Proč již nestačí tradiční anti-virová řešení Jak Vám může AVG 9.0 pomoci zabezpečit podnikání
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
Obsah Proč číst tento dokument . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Vývoj komerčního malwaru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Vaše osobní údaje: Žádané zboží na černém trhu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Celosvětovou síť ohrožují podvodníci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Proč je vaše zabezpečení nedostatečné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Tři vrstvy ochrany počítače od společnosti AVG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Proč je právě třetí vrstva ochrany velmi důležitá . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Kombinované využití brány firewall, modulu IDP a kontroly signatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 AVG 9.0 : Vyberte si zabezpečení svého počítače . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Určeno pro použití v domácnostech . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Určeno pro použití ve firmách . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 O společnosti AVG Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 AVG na Internetu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Odkazy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Kontakty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
Proč číst tento dokument Zabezpečení počítačů v minulosti nebývalo příliš složité. Hlavním cílem útoků bývala především elektronická pošta, e-maily. S nainstalovaným antivirovým programem a s jistou dávkou opatrnosti a zdravého rozumu při otevírání příloh byl uživatel před většinou hrozeb v bezpečí. Pokud se do počítače přesto dostala infekce, nebývaly následky mnohdy až tak vážné. Nejčastěji docházelo ke komplikacím při běžné práci s PC nebo ke ztrátě dat. Časy se však změnily-útoky dnes směřují na webové stránky a současné hrozby se vrychle vyvíjí směrem ke skrytému působení a téměř výhradnímu zaměření na zisk. Tento dokument vám poskytne informaci o současných typech ohrožení počítačů, pokusí se vysvětlit, proč je vaše dosavadní řešení ochrany nedostatečné,a předvede způsob, jakým dokáže řešení AVG 9.0 tyto mezery v zabezpečení zaplnit.
Vývoj komerčního malwaru Před deseti lety byly viry nebo jiné formy malwaru z velké části doménou mladých amatérských programátorů (“rádoby” hackerů a zelenáčů v oboru), kteří se pokoušeli získat pozornost a věhlas ve svých komunitách. Jediným cílem těchto škodlivých programů bylo znepříjemnit uživatelům život např. přeházením dat nebo jinou destabilizací jejich počítače. Některé tyto kódy sice obecně znepokojovaly, ale většina z nich byla nedokonalá a jejich odhalení a následné zablokování bylo poměrně snadné. V posledních letech však došlo k výrazné změně. Organizované kriminální skupiny si uvědomily, že s pomocí malwaru mohou přijít ke slušným penězům. Začaly platit zkušené programátory, kteří jim nyní vytváří škodlivé programy. Jejich cílem není způsobit potíže, ale umožnit krádeže peněz, dat či obojího. Výsledkem je existující černý trh, na němž lze nelegálně nakupovat a prodávat data nebo programy, které jsou ke krádeži dat určeny. Programové sady typu MPack1 se prodávají jako komerční výrobky, poskytované s podporou i možností aktualizace a umožňují každému (i osobám bez znalosti programování) provádět sofistikované útoky na nic netušící uživatele. Následkem je exponenciální nárůst počtu útoků i poškozených počítačových systémů. Jen v roce 2008 bylo odhaleno více než 1,5 milionu nových druhů malwaru – tento počet odpovídá desetitisícům vzorků, které každodenně přichází do výzkumných laboratoří společností z oboru zabezpečení počítačů. Bezpečnostní hrozby jsou navíc čím dál tím více propracované. Například v minulosti byla nevyžádaná pošta prostředkem k zavedení drobných rootkitů typu „blue pill“ nebo falešného softwaru. Dnes však obsahuje červy, jako je např. Storm2. Po infekci tímto škodlivým kódem je počítač zařazen do centrálně řízené sítě Storm botnet, která jednu dobu obsahovala až 50 milionů podobně napadených počítačů. Ty jsou následně bez vědomí majitele využívány k zasílání nevyžádaných e-mailů, které opět obsahují červa a zajišťují tak další rozšiřování sítě botnet. Zločinci si navíc mohou pronajmout čas v síti botnet a během něj rozesílat vlastní podvodné e-maily. Síť Storm botnet sice dnes již neexistuje, ale její místo zaplnily jiné, např. Conficker3.
Vaše osobní údaje: Žádané zboží na černém trhu Miliony lidí považují provádění finančních transakcí pomocí počítače za stejně rutinní záležitost, jakou je čištění zubů. Kvůli tomu používají dnešní osobní počítače k ukládání a odesílání velkého množství
„Útoky z webových stránek na prohlížeče se čím dál více zaměřují na součásti jako Flash nebo QuickTime, které se při aktualizaci prohlížeče automaticky neaktualizují. Namísto jednoduchých variant útoků, využívajících programy typu exploit na webových stránkách, jsou současně prováděny propracované útoky s využitím skriptů, které těchto programů střídají více. Výsledkem jsou ještě složitější útoky, které stále častěji využívají balíčky modulů, s jejichž pomocí mohou účinně zakrýt svůj škodlivý obsah. Jeden z nejnovějších modulů, Mpack, zaručuje při pokusu o napadení prohlížeče po otevření stránky s tímto modulem úspěšnost 10 až 25 %. Během této akce útočníci nepřetržitě zavádí škodlivé kódy na známé a důvěryhodné webové stránky, kde uživatelé očekávají kvalitní zabezpečení. Pokud útočník dokáže na důvěryhodné stránky umístit lepší nástroj pro svou nekalou činnost, získá nad nic netušícími uživateli výraznou výhodu.“ Institut SANS, Top Ten Cyber Security Menaces for 20086 (Deset největších internetových bezpečnostních hrozeb)
3 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
citlivých informací, což z nich dělá velmi lákavé cíle pro zločince. Pokud někdo zneužije váš počítač nebo sleduje vaši komunikaci, dokáže získat přístup k osobním datům, jako jsou například: • • • • • • •
datum narození, rodné nebo jiné identifikační číslo, informace a heslo k online bankovnictví, e-mailová adresa a heslo, adresa, telefonní číslo, zaměstnanecké informace.
Jinými slovy – zloděj může z vašeho počítače získat dostatečné množství informací k tomu, aby byl schopen ukrást vaši totožnost. Internetový zločin přitom není otázkou drobných. Jedná se naopak o průmysl, který operuje v řádech miliard. Studie serveru Javelin Strategy and Research odhalila, že jen v roce 2008 přišlo 9,9 milionů Američanů kvůli krádeži totožnosti o 48 miliard dolarů. Podle společnosti Gartner způsobily zase v roce 2007 phishingové útoky škody ve výši 3,6 miliard dolarů.
Celosvětovou síť ohrožují podvodníci Útok je v dnešní době směřován na webové stránky. Útočníci mají totiž při využívání e-mailů k dispozici pouze omezený počet způsobů, jak mohou počítač napadnout. Požívají infikované přílohy nebo odkazy na webové stránky, obsahující škodlivý kód. Zasílání těchto e-mailů sice stále pokračuje, ale ukázalo se, že internet obecně (zejména sociální sítě) poskytuje mnohem větší nabídku možností k púrovedení útoku. Slabá místa ve webových prohlížečích a jejich doplňcích, např. aplikace Flash, QuickTime nebo „Společným znakem dnešních infekcí, šířících se po internetu, je přechodná doba jejich působení. Microsoft Silverlight, představují zadní vrátka, která lze využít k zavedení Pokud by produkty pro zabezpečení Internetu (které nástrojů pro protokolování činnosti uživatele, trojských koní, umožňujících na rozdíl od aplikace LinkScanner k vyhodnocení bezpečnosti webové stránky tyto stránky navštěvují krádež hesel a dalších forem malwaru. A těchto zadních vrátek není málo. a kontrolují) chtěly poskytnout ochranu před Jen u prohlížeče Internet Explorer bylo za poslední dva roky ohlášeno hrozbami, musely by každý den navštívit každou ze stovek milionů stránek na Internetu. To je řešení, více než 75 slabých míst. Tzv. sociální sítě útočníkům poskytují nové které je i s využitím dnešních supermoderních mechanismy k provádění ataků. Příkladem je narušení stránek využitím počítačů neproveditelné. J.R. Smith, generální ředitel bezpečnostních chyb ve skriptech pomocí technologie AJAX nebo společnosti AVG Technologies zavedení kódu do kanálu RSS/Atom.
Problém je o to větší, že žádnou webovou stránku nelze považovat za bezpečnou. Dosavadní oblíbené webové stránky, které se těší důvěře uživatelů, je možné napadnout a bez vědomí jejich majitele je využít jako prostředek k šíření malwaru. Podobně mohou být reklamy navrženy tak, aby zneužívaly slabých míst ve webovém prohlížeči a jeho doplňcích a aby byly šířeny prostřednictvím reklamních sítí na velké množství webových stránek. Tento druh útoků je čím dál častější. Ve druhé polovině roku 2008 bylo u 70 ze 100 nejznámějších webových stránek ve světě zjištěno jejich napadení nebo obsahovaly odkazy na jiné škodlivé stránky7. V lednu 2009 byly infikovány tisíce webových stránek (včetně stránek společností, spadajících do kategorie Fortune 500, federálních organizací, ambasád, celebrit a dokonce i některých firem, zabývajících se zabezpečením) a zneužity ke krádeži dat nic netušících návštěvníků8.
4 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
Proč je vaše zabezpečení nedostatečné K úspěšnému zisku dat nebo peněz je třeba, aby škodlivé programy internetových zločinců zůstaly v počítači neodhaleny. Výsledkem je to, že dřívější viry byly nahrazeny mnohem skrytějším malwarem. Nyní již stačí ke krádeži citlivých informací pouhé navštívení důvěryhodné webové stránky. Uživatel nic netuší až do chvíle, kdy zjistí zneužití svých internetových účtů nebo až na výpisu z účtu najde nevysvětlitelné pohyby peněz. Není to však pouze detekce směrem k uživateli, které se internetoví zločinci musí vyhýbat. Jejich detekce je také záležitostí bezpečnostních produktů, které za tímto účelem zavádí stále propracovanější postupy. Útočníci se před internetovými vyhledávači (např. Google) a před aplikacemi Site Advisor nebo jinými produkty, sloužícími k filtrování phishingových útoků (všechny uvedené nástroje pravidelně kontrolují internet a vyhledávají škodlivé stránky, které poté ukládají na černou listinu) skrývají s pomocí dočasných webových stránek. Jejich životnost je pouhých několik hodin, poté je autoři zruší a škodlivý obsah přesunou na další stránku. Výzkum společnosti AVG Technologies prokázal, že každým dnem vzniká 200.000 až 300.000 nových nebezpečných webových stránek. U více než poloviny z nich je životnost kratší než 24 hodin. Přesto ale díky šíření nevyžádané pošty pomocí sítí botnet a s využitím sociálních sítí (např. Facebook) dokáží napadnout vysoký počet počítačů. Při rozpoznání malwaru se tradiční bezpečnostní produkty spoléhají na signatury. Signatura je řetězec bajtů nebo část z původního škodlivého kódu, kterou dodavatel bezpečnostního software rozšíří vždy po odhalení nového malwaru. Bezpečnostní produkty tyto signatury využívají při porovnávání vzorků. Pokud nalezený soubor obsahuje řetězec bajtů, odpovídající signatuře v databází bezpečnostního produktu, bude uživatel na malware v souboru upozorněn. Tento postup vedl k tomu, že se internetoví zločinci snaží zabránit společnostem v oblasti zabezpečení získat malware. Bez vzorku malwaru nelze rozšířit signaturu a bez signatury zůstane malware neodhalen delší dobu, během níž může nakazit větší počet počítačů. Snaha tvůrců škodlivého kódu zabránit firmám v oboru IT Security, aby získaly jejich malware, vede k používání různých postupů včetně ověřování prohlížeče a operačního systému či omezení stahování po randomizaci. Webové stránky takto mohou různým návštěvníkům zobrazit různý obsah. Nástroje bezpečnostních společností, sloužící pro automatické vyhledávání, tak obdrží naprosto neškodná data. Běžnému návštěvníkovi webové stránky s neaktuálním prohlížečem však bude předložen škodlivý obsah. Pokud i přesto společnost vzorek malwaru získá, může být jeho potlačení mnohem obtížnější než dříve. Pomocí metamorfních10 a polymorfních11 postupů při kódování lze vytvořit malware, který po každém útoku změní svoji signaturu. Podobně se malware může nacházet v šifrované podobě, ve které je během antivirových kontrol nečitelný (v takových případech je jeho odhalení podmíněno spíše nalezením dešifrovacího modulu než samotného viru). Dnešní sofistikovaný a rychle se vyvíjející malware začal využívat těchto nedostatků tradičních metod odhalení viru s pomocí signatur a ohrožuje tak data uživatelů. Rozsah tohoto problému ukázal výzkum jedné bezpečnostní společnosti v roce 2007: 72 % kancelářských a 23 % domácích počítačů s bezpečnostními produkty, využívajícími signatury, byly napadeny malwarem. Výsledky výzkumu společnosti CoreTrace z léta roku 2009 potvrdily, že více než polovina firem považuje ochranu proti dnešním hrozbám s pomocí kontroly signatur za nedostatečnou.
Tři vrstvy ochrany počítače od společnosti AVG Představte si, že vaše důležitá data jsou uložena na kartě o tvaru čtverce a že tři vrstvy ochrany společnosti AVG Technologies jsou plátky ementálu. První bezpečnostní vrstva je běžná antivirová ochrana, která porovnáváním s databází brání počítač před napadením známými viry, červy, spywarem a podobně. Díry v této první vrstvě sýra představují prostor, kterým mohou proniknout neznámé viry
5 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
a přechodné webové hrozby, jelikož je nelze odhalit pomocí kontroly signatur. Aplikace AVG 9.0 nabízí rychlejší kontrolu signatur. Soubory jsou během první kontroly označeny jako bezpečné nebo potenciálně nebezpečné a pokud nedojde ke změně struktury bezpečných souborů, mohou být během dalších kontrol vynechány. Výsledkem je výrazné snížení množství času potřebného k provedení testu – až o 50 procent, podle nastavení počítače. Aplikace AVG 9.0 také zaznamenala rychlejší spuštění a lepší využití paměti o 10 až 15 procent. Druhá vrstva ochrany představuje technologii bezpečného procházení a vyhledávání s aplikací LinkScanner® společnosti AVG. Jejím účelem je porozumět způsobu, jakým internetoví zločinci šíří svůj škodlivý kód a jeho blokováním se postarat o přechodné webové hrozby. Jedná se o jediný software, který bezpečnost webových stránek kontroluje v době, kdy je to nejvíce třeba – tedy v okamžiku, kdy se tyto stránky chystáte otevřít. U ostatních programů se dozvíte úroveň bezpečnosti požadované webové stránky při její poslední kontrole. Ta se ale mohla uskutečnit před několika týdny nebo i měsíci. Vzhledem k tomu, že 60 procent malwaru nezůstane na jedné webové stránce déle než 24 hodin, není taková informace příliš užitečná. Nástroj LinkScanner v aplikaci AVG 9.0 dokáže rychle a přesně rozhodnout, zda webová stránka je nebo není napadena a nabízí tak vylepšenou ochranu proti phishingovým útokům. Těchto výsledků je u každé stránky dosaženo použitím více než 100 různých ukazatelů možné hrozby. Pokud jsou výsledky neprůkazné, provede nástroj LinkScanner pomocí modelu Cloud kontrolu velkého počtu phishingových kanálů, spojených s výzkumnou sítí společnosti AVG a podle výsledků poskytne konečné vyhodnocení možné hrozby. Počet děr postupně ubývá. Třetí a poslední vrstvu naleznete pouze v aplikaci AVG 9.0 – tato vrstva chrání vaše data před novými a neznámými hrozbami. Ochranu zajišťuje spolupráce modulů rezidentního štítu, brány firewall a ochrany totožnosti s využitím nejnovějších technologií. Patří mezi ně analýza chování, testování pomocí modelu Cloud a seznam povolených aplikací. Tato kooperace umožňuje v rámci modulu sdílet informace o malwaru a ve výsledku posílit schopnost odhalit a odstranit hrozby, k nimž zatím neexistují signatury. Všechny díry jsou nyní vyplněny a ochrana počítače je kompletní. „Má to čtyři nohy jako pes, vrtí to ocasem jako pes a štěká to jako pes, tak to musí být pes.“ Může se zdát, že toto rčení s otázkou rozpoznání malwaru naprosto nesouvisí. Opak je však pravdou. Stejně jak člověk pozná psa podle ocasu a štěkotu, rozpozná bezpečnostní produkt malware podle znaků chování. Tento proces se nazývá heuristická detekce nebo heuristická analýza. Při krádeži dat uživateli musí malware provést určité operace, které by legitimní program neudělal. Jedná se například o skrývání se v počítači, vkládání kódu do jiného programu, protokolování stisknutých kláves nebo přístup do těch částí počítače, v nichž jsou uložena hesla. Bezpečnostní produkty, využívající heuristických metod ,mohou hledáním takového chování určit potenciálně nebezpečné programy a zablokovat je dříve, než způsobí nějakou škodu. Hlavní výhodou tohoto přístupu je naprostá eliminace hluchého místa v zabezpečení, tedy období mezi vydáním nového malwaru a následným zpřístupněním jeho signatury. Z tohoto důvodu jsou bezpečnostní produkty, využívající heuristických metod oproti kontrole signatur, schopny ochránit počítače uživatelů před známými i neznámými hrozbami. Tohoto přístupu využívá aplikace AVG Identity Protection. Analýza chování program zjišťuje a deaktivuje všechny podezřelé procesy v počítači dříve, než mohou způsobit škodu. To vše se odehrává na pozadí v reálném čase s minimálním dopadem na výkonnost systému. Mezi výhody analýzy chování aplikace Identity Protection patří: • ochrana před krádeží identity odhalováním a blokováním nových a neznámých hrozeb, jakými jsou rootkity, trojské koně nebo nástroje pro protokolování činnosti uživatele;
6 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
• okamžitá vrstva neustálé a aktivní ochrany bez nutnosti signatur či prověřování; • 10krát nižší pravděpodobnost chybného určení než u ostatních produktů využívajících analýzu chování. Možnosti nástroje Identity Protection aplikace AVG 9.0 jsou dále rozšířeny o schopnost rozpoznat malware, nainstalovaný cizí osobou. Spolu se schopností odhalit malware, který se sám dokáže zkopírovat všude po pevném disku, tak dokáže ještě více zvýšit pravděpodobnost jeho úspěšného odstranění. Aplikace AVG Identity Protection (podobně jako nástroj LinkScanner) nevyžaduje instalaci ani spuštění dalších produktů AVG. V kombinaci s jinými produkty společnosti AVG poskytuje vysoce účinné zabezpečení v několika vrstvách.
Proč je právě třetí vrstva ochrany velmi důležitá Žádný mechanismus pro odhalení malwaru nedokáže sám poskytnout dokonalou ochranu. Ani produkty využívající kontroly signatur nebo heuristické postupy nejsou zcela spolehlivé. Použitím jejich kombinace však dojde k výraznému snížení pravděpodobnosti, že do počítače malware pronikne. Jak již bylo uvedeno dříve, v aplikaci AVG 9.0 se snoubí nejnovější technologie zabezpečení pomocí analýzy chování, využití modelu Cloud a seznamu povolených aplikací, které společně chrání před přechodnými hrozbami. Tyto technologie jsou společně využívány v rámci spolupráce modulů rezidentního štítu, firewallu a ochrany totožnosti. Moduly si společnou komunikací navzájem poskytují informace o malwaru a zvyšují schopnost softwaru odhalit a odstranit hrozby, které zatím s pomocí řešení, využívajícího kontroly signatur, odhalit nelze. Vše funguje takto: Vývojáři zcela přepracovali použití firewallu. Díky využívání seznamu povolených aplikací se o 50% snížil výskyt rušivých dotazů. Nová brána firewall na pozadí spolupracuje s technologií detekce chování v modulu ochrany identity a umožňuje tak velmi úspěšně odhalovat nové nebo neznámé hrozby. Podle odhadu společnosti AVG Technologies přináší tento přístup o 90 procent méně falešných poplachů než u ostatních produktů, které se rovněž pokoušejí tento systém využívat. Tato zvýšená úroveň ochrany je zvláště efektivní v případě phishingových útoků, u nichž je k zachycení signal, indikujících přítomnost nové hrozby, využíváno automatizovaného testování pomocí modelu Cloud. Čím dříve totiž dokáže software hrozbu odhalit, tím lépe vás může ochránit.
Kombinované využití brány firewall, modulu IDP a kontroly signatur Každá z technologií používá k odhalení hrozby vlastní postupy. Kombinace těchto informací pak vede ke zvýšení úspěšnosti celkové detekce. Popis některé spolupráce modulů a jejich výhody:
Firewall a modul IDP Jestliže firewall odhalí pokus o připojení, spojí se s modulem IDP. Pokud modul IDP rozhodne, že daný proces je důvěryhodný, předá tuto informaci bráně firewall bez zobrazení místního okna s dotazem na uživatele. Pokud modul IDP zjistí, že jde o škodlivý proces, odešle autoaticky do firewallu pokyn k blokování veškeré komunikace. Snižuje se tím šance, že před přesunutím hrozby do karantény dojde k úniku informací z počítače. Tento postup funguje i opačně, kdy komunikace ze strany modulu IDP usnadňuje provádění analýzy chování.
7 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
Rezidentní štít a modul IDP Pokud rezidentní štít během instalace odhalí škodlivý soubor předá o něm informaci do modulu IDP. Modul IDP s pomocí této informace provede kontrolu a případně odstraní další související součásti, obsahující škodlivý kód, který rezidentní štít neodhalil. V zásadě je spojitost se známým malwarem použita jako znak chování.
Kontrolní server využívající modulu Cloud a seznamy povolených aplikací Základní myšlenka je taková, že provede-li proces činnost, kterou lze považovat za podezřelou, ale k prokázání malwaru není dostatek důkazů, dojde k jeho porovnání se službou Cloud. Ta zpětně potvrdí, zda jde o důvěryhodný, škodlivý nebo neznámý proces. V případě důvěryhodného a škodlivého procesu jsou provedeny odpovídající kroky. Pokud jde o proces neznámý, je mu umožněno provádět dosavadní činnost sž do doby, kdy je odhaleno dostatečné množství podezřelé aktivity ke spuštění detekce. Až v tomto okamžiku uživatel obdrží zprávu s dotazem na další postup. Pokud uživatel proces schválí, podstoupí další analýzu, která následně rozhodne o jeho škodlivosti nebo důvěryhodnosti. Tato informace je poté odeslána do kontrolní služby a pokud bude v počítačích ostatních zákazníků prováděna kontrola stejného procesu, budou okamžitě upozorněni. Důsledků tohoto postupu je několik. Malware je možné odhalit dříve, než bude jeho aktivita příliš rozsáhlá a zabrání se výskytu falešných hlášení. Informace o důvěryhodnosti je přidána do interní konfigurace a ta je následně v podobě průběžně dodávané aktualizace zprostředkována všem.
AVG 9.0 : Vyberte si zabezpečení svého počítače Určeno pro použití v domácnostech AVG Internet Security Komplexní zabezpečení vašeho počítače při práci na internetu Vyvinuli jsme aplikaci AVG Internet Security, nabízející vícevrstvou ochranu. Uživatelé mohou sdílet fotografie a hudbu s přáteli, komunikovat spravovat své bankovní účty I nakupovat online, aniž by se museli obávat o bezpečnost svých dat. Včetně nástrojů LinkScanner a Identity Protection.
AVG Anti-Virus Nejnovější zabezpečení před známými škodlivými kódy Úkolem aplikace AVG Anti-Virus je zajistit, aby počítač neobsahoval žádné viry, spyware nebo jiný malware. Součástí je i unikátní technologie LinkScanner, chránící před škodlivými webovými stránkami v reálném čase. Kontrola stránek probíhá vždy, pokud je uživatel chce otevřít.
AVG Identity Protection Nejaktuálnější ochrana bankovních operací a nákupů Čím více času tráví uživatel online, tím je důležitější zajistit pro něj ochranu osobních informací. Samotný antivirový program již k tomuto účelu při nakupování a využívání elektronického bankovnictví nestačí. Nehledě na používaný antivirový produkt je třeba dodatečná ochrana v podobě aplikace AVG Identity Protection.
8 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
Domácí uživatelé, kteří si nechtějí nebo nemohou zakoupit komerční produkty, mohou využít zdarma dostupné aplikace AVG LinkScanner nebo AVG Anti-Virus. Slouží k základní ochraně počítače před viry i spywarem, ale firma AVG Technologies pro ni nezaišťuje technickoupodporu.
Určeno pro použití ve firmách AVG Internet Security Business Edition Komplexní ochrana s centralizovanou vzdálenou správou pro podnikové sítě Aplikace AVG Internet Security Business Edition je rychlejší zabezpečení, které nebude podnik brzdit. Poskytuje kombinovanou ochranu celé počítačové sítě, včetně emailového serveru. Zahrnuje unikátní technologie ochrany před hrozbami online a vylepšené technologie antivirové ochrany i firewallu. Zahrnuje novou sadu nástrojů pro obnovení sítě na disku Rescue CD.
AVG Anti-Virus Business Edition Základní ochrana s centralizovanou vzdálenou správou pro podnikové sítě V podobě aplikace AVG Anti-Virus Business Edition získají společnosti výkonnou kontrolu další generace, která nebrání podnikání. Její součástí je nástroj LinkScanner, vylepšená ochrana před phishingem a posílená brána firewall, díky nimž bude podnik v bezpečí před internetovými hrozbami. Instalace a správa je velmi jednoduchá. Součástí je i nová sada nástrojů pro obnovu sítě na disku Rescue CD.
AVG File Server Edition Řešení určené společnostem, které již mají na stanicích aktivní antivirovou ochranu, ale požadují ochranu souborového serveru. Zahrnuje vylepšenou kontrolu virů, ochranu před webovými hrozbami s pomocí nástroje LinkScanner a zlepšenou kontrolu phishingových útoků.
AVG Email Server Edition Řešení určené společnostem, které již mají na stanicích a souborovém serveru aktivní antivirovou ochranu, ale požadují ochranu e-mailového serveru. Zahrnuje vylepšenou kontrolu virů, ochranu před webovými hrozbami pomocí nástroje LinkScanner, centralizovanou ochranu před nevyžádanou poštou a zlepšenou kontrolu phishingových útoků.
AVG Server Edition for Linux/FreeBSD Jde o flexibilní a nastavitelnou ochranu před infikovanými e-maily a přílohami pro jakoukoli organizaci, provozující server (zejména e-mailový) na systému Linux nebo FreeBSD. Chráněn je i server samotný. Software AVG podporuje všechny hlavní aplikace poštovního serveru se systémem Linux nebo FreeBSD, včetně aplikací PostFix, QMail, Sendmail a Exim. Obsahuje bezplatný klientský software.
9 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
O společnosti AVG Technologies AVG Technologies je přední mezinárodní poskytovatel bezpečnostních řešení. Produkty se značkou AVG chrání před stále rostoucím objemem různých typů škodlivého kódu 80 milionů počítačů v domácnostech i firmách celkem ve 167 zemích světa. Společnost se sídlem v nizozemském Amsterdamu má téměř dvě desetiletí zkušeností s bojem proti kybernetickému zločinu a také jednu z nejmodernějších laboratoří pro detekci internetových hrozeb. Společnost disponuje celosvětovou sítí téměř 6000 prodejců, partnerů a distribučních týmů včetně Amazon.net, CNET, Cisto, Ingram Micro, Play.com, Wal-Mart a Yahoo! Více informací o společnosti AVG Technologies a jejích produktech naleznete na adrese www.avg.cz.
AVG na Internetu Nejaktuálnější novinky z oblasti posledních internetových hrozeb: • Přihlaste se k odběru blogu Rogera Thompsona, ředitele oddělení výzkumu společnosti AVG na adrese http://thompson.blog.avg.com/
Informace o obecných aktualizacích společnosti AVG: • Připojte se ke komunitě na Facebooku na adrese http://www.facebook.com/avgfree • Sledujte informace o společnosti AVG na serveru Twitter na adrese www.twitter.com/officialavgnews • Zaregistrujte se na adrese www.avgnews.com
10 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
Odkazy 1
MPack: http://en.wikipedia.org/wiki/MPack_(software) 2
Červ Storm: http://en.wikipedia.org/wiki/Storm_Worm 3
Conficker: http://en.wikipedia.org/wiki/Conficker
4
Celkové škody za zneužití totožnosti v USA v roce 2008 v dolarech a oběti: http://uk.reuters.com/article/marketsNewsUS/idUKN0646389320090209?pageNumber=1 5
Plány „Pump and Dump Schemes“: http://www.sec.gov/answers/pumpdump.htm 6
Deset největších internetových bezpečnostních hrozeb za rok 2008 http://www.sans.org/2008menaces/ 7
70 ze 100 nejznámějších webových stránek šíří malware http://www.informationweek.com/news/internet/security/showArticle.jhtml?articleID=212901775) 8
Hackeři udělali z Clevelandu server malwaru http://www.theregister.co.uk/2008/01/08/malicious_website_redirectors/ 9
Skryté útoky s krátkou životností – nové webové hrozby http://www.avg.com/press-releases-news.ndi-222533 10
Metamorfní kód http://en.wikipedia.org/wiki/Metamorphic_code
11
Polymorfní kód http://en.wikipedia.org/wiki/Polymorphic_code
12
Malware pomalu dosahuje úrovně epidemie http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=208803810
11 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper říjen 2009
Kontakty AVG Technologies CZ, s.r.o.
AVG Technologies USA, Inc.
AVG Technologies UK, Ltd.
Lidická 31, 602 00 Brno Czech Republic www.avg.cz
1 Executive Drive, 3rd Floor Chelmsford, MA 01824 USA www.avg.com
Glenholm Park, Brunel Drive Newark, Nottinghamshire, NG24 2EG United Kingdom www.avg.co.uk
AVG Technologies GER GmbH
AVG Technologies CY Ltd.
Bernhard-Wicki-Str. 7 80636 München Deutschland www.avg.de
Arch. Makariou III. 2-4 Capital Centre 1505, Nicosia, Cyprus Fax: +357 224 100 33 www.avg.com
12 Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
