Arquivo da Categoria ‘malwares’

Nova pesquisa da NSS LABS publicada - Análise de Anti-malwares

quinta-feira, 5 de novembro de 2009

Durante muito tempo os grandes laboratórios que realizam pesquisas sobre a eficiência das ferramentas anti-malware trabalharam com um conceito de testes baseado exclusivamente com bases de vacinas (pattern), sendo os testes realizados no seguinte formato:

  1. É selecionada um hard disk contendo o maior número possível de malwares conhecidos e instalado em uma máquina de testes;
  2. Nesta mesma máquina é instalada a ferramenta anti-malware a ser testada e então é iniciada a verificação do hard disk com os malwares;
  3. Ao final do scan é verificado o relatório apresentado pela ferramenta e analisado para se constatar qual o percentual de malwares que a ferramenta conseguiu detectar / eliminar;
  4. Após a repetição do mesmo teste com todas as ferramentas do escopo, os relatórios de desempenho são analisados e é gerado o relatório final da pesquisa, contendo o comparativo entre o desempenho de todas as ferramentas testadas;

O tipo de teste descrito acima foi eficiente durante muito tempo, porém nos últimos anos a complexidade dos malwares aliada a dificuldade em sua detecção forçou os fabricantes de ferramentas anti-malware a mudarem a sua estratégia para conseguir manter a eficiência na proteção a seus clientes. A principal modificação na estratégia de proteção é trabalhar com novas tecnologias, além das bases de vacinas, como por exemplo reputações de web sites, co-relação de ameaças, etc.

Analisando está nova estratégia de proteção, é fácil concluir que o teste de desempenho citado no início deste post é atrasado, não levando em consideração estas novas tecnologias incorporadas as estratégias de proteção, logo não conseguem refletir o real percentual de proteção fornecido pelas ferramentas testadas.

Buscando melhorar o procedimento de testes das ferramentas anti-malware, o NSS LABS desenvolveu um novo procedimento para testes, fazendo a análise das ferramentas agora simulando um ambiente real, com acessos a internet, arquivos, utilização de pendrives e demais atividades normais no cotidiano de uma empresa. Este novo processo de testes foi feito da seguinte forma:

  1. Foram escolhidas as principais ferramentas anti-malware do mercado para participarem dos testes;
  2. A ferramenta anti-malware a ser avaliada é implementada no ambiente seguindo todas as melhores práticas de configuração / implementação do fabricante da ferramenta;
  3. A ferramenta anti-malware é avaliada pelo período de 21 dias, sendo submetida a ameaças web, novos malwares que ainda não possuem vacina (devem ser identificados pelo seu comportamento) e demais ameaças existentes;
  4. Após o período de 21 dias foram gerados todos os relatórios referentes ao seu nível de desempenho;
  5. O procedimento é repetido com todas as ferramentas que participam do teste;
  6. Ao final é gerado um relatório com o comparativo entre todas as ferramentas testadas;

Com este novo procedimento para os testes das ferramentas, todo o potêncial de proteção das mesmas é validado, sendo que o relatório final gerado a partir da análise das ferramentas pode ser considerado o mais próximo da realidade.

O último relatório da NSS LABS testou as 10 (dez) principais ferramentas anti-malwares disponíveis no mercado, sendo que a que oferece melhor proteção é a ferramenta OfficeScan do fabricante TREND MICRO. Abaixo seguem os principais dados deste relatório e os links para acesso ao relatório completo em PDF:

Ferramentas Analisadas e suas respectivas Versões (lista em ordem alfabética)

  • AVG Internet Security, version 8.5.364
  • Eset Smart Security 4, version 4.0.437
  • F-Secure Client Security version 8.01
  • Kaspersky Internet Security 2010, version 9.0.0.459
  • McAfee VirusScan Enterprise:8.7.0 + McAfee Site Advisor Enterprise:2.0.0
  • Norman Endpoint protection for Small Business and Enterprise
  • Sophos Endpoint Protection for Enterprise - Anti-Virus version 7.6.8
  • Symantec Endpoint Protection (for Enterprise), version 11
  • Panda Internet Security 2009, version 14.00.00
  • Trend Micro Office Scan Enterprise, version 10

Tabela Comparativa dos Resultados Finais:

Resultados dos Testes da NSS LABS

Resultados dos Testes da NSS LABS

Para acesso aos relatórios completos: link (é necessário realizar o cadastro no site da NSS LABS para ter acesso aos relatórios) No link existem os relatórios dos testes das versões corporativas das ferramentas e das versões para uso pessoal.

Acesso ao site da empresa Trend Micro: Link

O grande diferencial das soluções Trend Micro é a sua estratégia, denominada Smart Protection Network, vale a pena acessar o link e entender como ela funciona. Logo teremos um post dedicado e ela em nosso blog.

Tags:, , , ,
Publicado em malwares, pesquisas | Nenhum comentário »

Malwares - conhecemos a real ameaça ??

sexta-feira, 17 de abril de 2009

Neste post quero tratar sobre um grande problema que já incomodava muito e com a popularização da internet e dos computadores pessoais se potencializou, trazendo cada vez mais medo e insegurança para todos. O assunto de hoje serão os Malwares !!!

Segundo a Wikipedia (www.wikipedia.org), Malwares são programas de computador maliciosos que tem como principal objetivo causar dano ou roubar informações de computadores e dispositivos computacionais. Sendo assim se enquadram dentro desta definição ameaças como spywares, worms, keyloggers e assim por diante.

A grande pergunta neste ponto é: “Estamos realmente seguros contra todas estas ameaças?” Muitos vão me responder: “Claro, eu tenho um software antivírus instalado e atualizado em meu computador !!”, porém a realidade é que estamos muito menos seguros do que imaginamos.

Para entender o motivo primeiramente vamos entender como funciona a atualização de um software antivírus, iniciando na descoberta de um novo malware (as chamadas ameaças zero day) e finalizando com a distribuição da vacina para proteção / remoção deste malware.

Processo para criação de vacinas contra malwares

Na imagem acima, iniciamos o fluxo com a descoberta de um novo malware, sendo então realizado o envio de uma amostra desta ameaça para as equipes de pesquisadores dos fabricantes de antivírus. Com a amostra em mãos, os pesquisadores analisam o malware para descobrir seu comportamento e assim conseguem desenvolver a “vacina” para combater o malware que é então empacotada na base de vacinas do fabricante e enviada para os usuários do antivírus.

Fazendo uma análise deste processo, em um primeiro momento podemos acreditar que tudo está bem e não precisamos nos preocupar com os malwares, pois sempre vamos ter as vacinas para combate-los, porém antes de mais nada vamos analisar o gráfico abaixo que mostra o crescimento do número de malwares com o passar dos anos (amostras únicas).

AV-Test.org / Enero 2008

Não sei qual a sensação que você está tendo ao analisar este gráfico, mas na primeira vez em que o vi fiquei boquiaberto com o crescimento exponencial das ameaças nos últimos cinco anos !! Outro ponto que me deixou curioso após ver o gráfico foi a questão do tempo de resposta aos malwares, pois como vimos anteriormente existe um ciclo que os pesquisadores das empresas de antivirus seguem para criar as vacinas, sendo necessários recursos humanos e tecnológicos para esta tarefa. Será que as empresas tem conseguido acompanhar a velocidade do surgimento das ameaças e criar as vacinas em tempo hábil para que nós possamos nos sentir protegidos ??? A resposta para essa pergunta é NÃO !!! Mesmo com as empresas aumentando o número de pesquisadores de ameaças e disponibilizando mais vacinas a cada dia (existem casos de empresas que já publicam mais de 800 vacinas por hora) o crescimento exponencial das ameaças é um grande concorrente … e ainda nos deparamos com as limitações de nossos links de internet atuais … é quase impossível conseguir baixar todas as vacinas em tempo hábil para nos mantermos sempre protegidos !!!

E será que estamos perdidos ? devemos abandonar a internet ? … claro que não, hoje já não conseguimos nos imaginar sem internet e com todos os benefícios e facilidades que ela nos traz já não podemos abdicar de sua utilização. E agora você deve estar pensando … “os antivirus não conseguem me proteger de forma eficaz, eu sou dependente da internet no meu dia-a-dia … e agora ??” … realmente a situação é complicada, porém as empresas que combatem estas ameaças já estão desenvolvendo outro modelo de proteção, criando uma camada além da confecção das vacinas … esta camada tem sido chamada de “Segurança na Nuvem” e utiliza a Cloud Computing para proteger os usuários.

“E como ela vai fazer isso ?” deve ser a grande questão a ser respondida … e a resposta ao contrário do que você deve imaginar é bem simples  …. reputação !!! Verificações baseadas em reputação são a grande arma que está sendo utilizada contra os malware. É fato que a grande maioria dos malwares são executados nos computadores dos usuários enquanto eles navegam pela internet ou quando clicam em links enviados via e-mail. Ao acessar um determinado sítio com conteúdo malicioso, ou mesmo ser redirecionado para ele através de um e-mail, o malware é executado e infecta o computador do usuário.

Imaginemos então como a verificação de reputação se encaixa neste contexto. Apenas para ilustrar vamos imaginar que você vai ao banco para fazer um empréstimo, vai até o gerente e então o banco realiza uma série de verificações sobre a sua vida financeira … verifica se você tem dívidas em seu nome, se paga seus impostos, se tem residência própria e mais uma série de coisas … neste momento o banco está verificando a sua reputação financeira para decidir se lhe concede ou não o empréstimo solicitado.

Agora voltando aos malwares, porque as nossas ferramentas de proteção não podem verificar a reputação de um sítio antes do acesso, verificando se ele é confiável ou não, sendo o acesso ao mesmo somente liberado no caso de uma respota OK para boa reputação ? É exatamente assim que esta nova camada de proteção trabalha, os desenvolvedores de ferramentas antimalwares estão criando bases de reputação em seus servidores que são consultadas a cada acesso do usuário, bloqueando o acesso a sítios com conteúdo malicioso antes mesmo que eles tenham a oportunidade de realizar qualquer ação que prejudique o computador deste usuário !!

É claro que esse é apenas o início do caminho que as empresas de antivírus terão que percorrer para conseguir acompanhar a velocidade do crescimento do número de Malwares que tem sido exponencial a cada ano, e por isso devemos cada vez mais estar atentos aos sítios que acessamos, e-mails que recebemos e qualquer outra troca de informações realizada pela web, pois não estamos totalmente protegidos contra elas e atualmente o principal objetivo dos Malwares é quase puramente fincanceiro, buscando informações que possam ser utilizadas pelos seus criadores para conseguir dinheiro.

Tags:,
Publicado em malwares | Nenhum comentário »