Que es HIPS. Limitaciones de aplicación y problemas de Viruscope. Lo que generalmente se hace con HIPS en la producción industrial

Sistemas de prevención de intrusos (sistemas IPS).
Protegiendo su computadora del acceso no autorizado.

El tipo más utilizado de sistemas de prevención de intrusiones en la actualidad es CADERAS(del inglés Host-based Intrusion Prevention System - sistema de prevención de intrusiones a nivel de host). La tecnología HIPS es la base de los productos y sistemas de seguridad, y los elementos de protección HIPS también han comenzado a utilizar herramientas antimalware tradicionales, como los programas antivirus.

Si hablamos de los beneficios de los sistemas de prevención de intrusos tipo HIPS, entonces el principal, por supuesto, es exclusivamente nivel alto proteccion. Expertos en seguridad de información está de acuerdo en que los sistemas HIPS pueden proporcionar casi el 100 % de protección contra cualquier malware, incluso el más reciente, así como contra cualquier intento de acceso no autorizado a información confidencial. Esta es una protección que cumple perfectamente su función principal: proteger. Ninguna herramienta tradicional de seguridad de la información puede presumir de tal nivel de protección.

Las herramientas y técnicas HIPS están en el corazón de los productos de seguridad de la información de SafenSoft. Nuestros productos combinan todos los beneficios de los sistemas de prevención de intrusos y las soluciones de seguridad tradicionales. La protección proactiva de SoftControl evita cualquier intento de acceso no autorizado al entorno de datos y software de las PC domésticas (productos SysWatch Personal y SysWatch Deluxe), estaciones de trabajo redes corporativas(Enterprise Suite), cajeros automáticos y terminales de pago (TPSecure y TPSecure Teller). Nuestra tecnología patentada de control de aplicaciones V.I.P.O.® combina 3 capas de protección: controla todas las aplicaciones en ejecución, utiliza un espacio aislado dinámico para iniciar procesos sospechosos y controla el acceso de las aplicaciones a sistema de archivos, claves de registro, dispositivos externos y recursos de red. Las soluciones de SoftControl pueden funcionar en paralelo con los paquetes antivirus, brindando una protección completa entorno de software computadora. al trabajar en red local, los productos SoftControl cuentan con una conveniente administración centralizada y un sistema de alerta de amenazas para el administrador. A diferencia de las soluciones de seguridad tradicionales, las soluciones de SoftControl no requieren actualizaciones constantes de la base de datos de firmas.

¿Qué significa HIPS en un sentido general?

Significa "Sistema de prevención de intrusiones en el host" ( H ost yo intrusión PAG revencion S sistema). Básicamente, es un programa que alerta al usuario cuando un programa malicioso, como un virus, puede estar intentando ejecutarse en la computadora del usuario, o cuando un usuario no autorizado, como un pirata informático, puede haber obtenido acceso a la computadora del usuario.

Origen y antecedentes

Hace unos años, era relativamente fácil clasificar el malware. El virus era un virus, había otras especies, ¡pero eran muy diferentes! En nuestro tiempo, los "errores" han cambiado y los límites que los definen se han vuelto más borrosos. No sólo ha habido más amenazas en forma de caballos de Troya, gusanos y rootkits, ahora a menudo se combinan varios productos maliciosos. Esta es la razón por la que ahora se hace referencia colectivamente al malware como "malware" ya las aplicaciones diseñadas para combatirlo como programas de "amplio espectro".

En el pasado, los programas de detección se basaban principalmente en firmas de malware para detectar malware. Este método, si bien es confiable, es tan bueno como la frecuencia de las actualizaciones. Existe una complicación adicional en el sentido de que gran parte del malware actual está mutado constantemente. En el proceso, sus firmas también cambian. Para combatir esto, se han desarrollado programas HIPS que pueden "reconocer" el malware por su comportamiento en lugar de por sus firmas. Este "comportamiento" puede ser un intento de controlar otra aplicación, ejecutar Servicio de Windows o cambiar la clave de registro.

Ilustración del sitio web EUobserver.com

Esto es un poco como atrapar a un criminal por su comportamiento y no por sus huellas dactilares. Si actúa como un ladrón, lo más probable es que sea un ladrón. Lo mismo con programa de computadora: si actúa como malware, lo más probable es que sea malware.

El problema aquí es que, a veces, los programas perfectamente legales pueden actuar de manera un poco sospechosa, y esto puede hacer que HIPS etiquete erróneamente un programa legítimo como malware. Estas llamadas falsas alarmas son un problema real para los programas HIPS. Es por eso que los mejores programas HIPS son aquellos que utilizan un método combinado de firma y comportamiento. Pero más sobre eso más adelante.

¿Qué hace realmente un programa HIPS?

A en términos generales Un programa HIPS busca preservar la integridad del sistema en el que está instalado evitando que fuentes no autorizadas realicen cambios en ese sistema. Por lo general, hace esto mostrando una ventana emergente de advertencia de seguridad que pregunta al usuario si se debe permitir un cambio en particular.

Comodo: ventana emergente de advertencia de HIPS

Este sistema es tan bueno como las respuestas del usuario a las solicitudes emergentes. Incluso si el programa HIPS identifica correctamente la amenaza, el usuario puede aprobar sin darse cuenta la acción incorrecta y la PC aún puede estar infectada.

El comportamiento correcto también puede malinterpretarse como malicioso. Estas llamadas "falsas alarmas" son un problema real con los productos HIPS, aunque afortunadamente se han vuelto menos comunes a medida que los programas HIPS se vuelven más sofisticados.

La ventaja aquí es que puede usar algunos programas HIPS para administrar los permisos de aplicaciones legítimas, aunque esto solo sería deseable para usuarios avanzados. Explicaré esto con más detalle más adelante, y por qué debería usarlos. Otra forma de ver HIPS es usarlo como un cortafuegos que controla las aplicaciones y los servicios, no solo el acceso a Internet.

tipo de producto

El malware moderno se ha vuelto tan avanzado que los programas de seguridad ya no pueden depender únicamente de la detección basada en firmas. Ahora, para detectar y bloquear amenazas de malware, muchas aplicaciones utilizan una combinación de diferentes métodos. Como resultado, en varios varios tipos los productos de protección ahora usan HIPS. Hoy en día, no es raro ver a HIPS como parte de un programa antivirus o antispyware, aunque HIPS es, con mucho, el más común como parte de un firewall. De hecho, la mayoría de los cortafuegos modernos ahora han agregado elementos de protección HIPS a sus capacidades de filtrado de IP.

Complejo comodo antivirus seguridad de Internet

Los programas HIPS utilizan una variedad de métodos de detección para mejorar la eficiencia. Además del reconocimiento de firmas, los programas HIPS también buscan comportamientos que sean consistentes con el malware. Esto significa que buscan detectar actividades o eventos que se sabe que son típicos del comportamiento del malware.

Algunos programas de análisis de comportamiento están más automatizados que otros y, si bien esto puede parecer una buena idea, puede ser problemático en la práctica. A veces, las circunstancias pueden parecer tales que una acción perfectamente legal de la aplicación resultará sospechosa, lo que provocará su terminación. ¡Es posible que ni siquiera lo sepa hasta que algo deje de funcionar! Esto es bastante seguro y solo molesto mientras que el proceso es reversible, pero a veces puede provocar inestabilidad en el sistema. Aunque este tipo de eventos son raros, su impacto puede ser severo, por lo que es recomendable tener esto en cuenta al tomar una decisión.

Instalación y configuración

Un programa HIPS debe instalarse con su configuración predeterminada y continuar usándose hasta que haya completado algún período de aprendizaje requerido o su funcionalidad se vuelva familiar para usted. Siempre puede ajustar los niveles de sensibilidad más adelante y agregar más reglas si lo considera necesario. Las aplicaciones que tienen un "período de aprendizaje" por defecto están diseñadas de esta manera por una razón. Puede ser tentador acortar el período de aprendizaje, pero esto también puede reducir la eficiencia. Los fabricantes suelen incluir un manual en PDF, y nunca es mala idea leerlo antes de la instalación.

ESET NOD32 Antivirus: configuración HIPS

Anteriormente, mencioné la posibilidad de usar un programa HIPS para controlar también el uso de aplicaciones legales. Ya hacemos esto en nuestros cortafuegos restringiendo el uso de puertos. Puede usar el programa HIPS de manera similar para bloquear o restringir el acceso a Componentes del sistema y servicios. En términos generales, cuanto más restrinja Windows, más seguro funcionará. ¡Leí en alguna parte que el sistema Windows más seguro se llama Linux! Pero ese es otro problema. A veces, los programas legales, cuando se instalan, establecen un nivel de acceso al sistema que supera con creces lo que realmente se supone que deben realizar como parte de sus funciones normales. Restringir las aplicaciones a "permitidas para leer" (con disco duro) si no necesitan "permiso de escritura" de forma predeterminada, es una forma de mitigar el riesgo. Para hacer esto, puede, por ejemplo, usar la configuración del módulo "Protección +" en Comodo Internet Security.

Cuándo amenaza potencial identificado

La mayoría de los programas HIPS alertan a los usuarios sobre amenazas potenciales con una ventana emergente interactiva cuando sucede algo. Algunos programas automatizan este proceso y lo informan (¡tal vez!) más tarde. Lo importante es no "automatizarse" al contestar. Ninguna aplicación de seguridad será de utilidad si hace clic ciegamente en el botón "Sí" al responder cualquier pregunta. Solo unos segundos de reflexión antes de tomar una decisión pueden ahorrar horas de trabajo más adelante (sin mencionar la pérdida de datos). Si una notificación resulta ser una falsa alarma, a veces puede guardarla como una "excepción" para evitar dicha notificación en el futuro. También se recomienda que las falsas alarmas se informen a los fabricantes para que puedan solucionarlas en versiones futuras.

¿Qué pasa si no estás seguro?

Los números varían según lo que esté leyendo, pero hasta el 90% de todas las infecciones de malware provienen de Internet, por lo que obtendrá la mayoría de las ventanas emergentes de seguridad mientras esté en línea. La acción recomendada es detener este evento y buscar en Google información sobre los archivos que se muestran. La ubicación de una amenaza fija puede ser tan importante como el nombre del archivo. Además, "Ispy.exe" puede ser software legítimo, pero "ispy.exe" puede ser malicioso. Los informes de registro de "HijackThis" podrían ayudar con esto, pero los resultados proporcionados por el servicio automatizado pueden no ser completamente inequívocos. En general, tolerará algún daño si bloquea o aísla el evento en curso hasta que aprenda a manejarlo. ¡Esto solo sucede cuando elimina algo y no sabe que podría conducir a resultados desastrosos!

La tendencia actual es incluir recomendaciones de la comunidad en las notificaciones de brindis. Estos sistemas intentan ayudarlo a responder con precisión a los avisos de seguridad al informarle cómo otros han respondido a incidentes similares.

Esta es una idea atractiva en teoría, pero en la práctica los resultados pueden ser decepcionantes. Por ejemplo, si 10 personas han visto previamente una determinada notificación y nueve de ellas tomaron la decisión equivocada, entonces cuando vea una recomendación con una calificación del 90% para bloquear el programa, ¡hará lo mismo! Yo lo llamo el síndrome del rebaño. A medida que aumenta el número de usuarios, también debería aumentar la fiabilidad de las recomendaciones, pero no siempre es así, por lo que es necesario tener precaución. Siempre puedes buscar en Google una opinión diferente.

¿Protecciones múltiples o un "enfoque en capas"?

Hace algunos años, el uso de suites de seguridad únicas no proporcionaba un nivel de rendimiento comparable al uso de varias aplicaciones de seguridad separadas para lograr una protección "en capas". Aunque, recientemente, los fabricantes han invertido mucho en el desarrollo de kits, y esto ahora se refleja en sus productos. Sin embargo, algunos todavía contienen al menos un componente débil y, si se trata de un cortafuegos, debería optar por otra cosa. El consenso general es que una combinación de los elementos individuales aún brindará un alto rendimiento y una mejor confiabilidad general. Lo que hacen en general es, por supuesto, ofrecer más opciones y más flexibilidad. Comodo fue la primera suite seria que fue verdaderamente gratuita, pero ahora Outpost ( nota del sitio: desafortunadamente, este producto no se está desarrollando en tiempos recientes ) y ZoneAlarm también lanzan kits gratuitos. Todos ellos ofrecen una alternativa seria al software de pago.

Alarma Zona Franca Antivirus gratis+ cortafuegos

Un automóvil es tan bueno como su conductor, y lo mismo ocurre con el software. No existe tal cosa como un programa de seguridad de alta de "configúrelo y olvídese". Trate de elegir lo que puede entender y lo que le gusta usar. Es como comparar los cortafuegos Sunbelt-Kerio y Comodo. Sí, si quieres tener los pies en la tierra, Comodo te puede dar mejor protección, pero también es más difícil de entender. Si cree que es más fácil trabajar con Kerio, lo más probable es que lo use de manera efectiva y, a la larga, sería La mejor decision(solo hasta Windows XP. Usuarios de Windows 7 y superiores pueden probar TinyWall). Como guía, use los resultados de varias pruebas, pero solo para esto. Ninguna prueba puede reemplazar su computadora, su programa y sus hábitos de navegación.

Criterios de elección

Siempre elegí las aplicaciones para mí. de la siguiente manera. ¡Claro que puedes pensar diferente!

¿Lo necesito?

Muchas personas cuestionan la utilidad de usar algunos software cuando se oponen a lo que permite lograr. Si su firewall ya tiene un buen componente HIPS (como Comodo, Privatefirewall o Online Armor, por ejemplo), quizás sea suficiente. Sin embargo, programas como Malware Defender usan varios métodos, que le permiten brindar protección adicional en algunas circunstancias. Solo tú puedes decidir si lo necesitas. Los expertos aún desaconsejan ejecutar más de un software de seguridad del mismo tipo.

Yo puedoúsalo?

La instalación de cualquier programa HIPS genera mucho trabajo en términos de configuración y administración de alertas. En general, lo que encuentran los programas HIPS puede ser algo ambiguo, por lo que debe estar preparado para probar sus resultados. Solo con conocimientos medios puedes considerar esto un problema a la hora de interpretar los resultados.

¿Ayudará?

Los métodos basados ​​en HIPS solo son efectivos cuando el usuario responde correctamente a las alertas de brindis que muestra HIPS. Es poco probable que los principiantes y los usuarios indiferentes puedan dar tales respuestas.

Los usuarios diligentes y experimentados tienen un lugar para el software HIPS en el espacio de seguridad de la PC, ya que HIPS adopta un enfoque diferente al software tradicional basado en firmas. Usado solo o junto con un firewall, HIPS le agregará capacidades de detección.

¿Estropeará mi sistema?

Los programas de seguridad, por su propia naturaleza, deben entrometerse en el santo de los santos de su PC para ser efectivos. Si su registro ya parece un plato de espagueti, si tiene archivos de programa"carpetas fantasma" si tiene " pantalla azul", mensajes de windows sobre errores y páginas no solicitadas en explorador de Internet, entonces instalar un programa HIPS solo traerá problemas. Incluso en una máquina limpia, tomar una decisión equivocada puede provocar una inestabilidad irreversible. Aunque, en principio, puedes causar el mismo daño al trabajar en un limpiador de registro.

¿Puedo usar más de una aplicación?

No veo el beneficio de usar dos programas HIPS juntos. Los expertos aún desaconsejan ejecutar más de una aplicación de seguridad activa del mismo tipo. El riesgo de conflicto supera cualquier beneficio potencial.

Conclusión

Los usuarios, antes de pensar en HIPS, pueden querer mejorar la seguridad de su navegador reemplazando primero IE con Chrome, Firefox u Opera y usando un sandbox. Las personas que usan el firewall estándar para protección adicional podría hacer que Malware Defender funcione. Y los usuarios de CIS o Online Armor no recibirán ningún beneficio por esto. La carga del sistema y el uso de recursos es algo a considerar, aunque esto es principalmente importante cuando se usan máquinas más antiguas. En realidad, no hay otra solución definitiva que decir que hay demasiadas excepciones a la regla, ¡demasiadas! En resumen, se trata de equilibrio. ¡La mayor amenaza para mi computadora siempre seré yo mismo!

¿Encontró un error tipográfico? Seleccione y presione Ctrl + Enter

1. ¿Qué HIPS experto cree que detecta la mayor cantidad de amenazas?
2. En su opinión, ¿qué tan bien protege HIPS en ESET NOD32 en "Modo inteligente" contra las amenazas?
3. ¿En qué protección antivirus proactiva tiene las firmas más "comportamentales"? Por ejemplo, en KIS se les llama "plantillas de comportamiento peligroso" (Behavior Stream Signatures), en Comodo esta tecnología se llama "Virusscope", en Norton - "Sonar".
4. ¿Qué tan bien protege la pantalla de comportamiento de Avast contra las amenazas? ¿Qué tan confiable o poco confiable es?
5. ¿Qué antivirus pueden revertir acciones de malware? Sé que Kapersky, Dr. Web puede hacerlo.

1) No he estudiado durante mucho tiempo, pero por lo que entendí, el "Número de detecciones" afecta directamente un concepto como "Trabajabilidad", un ejemplo del mismo nodo:

Si coloca el firewall en "modo interactivo", se llenará de preguntas, especialmente al principio, nuevamente, debe tener cierto conocimiento para no "conducir" accidentalmente programa deseado a la lista negra, o viceversa, no te pierdas el troyano. :)

Por lo tanto, todos los antivirus con configuraciones "predeterminadas" suelen tomar sus propias decisiones, el mismo Casper tiene su propia base de datos de programas y los distribuye según "niveles de riesgo", un programa con un alto riesgo ni siquiera podrá conectarse, por ejemplo, o incluso ser bloqueado.

2) HIPS en ESET NOD32 con la configuración predeterminada, regular, podemos decir que no hay protección. Pero puedes personalizarlo tú mismo.

3) XZ., creo que los mejores son Casper, Nod, Norton and Co. aproximadamente al mismo nivel, porque tienen mucho tiempo en el mercado, deben tener una gran base de software y desarrollos en esta área.

4) Desafortunadamente, tal protección, como ya escribí en el párrafo 1-n, intenta reducir el "diálogo con el usuario", para la comodidad del trabajo, pero al mismo tiempo, nadie necesita falsos positivos tampoco.

Por lo tanto, dicha protección "omite" el llamado software legal, por ejemplo, un archivador winrar, que se usa para empaquetar archivos, pero este archivador winrar también se puede usar para cifrar archivos, ¿qué impide que se use en ransomware? :)

O "cortar" bajo winrar, esto es solo un ejemplo.

El mismo problema con las firmas digitales.

5) Kaspersky sabe cómo, el médico no sabía cómo antes, y no importa. Si el encriptador se hace correctamente, esto no ayudará. La copia de seguridad ayudará. :)

La experiencia es esta:

Si desea usar un antivirus, es mejor usar los "escáneres principales", estos son Kaspersky, Nod, Norton, Avast, AVG. En general, responden rápidamente a los nuevos virus, pero es importante actualizarse constantemente, aunque una vez al día.

Pero puede prescindir de un antivirus, sin ejecutar software sospechoso, verifíquelo escáneres en línea, trabajar bajo una cuenta aislada (crear cuentas para miembros de la familia), hacer copias de seguridad.

Continuando con nuestra discusión sobre el plástico de impresión 3D, dirijamos nuestra atención a HIPS. ¿Cuáles son sus características? ¿Para qué es mejor? Conocer las respuestas a estas preguntas, así como algunos de los matices que se discutirán a continuación, puede ampliar su arsenal de conocimientos sobre la impresión 3D, lo que lo ayudará a lograr resultados óptimos. Entonces, ¿qué es HIPS?

Composición del filamento HIPS

El poliestireno de alto impacto (HIPS) es un polímero termoplástico. Se obtiene añadiendo polibutadieno al poliestireno durante la polimerización. Como resultado de la formación de enlaces químicos, el poliestireno adquiere la elasticidad del caucho de butadieno y se obtiene un filamento de alta calidad, fuerte y elástico.

Beneficios de HIPS como medio de impresión

Muchas características de HIPS son similares a las de ABS, PLA o SBS, pero difieren para mejorar:

• El material no absorbe la humedad, tolera mejor las condiciones ambientales, no está sujeto a descomposición. Almacenado durante más tiempo en estado abierto sin embalaje.
• Blando, más apto para el posprocesamiento mecánico.
• La ligereza y la baja absorción de agua permiten, bajo ciertas condiciones, crear un objeto que no se hunde en el agua.
• HIPS sin pintar tiene un color blanco brillante que le da beneficios estéticos. La textura mate suaviza visualmente las capas y asperezas de la impresión.
• Está hecho de utensilios de plástico. Aún más importante es el hecho de que es inofensivo para humanos y animales y no es cancerígeno.

Uso de HIPS como material de impresión principal

Una vez que se ha impreso un objeto HIPS, se puede lijar, imprimar y pintar para darle el aspecto deseado. Si comparamos las características del HIPS en esta última etapa, cabe señalar que todos los procedimientos asociados al post-procesado -acabado, esmerilado, pulido, etc.- se realizan con una facilidad excepcional sobre este material. Las piezas y los objetos resultantes que se crean usando solo este filamento son fuertes y moderadamente dúctiles y, entre otras cosas, bastante ligeros. HIPS es más suave, liso y fácil de mecanizar que PLA o ABS. Cuando use plástico HIPS, recomendamos encender el soplado (enfriamiento) de la boquilla, esto permitirá que las capas se endurezcan uniformemente, la superficie impresa será más suave.

Modelos impresos con plástico HIPS

HIPS como material de soporte, solubilidad de HIPS

HIPS es soluble en limoneno, un hidrocarburo líquido incoloro con un fuerte olor a cítricos. Dado que (HIPS y limoneno) no interactúan con el ABS de ninguna manera, el HIPS es ideal para fabricar soportes y, en comparación con el PVA, resulta mucho más económico.

Uso de HIPS para crear formas complejas.

Si la impresora tiene dos extrusores, simplemente agregue un carrete ABS y un carrete HIPS y estará listo para imprimir diseños complejos que serían difíciles de lograr con otro material de soporte. Por cierto, puede comprarnos una muestra de prueba de este material, una sonda HIPS de 10 metros de largo.

Es bueno cuando se imprime en diferentes colores: en el proceso de quitar los soportes de HIPS, esto ayudará a asegurarse de que se disuelvan por completo y solo quede el objeto ABS.

Lo que generalmente se hace con HIPS en la producción industrial

Muy a menudo, los juguetes están hechos de HIPS, así como los embalajes y artículos para el hogar, electrodomésticos. Dado que el material es inofensivo, a menudo se usa para fabricar cubiertos desechables, así como platos y tazas.

Extrusión de filamento HIPS (Opciones de impresión)

La temperatura correcta para trabajar con cualquier filamento varía de una impresora a otra, pero es mejor comenzar a experimentar con 230-260 °C. Si la impresora tiene una plataforma calentada, ajuste la temperatura a 100 °C cuando imprima HIPS; esto ayudará para obtener objetos más uniformes y sólidos. Además, para hacerlo aún mejor, prueba a pegar cinta de poliamida (kapton) en la plataforma para que sus rayas no se crucen.

Precauciones de caderas

Aunque HIPS no es tóxico, libera sustancias durante la extrusión que pueden causar irritación respiratoria y ocular, por lo que se recomienda imprimir en un área bien ventilada.

Si la plataforma de la impresora está abierta, asegure una ventilación adecuada y siempre trabaje con extrema precaución. El contacto sin protección con el material calentado puede causar quemaduras graves en la piel.

Todos los días aparecen nuevos virus. software espía, módulos que muestran anuncios. Trabajar sin antivirus es casi un suicidio: si antes la pregunta sonaba como “¿Te infectarás o no?”, ahora suena como “¿Qué tan rápido te infectarás?”. Cuanto más activamente un usuario pasa tiempo en Internet, descarga archivos, visita sitios dudosos, mayor es la probabilidad de infección de la computadora. De particular peligro son los archivos recibidos de las redes de intercambio. Son estas redes, junto con el spam, las que se utilizan para propagar nuevos virus. Y los antivirus en este caso pasan: aún no hay firmas en sus bases de datos, pasan los archivos descargados como “limpios”. Solo después de iniciar un archivo de este tipo, el usuario puede, mediante señales indirectas (repentinamente apareció un gran tráfico saliente, mensajes extraños en la pantalla, ralentización en el rendimiento de la computadora, programa en ejecución no realiza las funciones para las que supuestamente fue creado, etc.) para adivinar la infección de la computadora. La mayoría de los usuarios no notarán nada, y ejecutar el monitoreo antivirus creará una falsa sensación de seguridad. Solo unas pocas horas, y a veces días, después de que se agrega la descripción de un nuevo virus a las bases de datos antivirus, después de que el antivirus descarga e instala las actualizaciones, nuevo virus puede ser descubierto. Y solo después de eso comenzará el tratamiento de la computadora. Y durante estos días u horas, la computadora propagó un nuevo virus a la velocidad de conectarse a Internet, envió spam, se utilizó para realizar ataques a los servidores, en otras palabras, hubo un zombi que repuso el ejército de los mismos zombis. , trayendo otra gota de caos a la Red.

En esta etapa de desarrollo tecnologia computacional nos estamos acercando al entendimiento de que las tecnologías de detección de virus actualmente existentes, el uso de bases de datos antivirus con firmas, no es eficaz. Con las velocidades actuales de distribución de archivos en la Web (redes de intercambio, spam), los antivirus siempre tendrán la función de ponerse al día.

Más recientemente, el autor de este artículo limpió manualmente la computadora de un nuevo virus que no fue detectado por el antivirus instalado en la computadora del usuario. Por razones obvias, no nombraré al fabricante del antivirus, una empresa muy conocida y exitosa en todo el mundo. Después de la detección de la biblioteca de virus, todos los antivirus disponibles la escanearon con bases de datos de definición actualizadas. Ninguno de ellos, a excepción de Dr.Web, encontró nada peligroso en la biblioteca. Sin embargo, el virus recopiló con éxito información sobre las direcciones de los sitios visitados por el usuario, sus nombres de usuario y contraseñas ingresados ​​en estos sitios, y luego envió la información recopilada al autor del virus. A juzgar por el mecanismo de infección, la computadora se infectó al visitar algún sitio, y es muy probable que el banner que se muestra en una de las páginas sea la fuente del virus (el estudio del historial de navegación en el navegador no reveló ningún delito en la lista).

Aún más deprimente es la infección de una computadora con un virus que enviaba spam a las direcciones de correo del dominio Microsoft.com, abría un puerto para escuchar e informaba a su autor de la IP y el puerto de un servidor proxy listo para usar. Antes de abrir el puerto, el virus literalmente demolió el firewall integrado en Windows XP SP2, eliminando toda la información sobre su servicio en el registro. Después de que se descubrió la biblioteca de virus, varios de los antivirus más populares la revisaron. Solo Dr.Web y Kaspersky Anti-Virus lo reconocieron como virus. Dos conocidos y populares antivirus occidentales aún no detectan este archivo, a pesar de que, a juzgar por la información de los motores de búsqueda, los primeros mensajes sobre este virus aparecieron en la Web hace 4 meses.

Hay una gran cantidad de ejemplos de este tipo. Ya hoy se entiende que los antivirus en su forma actual no tienen futuro. Este es un callejón sin salida. La brecha de tiempo entre la aparición de nuevos virus y la adición de sus firmas a las bases de datos antivirus solo aumentará, lo que inevitablemente conducirá a nuevas oleadas de epidemias de virus. La actitud negligente de las empresas antivirus occidentales en la búsqueda de nuevos virus y la adición de sus descripciones a la base de datos conduce a una falsa sensación de seguridad para el usuario. Como resultado, el daño de tal "relajación" del usuario puede ser acerca de mayor que trabajar sin ningún antivirus, cuando el usuario piensa cien veces si trabajar bajo cuenta con derechos de administrador y si abrir archivos adjuntos de un correo electrónico de un remitente desconocido que ofrece ejecutar el archivo adjunto.

Además de los virus en sí, se están propagando activamente varios otros tipos de software malicioso: spyware: recopila y envía información sobre el usuario, adware: abre ventanas del navegador con anuncios de forma independiente, etc. Este software no está clasificado como virus porque no daña directamente su computadora ni sus datos. Sin embargo, cuando se infecta, el usuario siente molestias y se ve obligado a instalar otro tipo de software para combatir el spyware y el adware además del antivirus. Este tipo de software, al igual que un antivirus, tiene su propia base de datos de descripciones de objetos maliciosos que busca y destruye en el sistema.

Exactamente la misma situación se observa en la lucha contra el spam. Si antes, de hecho, el único medio de lucha eran las "listas negras" de servidores o incluso subredes completas desde las que se enviaba spam, hoy un número creciente de administradores están convencidos de que la tecnología de las "listas negras" se está volviendo obsoleta. Es demasiado lento, poco flexible, requiere mucho esfuerzo por parte del administrador de la lista para mantenerlo actualizado. Muy a menudo, debido a que dos o tres spammers compraron acceso telefónico para envíos de correo, subredes enteras de proveedores se incluyen en la lista negra, después de lo cual el correo de los usuarios de estas subredes comienza a marcarse como spam y a ser filtrado por los destinatarios. Como resultado, estamos viendo cada vez más sistemas inteligentes de calificación de contenido de correo electrónico. Los sistemas que pueden "leer" la carta, incluidos los encabezados de los servicios, realizan una serie de comprobaciones y llegan a una conclusión: es spam o no. Es seguro decir que en unos pocos años esta tecnología la lucha contra el spam sustituirá por completo el uso de listas negras.

Estamos perdiendo la guerra tranquilamente: aparecen nuevas y nuevas amenazas, y en lugar de mejorar y crear nuevas tecnologías para combatirlas, se está estampando el método de descripción y distribución de las bases de datos de descripción.

Afortunadamente, se están dando los primeros pasos para remediar la situación, y aparece una nueva clase de programas para la protección integral de la computadora contra virus y todo tipo de adware-spyware, que no utiliza bases de datos de descripción en su trabajo. Por analogía con el antispam, este es un tipo de algoritmo inteligente que monitorea las acciones de las aplicaciones en ejecución. Si algunas acciones parecen peligrosas para el algoritmo, las bloquea. Se puede argumentar durante mucho tiempo sobre la demasiada independencia de tales programas, pero no hay alternativa. Deje que sea mejor tener algunos falsos positivos que decenas de megabytes de tráfico para actualizar las bases de datos antivirus y 2-3 aplicaciones que están constantemente en la memoria, lo que ralentiza el rendimiento de las operaciones con archivos y requiere importantes recursos del sistema.

En esta revisión, nos familiarizaremos con uno de los representantes de una nueva clase de programas proactivos de protección informática: Defensa Pared HIPS. Un enfoque no estándar para combatir el malware, la facilidad de configuración y la invisibilidad del trabajo distinguen a este producto de las masas de los demás. No descarga ninguna base de descripción. En cambio, el usuario determina de forma independiente las aplicaciones a través de las cuales se puede recibir un archivo infectado en la computadora. De forma predeterminada, las aplicaciones populares se incluyen en las aplicaciones que no son de confianza. clientes de correo, navegadores, algunas utilidades del sistema (ftp.exe). Así, se crea una lista de todas las “puertas” a través de las cuales puede penetrar un archivo infectado.

Cualquier archivo que se haya recibido de la Web a través de una aplicación que no sea de confianza será marcado como no confiable por Defense Wall HIPS. Después de iniciar dicho archivo, se registrarán todas las acciones que la aplicación en ejecución realizará en el sistema, es decir, el usuario siempre tendrá la oportunidad de ver, por ejemplo, una lista de claves de registro creadas por la aplicación en ejecución y eliminarlos presionando un botón.

sitio web del programa
El tamaño del kit de distribución es de 1,2 megabytes.
El precio de Defense Wall HIPS es de 500 rublos.Instalación

La instalación de Defense Wall HIPS es realizada por un asistente. En el curso de su trabajo, debe aceptar los términos acuerdo de licencia, seleccione una carpeta para instalar el programa, seleccione el modo de funcionamiento entre experto y normal. La computadora debe ser reiniciada para completar la instalación.

Las diferencias entre el modo experto y el modo normal son significativas: en el modo normal, todos los archivos creados por una aplicación que no es de confianza se agregan automáticamente a la lista que no es de confianza. En el modo experto, ningún archivo se agrega automáticamente a la lista de archivos que no son de confianza; el usuario debe hacerlo manualmente. Se recomienda trabajar con normalidad.

Después del reinicio, se mostrará la ventana de registro del producto.

Si se ha comprado el programa, para registrarlo, puede ingresar la clave recibida del desarrollador. En modo de demostración, el programa funcionará durante 30 días sin limitar la funcionalidad.Interfaz

El programa agrega un ícono a la bandeja, con el cual puede cambiar los modos de operación y abrir la ventana principal.

Centro de limpieza

Centro de limpieza ofrece acceso rápido para ver los rastros de las aplicaciones que no son de confianza.

Con botón Rastros en el disco y en el registro puede ver una lista de todos los cambios realizados por aplicaciones que no son de confianza.

Esta captura de pantalla enumera las claves de registro que creó FAR y el archivo text.txt que se generó a partir de línea de comando. A la derecha de la lista hay botones con los que puede gestionar los cambios. Desafortunadamente, no es del todo obvio a partir de los nombres qué acción realizará el programa después de presionar el botón. El propósito de los botones queda más o menos claro después de leer la información sobre herramientas que aparece sobre los botones si pasa el puntero del mouse sobre ellos. sistema de ayuda para los elementos de esta ventana, es imposible llamar: no hay un botón de Ayuda en el formulario, ni un botón en el título de la ventana.

primer boton - Guardar- elimina una línea de la lista. Los cambios realizados por el proceso (claves de registro, archivos) no se eliminan.

Botón Borrar le permite deshacer un cambio confirmado: eliminar una clave de registro, una carpeta o un archivo creado por la aplicación.

Botón Retroceder le permite deshacer varios cambios confirmados a la vez. Para ello, seleccione una entrada y haga clic en el botón. Todos los cambios, desde los primeros hasta los seleccionados, serán cancelados (se eliminan claves de registro, archivos y carpetas).

Eliminar todo le permite borrar la lista.

Al realizar una reversión, Defense Wall HIPS le pide que confirme la acción a realizar.

No hay botones en esta consulta. Elimina todo y Cancelar reversión. Si se intentara revertir 50, por ejemplo, cambios, entonces dicha solicitud tendría que ser respondida 50 veces.

Las entradas de la lista no tienen un menú contextual del botón derecho. En lugar de haga doble clic para abrir el editor de registro y ver la partición creada o iniciar Explorer, debe iniciarlos manualmente y buscar un archivo o partición.

La lista de cambios no se actualiza automáticamente. Si una aplicación que no es de confianza crea una clave de registro mientras la lista está abierta, entonces nueva entrada en la lista se mostrará sólo después de cerrar-abrir la lista.

Para eliminar objetos creados por una aplicación que no es de confianza, debe cerrar todas las aplicaciones que no son de confianza. Por ejemplo, si un navegador, un cliente de red de intercambio y FAR están abiertos (y todos ellos aparecen como aplicaciones que no son de confianza), para eliminar la clave de registro creada por FAR, deberá cerrar tanto el cliente como el navegador.

El segundo botón de la pestaña Centro de limpieza le permite ver listas de procesos confiables y no confiables que se ejecutan en el sistema.

En esta ventana, no es posible mover un proceso de la lista de confiables a no confiables. Además, puede finalizar cualquier proceso que se esté ejecutando en el sistema.

Es poco probable que un usuario no preparado esté contento con una pantalla de este tipo. Sin mencionar que en el momento en que finaliza winlogon.exe, el usuario puede tener abiertos algunos archivos en los que trabajó largo tiempo pero no pudo guardar los cambios.

El tercer botón en el Centro de Limpieza talla grande Y Rojo. El resultado de presionarlo corresponde al color: no importa cuántos procesos no confiables (navegador, cliente de correo) se inicien, todos se completarán sin advertencias y sin guardar datos.

Agregar o quitar no confiables

Esta lista enumera todas las aplicaciones que no son de confianza que se encontraron en la computadora durante la instalación de Defense Wall HIPS. La lista de aplicaciones que el programa considera que no son de confianza por defecto es bastante amplia: incluye los navegadores más populares, clientes de correo electrónico, Mensajería instantánea y así. Cualquier proceso, carpeta o aplicación se puede agregar a la lista, excepto los del sistema. Por ejemplo, no se puede agregar explorer.exe.

Cuando presionas un botón Guardar se abre un menú, con la ayuda del cual la aplicación puede eliminarse de la lista o excluirse temporalmente, haciéndola confiable. Botón Cuanta confianza. le permite ejecutar una instancia de aplicación de la lista como confiable. Con botón Ascender las entradas de la lista se pueden mover. No se pudo entender por qué hacer esto y por qué no hay un botón Mover hacia abajo (no hay información sobre herramientas ni menciones en la ayuda).

Los eventos generados por procesos que no son de confianza se registran. En esta pestaña, puede verlos y, si es necesario, mediante un filtro, dejar en la lista los eventos causados ​​​​por la operación de un proceso en particular. Como en el caso anterior, los eventos que ocurren mientras la lista está abierta no se incluyen en ella. Para verlos, debe cerrar-abrir la ventana.

Archivos cerrados

Cualquier aplicación que no sea de confianza no podrá acceder a todos los archivos y carpetas enumerados en esta lista. Integración

Defense Wall HIPS crea un grupo de etiquetas en Menú de contexto Explorador. Al hacer clic derecho en cualquier archivo o carpeta, puede realizar rápidamente acciones básicas en ellos.

Cuando se inician aplicaciones que no son de confianza, se agrega un estado a su encabezado.

Pruebas

En primer lugar, se intentó eludir la prohibición de agregar a la lista de aplicaciones que no son de confianza procesos del sistema. Después de agregar a Aplicaciones no confiables Carpetas de Windows, todas aplicaciones estándar comenzó a ejecutarse como no confiable.

Klondike es una aplicación que no es de confianza

Como era de esperar, Explorer, que no se puede agregar a la lista de no confiables a través del elemento de menú Agregar aplicación a no confiable, ha perdido la confianza de Defense Wall HIPS. Los elementos del menú Inicio Ejecutar, Buscar, Ayuda y Soporte dejaron de funcionar. El Bloc de notas comenzó a crear archivos que no son de confianza y, después de revertir los cambios y aceptar el requisito de cerrar todas las aplicaciones que no son de confianza antes de hacerlo, se volvió a cargar el shell.

Después de reiniciar el shell, Windows me pidió que insertara un CD de recuperación de archivos. Para no agravar la situación, se decidió negarse a restaurar archivos. La lista de procesos que no son de confianza después de reiniciar Explorer se muestra en la siguiente figura.

Naturalmente, presionando el gran botón rojo Terminar todos los procesos no confiables condujo a un BSOD, ya que winlogon.exe entró en la lista de no confiables. Durante reinicio de Windows reportó que:

Después de presionar OK Windows entró en un reinicio cíclico con el mismo mensaje en cada turno. Para restaurar, tuve que arrancar en modo seguro, busque la configuración de Defense Wall HIPS en el registro (el programa en sí no funciona en este modo, ya que su servicio no está cargado) y elimínelo de la lista de no confiables carpeta de Windows. Después de eso, el sistema operativo se inició normalmente en modo normal.

Se decidió verificar qué sucede si agrega la carpeta donde está instalado Defense Wall HIPS a la lista de no confiables.

La receta para el tratamiento es la misma: eliminar la carpeta HIPS de Defense Wall de la lista de carpetas que no son de confianza mediante la edición del registro.

De hecho, estos son pequeños comentarios a la interfaz del programa, que el autor puede eliminar sin ningún problema. En la siguiente etapa, se probó la función principal del programa: monitorear la actividad de los procesos y marcar los archivos que crean como no confiables.

Para realizar la prueba, se escribió un script vbs. Imitaba el comportamiento de un virus y realizaba las siguientes acciones:

• Se eliminó la sección en el registro donde se almacenan la configuración de Defense Wall, la lista de aplicaciones que no son de confianza y el registro de sus acciones.
• Descargué un pequeño archivo ejecutable dwkill.exe del sitio.
• Finalizó el proceso de Defensewall.exe (consola de administración).
• Creó una tarea Programador de Windows, que ejecutó la utilidad dwkill.exe en la cuenta SYSTEM después de que el usuario iniciara sesión.

Esta secuencia de acciones se determinó después de un largo y exhaustivo estudio de los mecanismos del Muro de Defensa. Está claro que este script se centra en trabajar con Defense Wall y es poco probable que sea utilizado por virus antes de la distribución masiva del producto en el mercado. Sin embargo, este guión reveló varias deficiencias significativas en el trabajo de Defense Wall:

• La lista de aplicaciones que no son de confianza se puede borrar fácilmente. Después del primer reinicio, todos los archivos previamente descargados y recibidos por correo electrónico comenzarán a ejecutarse como confiables.
• La lista de acciones de aplicaciones que no son de confianza también se puede eliminar, lo que hace imposible revertir los cambios.
• Después de ejecutar el script y el primer reinicio, es posible ejecutar cualquier aplicación como una de confianza.

Además, se descubrió un problema muy desagradable: cuando un archivo que no era de confianza se movía de una carpeta a otra, se eliminaba de la lista de archivos que no eran de confianza y, en consecuencia, se lanzaba desde la nueva carpeta como de confianza.

El archivo de ayuda de Defense Wall contiene muchos errores tipográficos y errores.

A pesar de todas las graves deficiencias, el programa merece atención. Me gustaría creer que el autor corregirá los errores y ampliará la funcionalidad. Idealmente, vemos la creación de un módulo que interceptará todo el tráfico de la red, determinará la aplicación que lo crea y, si es nuevo, lo agregará a la lista de confiables o no confiables después de una solicitud al usuario. Según los resultados de la prueba, es obvio que todas las configuraciones del programa no deben almacenarse en el registro, sino en la propia base de datos de Defense Wall. El servicio debe tener su arranque protegido al verificar que las claves apropiadas estén en el registro cuando se detenga.

Sin embargo, Defense Wall HIPS cumple con sus funciones básicas: una aplicación que no sea de confianza no puede crear o cambiar claves de registro, no puede eliminar o sobrescribir archivos. Como han demostrado las pruebas, esta protección en la versión 1.71 del programa es bastante simple.