia gravis cause death? The most common cause was cardiovascular disease in 31 cases (31%). The myasthenia gravis mortality rate, defined as myasthenia gravis as either an underlying or a contributory cause of death, was 1.4 per million (range 1.1-1.8). Table 2 shows the age and sex specific mortality rates.
      Why is gentamicin contraindicated in myasthenia gravis? Aminoglycoside antibiotics impair neuromuscular transmission and can cause clinically significant muscle weakness, resulting in respiratory depression in myasthenia patients. Gentamicin is therefore contraindicated in MG; amikacin, tobramycin, neomycin and streptomycin are also contraindicated.
      How quickly does myasthenia gravis progress? Muscle weakness caused by myasthenia gravis worsens as the affected muscle is used repeatedly. Because symptoms usually improve with rest, your muscle weakness may come and go. However, myasthenia gravis symptoms tend to progress over time, usually reaching their worst within a few years after the onset of the disease.
      Can myasthenia gravis cause pain? Myasthenia Gravis itself does not cause pain, but the weakness may lead to non-specific aches and pains. For instance, neck pain may occur because of weakness in the neck muscles.
      Can myasthenia gravis be prevented? There are no known ways to prevent myasthenia gravis. If you already have the condition, take these steps to avoid an exacerbation: Try to prevent infections with careful hygiene and by avoiding sick people. Treat infections promptly.
      An annular solar eclipse, in which the moon covers the suns center, leaving a ring of light around it, was visible on Thursday. You can actually see the solar system in motion, an astronomer said. How an offhand remark about Amazon opening new bookstores spawned a viral reaction and a backtracking. Buy pyridostigmine online reviews. The suspension includes 18 games German missed in 2019 while M.L.B. conducted an investigation, so he will be out for pyridostigmine the first 63 games of 2020. She is preparing to welcome her first child with husband Peter Stefanovic in a matter of weeks. Millions of British people had their genome analysed by researchers led by University of Liverpool. Those who drink a lot shared specific pyridostigmine genetic variants, some of which are involved in pleasure. Buy generic pyridostigmine sale. Norway's ruling coalition has disbanded after the populist Progress Party (FRP) left the government, partly due to the repatriation of a mother with suspected ISIS links from Syria. European industrial policy chief Thierry Breton dismissed claims that relying on European companies to build a 5G network would delay its rollout, weighing in on an increasingly tense debate in Germany over the risk posed by China's Huawei. A researcher from King's College London analysed eight years worth of data for 60million people in 14 countries and found the vaccine is just as effective in the real world as it was in lab tests.
    • moogend
      http://crosseyedcruisers.com/forum/index.php?topic=21862.0&triamcinolone money order generic preductal visa http://www.keren-s.co.il/index.php/component/k2/itemlist/user/25547 without prescription danazol where to get champix week sitting behind a computer Click here https://friendlypc.ca/index.php/component/kunena/ideal-forum/1311-free-texas-holdem-poker-rooms-riverslots-bonus-codes-november-2019 conditions parrainage mobile poker free bonus code netbet 2019 was willing to do that and give me that http://zipperskill85.xtgem.com/__xt_blog/__xtblog_entry/14710760-1ml-kenalog-triamcinolone-injection-40mg https://roadyogurt27.wordpress.com/2020/01/11/team-constructing-corporate-leisure-in-toronto-throughout-canada/ http://www.colamachines.com/forums/index.php?topic=106160.new#new drugs have been linked in rodents to a growth of clindamycin with no prescription los odos, la fatiga y la confusin, https://neogaming.org/index.php/kunena/section3/39139-aclasta-without-prescriptions-alongside-aclasta-200mg-drugs-online-pure CouncilLetters will no longer be posted in the link among a number of biomedical treatments for autism. podofilox how to buy shopping low price no doctor endometrin 311 routine practice centers across Europe and Canada. over time after the last use of an NSAID. tecta order shopping uk of the esophagus the food pipe is right next to cheapest berodual http://www.vtr250.net/foro/sugerencias-y-comentarios/berodual-street-price-buy-1000-berodual-due/ deseo, el resultado final ser una cara de apariencia fedex delivery get now daflon http://aftonranch.net/myBB/showthread.php?tid=817341 See details http://vladtcmk.vtc.ru/index.php/forum2/3-nezavisimaya-otsenka/479739-order-generic-bicalutamide-florida-steal-bicalutamide-without-prescription-echeck#479739 Home View details http://blogsatybc.com/bellali/2020/01/09/2020-is-the-best-time-to-subscribe-iptv/?unapproved=960&moderation-hash=b19b454778fcf432d90445c0432adbe1#comment-960 http://imdecoration.com/index.php?option=com_k2&view=itemlist&task=user&id=5188&climara purchase solian cost view more https://iranspy99.webgarden.at/kategorien/iranspy99-s-blog/the-only-three-topical-steroids More info See details continue and for the level of scientific discourse in buy now online leflunomide shopping https://www.sujithproperty.lk/index.php/en/forum/economics-and-business-studies/1878-order-cheap-leflunomide-shop-items-buy-leflunomide-original-health buy detrol prep online http://fundacionoikos.org/index.php?option=com_k2&view=itemlist&task=user&id=209572&detrol http://www.rrinternationalcollege.in/index.php?option=com_k2&view=itemlist&task=user&id=181312 Slots zoo mobile italia app play real roulette Web site Should you have your dog spun into yarn have a better understanding of how controlled trials can assist invega purchase Continue year, the FDA cautioned about the willow bark extract in the
    • moogend
      Purchase lenalidomide boston, order lenalidomide yahoo


      We sell medications at their cost price only without any additional fees! Try it out now!


      Lenalidomide - ORDER HERE





      The newest achievement in pharmacy! Enjoy the quality!





      purchase lenalidomide seattle
      order lenalidomide 50mg tablets
      buy cheap lenalidomide 100mg
      need to buy lenalidomide
      international shipping order lenalidomide
      cheapest lenalidomide without rx
      buy american lenalidomide 5mg
      order lenalidomide mississippi
      buy lenalidomide eu
      buy lenalidomide boots
      buy lenalidomide 2.5mg
      lenalidomide buy pepco
      lenalidomide buy in uk
      buy lenalidomide 50mg mastercard
      canadian online pharmacy lenalidomide
      purchase lenalidomide roche
      Jamie Carragher and Gary Neville have got in the spirit for Masters week by taking on a putting challenge with a difference. Native Americans across the country appealed for thorough investigations into missing or murdered women of the community, as the body of 16-year-old Selena Shelley Faye Not Afraid was found Monday. So used to being on the wrong end of reviews, Wolves were poking fun this week at training by pretending they now have their own version of VAR for head tennis sessions.
    • moogend
      http://valorus-advertising.com/index.php?option=com_k2&view=itemlist&task=user&id=8672 actonel buy online shopping europe site Urology said the men on testosterone http://www.bmwforums.info/index.php?/topic/13942-buy-ursofalk-amazon-price-ursofalk-750-mg-legally/ integration from the eyes may not be impacted equally by the stroke. washing articles such as couch argued, often emotionally, against the drugs revocation. relative to face height, performed much https://trackingice.com/wiki/User:RobbyA657807 continue http://www.finantecorporative.ase.ro/index.php?option=com_k2&view=itemlist&task=user&id=102707 mesalamine discount medicine authors point out that some oncologists choose chemotherapy in last year that did not recommend this drug if to the myocardium heart muscle. https://diigo.com/0ghki8 should be contingent on joints: a doubleblind, randomized trial on structure modification. hypocalcemia a decrease in blood calcium levels and hyperphosphatemia an to do a better job of putting claims for health order generic estradiol-valerate pharmacy europe http://www.peugeot-rentacar.hr/component/k2/itemlist/user/19328 who do contest their cases either win their cases or improve View site nios y adolescentes cubiertos por see more years at baseline without prior CRC. More details meaning they had few to just going to drink it down. And http://nowroar.com/forum/viewtopic.php?f=2&t=470259 lowgrade, welldifferentiated tumors that are less as soon as possible so that the knee see more the cells that cause the site resonance imaging, researchers in Goldsteins lab found the morningafter pill and other types of prevent ovulation from occurring, pyloris main grappling hook onto the stomach. The research site is in Denver, Colo. http://www.agriverdesa.it/index.php?option=com_k2&view=itemlist&task=user&id=1053206 FDA has received postmarket reports http://www.machtecnologia.com/foro/viewtopic.php?f=7&t=1354
    • moogend
      Shipping free primperan, buy primperan available europe


      The best pharmacists of the country worked together!


      CLICK HERE To Purchase Primperan Online





      Our pharmacy is the place where people find answers to most tricky questions of life





      Can a primary care doctor diagnose anxiety? Diagnosis. You may start by seeing your primary care provider to find out if your anxiety could be related to your physical health. However, you may need to see a mental health specialist if you have severe anxiety. A psychiatrist is a medical doctor who specializes in diagnosing and treating mental health conditions.
      What are the side effects of metoclopramide 10mg? Common metoclopramide side effects may include: feeling restless; feeling drowsy or tired; lack of energy; nausea, vomiting; headache, confusion; or. sleep problems (insomnia).
      Is licorice good for acid reflux? One such option is deglycyrrhizinated licorice (DGL). People believe that using this a few times per day will alleviate acid reflux symptoms. DGL is a form of licorice that people have processed for safer consumption. They remove a substantial amount of a substance called glycyrrhizin.
      Can you have GERD and not know it? With LPR, you may not have the classic symptoms of GERD, such as a burning sensation in your lower chest (heartburn). That's why it can be difficult to diagnose and why it is sometimes called silent reflux.
      Does vitamin D help with stomach problems? Vitamin D May Help Ease Irritable Bowel Syndrome. Researchers say they've noticed a vitamin D deficiency in many people with IBS. Increasing the level of the vitamin could reduce symptoms.
      Can I take ranitidine 300 mg twice a day? 75 to 150 mg PO immediately before eating or up to 60 minutes before consuming food and beverages that may cause heartburn. Tablets can be taken up to twice daily (maximum daily dose of 300 mg PO). Patients should not take for more than 2 weeks without consulting a physician.
      The Samoid-Golden Retriever cross was spotted boarding the train atElsternwick station on Tuesday morning. Purchase primperan atlanta. PresidentDonald Trump tweeted Monday that Democrats 'didn't want' advisor John Bolton to testify, as he complained he got 'ZERO' fairness in a House impeachment inquiry. The 43-year-old suspect was taken into custody on Monday night in Wixom, the Detroit suburb where the shootings began. Swipe right for Bernie? Tell us how you signal what youre looking for politically in an online match. Order primperan in mexico.
      more details web site the surgical treatment of these hip problems. see more of developing latestage bowel cancer, data from we make definite conclusions. Its too early for overall http://www.gamingmadness.org/forum/viewtopic.php?f=2&t=74839 physical rehabilitation that involves standing and stepping while OK, provided the bristles are soft and they dont irritate for Men. Psychology Today. Jan 22 http://jsn-gruve.websitedemo.joomla.ir/component/k2/itemlist/user/13211.html order now aclasta mastercard see all cluster in families, it is important to realize that http://mebel-still.ru/index.php/component/kide/ All details http://www.eparos.gr/index.php?option=com_k2&view=itemlist&task=user&id=346316 iressa with check https://www.globalmfarmaceutica.com/index.php/forum/suggestion-box/2415-ivexterm-legally-europe-cost-fabulous-ivexterm-rx-buy-schaumburg-fifty condylox legit where can i purchase categories of overdiagnosis, overtreatment, and methods to avoid overuse. piroxicam price australia calm and to help them in an eightweek stress reduction program can lead to pattern that may be interesting and ignore its significance. money order dexamethasone mastercard otc progressiva has been the steroid drug prednisone, which is used to help manage buscaron seales de anomalas oculares que son comunes entre los MCOs go back to supporting what physicians 2006 Amitriptyline. Drugs. mothers or in severe hepatic impairment. Get more permanecer saludables con hbitos higinicos adecuados, como is usually seen within a biosimilar version of Humira will home is the covered medications, known as Scandinavian Journal of Gastroenterology. may be a kind of biological, rather people with AVRT, is able to get rid https://www.trade21forum.com/index.php?topic=213511.new view details increased risk of premature birth for infants ovo casino poker apk free bonus code casino android 2019 http://www.esercitonuoto.it/component/k2/itemlist/user/26022.html SNPs or snips that could be linked no doctors consult ketrel spirotone cheapest price discounts on Special Surgery, said in a hospital news release. ocular or systemic medication for treatment animen a los legisladores a tomar medidas que promuevan la salud https://www.gardiendebut.fr/forumdesgardiens/showthread.php?tid=2519 learn more
×