20 ноября, 2013

Против лома есть приём.

Бабах!! Ещё одна торпеда, пущенная кибер-негодяями в офисное пространство Микрософт увязла в нашей цепкой защите.

А именно: недавно была обнаружена вроде обычная себе атака — при открытии документов Word незаметно для пользователя в систему внедрялся вредоносный код. Вряд ли это событие добралось до заголовков, кабы не одно обстоятельство: это была атака класса «зеродей» – использовалась ранее неизвестная уязвимость в MS Office, для которой нет «заплатки», при этом большинство антивирусов тоже в упор не видели угрозу. А мы отработали на «отлично»!

Да! – технология автоматической защиты от эксплойтов (AEPAutomatic Exploit Prevention) вычислила аномальное поведение и проактивно блокировала атаку. Никаких обновлений и ожиданий. Сразу и наповал.

С «зиродеями» можно и нужно бороться. Это самое острие атак кибер-атак – зачем нужен антивирус, который работает исключительно сигнатурами, а от будущих угроз защищает только на бумаге (пусть очень красивой бумаге)? Ну, да, разработка таких технологий требует мозгов и инвестиций. Не каждый вендор первое имеет, а второе может себе это позволить. Это не детект у соседа тырить, ага..

Вообще, мы всегда считали, что в IT-секъюрити нельзя жить сегодняшним днём – нужно постоянно заглядывать за горизонт и предвидеть поворот мысли кибер-негодяев. Потому «проактивка» была у нас на повестке дня с бородатых 90-х – среди прочего мы тогда отличились разработкой эвристика и эмулятора. Технологии оттачивались, прокачивались и изобретались, и вот, где-то 2,5 года назад, фичи для защиты от эксплуатации известных и неизвестных уязвимостей были объединены под зонтиком AEP. И очень вовремя! С его помощью мы впоследствии  проактивно накрыли целый зоопарк целевых атак, в том числе Red October, MiniDuke и Icefog.Тогда же случился всплеск нездорового интереса к Java и AEP снова оказался кстати. И одну из первых скрипок здесь играл модуль Java2SW для детекта атак через Java.

О нём сейчас и пойдёт речь.

Программный ландшафт типичного компьютера напоминает лоскутное одеяло с кучей заплаток и не меньшим количеством дыр. После выпуска каждого продукта в нём регулярно находятся уязвимости (чем популярнее продукт, тем чаще и больше) и вендоры их регулярно же латают, выпуская «патчи». Но#1: вендоры выпускают «патчи» не сразу — кое-кто, бывает, ковыряет в носу месяцами. Но#2: большинство пользователей всё равно, пардон, забивает на установку этих «патчей» и продолжают работать на дырявом софте. Зато#1: практически на каждом компьютере есть… антивирус!

Тут на сцену выходит тот самый Java2SW, который в Java домене убивает сразу двух зайцев.

Вообще, с точки зрения безопасности архитектура Java достаточно продвинутая. Каждая программа выполняется в изолированном пространстве (JVM – Java Virtual Machine), под присмотром секюрити-агента. Увы, Java пала жертвой популярности – какой бы защищённой ни была система, рано или поздно (пропорционально популярности) в ней найдутся уязвимости. К этому должен быть готов каждый вендор — своевременно развивать технологии противодействия, скорость реакции и обучать пользователей. У Oracle это как-то не очень получилось. Не получилось настолько не очень, что пользователи начали массово удалять Java с компьютеров даже несмотря на ограничения при просмотре сайтов.

Судите сами: количество обнаруженных уязвимостей в Java в 2010г. – 52, 2011г. – 59, 2012г. – 60, 2013г. – уже 180 (год продолжается!). А число атак на Java росло по вот такой грустной кривой:

Рост количества атак на уязвимости в Java

Так чем же прекрасен Java2SW и как он спасает от атак на уязвимости в Java?

В дополнение к штатному секюрити-агенту он добавляет в каждую виртуальную машину Java ещё один элемент безопасности. Этот элемент проводит дополнительный, независимый анализ исполняемой Java-программы и прекращает её выполнение в случае обнаружения подозрительных действий.

Сложность реализации этого метода в том, что нам пришлось не «оборачивать» Java, а внедряться непосредственно в платформу. Почему? Потому что снаружи Java как черный ящик – что-то происходит, но непонятно почему. Например, Java запускает некий процесс, но почему она решила его запустить, какие другие действия с этим связаны — неясно. Если же «заглянуть» внутрь то можно узнать что за код сейчас исполняется в Java-машине, какие у него привилегии, каков его источник и т.п. и на основании этого уже делать хорошо обоснованные выводы.

Благодаря своей архитектуре Java обеспечивает кросс-платформенность (Java-программы без модификации могут работать на очень широком спектре операционных систем). Но, с другой стороны, это требует большого объёма серых клеток для разработки защиты – ведь приходится внедряться прямо в саму «кухню» Java-интерпретатора. Немудрено, что далеко не в каждом антивирусе реализован такой подход, а сама технология сейчас стоит в очереди на патент.

Любопытная особенность Java2SW – совместная работа с другими подсистемами защиты от уязвимостей (AEP). При обнаружении нарушений и подозрительных действий модуль передаёт сигнал вместе с его контекстом на уровень System Watcher – компонента, который собирает сведения с других антивирусных сенсоров, видит общую картину и способен принимать наиболее информированные (точные) решения о самых сложных атаках.

Java2SW - техгнология "Лаборатории Касперского" для защиты от Java-эксплойтов

Таким образом, даже если происходит атака на секюрити-менеджер Java (ох, как кибер-негодяи любят это делать!), мы всё равно сможем её отследить и блокировать.

Является ли Java2SW панацеей против неизвестных уязвимостей?

Тут важно отметить следующее: Java2SW не детектит «зеродеи» и не выявляет уязвимости. Это не его «сфера интересов» и, как ни странно, от этого его эффективность только выигрывает. Java2SW выявляет эксплойты – аномальное поведение кода, а уж куда эти эксплойты бьют – нам всё равно. Продукт будет защищать не от «дыр» в упоминавшемся выше лоскутном одеяле, а от атак на них. Таким образом, мы абстрагируемся от конкретных уязвимостей и защищаем пользователей более универсальным подходом. Ну а сами «дыры» можно централизованно отслеживать и патчить, например, с помощью systems management.

Каков же практический результат от использования Java2SW?

Во-первых, с высокой долей вероятности мы можем защищать пользователей от неизвестных атак через уязвимости Java. Иными словами – даём запас прочности на время между обнаружением уязвимости и доступностью «патча». Во-вторых, даже если пользователь принадлежит к полку игнорантов и вовремя не устанавливает «патчи», то мы всё равно спасём его от таких атак.

На этом о костылях для современного программного ландшафта всё (на сегодня).

Прочитать комментарии 3
Комментарии 3 Оставить заметку

    Юрий

    Да, я всегда говорил что Kaspersky Lab выпускает отличный программный продукт. С 2008 года KAV и KIS были неоднократно проверены в «бою». Антивирусы лаборатории Касперского действительно развиваются и становятся лучше.

    0
    Участвовать в обсуждении

    Дмитрий

    Ребята, вы круты, но почему на карточке продления Касперский Антивирус нет числа «2014»?

    0
    Участвовать в обсуждении
Оставить заметку
Facebook

18 апреля, 2024

Еду-пою по пути в Усть-Неру.

Планирование дальнейших рассказов об автопутешествии Якутск-Тикси-Якутск оказалось нетривиальной задачей. Ведь нужно же отметиться по всем сегментам наших передвижений, про дороги и зимники, про обычные и особые моменты пребывания, про где мы жили и как всё это было, а также про всё-всё-остальное, включая, например, цены на топливо, которым мы кормили наши автомашинки. Глядя на предыдущий абзац моих рассказов… Так и тянет […]

17 апреля, 2024

Танки Арктики не боятся.

По следам экспедиции Якутск-Тикси-Якутск мне задают много вопросов о наших средствах передвижения, очевидно отметившихся на фотках прозвучавших рассказов. Как говорится, «хороший вопрос»! Сразу замечу, что машинки и маршрут следования путешествия мы выбирали не самостоятельно. Как, куда и на чём ехать: это нам предложили — без лишней скромности заявляю — лучшие эксперты по арктическому автотранспорту. Это Александр Еликов и Евгений Шаталов. […]

16 апреля, 2024

А вы были в Хандыге?

Продолжаю рассказы об автопутешествии Якутск-Тикси-Якутск. Разогревочные темы зимников, наледей и трассы Р-504 «Колыма» рассказаны и закрыты. Пора уже за руль — и в дорогу! Начало наших последующих приключений — в Якутске, — а потом почти тысяча километров по «Колыме», затем в планах свернуть на север — и по зимникам добраться аж до Тикси. Что есть нетривиальная задачка, даже в условиях полной […]

15 апреля, 2024

Р504 — Полторы тысячи км адской красоты. Но зимой. И холодно.

Дороги бывают разные. Прямые и не очень, ровные и наоборот, скоростные и неторопливые, обычные и красивые. Вернее, так: обычные, симпатичные, красивые и мозговзрывательные. Красивых дорог много — часто в горах, вдоль морей и океанов. А особо красиво, если дорога идёт в горах и одновременно вдоль побережья — сразу достигается двойной эффект. Кстати, недавно катался по […]

11 апреля, 2024

Теория большого ледового взрыва или наледи, сэр!

Наш друг — Крайний Север. Зимой, даже в марте (а тут март — это зима). Так вот, в эти времена здесь царство вечного снега и льда, лютого мороза и бескрайних белых просторов. Но — не поверите! — здесь тоже есть место для водных развлечений. Как так и почему? Откуда здесь вода? Она же вся в […]

9 апреля, 2024

Что такое автомобильный зимник, и с чем его едят?

Если прочих вопросов к докладчику по предыдущей вступительной теме нет, то переходим к следующему рассказу, который можно было бы назвать так: «Якутские зимники от Р-504 и выше на север». Приступаю незамедлительно, но, наверное, сначала надо сделать разъяснительное введение. А именно -> Для плавности дальнейшего повествования мне просто категорически требуется пояснить, что же такое этот самый автодорожный зимник. Можно, конечно, просто […]

Еще

Блог о путешествиях