Proč již nestačí tradiční anti-virová řešení

Proč již nestačí tradiční
anti-virová řešení
Jak Vám může AVG 9.0 pomoci
zabezpečit podnikání
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
Obsah
Proč číst tento dokument . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Vývoj komerčního malwaru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Vaše osobní údaje: Žádané zboží na černém trhu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Celosvětovou síť ohrožují podvodníci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Proč je vaše zabezpečení nedostatečné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Tři vrstvy ochrany počítače od společnosti AVG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Proč je právě třetí vrstva ochrany velmi důležitá . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Kombinované využití brány firewall, modulu IDP a kontroly signatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
AVG 9.0 : Vyberte si zabezpečení svého počítače . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Určeno pro použití v domácnostech . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Určeno pro použití ve firmách . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
O společnosti AVG Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
AVG na Internetu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Odkazy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Kontakty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
Proč číst tento dokument
Zabezpečení počítačů v minulosti nebývalo příliš složité. Hlavním cílem útoků bývala především elektronická pošta, e-maily.
S nainstalovaným antivirovým programem a s jistou dávkou opatrnosti a zdravého rozumu při otevírání příloh byl uživatel
před většinou hrozeb v bezpečí. Pokud se do počítače přesto dostala infekce, nebývaly následky mnohdy až tak vážné.
Nejčastěji docházelo ke komplikacím při běžné práci s PC nebo ke ztrátě dat. Časy se však změnily-útoky dnes směřují
na webové stránky a současné hrozby se vrychle vyvíjí směrem ke skrytému působení a téměř výhradnímu zaměření na zisk.
Tento dokument vám poskytne informaci o současných typech ohrožení počítačů, pokusí se vysvětlit, proč je vaše dosavadní
řešení ochrany nedostatečné,a předvede způsob, jakým dokáže řešení AVG 9.0 tyto mezery v zabezpečení zaplnit.
Vývoj komerčního malwaru
Před deseti lety byly viry nebo jiné formy malwaru z velké části doménou mladých amatérských programátorů (“rádoby”
hackerů a zelenáčů v oboru), kteří se pokoušeli získat pozornost a věhlas ve svých komunitách. Jediným cílem těchto
škodlivých programů bylo znepříjemnit uživatelům život např. přeházením dat nebo jinou destabilizací jejich počítače.
Některé tyto kódy sice obecně znepokojovaly, ale většina z nich byla nedokonalá a jejich odhalení a následné zablokování bylo
poměrně snadné.
V posledních letech však došlo k výrazné změně. Organizované kriminální skupiny si uvědomily, že s pomocí malwaru mohou
přijít ke slušným penězům. Začaly platit zkušené programátory, kteří jim nyní vytváří škodlivé programy. Jejich cílem není
způsobit potíže, ale umožnit krádeže peněz, dat či obojího. Výsledkem je existující černý trh, na němž lze nelegálně nakupovat
a prodávat data nebo programy, které jsou ke krádeži dat určeny. Programové sady typu MPack1 se prodávají jako komerční
výrobky, poskytované s podporou i možností aktualizace a umožňují každému (i osobám bez znalosti programování) provádět
sofistikované útoky na nic netušící uživatele. Následkem je exponenciální nárůst počtu útoků i poškozených počítačových
systémů. Jen v roce 2008 bylo odhaleno více než 1,5 milionu nových druhů malwaru – tento počet odpovídá desetitisícům
vzorků, které každodenně přichází do výzkumných laboratoří společností z oboru zabezpečení počítačů.
Bezpečnostní hrozby jsou navíc čím dál tím více propracované. Například v minulosti byla nevyžádaná pošta prostředkem
k zavedení drobných rootkitů typu „blue pill“ nebo falešného softwaru. Dnes však obsahuje červy, jako je např. Storm2.
Po infekci tímto škodlivým kódem je počítač zařazen do centrálně řízené sítě Storm botnet, která jednu dobu obsahovala až 50
milionů podobně napadených počítačů. Ty jsou následně bez vědomí majitele využívány k zasílání nevyžádaných e-mailů, které
opět obsahují červa a zajišťují tak další rozšiřování sítě botnet. Zločinci si navíc mohou pronajmout čas v síti botnet a během něj
rozesílat vlastní podvodné e-maily. Síť Storm botnet sice dnes již neexistuje, ale její místo zaplnily jiné, např. Conficker3.
Vaše osobní údaje: Žádané zboží na černém trhu
Miliony lidí považují
provádění finančních
transakcí pomocí počítače
za stejně rutinní záležitost,
jakou je čištění zubů. Kvůli
tomu používají dnešní
osobní počítače k ukládání
a odesílání velkého množství
„Útoky z webových stránek na prohlížeče se čím dál více zaměřují na součásti jako Flash nebo QuickTime,
které se při aktualizaci prohlížeče automaticky neaktualizují. Namísto jednoduchých variant útoků,
využívajících programy typu exploit na webových stránkách, jsou současně prováděny propracované útoky
s využitím skriptů, které těchto programů střídají více. Výsledkem jsou ještě složitější útoky, které stále častěji
využívají balíčky modulů, s jejichž pomocí mohou účinně zakrýt svůj škodlivý obsah. Jeden z nejnovějších
modulů, Mpack, zaručuje při pokusu o napadení prohlížeče po otevření stránky s tímto modulem úspěšnost
10 až 25 %. Během této akce útočníci nepřetržitě zavádí škodlivé kódy na známé a důvěryhodné webové
stránky, kde uživatelé očekávají kvalitní zabezpečení. Pokud útočník dokáže na důvěryhodné stránky umístit
lepší nástroj pro svou nekalou činnost, získá nad nic netušícími uživateli výraznou výhodu.“
Institut SANS, Top Ten Cyber Security Menaces for 20086 (Deset největších internetových bezpečnostních hrozeb)
3
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
citlivých informací, což z nich dělá velmi lákavé cíle pro zločince. Pokud někdo zneužije váš počítač nebo sleduje vaši
komunikaci, dokáže získat přístup k osobním datům, jako jsou například:
•
•
•
•
•
•
•
datum narození,
rodné nebo jiné identifikační číslo,
informace a heslo k online bankovnictví,
e-mailová adresa a heslo,
adresa,
telefonní číslo,
zaměstnanecké informace.
Jinými slovy – zloděj může z vašeho počítače získat dostatečné množství informací k tomu, aby byl schopen ukrást vaši
totožnost. Internetový zločin přitom není otázkou drobných. Jedná se naopak o průmysl, který operuje v řádech miliard.
Studie serveru Javelin Strategy and Research odhalila, že jen v roce 2008 přišlo 9,9 milionů Američanů kvůli krádeži totožnosti
o 48 miliard dolarů. Podle společnosti Gartner způsobily zase v roce 2007 phishingové útoky škody ve výši 3,6 miliard dolarů.
Celosvětovou síť ohrožují podvodníci
Útok je v dnešní době směřován na webové stránky. Útočníci mají totiž při využívání e-mailů k dispozici pouze omezený počet
způsobů, jak mohou počítač napadnout. Požívají infikované přílohy nebo odkazy na webové stránky, obsahující škodlivý kód.
Zasílání těchto e-mailů sice stále pokračuje, ale ukázalo se, že internet obecně (zejména sociální sítě) poskytuje mnohem
větší nabídku možností k púrovedení útoku. Slabá místa ve webových
prohlížečích a jejich doplňcích, např. aplikace Flash, QuickTime nebo
„Společným znakem dnešních infekcí, šířících se
po internetu, je přechodná doba jejich působení.
Microsoft Silverlight, představují zadní vrátka, která lze využít k zavedení
Pokud by produkty pro zabezpečení Internetu (které
nástrojů pro protokolování činnosti uživatele, trojských koní, umožňujících
na rozdíl od aplikace LinkScanner k vyhodnocení
bezpečnosti webové stránky tyto stránky navštěvují
krádež hesel a dalších forem malwaru. A těchto zadních vrátek není málo.
a kontrolují) chtěly poskytnout ochranu před
Jen u prohlížeče Internet Explorer bylo za poslední dva roky ohlášeno
hrozbami, musely by každý den navštívit každou
ze stovek milionů stránek na Internetu. To je řešení,
více než 75 slabých míst. Tzv. sociální sítě útočníkům poskytují nové
které je i s využitím dnešních supermoderních
mechanismy k provádění ataků. Příkladem je narušení stránek využitím
počítačů neproveditelné.
J.R. Smith, generální ředitel
bezpečnostních chyb ve skriptech pomocí technologie AJAX nebo
společnosti AVG Technologies
zavedení kódu do kanálu RSS/Atom.
Problém je o to větší, že žádnou webovou stránku nelze považovat za bezpečnou. Dosavadní oblíbené webové stránky, které
se těší důvěře uživatelů, je možné napadnout a bez vědomí jejich majitele je využít jako prostředek k šíření malwaru. Podobně
mohou být reklamy navrženy tak, aby zneužívaly slabých míst ve webovém prohlížeči a jeho doplňcích a aby byly šířeny
prostřednictvím reklamních sítí na velké množství webových stránek. Tento druh útoků je čím dál častější. Ve druhé polovině
roku 2008 bylo u 70 ze 100 nejznámějších webových stránek ve světě zjištěno jejich napadení nebo obsahovaly odkazy na jiné
škodlivé stránky7. V lednu 2009 byly infikovány tisíce webových stránek (včetně stránek společností, spadajících do kategorie
Fortune 500, federálních organizací, ambasád, celebrit a dokonce i některých firem, zabývajících se zabezpečením) a zneužity
ke krádeži dat nic netušících návštěvníků8.
4
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
Proč je vaše zabezpečení nedostatečné
K úspěšnému zisku dat nebo peněz je třeba, aby škodlivé programy internetových zločinců zůstaly v počítači neodhaleny.
Výsledkem je to, že dřívější viry byly nahrazeny mnohem skrytějším malwarem. Nyní již stačí ke krádeži citlivých informací
pouhé navštívení důvěryhodné webové stránky. Uživatel nic netuší až do chvíle, kdy zjistí zneužití svých internetových
účtů nebo až na výpisu z účtu najde nevysvětlitelné pohyby peněz. Není to však pouze detekce směrem k uživateli, které se
internetoví zločinci musí vyhýbat. Jejich detekce je také záležitostí bezpečnostních produktů, které za tímto účelem zavádí
stále propracovanější postupy.
Útočníci se před internetovými vyhledávači (např. Google) a před aplikacemi Site Advisor nebo jinými produkty, sloužícími
k filtrování phishingových útoků (všechny uvedené nástroje pravidelně kontrolují internet a vyhledávají škodlivé stránky, které
poté ukládají na černou listinu) skrývají s pomocí dočasných webových stránek. Jejich životnost je pouhých několik hodin,
poté je autoři zruší a škodlivý obsah přesunou na další stránku. Výzkum společnosti AVG Technologies prokázal, že každým
dnem vzniká 200.000 až 300.000 nových nebezpečných webových stránek. U více než poloviny z nich je životnost kratší
než 24 hodin. Přesto ale díky šíření nevyžádané pošty pomocí sítí botnet a s využitím sociálních sítí (např. Facebook) dokáží
napadnout vysoký počet počítačů.
Při rozpoznání malwaru se tradiční bezpečnostní produkty spoléhají na signatury. Signatura je řetězec bajtů nebo část
z původního škodlivého kódu, kterou dodavatel bezpečnostního software rozšíří vždy po odhalení nového malwaru.
Bezpečnostní produkty tyto signatury využívají při porovnávání vzorků. Pokud nalezený soubor obsahuje řetězec bajtů,
odpovídající signatuře v databází bezpečnostního produktu, bude uživatel na malware v souboru upozorněn. Tento postup
vedl k tomu, že se internetoví zločinci snaží zabránit společnostem v oblasti zabezpečení získat malware. Bez vzorku
malwaru nelze rozšířit signaturu a bez signatury zůstane malware neodhalen delší dobu, během níž může nakazit větší počet
počítačů. Snaha tvůrců škodlivého kódu zabránit firmám v oboru IT Security, aby získaly jejich malware, vede k používání
různých postupů včetně ověřování prohlížeče a operačního systému či omezení stahování po randomizaci. Webové stránky
takto mohou různým návštěvníkům zobrazit různý obsah. Nástroje bezpečnostních společností, sloužící pro automatické
vyhledávání, tak obdrží naprosto neškodná data. Běžnému návštěvníkovi webové stránky s neaktuálním prohlížečem však
bude předložen škodlivý obsah.
Pokud i přesto společnost vzorek malwaru získá, může být jeho potlačení mnohem obtížnější než dříve. Pomocí
metamorfních10 a polymorfních11 postupů při kódování lze vytvořit malware, který po každém útoku změní svoji signaturu.
Podobně se malware může nacházet v šifrované podobě, ve které je během antivirových kontrol nečitelný (v takových
případech je jeho odhalení podmíněno spíše nalezením dešifrovacího modulu než samotného viru).
Dnešní sofistikovaný a rychle se vyvíjející malware začal využívat těchto nedostatků tradičních metod odhalení viru s pomocí
signatur a ohrožuje tak data uživatelů. Rozsah tohoto problému ukázal výzkum jedné bezpečnostní společnosti v roce 2007:
72 % kancelářských a 23 % domácích počítačů s bezpečnostními produkty, využívajícími signatury, byly napadeny malwarem.
Výsledky výzkumu společnosti CoreTrace z léta roku 2009 potvrdily, že více než polovina firem považuje ochranu proti
dnešním hrozbám s pomocí kontroly signatur za nedostatečnou.
Tři vrstvy ochrany počítače od společnosti AVG
Představte si, že vaše důležitá data jsou uložena na kartě o tvaru čtverce a že tři vrstvy ochrany společnosti AVG Technologies
jsou plátky ementálu.
První bezpečnostní vrstva je běžná antivirová ochrana, která porovnáváním s databází brání počítač před napadením známými
viry, červy, spywarem a podobně. Díry v této první vrstvě sýra představují prostor, kterým mohou proniknout neznámé viry
5
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
a přechodné webové hrozby, jelikož je nelze odhalit pomocí kontroly signatur. Aplikace AVG 9.0 nabízí rychlejší kontrolu
signatur. Soubory jsou během první kontroly označeny jako bezpečné nebo potenciálně nebezpečné a pokud nedojde
ke změně struktury bezpečných souborů, mohou být během dalších kontrol vynechány. Výsledkem je výrazné snížení
množství času potřebného k provedení testu – až o 50 procent, podle nastavení počítače. Aplikace AVG 9.0 také zaznamenala
rychlejší spuštění a lepší využití paměti o 10 až 15 procent.
Druhá vrstva ochrany představuje technologii bezpečného procházení a vyhledávání s aplikací LinkScanner® společnosti
AVG. Jejím účelem je porozumět způsobu, jakým internetoví zločinci šíří svůj škodlivý kód a jeho blokováním se postarat
o přechodné webové hrozby. Jedná se o jediný software, který bezpečnost webových stránek kontroluje v době, kdy je to
nejvíce třeba – tedy v okamžiku, kdy se tyto stránky chystáte otevřít.
U ostatních programů se dozvíte úroveň bezpečnosti požadované webové stránky při její poslední kontrole. Ta se ale mohla
uskutečnit před několika týdny nebo i měsíci. Vzhledem k tomu, že 60 procent malwaru nezůstane na jedné webové stránce
déle než 24 hodin, není taková informace příliš užitečná.
Nástroj LinkScanner v aplikaci AVG 9.0 dokáže rychle a přesně rozhodnout, zda webová stránka je nebo není napadena
a nabízí tak vylepšenou ochranu proti phishingovým útokům. Těchto výsledků je u každé stránky dosaženo použitím více
než 100 různých ukazatelů možné hrozby. Pokud jsou výsledky neprůkazné, provede nástroj LinkScanner pomocí modelu
Cloud kontrolu velkého počtu phishingových kanálů, spojených s výzkumnou sítí společnosti AVG a podle výsledků poskytne
konečné vyhodnocení možné hrozby.
Počet děr postupně ubývá.
Třetí a poslední vrstvu naleznete pouze v aplikaci AVG 9.0 – tato vrstva chrání vaše data před novými a neznámými hrozbami.
Ochranu zajišťuje spolupráce modulů rezidentního štítu, brány firewall a ochrany totožnosti s využitím nejnovějších
technologií. Patří mezi ně analýza chování, testování pomocí modelu Cloud a seznam povolených aplikací. Tato kooperace
umožňuje v rámci modulu sdílet informace o malwaru a ve výsledku posílit schopnost odhalit a odstranit hrozby, k nimž zatím
neexistují signatury.
Všechny díry jsou nyní vyplněny a ochrana počítače je kompletní.
„Má to čtyři nohy jako pes, vrtí to ocasem jako pes a štěká to jako pes, tak to musí být pes.“ Může se zdát, že toto rčení s otázkou
rozpoznání malwaru naprosto nesouvisí. Opak je však pravdou. Stejně jak člověk pozná psa podle ocasu a štěkotu, rozpozná
bezpečnostní produkt malware podle znaků chování. Tento proces se nazývá heuristická detekce nebo heuristická analýza.
Při krádeži dat uživateli musí malware provést určité operace, které by legitimní program neudělal. Jedná se například
o skrývání se v počítači, vkládání kódu do jiného programu, protokolování stisknutých kláves nebo přístup do těch částí
počítače, v nichž jsou uložena hesla. Bezpečnostní produkty, využívající heuristických metod ,mohou hledáním takového
chování určit potenciálně nebezpečné programy a zablokovat je dříve, než způsobí nějakou škodu.
Hlavní výhodou tohoto přístupu je naprostá eliminace hluchého místa v zabezpečení, tedy období mezi vydáním nového
malwaru a následným zpřístupněním jeho signatury. Z tohoto důvodu jsou bezpečnostní produkty, využívající heuristických
metod oproti kontrole signatur, schopny ochránit počítače uživatelů před známými i neznámými hrozbami.
Tohoto přístupu využívá aplikace AVG Identity Protection. Analýza chování program zjišťuje a deaktivuje všechny podezřelé
procesy v počítači dříve, než mohou způsobit škodu. To vše se odehrává na pozadí v reálném čase s minimálním dopadem
na výkonnost systému.
Mezi výhody analýzy chování aplikace Identity Protection patří:
• ochrana před krádeží identity odhalováním a blokováním nových a neznámých hrozeb, jakými jsou rootkity, trojské koně
nebo nástroje pro protokolování činnosti uživatele;
6
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
• okamžitá vrstva neustálé a aktivní ochrany bez nutnosti signatur či prověřování;
• 10krát nižší pravděpodobnost chybného určení než u ostatních produktů využívajících analýzu chování.
Možnosti nástroje Identity Protection aplikace AVG 9.0 jsou dále rozšířeny o schopnost rozpoznat malware, nainstalovaný cizí
osobou. Spolu se schopností odhalit malware, který se sám dokáže zkopírovat všude po pevném disku, tak dokáže ještě více
zvýšit pravděpodobnost jeho úspěšného odstranění.
Aplikace AVG Identity Protection (podobně jako nástroj LinkScanner) nevyžaduje instalaci ani spuštění dalších produktů AVG.
V kombinaci s jinými produkty společnosti AVG poskytuje vysoce účinné zabezpečení v několika vrstvách.
Proč je právě třetí vrstva ochrany velmi důležitá
Žádný mechanismus pro odhalení malwaru nedokáže sám poskytnout dokonalou ochranu. Ani produkty využívající kontroly
signatur nebo heuristické postupy nejsou zcela spolehlivé. Použitím jejich kombinace však dojde k výraznému snížení
pravděpodobnosti, že do počítače malware pronikne.
Jak již bylo uvedeno dříve, v aplikaci AVG 9.0 se snoubí nejnovější technologie zabezpečení pomocí analýzy chování, využití
modelu Cloud a seznamu povolených aplikací, které společně chrání před přechodnými hrozbami. Tyto technologie jsou
společně využívány v rámci spolupráce modulů rezidentního štítu, firewallu a ochrany totožnosti. Moduly si společnou
komunikací navzájem poskytují informace o malwaru a zvyšují schopnost softwaru odhalit a odstranit hrozby, které zatím
s pomocí řešení, využívajícího kontroly signatur, odhalit nelze.
Vše funguje takto:
Vývojáři zcela přepracovali použití firewallu. Díky využívání seznamu povolených aplikací se o 50% snížil výskyt rušivých
dotazů. Nová brána firewall na pozadí spolupracuje s technologií detekce chování v modulu ochrany identity a umožňuje
tak velmi úspěšně odhalovat nové nebo neznámé hrozby. Podle odhadu společnosti AVG Technologies přináší tento
přístup o 90 procent méně falešných poplachů než u ostatních produktů, které se rovněž pokoušejí tento systém využívat.
Tato zvýšená úroveň ochrany je zvláště efektivní v případě phishingových útoků, u nichž je k zachycení signal, indikujících
přítomnost nové hrozby, využíváno automatizovaného testování pomocí modelu Cloud. Čím dříve totiž dokáže software
hrozbu odhalit, tím lépe vás může ochránit.
Kombinované využití brány firewall, modulu IDP a kontroly signatur
Každá z technologií používá k odhalení hrozby vlastní postupy. Kombinace těchto informací pak vede ke zvýšení úspěšnosti
celkové detekce. Popis některé spolupráce modulů a jejich výhody:
Firewall a modul IDP
Jestliže firewall odhalí pokus o připojení, spojí se s modulem IDP. Pokud modul IDP rozhodne, že daný proces je důvěryhodný,
předá tuto informaci bráně firewall bez zobrazení místního okna s dotazem na uživatele. Pokud modul IDP zjistí, že jde
o škodlivý proces, odešle autoaticky do firewallu pokyn k blokování veškeré komunikace. Snižuje se tím šance, že před
přesunutím hrozby do karantény dojde k úniku informací z počítače. Tento postup funguje i opačně, kdy komunikace ze strany
modulu IDP usnadňuje provádění analýzy chování.
7
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
Rezidentní štít a modul IDP
Pokud rezidentní štít během instalace odhalí škodlivý soubor předá o něm informaci do modulu IDP. Modul IDP s pomocí
této informace provede kontrolu a případně odstraní další související součásti, obsahující škodlivý kód, který rezidentní štít
neodhalil. V zásadě je spojitost se známým malwarem použita jako znak chování.
Kontrolní server využívající modulu Cloud a seznamy povolených aplikací
Základní myšlenka je taková, že provede-li proces činnost, kterou lze považovat za podezřelou, ale k prokázání malwaru není
dostatek důkazů, dojde k jeho porovnání se službou Cloud. Ta zpětně potvrdí, zda jde o důvěryhodný, škodlivý nebo neznámý
proces. V případě důvěryhodného a škodlivého procesu jsou provedeny odpovídající kroky. Pokud jde o proces neznámý, je
mu umožněno provádět dosavadní činnost sž do doby, kdy je odhaleno dostatečné množství podezřelé aktivity ke spuštění
detekce. Až v tomto okamžiku uživatel obdrží zprávu s dotazem na další postup. Pokud uživatel proces schválí, podstoupí
další analýzu, která následně rozhodne o jeho škodlivosti nebo důvěryhodnosti. Tato informace je poté odeslána do kontrolní
služby a pokud bude v počítačích ostatních zákazníků prováděna kontrola stejného procesu, budou okamžitě upozorněni.
Důsledků tohoto postupu je několik. Malware je možné odhalit dříve, než bude jeho aktivita příliš rozsáhlá a zabrání se
výskytu falešných hlášení. Informace o důvěryhodnosti je přidána do interní konfigurace a ta je následně v podobě průběžně
dodávané aktualizace zprostředkována všem.
AVG 9.0 : Vyberte si zabezpečení svého počítače
Určeno pro použití v domácnostech
AVG Internet Security
Komplexní zabezpečení vašeho počítače při práci na internetu
Vyvinuli jsme aplikaci AVG Internet Security, nabízející vícevrstvou ochranu. Uživatelé mohou sdílet fotografie a hudbu
s přáteli, komunikovat spravovat své bankovní účty I nakupovat online, aniž by se museli obávat o bezpečnost svých dat.
Včetně nástrojů LinkScanner a Identity Protection.
AVG Anti-Virus
Nejnovější zabezpečení před známými škodlivými kódy
Úkolem aplikace AVG Anti-Virus je zajistit, aby počítač neobsahoval žádné viry, spyware nebo jiný malware. Součástí je
i unikátní technologie LinkScanner, chránící před škodlivými webovými stránkami v reálném čase. Kontrola stránek probíhá
vždy, pokud je uživatel chce otevřít.
AVG Identity Protection
Nejaktuálnější ochrana bankovních operací a nákupů
Čím více času tráví uživatel online, tím je důležitější zajistit pro něj ochranu osobních informací. Samotný antivirový program
již k tomuto účelu při nakupování a využívání elektronického bankovnictví nestačí. Nehledě na používaný antivirový produkt
je třeba dodatečná ochrana v podobě aplikace AVG Identity Protection.
8
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
Domácí uživatelé, kteří si nechtějí nebo nemohou zakoupit komerční produkty, mohou využít zdarma dostupné aplikace AVG
LinkScanner nebo AVG Anti-Virus. Slouží k základní ochraně počítače před viry i spywarem, ale firma AVG Technologies pro ni
nezaišťuje technickoupodporu.
Určeno pro použití ve firmách
AVG Internet Security Business Edition
Komplexní ochrana s centralizovanou vzdálenou správou pro podnikové sítě
Aplikace AVG Internet Security Business Edition je rychlejší zabezpečení, které nebude podnik brzdit. Poskytuje kombinovanou
ochranu celé počítačové sítě, včetně emailového serveru. Zahrnuje unikátní technologie ochrany před hrozbami online
a vylepšené technologie antivirové ochrany i firewallu. Zahrnuje novou sadu nástrojů pro obnovení sítě na disku Rescue CD.
AVG Anti-Virus Business Edition
Základní ochrana s centralizovanou vzdálenou správou pro podnikové sítě
V podobě aplikace AVG Anti-Virus Business Edition získají společnosti výkonnou kontrolu další generace, která nebrání
podnikání. Její součástí je nástroj LinkScanner, vylepšená ochrana před phishingem a posílená brána firewall, díky nimž bude
podnik v bezpečí před internetovými hrozbami. Instalace a správa je velmi jednoduchá. Součástí je i nová sada nástrojů pro
obnovu sítě na disku Rescue CD.
AVG File Server Edition
Řešení určené společnostem, které již mají na stanicích aktivní antivirovou ochranu, ale požadují ochranu souborového
serveru. Zahrnuje vylepšenou kontrolu virů, ochranu před webovými hrozbami s pomocí nástroje LinkScanner a zlepšenou
kontrolu phishingových útoků.
AVG Email Server Edition
Řešení určené společnostem, které již mají na stanicích a souborovém serveru aktivní antivirovou ochranu, ale požadují
ochranu e-mailového serveru. Zahrnuje vylepšenou kontrolu virů, ochranu před webovými hrozbami pomocí nástroje
LinkScanner, centralizovanou ochranu před nevyžádanou poštou a zlepšenou kontrolu phishingových útoků.
AVG Server Edition for Linux/FreeBSD
Jde o flexibilní a nastavitelnou ochranu před infikovanými e-maily a přílohami pro jakoukoli organizaci, provozující server
(zejména e-mailový) na systému Linux nebo FreeBSD. Chráněn je i server samotný. Software AVG podporuje všechny hlavní
aplikace poštovního serveru se systémem Linux nebo FreeBSD, včetně aplikací PostFix, QMail, Sendmail a Exim. Obsahuje
bezplatný klientský software.
9
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
O společnosti AVG Technologies
AVG Technologies je přední mezinárodní poskytovatel bezpečnostních řešení. Produkty se značkou AVG chrání před stále
rostoucím objemem různých typů škodlivého kódu 80 milionů počítačů v domácnostech i firmách celkem ve 167 zemích
světa. Společnost se sídlem v nizozemském Amsterdamu má téměř dvě desetiletí zkušeností s bojem proti kybernetickému
zločinu a také jednu z nejmodernějších laboratoří pro detekci internetových hrozeb. Společnost disponuje celosvětovou
sítí téměř 6000 prodejců, partnerů a distribučních týmů včetně Amazon.net, CNET, Cisto, Ingram Micro, Play.com, Wal-Mart
a Yahoo!
Více informací o společnosti AVG Technologies a jejích produktech naleznete na adrese www.avg.cz.
AVG na Internetu
Nejaktuálnější novinky z oblasti posledních internetových hrozeb:
• Přihlaste se k odběru blogu Rogera Thompsona, ředitele oddělení výzkumu společnosti AVG na adrese
http://thompson.blog.avg.com/
Informace o obecných aktualizacích společnosti AVG:
• Připojte se ke komunitě na Facebooku na adrese http://www.facebook.com/avgfree
• Sledujte informace o společnosti AVG na serveru Twitter na adrese www.twitter.com/officialavgnews
• Zaregistrujte se na adrese www.avgnews.com
10
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
Odkazy
1
MPack:
http://en.wikipedia.org/wiki/MPack_(software)
2
Červ Storm:
http://en.wikipedia.org/wiki/Storm_Worm
3
Conficker:
http://en.wikipedia.org/wiki/Conficker
4
Celkové škody za zneužití totožnosti v USA v roce 2008 v dolarech a oběti:
http://uk.reuters.com/article/marketsNewsUS/idUKN0646389320090209?pageNumber=1
5
Plány „Pump and Dump Schemes“:
http://www.sec.gov/answers/pumpdump.htm
6
Deset největších internetových bezpečnostních hrozeb za rok 2008
http://www.sans.org/2008menaces/
7
70 ze 100 nejznámějších webových stránek šíří malware
http://www.informationweek.com/news/internet/security/showArticle.jhtml?articleID=212901775)
8
Hackeři udělali z Clevelandu server malwaru
http://www.theregister.co.uk/2008/01/08/malicious_website_redirectors/
9
Skryté útoky s krátkou životností – nové webové hrozby
http://www.avg.com/press-releases-news.ndi-222533
10
Metamorfní kód
http://en.wikipedia.org/wiki/Metamorphic_code
11
Polymorfní kód
http://en.wikipedia.org/wiki/Polymorphic_code
12
Malware pomalu dosahuje úrovně epidemie
http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=208803810
11
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
White Paper
říjen 2009
Kontakty
AVG Technologies CZ, s.r.o.
AVG Technologies USA, Inc.
AVG Technologies UK, Ltd.
Lidická 31, 602 00 Brno
Czech Republic
www.avg.cz
1 Executive Drive, 3rd Floor
Chelmsford, MA 01824
USA
www.avg.com
Glenholm Park, Brunel Drive
Newark, Nottinghamshire,
NG24 2EG
United Kingdom
www.avg.co.uk
AVG Technologies GER GmbH
AVG Technologies CY Ltd.
Bernhard-Wicki-Str. 7
80636 München
Deutschland
www.avg.de
Arch. Makariou III.
2-4 Capital Centre
1505, Nicosia, Cyprus
Fax: +357 224 100 33
www.avg.com
12
Copyright, 2009 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.