UNIVERSIDADE ZAMBEZE

SOLUÇÕES DE ANTIVÍRUS
INTRODUÇÃO
II. PROTECÇÃO CONTRA VÍRUS
2.1.EFICIÊNCIA DAS SOLUÇÕES DE ANTIVIRUS DE HOJE
• Não se pode negar que os programas de
antivirais atuais (pelo menos os melhores )
tendem a proporcionar um bom desempenho.
• Tanto quanto sabemos em relacao a vírus
recentes a taxa de detecção é muito próxima
de 100%, com uma taxa muito baixa de falsos
alarmes (false positive).
• Para vírus desconhecidos a taxa de detenção
varia de 80 a 90 porcentos.
• Mesmo assim é necessario destinguir vírus que
usam te’cnicas virais conhecidas e desconhecidas.
Para o caso de técnias desconhecidas as
companhias de antivírus nunca publicam os dados.
• Qualquer antivírus que nao use técnicas
conhecidas consegue com muita facilidade
enganar os antivírus bem como firewalls.
• Na maioria das vezes vírus novos nas suas
primeiras versoes nao sao detectadas. E ainda,
muitos desses vírus contém erros de programacao
que possam facilitar a sua detenção.
Programas de antivirais são em sua maioria
incapazes para detectar novas gerações de worms
antes que as atualizações dos bancos de dados
virais. Os publicadores de antivirus podem reagir
mais ou menos rapidamente a infecções virais,
mas são atualmente incapazes de antecipá-los.
Se os antivirus detectam os worms, a possibilidade
destas ferramentas desinfectarem os sistemas
vítimas é reduzido. Sendo assim necessarias
ferramentas específicas para estes malwares.
• Quanto a outros tipos de malware de computador,
como Cavalos de Tróia, bombas lógicas, atrair
programas..., produtos antivirais não fornecem um
nível elevado de protecção especialmente quando
se trata de detectar novos tipos de infecções.
• Em alguns nestes casos, um firewall, muitas vezes
acaba por ser mais eficiente e complemento de
qualquer produto antivirus, na medida em que o
sistema de segurança firewall é adequadamente
configurardo e as regras de filtragem são
regularmente controlados e reavaliadas
2.2. ANTIVIRUS COMO FERRAMENTA COMERCIAL
• Outro ponto importante de mencionar é que a
proteccao antivírus antes de mais nada sao
produtos comerciais.
• A competiao comercial leva aos publicadores
de antivírus a gastarem muitos recursos em
a’reas como:
– Uma boa interface gráfica que pode fazer como
que os usuários possam perder controlo sobre o
computador
Cont.
• Os produtos devem operar de formas muto
veloz.
• A segurança é muito sacrificada a favor de
outras funcionalidades menos importante,
segando-se ao ponto em que vírus muito
antigos nao sejam detectados. E qualquer
atacante que produzir um malware com estas
características poderá com sucesso escapar da
detencao de antivírus.
2.2 TÉCNICAS ANTI-VÍRUS
2.2.1. MODOS DE OPERACAO DE ANTIVÍRUS
• MODO ESTÁTICO: os próprios usuários ativarm
o software de antivirus (este último pode ser
executado, quer manualmente ou pode ter
sido pré-programado). O antivírus é, portanto,
na maior parte inactivo e não é possível a
detecção. Isso é omodo mais adequado para
computadores cujos recursos são limitados
(por exemplo, processador lento, sistemas
operacionais antigos).
cont.
• MODO DINÁMICO: Programas de antivirus
sao residentes na memória e monitorizaram
continuamente a actividade do sistema, rede
e dos utilizadores. Ele opera de uma maneira
muito prioroitária e tenta avaliar os riscos
virais. Este modo geralmente requer uma
grande quantidade de recursos. A
experiência mostra que os usuários
tendemPara desativar este modo sempre
que o seu computador não tem recursos.
2.2.1.1. TÉCNICAS ANTI-VÍRUS ESTÁSTICAS
• Apresentam três técnicas que sao:
escaneamento ou procura de assinaturas
virais, análise espectral, análise heurística e
verificaçao de integridade de arquivos.
2.2.1.1.1. Escaneamento ou procura de
assinaturas virais
• Esta técnica tem como objetivo pesquisar
qualquer seqüência de bits que distingue um
nomeadamente o vírus a partir de qualquer
outro programa.
Cont.
• Esta sequência pode ser visto como o
equivalente das impressões digitais. Utilizado
como uma assinatura, que deve conter essas
duas seguintes propriedades:
– A sequencia de bits deve ser duficientemente
descriminatória(a assinatura deve identificar
especificamente o vírus).
– Deve ser nao incrminatória(a assinatura para um
vírus nao pode identificar um vírus diferente ou
um programa sem vírus)
2.2.1.1.2. ANÁLISE ESPECTRAL
• Primeiro analisa-se todas as instrucoes de um
determinado programa. Segundo a lista
produzida no passo anterior e’ escaneada para
se saber se possui algum tipo de código
malicioso ou nao; normalmente programas
bons usam poucas instruçoes para garantir a
optimizaçao do codigo enquanto que os vírus
usam muitas instruçoes para garantir
eficiencia.
2.2.1.1.3. ANÁLISE HEURÍSTICA
• Esta técnica utiliza regras e estratégias para estudar
como um programa se comporta. O objetivo é
detectar atividades virais potenciais ou
comportamentos. assim como a análise sprectral, a
análise heurística carece de confiabilidade e
fornece numerosos alertas falsos.
• Alguns programas antivirus, que são baseados em
análises heurísticas devem correr sem atualizar. Na
verdade, uma vez que os criadores de vírus
analisaram o software de antivírus eles encontram
as regras e estratégias empregues e podem
facilmente fugir delas.
Cont.
• Nesta fase, o fabricante do software antivírus
deve usar outras regras e estratégias e,
conseqüentemente, deve atualizar seu
produto. Na maioria das vezes, isso é feito
muito discretamente quando se publica o
próximo lançamento (superior) do seu
software.
2.2.1.1.4. VERIFICAÇAO DE INTEGRIDADE DE
ARQUIVOS
• Tem como objectivo verificar qualquer alteraçao nos
arquivos (.exe, .pdf, etc.). Para cada arquivo e’
verificado a integridade usando o algoritmo MD5, SHA-
1 ou RCR (verificacao de rendundancia cíclica).
• Em outras palavras, na prática, é computacionalmente
inviável modificar um ficheiro de tal maneira que
qualquer novo cálculo do seu MD5 produza um
resultado igual ao original.
• Se qualquer modificaçao for feita, a verificacao dos
algoritmos de integridade dara’ resultado negativo e a
presença de uma infeccao aparecerá.
• As bases de dados de contendo os dados
colectados pelos algoritmos de verificacao de
integridade devem ser guardados em lugares
seguros e controlados pelo computador.
• Alguns vírus podem passar por cima da
verificacao de integridade sem que as
ferramentas de protecçao tomem
conhecimento. Esses vírus simulam acçoes
legitimas por parte dos utilizadores, pelo
sistema operativo ou mesmos pelos antivírus
2.2.1.2. TÉCNICAS ANTI-VÍRUS DINAMICAS
• Existem duas técnicas anti-vírus dinamicas que
sao: monitoramento do comportamento e
emulaçao de código.
2.2.1.2.1. MONITORAMENTO COMPORTAMENTO
• Os softwares de antivírus residem na memória
e tentam detectar qualquer actividade
potencialmente suspeita ( o monitoramento
de actividades suspeitas é feito usando uma
base de dado de comportamento de vírus)
• Esta técnica usa o seguinte procedimento:
tenta abrir o arquivo executavel no modo
read/write e assim pode-se nalgumas vezes
com sucesso detectar virus desconhecidos e
evitar infecçoes. Contudo alguns vírus
conseguem contornar esta técnica evitando
detecçao.
2.2.1.2.2. EMULAÇAO DE CÓDIGO
• A emulação foi desenvolvida para tentar
identificaros vírus polimórficos. Os vírus
polimórficos são conhecidos como vírus mutantes,
que conseguem modificar-se a cada infecção,
dificultando sua identificação pelos softwares de
antivírus. Sendo os vírus polifórmicos praticamente
inviáveis.
• O emulador executa a rotina de descriptografia do
vírus. Quando um vírus polimórficos é executado, o
emulador decriptografa o próprio código executável
deste vírus, usando uma rotina anexada ao próprio.
• Em alguns casos, uma pesquisa por assinatura
poderáser válida no código da rotina de
descriptografia, mas isto não é uma regra. Em
muitos casos,os vírus polimórficos ofuscam
seu código, usando diversos artifícios para
conseguir.
• funcionar, mesmo com um conteúdo diferente
em suas novas cópias. O emulador
permiteanalisar o código, adicionar código,
criptografar, descriptografar e analisar a
probabilidade de uma infecção.
II. REGRAS DE SEGURANÇA
DE COMPUTADORES
2.1. REGRAS DE PROTECÇAO
• O ponto chave a ter em mente é que nem os
programas de antivirus sao antivirus nem
firewalls podem fornecer proteção absoluta.
Seria uma ilusão acreditar que o uso de um
pedaço de software ou de vários protegeria
totalmente contra o vírus. Como consequencia
deve-se estar consciente das regas de
protecçao para além do uso de softwares.
• Algumas destas regras sao as seguintes:
– Políticas completas de seguranças devem ser criadas
e esta política deve ser dinamicamente avaliada,
porque os ataques de vírus e o tipo de ameaça muda.
– A gestão de utilizadores e controlo de segurança (os
usuários): o factor humano é essencial e considerado
elemento mais fraco na segurança. Sendo assim
necessário melhorar as habilidade dos usuários e
educaçao no concernente as políticas. Pessoas com
poucas responsabilidade ou mal itensionadas devem
ter muitos limites no uso dos recursos
computacionais.
Cont.
– Verificar o conteudo (controlar os dados): os
administradores de redes devem definir políticas bem claro
neste campo, pondo elas em prática e inspoccionar
regularmente. Deve se deixar bem claro que qualquer
computador numa instituiçao deve ser usado para fins
meramente profissionais e as licenças de software devem
ser regularmente verificadas para evitar que se usem
softwares que possam infectar o computador.
– A escolha de softwares: softwares comerciais provam ser
ineficientes na segurança e apresentm falhas de seguranças
graves. Em detrimento, sempre que possível deve-se usar
software de código aberto ou livre. O formato de
documento a ser usado é também muito importante,
Cont.
Por exemplo, formatos como o .TRF ou .CSV sao mais
adequados do que .DOC ou .XLS
– Várias medidas de procedimentos inerentes ao
ambiente considerado sao importantes como:
-Propriamente configurar a sequencia do boot ao
nível do BIOS.
-Tomar medidas que possam evitar que usuários
possam instalar programas executáveis (sem o
controlo do administrador).
-Backups regulares de dados
Cont.
-Restringir acesso físico a a computadores sensíveis
-Isolar redes locais sensíveis da internet e
constantemente verificar que conexoes nao
autorizadas ocorreram.