Ochrona przed działaniem nieznanych plików - twój scenariusz
#1
Zapewne każdy z nas - użytkowników internetu - ma jakieś swoje doświadczenia i nabyte dzięki nim swoje sposoby postępowania wobec plików/treści pobieranych z internetu. To temat o tyle ważny, że takie dane z zewnątrz decydują o największej ilości pobieranego na komputery malware i tym samym największych strat w wymiarze nie tylko finansowym. Wypracowane mechanizmy ochrony wiążą się nie tylko z doświadczeniami i nabytą wiedzą, ale wynikają też na pewno z używanych do ochrony programów/technologii, a tym samym naszych preferencji, bo i one o sposobie budowania zabezpieczeń decydują.
Chciałem się z Wami podzielić moimi przemyśleniami w tym temacie i prosić też o Wasze przemyślenia i wskazówki, bo przecież wiedza i świadomość pewnych zjawisk to najcenniejsza rzecz w omawianym temacie Smile Nie chodzi mi o ogólne porady i wskazówki, bo tych znaleźć można wiele w internecie, ale o indywidualne rozwiązania, które u siebie stosujemy.

Lata moich eksperymentów, dziesiątki czy może nawet setki różnych aplikacji, które przewinęły się przez użytkowane przeze mnie maszyny doprowadziły mnie do takiego etapu w podejściu do komponowania zabezpieczeń i pewnych schematów postępowania, który nazwałbym "mniej znaczy więcej". Polega ono na dwóch bazowych założeniach:
1 - wszystkie pobrane dane lądują w przejściowej objętej restrykcjami lokalizacji na dysku niesystemowym
2 - niemal każdy z pobranych plików uruchamiany jest najpierw w izolowanym i zwirtualizowanym środowisku.

OK...teraz jakieś rozwinięcie Smile Obydwie zasady wynikają z używania od lat dwóch tylko aktywnie pracujących aplikacji zabezpieczających i właściwie każdy z punktów związany jest z jedną z nich:
ad. 1 - Wszystkie dane zapisywane są w jednym folderze na dysku D, jednym z kilku do ich przechowywania. Folder ten objęty jest ograniczeniami i tu wkracza SpyShelter, który oferuje możliwość nakładania ich nie tylko na aplikacje/procesy, ale też na lokalizacje (w tym również dyski zewnętrzne). Dzięki temu żaden pobrany plik/program nie uruchomi się samodzielnie, a jeśliby taka próba miała miejsce, to SS o tym poinformuje, dając możliwość sprawdzenia takiego działania i podjęcia decyzji, co z tym fantem zrobić.
ad. 2 - Ten etap związany jest głównie z programem Shadow Defender służącym do wirtualizacji dysków...tu dysku systemowego. Na tym właśnie dysku mam wydzielony osobny folder nazwany po prostu "Temp" - do tego folderu kopiowane są z folderu pobierania pliki, które chcę sprawdzić czy programy, które chcę zainstalować na próbę, ale zanim to zrobię uruchamiam tryb Shadow Mode czyli przechodzę na system wirtualny. Wtedy dopiero otwieram/uruchamiam plik i sprawdzam co się dalej dzieje...jakie ewentualnie podejrzane akcje są wykonywane...obserwując system i komunikaty wyrzucane przez moduł ochrony systemu w SS. Alerty, o których wspomniałem dają mi możliwość także sprawdzenia pliku/procesu dzięki dostępowi z poziomu komunikatu do multiskanera VirusScan.Jotti (lub innego skonfigurowanego wcześniej). Restart systemu kończy proces sprawdzania.

Kiedy już wiem, czy plik zostawić czy usunąć, to po restarcie i na "żywym" już systemie przenoszę testowany plik do ostatecznej lokalizacji - osobno dokumenty w zależności od treści i zastosowania, osobno instalatory aplikacji...ale to też jeszcze nie koniec. Wszystkie docelowe foldery mają jedną wspólną cechę -  pliki w nich przechowywane są chronione przed dostępem z zewnątrz, co również jest jedną z funkcji oferowanych przez SS. Pozwala mi to ograniczyć dostęp do tych danych tylko do wybranych przeze mnie aplikacji, a w przypadku próby dostępu do nich przez proces bez takiej reguły, podjąć odpowiednią decyzję.
Jak pewnie zauważyliście nie wspominam o żadnym programie AV/IS...nie robię tego, bo takie aplikacje u mnie w systemie po prostu nie działają...nie mam teraz nawet osobnego skanera na żądanie np. EEK czy Hitman. Nie mam takiej potrzeby, ale nie oznacza to, że inni takich potrzeb nie mają...więcej nawet...wiem doskonale, że większość taki programów używa, bo działają w pewien sposób automatycznie i oferują kilka równoległych technologii/mechanizmów zapewniających ochronę systemu i danych. Dlatego piszcie, dzielcie się swoimi pomysłami i rozwiązaniami.
Zapraszam Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Programy pobieram głównie z repozytorium dystrybucji Gnu/Linuksa, więc im ufam, że nie jest to złośliwe oprogramowanie, chociaż oczywiście mogą zawierać błędy.
Pliki, które nie są programami wczytuję do programów do tego przeznaczonych: odtwarzacze plików multimedialnych, przeglądarki PDF. Na nich mam różne zabezpieczenia, raz to AppArmor, innym razem Firejail jeszcze innym oddzielne konto użytkownika.
Odpowiedz
#3
(04.10.2020, 11:32)ichito napisał(a): Lata moich eksperymentów, dziesiątki czy może nawet setki różnych aplikacji, które przewinęły się przez użytkowane przeze mnie maszyny doprowadziły mnie do takiego etapu w podejściu do komponowania zabezpieczeń i pewnych schematów postępowania, który nazwałbym "mniej znaczy więcej". Polega ono na dwóch bazowych założeniach:
1 - wszystkie pobrane dane lądują w przejściowej objętej restrykcjami lokalizacji na dysku niesystemowym
2 - niemal każdy z pobranych plików uruchamiany jest najpierw w izolowanym i zwirtualizowanym środowisku.

OK...teraz jakieś rozwinięcie Smile Obydwie zasady wynikają z używania od lat dwóch tylko aktywnie pracujących aplikacji zabezpieczających i właściwie każdy z punktów związany jest z jedną z nich:
ad. 1 - Wszystkie dane zapisywane są w jednym folderze na dysku D, jednym z kilku do ich przechowywania. Folder ten objęty jest ograniczeniami i tu wkracza SpyShelter, który oferuje możliwość nakładania ich nie tylko na aplikacje/procesy, ale też na lokalizacje (w tym również dyski zewnętrzne). Dzięki temu żaden pobrany plik/program nie uruchomi się samodzielnie, a jeśliby taka próba miała miejsce, to SS o tym poinformuje, dając możliwość sprawdzenia takiego działania i podjęcia decyzji, co z tym fantem zrobić.
ad. 2 - Ten etap związany jest głównie z programem Shadow Defender służącym do wirtualizacji dysków...tu dysku systemowego. Na tym właśnie dysku mam wydzielony osobny folder nazwany po prostu "Temp" - do tego folderu kopiowane są z folderu pobierania pliki, które chcę sprawdzić czy programy, które chcę zainstalować na próbę, ale zanim to zrobię uruchamiam tryb Shadow Mode czyli przechodzę na system wirtualny. Wtedy dopiero otwieram/uruchamiam plik i sprawdzam co się dalej dzieje...jakie ewentualnie podejrzane akcje są wykonywane...obserwując system i komunikaty wyrzucane przez moduł ochrony systemu w SS. Alerty, o których wspomniałem dają mi możliwość także sprawdzenia pliku/procesu dzięki dostępowi z poziomu komunikatu do multiskanera VirusScan.Jotti (lub innego skonfigurowanego wcześniej). Restart systemu kończy proces sprawdzania.


Zasady warte "wdrukowania" i utrwalenia pewnych nawyków, bez wątpienia przyswajam je sobie. No i tak na marginesie, kolejny "+" by zainteresować się SSFW.
Odpowiedz
#4
SpyShelter daje możliwość zablokowania nieporządanej interakcji lub nawet całego programu/procesu.
Ale w sytuacji takiej że musisz uruchomić niepewną aplikacje to i tak będziesz skłonny kliknąć zezwól aby dowiedzieć sie w etapie końcowym czy wato było i tu jest zbyt duże ryzyko i hips może sie nie sprawdzić.

Gdy jesteś zmuszony skłonny uruchomić czy to plik PDF, office czy zainstalować tymczasowo jakaś aplikacje to najlepszym wyjściem będzie tutaj Pełna wirtualizacja systemu Vmware Wokrstation.
Shadow defender jest ok ale w sytuacji kiedy program za mocno ingeruje w systemowe usługi będziesz zmuszony uruchomić system ponownie co w wypadku SD = wpie tymczasowych zmian.

W takich wypadkach najlepiej korzystać z pełnego kompleksowego zestawienia które chroni na wielu warstwach:

Antywirus / Antyspyware + Firewall z HIPS + Polityka piaskownicy / Wirtualizacja Systemowa + Backup

Gdy jesteś tylko graczem komputerowym co odpala tylko 3-5 gry na krzyż i nic więcej.

Zupełnie wystarczył by nawet sam Shadow Defender z zaporą systemową i skanerem systemowym utwardzonym za pomocą hard defender od andiego
A dla świętego spokoju można by dać nawet darmowego kaperskiego jako skaner w chmurze.
opcjonalnie Zemane free lub darmowa wersje SAP jako dodatkowy skaner.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości