SafeGroup

...czyli "Możliwości nowoczesnych pakietów zabezpieczających" . Tak zatytułowano pierwszą część zapowiadanej serii artykułów na dość istotny dla wielu...zwłaszcza mniej obeznanych...użytkowników temat. Jak wiemy jest pewien niepisany standard, co taki pakiet powinien zawierać, ale z drugiej strony wielu producentów oprogramowania często zwyczajnie naciąga lub wręcz nadużywa tej nazwy dla swoich produktów.
Można oczywiście się spierać co pakietem jest, a co nie jest i czy zależy to tylko od inwencji autora/producenta...można przypisywać modułom pakietu określone funkcje/możliwości i związane z nimi opcje,a le tak naprawdę zamieszanie w tej materii było i chyba będzie zawsze. Reasumując...co by nie powiedzieć o testach, jakie serwuje nam laboratorium Matouska, to wg mnie inicjatywa tych artykułów jest cenna i na pewno wzbogacić może naszą wiedzę w temacie.

Cytat: Today''s desktop security products for Windows are very complex applications. For end-users, the number of offered proprietary features can be confusing. Each software vendor may use its own original names for the very same features that are available in other products under different names. The confusion might increase when we realize that it is not uncommon to see two different features having the same name in products of two different vendors.

This series of articles is intended to clarify the basics and the real functionality of the most common features of today''s Windows desktop security suites. We are going to describe what can you expect from a product that, for example, implements Anti-Malware, Safe Web, or Intrusion Prevention. Using the information in this series you should be able to compare the offered feature sets of products of different vendors and better understand how security suites work.

In the first part of the series we will discuss two most common components – Anti-Virus Engine and Firewall.

Contents:

Anti-virus Engine
Detection Methods
Scan Types and Settings
Specialized Scans
Additional Related Features

Firewall
Networks
Intrusion Detection/Prevention
IP Blacklist
Block All Traffic
Program Control

Opis tych dwóch z trzech najbardziej podstawowych (brak monitora procesów/systemu) wygląda na rzetelny i dość szczegółowy, choć wg mnie autor nie ustrzegł się merytorycznego błędu pisząc tak

Cytat: Virtualization and sandboxingare more advanced methods of detection. For a limited time the samples are executed in a virtual machine or another secured environment that the scanned sample can not escape from and from which the sample can not harm the real system.

Po pierwsze wirtualizacja dysku/systemu czy w postaci piaskownicy nie jest żadną metodą detekcji...to tylko metoda izolacji pliku/programu/dysku, która powoduje, że niekorzystne zmiany podczas skanowania czy działania infekcji nie będą przeniesione do rzeczywistego systemu. Co dziwne autor sam o tym pisze, więc niejako sobie zaprzecza
Następna refleksja jeszcze - w opisie zapory i wyjaśnieniach czym są sieci zaufane i niezaufane powinien jednoznacznie napisać, że w sieciach niezaufanych z reguły blokowane jest współdzielenie zasobów - plików i urządzeń, co czasem dla użytkownika może mieć duże znaczenie.

Cały artykuł tu

[Aby zobaczyć linki, zarejestruj się tutaj]

Cytat: Virtualization and sandboxingare more advanced methods of detection. For a limited time the samples are executed in a virtual machine or another secured environment that the scanned sample can not escape from and from which the sample can not harm the real system.

Oczywiście wirtualizacja i sandboxing nie(zawsze)są technikami służącymi detekcji, ale... Jeśli realizacja piaskownicy w przypadku wirtualizacji jest logicznym rozszerzeniem emulacji, a sam emulator może być (zwykle jest) wyposażony w silnik analizy heurystycznej, to sandboxingmoże również zawierać moduły służące detekcji - chyba to autor miał na myśli.

Z tym, że błąd leży mniej więcej tutaj:

Cytat: [...] For a limited time the samples are executed in a virtual machineor another secured environmentthat the scanned sample can not escape from and from which the sample can not harm the real system.

Bo - co już zauważyliśmy wyżej - wirtualizacja systemu za pomocą maszyny wirtualnej nie ma nic wspólnego z detekcją, a drugą pogrubioną część zdania rozumiem z kontekstu jako piaskownicę i wyjaśnienie przedstawiłem wyżej.

Jak dla mnie po prostu nie jest jasno określone, co autor rozumie przez pojęcie virtual machine- piaskownicę? Może (to byłoby głupie), bo piaskownica jest elementem wirtualizacji. W takim razie czym jest another secured environment ? W rzeczywistości w zdaniu wygląda to tak: virtual machine= np. VirtualBox , VMWare , etc. i wirtualizacja całego systemu operacyjnego, a another secured environment= piaskownica i wracamy do tego co mamy powyżej.

Rozumiecie co mam na myśli?

Sandboxing to nie tylko wirtualizacja...to także nakładane dodatkowo restrykcje na uruchamiane programy. "Lekka wirtualizacja" oznacza z kolei wirtualizację dysku/napędu i poza izolacją od rzeczywistego systemu nie nakłada raczej żadnych restrykcji na uruchamiane aplikacje. Dla mnie ani jedno ani drugie nie ma nic wspólnego z detekcją...czy Sandboxie coś wykrywa?...daje jakiś komunikat?...nadaje jakieś stopnie reputacji/zaufania?...albo czy robi to SD, WTF, Returnil albo Deep Freeze?
OK...zostawmy to w spokoju, bo zaczyna się czysto teoretyczna "przepychanka"

ichito napisał(a):OK...zostawmy to w spokoju, bo zaczyna się czysto teoretyczna "przepychanka"

Ale ja przecież nie zaprzeczyłem temu co napisałeś, tylko chciałem to rozwinąć, bo temat wydaje się ciekawy

Wydawało mi się, że artykuł dotyczy produktów takich jak AV, IS i Firewall, a wymienione przez Ciebie aplikacje nie należą do żadnej z tych grup. Z tego powodu termin piaskownicakojarzył mi się raczej z rozwiązaniami takimi jak avast! AutoSandbox . Na przykładzie:

Cytat: avast! AutoSandbox to specjalna funkcja, która pozwala potencjalnie podejrzane aplikacjeautomatycznie uruchamiać w całkowicie izolowanym środowisku. Jeśli aplikacja jest uruchomiona i avast! 6.x wykryje coś podejrzanego , domyślnie pozwoli wybrać, czy chcesz uruchomić aplikację w AutoSandbox

Cytat: The new AutoSandbox is now able to scan and analyze the behavior of selected files . In addition, this feature is connected to the FileRep cloud feature which identifies new files for additional analysis.So now we are able to warn you even before we have had the opportunity to examine this malware in our Virus Lab.

Na tej podstawie można stwierdzić, że "programy" takie jak piaskownica również mogą być wyposażone w moduły detekcyjne.

źródło:

[Aby zobaczyć linki, zarejestruj się tutaj]

,

[Aby zobaczyć linki, zarejestruj się tutaj]

.

OK...nawet jeśli założymy, że chodzi o wewnętrzne "piaskownice" jak w Avast, Comodo czy Norman, to nie widzę niestety pakietów z wirtualizacją, o której piszą Dalej będę się jednak upierać, że sformułowanie o piaskownicy/wirtualizacji jako detekcji to nadużycie...to tylko metody izolacji i ograniczeń dla aplikacji...piaskownica jest wirtualizacją procesów, lekka wirtualizacja dotyczy całego dysku/systemu. Nie znam...nie słyszałem...nie czytałem...o metodach detekcji możliwych do zrealizowania dzięki wirtualizacji...oczywiście można wpuścić coś do wirtualnego "kontenera", żeby sobie działało, ale musi być dodatkowy mechanizm detekcji, który albo sprawdza w pewnych odstępach czasu, co w systemie działa i porównuje to z ustaloną "listą"...albo reaguje na próby dostępu/zmian w określonych obszarach systemu...albo na cokolwiek nowego, co próbuje uruchomić się w pamięci.

Pojawiła się druga część opracowania na temat funkcji i możliwości pakietów IS - ta część dotyczy przede wszystkim funkcji monitorowania/analizy zachowań aplikacji - znaleźć można sporo informacji na temat podejrzanych zachowań i technik ataków

Cytat: The second part of the Features of Modern Security Suites series is devoted to Behavior Control features. Application behavior and its monitoring and controlling is a topic that is very close to us as it is also the primary focus of our public research as well as our commercial work for security software vendors. In this article we describe basic functionality of Behavior Control features and we enumerate common categories of application behavior that are being controlled by modern security suites.

Contents:

Behavior Control
Operation Modes
Sandbox
Potentially Dangerous Actions and Techniques
Component Control
System Guard
Removable Media Protection
Self-protection

[Aby zobaczyć linki, zarejestruj się tutaj]

Mamy już część trzecią, w której znajdziemy takie rozdziały

Cytat:
*Web and Browser Protection
Plugin Control
Domain and URL Filters, Blocking Ads
Dynamic Content
Cookies
Browser Virtualization
Browser and Search Advisor, Anti-phishing
Web Content Scanning
Privacy Protection
*Parental Control
*Anti-spam
*Vulnerability Protection
*Updates
*Settings Protection
*Online Backup
*Performance Monitoring
*Tune-up
*Reports and Logs

[Aby zobaczyć linki, zarejestruj się tutaj]