Служба репутаций

Служба репутаций

Рассматривая службы репутации, стоит различать «облачные» службы, применяемые сегодня в браузерах Google Chrome, Safari, Opera, Internet Explorer, антивирусные «облачные» службы репутации и службу репутации Windows 10.

Сегодня написание вирусов стало своего рода бизнесом, отраслью промышленности. Увы, но стоит признать, что времена хакеров-одиночек давно прошли. Нравится нам с вами или нет, но борьба с вирусами — это борьба с международным преступным сообществом. Основная цель сегодняшних злоумышленников — деньги. Уже давно у них появилось разделение труда: один находит уязвимые места, другой реализует их в виде тех или иных законченных решений, третий продает эти решения на бирже, четвертый покупает и применяет, а пятый все это оплачивает…

Обратимся к истории

С момента зарождения индустрии антивирусов сложился понятный механизм обеспечения защиты, когда от пострадавшего пользователя или из другого источника лаборатория получала образец вредоносного файла и после всестороннего анализа выпускала обновления к базе сигнатур вирусов вместе с рецептом по удалению заразы. Все клиенты загружали это обновление и получали актуальную защиту. Разумеется, кто-то заражался раньше, чем получал обновление, но таких было довольно мало. По мере роста числа угроз производителям антивирусов пришлось максимально автоматизировать процесс анализа новых видов угроз, используя эвристические механизмы, и даже встроить подобные механизмы в сами антивирусы. При этом частота обновлений увеличилась и выпуски стали ежедневными и даже ежечасными.

Понятно, что так долго продолжаться не могло. Объем выпускаемых обновлений на сегодня превысил все разумные пределы.

Одно время в индустрии безопасности бытовало мнение, что описанную проблему раз и навсегда решат так называемые эвристические технологии, то есть методики детектирования не на основе сигнатуры, а с использованием методов искусственного интеллекта, встраиваемого в антивирус. Эти технологии получили широкое распространение, но проблемы не решили. Лучшие примеры реализации эвристического анализа обеспечивают уровень обнаружения в пределах 50–70% для знакомых семейств вирусов и совершенно бессильны перед новыми видами атак.

В настоящий момент уже сформировалась тенденция распознавать угрозы непосредственно в распределенных центрах обработки данных антивирусной компании, а не только на компьютере конечного пользователя. Такой перенос центра тяжести технологии в Интернете называется «облачным».

Переход к «облачным» технологиям позволяет упростить архитектуру продукта, который пользователь ставит на свой компьютер, ведь теперь для каждого подозрительного ресурса предоставляется небольшое по объему обновление, индивидуально загружаемое из «облака» практически в реальном времени. Разумеется, разработанные технологии существенно сложнее, ведь многие процессы в компьютере требуют меньшего времени реакции, чем интервал получения подобных обновлений. Кроме того, необходимо обеспечить защиту в тот момент, когда компьютер вообще не подключен к Интернету. Тем не менее «облачные» технологии являются ключом к обеспечению безопасности не самых мощных компьютеров, таких как нетбуки, планшеты и смартфоны.

Что такое служба репутации?

Службы репутации показывают надежность того или иного источника (почта, Интернет), репутацию того или иного программного обеспечения. При этом вычисление репутации производится на серверах соответствующего производителя в Интернете. Хотя, если речь пойдет о браузерах, то там все грустно. Используются службы репутации только Microsoft и Google. Да-да, именно так.

Microsoft до недавнего времени использовала Smart Screen в Internet Explorer, а сейчас будет использовать эту службу в Edge и Microsoft Defender. Причем данная служба показывает лучшие результаты среди браузеров (посмотрим, так ли это будет в Edge, надеюсь не хуже). В частности, в тестах Internet Explorer блокировал более 99% вредоносных ссылок (в английском контенте), в русском цифра была несколько ниже, впрочем, понятно почему. В русскоязычном сегменте IE пользуется меньшей популярностью.

Службы репутаций в браузерах

Служба репутации в браузерах чаще всего ассоциируется прежде всего с анти-фишинговыми технологиями.

Opera

Защита от фишинга в браузере Opera опирается на технологии компании Haute Security [1].

В этом браузере для защиты от фишинга используется функция защиты от мошенничества (Fraud and Malware Protection), включенная по умолчанию (экран 2). В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал (https): передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft ( www.netcraft.com ) и PhishTank ( www.phishtank.com ), а также в списках сайтов с вредоносными программами, которые ведет «Яндекс».

Если доменное имя совпадет с именем из черного списка, сервер Fraud and Malware Protection возвратит браузеру документ XML, в котором будет описана проблема (фишинг или вредоносные программы).

При этом необходимо учесть следующее.

  • Opera Fraud and Malware Protection server не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию. Никакая сессионная информация, включая cookies, не сохраняется.
  • В любое время можно отключить функцию защиты от мошенничества в меню «Настройки — Расширенные (Crtl-F12) — Безопасность».

Если веб-сайт найден в черном списке, в браузере откроется страница с предупреждением. Пользователю придется решить, посещать эту подозрительную страницу или вернуться на домашнюю. Механизм защиты от мошенничества не оказывает никакого воздействия на скорость открытия веб-страниц.

Рисунок 1. Антифишинговый фильтр в Opera

Safari

По умолчанию модуль защиты от фишинга в этом браузере включен. Для поиска фишинговых сайтов он использует технологии Google. Как только пользователь пытается открыть страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносных программ. При обнаружении совпадения пользователь должен увидеть страницу с предупреждением.

Рисунок 2. Предупреждение о переходе на сайт, содержащий вредоносные программы

Chrome, Firefox

Эти браузеры используют Safe Browsing API , открытый механизм получения информации о вредоносных сайтах.

Как это работает?

Google Chrome

Функция безопасного просмотра Google Chrome, отвечающая за обнаружение фишинга и вредоносных программ, включена по умолчанию. При попытке посещения сайта, подозреваемого в фишинге или распространении вредоносных программ, браузер выдает предупреждение.

Рисунок 3. Предупреждение о фишинговом сайте в Google Chrome

Функция безопасного просмотра защищает нас от фишинга и вредоносных программ двумя способами.

Во-первых, Google загружает в браузер информацию о сайтах, которые могут содержать вредоносные программы или подозреваются в фишинге. Списки подозрительных сайтов, позволяющие сэкономить место и предотвратить выдачу URL на небезопасные сайты, обычно содержат достаточно информации, чтобы определить, что сайт содержит вредоносные программы или создан с целью фишинга, но недостаточно, чтобы с уверенностью сказать, какую именно из этих двух угроз он представляет. Если URL просматриваемого сайта совпадает с записью в списке, браузер запрашивает дополнительную информацию с серверов Google для принятия решения. Информация, которую отправляет браузер, не позволяет компании Google установить, какой именно сайт вы просматриваете (отправляются только первые 32 бит хэша SHA-256 копии URL). Если компьютер расценит сайт как опасный, будет выдано предупреждение.

В случае если компьютер обращается в Google для запроса информации о конкретном фрагменте URL или для обновления списка, будет отправлен стандартный набор данных, в том числе ваш IP-адрес, а иногда и файл cookie. На основе этих данных невозможно установить личность. Кроме того, эти данные хранятся в Google всего несколько недель. Вся информация, полученная таким образом, защищается в соответствии со стандартными условиями политики конфиденциальности Google.

Во-вторых, безопасный просмотр защищает от целевого фишинга (так называемого spear-phishing), при котором сайт может быть еще не зарегистрирован в списках опасных сайтов Google. Для этого Chrome анализирует содержание сайта и, если оно кажется подозрительным, выдает предупреждение.

Кроме того, если вы решили предоставлять Google статистику об использовании и зашли на сайт, который может оказаться опасным, в Google отправляются и некоторые другие данные, в том числе полный URL посещаемой страницы, заголовок referer, отправленный на нее, и URL, совпавший с одним из адресов в списке вредоносных программ функции безопасного просмотра Google.

Отключить эту функцию можно в меню «Параметры — Расширенные — Конфиденциальность». Для этого достаточно снять флажок «Включить защиту от фишинга и вредоносных программ».

Фильтр SmartScreen в Internet Explorer

Начиная с Internet Explorer 8 в состав IE входит фильтр SmartScreen — набор технологий, предназначенный для защиты пользователей от возможных интернет-угроз, в том числе с использованием методов социальной инженерии. Базируется SmartScreen на технологии фишингового фильтра и предназначен для защиты пользователей от известных вредоносных сайтов. Кроме того, данный фильтр включает защиту от ClickJacking, технологии, применяемой для перехвата нажатий клавиш, искажения веб-страниц и т. д. По умолчанию он включен.

Фильтр SmartScreen в Internet Explorer  использует сразу несколько технологий. В первую очередь происходит сравнение адреса посещаемого сайта со списком известных мошеннических и вредоносных сайтов. Если сайт есть в этом списке, больше проверок не производится. В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке фишинговых и вредоносных сайтов. Причем доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц. Однако обращение к данной службе пользователь может запретить.

Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список сайты не подвергаются проверке фильтром SmartScreen.

Для защиты от фишинга и вредоносных программ фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URL Reputation Service (URS) могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL. Вместе с тем необходимо добавить, что в состав SmartScreen входит и проверка репутации загружаемых файлов Application Reputation Service (ARS)

При загрузке программы в IE идентификатор файла и издателя приложения (если оно подписано цифровой подписью) отправляются на проверку с помощью новой услуги репутации приложений в «облаке». Если программа имеет репутацию, то предупреждение отсутствует. Если же файл будет загружаться с вредоносного сайта, IE блокирует загрузку. Однако, если файл не имеет данных о репутации, IE покажет это в строке уведомления и менеджере загрузки, что позволит принять обоснованное решение о доверии к этому файлу.

Фильтр SmartScreen в Internet Explorer предупреждает пользователя о подозрительных или уже известных мошеннических веб-узлах. При этом фильтр проводит анализ содержимого соответствующего сайта, а также использует сеть источников данных для определения степени надежности сайта. Фильтр SmartScreen сочетает анализ веб-страниц на стороне клиента на предмет обнаружения подозрительного поведения с онлайн-службой, доступ к которой пользователь разрешает или запрещает. При этом реализуется три способа защиты от мошеннических и вредоносных узлов.

Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится.

Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов.

Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц.

Для защиты от фишинга и вредоносных программ фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь. Учтите, что службе URS могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально. По умолчанию фильтр SmartScreen включен для всех зон, кроме местной интрасети. Если вы захотите исключить некоторые узлы из списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону. Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо применить групповую политику.

Безопасность Windows 10: «Защита на основе репутации» в Windows 10 May 2020 Update

Термин «Потенциально нежелательные программы» (англ. Potentially unwanted programs, PUP) используется для описания программ, которые могут оказывать нежелательное воздействие на компьютер. К ним относятся рекламные, потенциально опасные и другие приложения, которые мешают нормальной работе ПК.

В отличие от вредоносных программ, которые просачиваются на компьютер без ведома пользователя, PUP устанавливаются с его согласия. Например, программа может входить «в комплект» бесплатной утилиты, а ее наличие «скрыто» от пользователя в длинном тексте лицензионного соглашения. Поскольку такие программы формально устанавливают сами пользователи, они не могут быть идентифицированы как вредоносные [4].

Защита Windows 10 от потенциально нежелательных приложений, вредоносных и подозрительных файлов и веб-сайтов в обновлении 10 May 2020 Update получила отдельную страницу настроек «Защита на основе репутации» в приложении «Безопасность Windows». В данном обновлении Microsoft переименует встроенный антивирус «Windows Defender» на Microsoft Defender [3]. Таким образом компания хочет отразить новый подход Microsoft к безопасности конечных точек. Также с точки зрения встроенной защиты, начиная с Windows 10, версия 2004, приложение Безопасность Windows получило новую категорию настроек «Защита на основе репутации». Таким образом, после длительного периода подготовки Microsoft все же включила в свой сервис обеспечения безопасности и репутационную защиту.

Защита на основе репутации

Рисунок 4. Управление приложениями / браузером

На данной странице вы сможете увидеть настройки, позволяющие управлять отдельными компонентами защиты, основанной на сервисе репутации: Проверка приложений и файлов, SmartScreen для Microsoft Edge, SmartScreen для приложений из Microsoft Store, а также новая опция «Potentially unwanted applications (PUA)», которая позволяет включить или отключить защиту от потенциально нежелательных программ (PUP) в Microsoft Defender.

Вместе с тем необходимо учесть, что защита SmartScreen это совсем не новое. Такой сервис уже давно используется для Internet Explorer, причем он показал себя весьма успешно в защите от фишинговых страниц, где еще много лет назад он блокировал до 95% англоязычных вредоносных страниц. На русском языке этот показатель достигал порядка 75%, что в любом случае значительно превышало показания Google Chrome. Так что в данном случае мы просто наблюдаем актуализацию данного сервиса для Microsoft Edge.

Рисунок 5. Защита SmartScreen для Microsoft Edge

Защита от потенциально нежелательного программного обеспечения в Microsoft Defender

Функция защиты от PUA во встроенном антивирусе Windows 10 позволяет идентифицировать и блокировать загрузку и установку ПНП на компьютерах.

По умолчанию данная функция отключена (вспомните определение, такие программы формально устанавливают сами пользователи, они не могут быть идентифицированы как вредоносные). Именно поэтому данная функция отключена. Но я рекомендую все же включать этот механизм.

Вместе с тем стоит отметить, что эта функция существовала и ранее, но требовались манипуляции с реестром или Windows Power Shell (смотри инструкцию https://www.comss.ru/page.php?id=4871 ).

В текущей сборке Windows 10 (2004) включить или отключить защиту от ПНП легко и быстро можно включить в меню настроек Безопасность Windows»: Управление приложениями/браузером > Защита на основе репутации > Блокировка потенциально нежелательного приложения. При включении функции все действия с PUP также будут отображаться в Журнале защиты.

Стоит отметить, что данная опция, естественно, доступна при использовании встроенного антивируса Microsoft Defender.

Как мне включить защиту от PUP?

Для включения защиты от PUP (в терминологии Microsoft эта функция именуется PUA), перейдите в Пуск-Настройки-Обновление и безопасность-Безопасность Windows-Управление приложениями и браузерами-Параметры защиты на основе репутации.

Именно там находятся элементы с помощью, которых вы можете включить блокировку нежелательных приложений, загрузок или можете запретить и то и другое.

Рекомендуется включить и блокировку PUP и блокировку загрузок:

  • Блок загрузки ищет PUP во время загрузки, но учтите, что он работает только с новым браузером Microsoft Edge.
  • Блокированные приложения обнаружат PUP, который вы уже скачали или установили, поэтому, если вы используете другой браузер, Windows Security может обнаружить PUP после того, как вы его загрузили.

Вместе с тем у меня возник ряд вопросов, на которые я пока не могу дать себе и вам ответ. И главное – для какой версии Microsoft Edge будет работать сервис репутации? Для привычной уже нам или для новой на базе Chromium? Но ведь она еще вроде как не доделана до конца? В крайнем случае аппаратные ключи на базе FIDO2, а следовательно, и двухфакторную аутентификацию на базе этих ключей этот браузер пока не поддерживает. А что будет с сервисами репутации? Или снова правая рука не знает, что делает левая? Поживем-увидим.

Службы репутаций в антивирусах

Kaspersky Security Network

Составными частями Kaspersky Security Network (KSN) являются несколько подсистем:

  • географически распределенный мониторинг актуальных угроз на компьютерах пользователей;
  • мгновенная доставка собранных данных на серверы «Лаборатории Касперского»;
  • анализ полученной информации;
  • разработка и применение мер защиты от новых угроз.

При помощи KSN автоматически собирается информация о попытках заражения, подозрительных файлах, загруженных на компьютеры пользователей, независимо от их источника (веб-сайты, письма, одноранговые сети и т. д.). Сеть Kaspersky Security Network создана для сбора и передачи информации о попытках заражения. Собранная информация отправляется экспертам «Лаборатории Касперского».

Информация о попытках заражения передается на серверы «Лаборатории Касперского», что обеспечивает быструю и надежную идентификацию программного обеспечения, как вредоносного, так и легитимного. Заключение о безопасности программы (ее репутации) выносится на основании цифровой подписи, удостоверяющей ее происхождение и гарантирующей целостность, а также ряда других признаков. Программа, признанная безопасной, включается в список доверенных приложений.

В случае если программа признана вредоносной, данные о ней поступают в Urgent Detection System (UDS), и эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз. Легитимные файлы вносятся в белые списки (Whitelisting).

По завершении анализа новой вредоносной программы ее сигнатура вносится в соответствующие антивирусные базы. Кроме белых списков, в KSN используется технология Wisdom of the Crowd (WoC), предоставляющая информацию о популярности программы и ее репутации среди пользователей KSN.

Помимо этого, последние версии продуктов «Лаборатории Касперского» позволяют получать данные глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и набора репутационных данных.

Таким образом, в Kaspersky Security Network используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных служб (WoC и GSR). [1]

Литература

  1. https://blogs.opera.com/desktop/
    1. В. Безмалый Репутации превыше всего! https://www.osp.ru/cio/2012/01/13012611/
    1. Репутационные технологии: от общего к частному https://www.kaspersky.ru/blog/reputation-tech/15060/
    1. Безопасность Windows 10: «Защита на основе репутации» и блокировка ПНП в May 2020 Update https://www.comss.ru/page.php?id=6353
    1. Потенциально нежелательные программы https://encyclopedia.kaspersky.ru/glossary/potentially-unwanted-programs-pup/
Alt text
Комментарии для сайта Cackle

Владимир Безмалый

О безопасности и не только