Computer

Tassonomia di software dannoso e strumenti di rilevamento

Autore: Laura McKinney
Data Della Creazione: 10 Aprile 2021
Data Di Aggiornamento: 13 Maggio 2024
Anonim
Chi era il Mostro di Firenze ? Roberta Bruzzone e Paolo Cochi giugno 2011
Video: Chi era il Mostro di Firenze ? Roberta Bruzzone e Paolo Cochi giugno 2011

Contenuto

La quantità di software dannoso sta crescendo a un ritmo esorbitante e travolge i fornitori di sicurezza. L'identificazione e la disinfezione dei sistemi di quel software rimane nel regno del software antivirus. Il mantenimento delle firme dei virus e delle descrizioni delle attività necessarie per il corretto funzionamento del software antivirus può essere aggravato dalla mancanza di un sistema di classificazione standard per il software dannoso. La tassonomia proposta dall'autore del software dannoso e degli strumenti di rilevamento per aiutare la comprensione degli operatori e del pubblico.

Entro la fine del 1992, Daoud, Jebril e Zaqaibeh (2008) hanno stimato che esistessero tra 1.000 e 2.300 virus; i virus erano gli unici tipi di infezione nei primi anni di software dannoso. Nel 2002, trojan e worm sono stati aggiunti al mix e il numero di varianti note di software dannoso è cresciuto fino a circa 60.000. Nell'era moderna, ci sono più di 100.000 ceppi di virus classificati. Tieni presente che molti non professionisti classificano tutti i tipi di malware come virus.


La crescente quantità di software dannoso che appare ogni giorno sta travolgendo le aziende di sicurezza. Un articolo in Security and the Internet (2008) ha affermato che alcuni fornitori di sicurezza ricevono "una media giornaliera di 15.000 file dagli utenti del prodotto e CSlRT (Computer Security Incident Response Teams), e talvolta fino a 70.000" (p. 10) file di esempio per giorno per analizzare. Daoud, et al. (2008) hanno citato studi che hanno dimostrato che il collegamento di un computer a Internet sottoporrebbe quel computer ad attacchi a intervalli di 39 secondi.

La necessità di una tassonomia

I primi programmi software dannosi erano classificati come virus ancor prima che venisse presa in considerazione qualsiasi somiglianza tra malware e organismi biologici. Li e Knickerbocker (2007) hanno riconosciuto le differenze tra le infezioni virali organiche e le infezioni virali del computer, ma hanno anche notato alcune somiglianze. "Sebbene uno utilizzi materiale genetico e l'altro utilizzi una serie di istruzioni del computer, i due seguono schemi simili nel modo in cui vengono trasmesse le infezioni e nel loro comportamento all'interno degli host infetti" (p. 339).


La classificazione degli organismi utilizzando le tassonomie aiuta gli scienziati a comprendere le caratteristiche fisiche e comportamentali comuni e tali approcci possono essere utili per quanto riguarda i virus informatici. Biology-online.org (2008) ha offerto una definizione di tassonomia come metodo gerarchico per classificare gli organismi in base ai ranghi, come il metodo che utilizza la divisione, la classe, il genere e la specie che si adattano alle caratteristiche di un organismo. Tassonomie specializzate sono state sviluppate per soddisfare esigenze specifiche, ad esempio, il Dipartimento del Commercio degli Stati Uniti (2011) ha descritto una tassonomia sviluppata nel 1972 per classificare gli organismi nella baia di Chesapeake.

Le classificazioni di entità in aree diverse dalla biologia sono ormai comuni. Date le somiglianze proposte da Li e Knickerbocker (2007) tra infezioni virali biologiche e informatiche, l'autore propone che un Tassonomia di software dannoso e strumenti di rilevamento può promuovere la comprensione delle infezioni virali del computer sia per i professionisti della sicurezza che per il pubblico. "Inoltre, molti paesi hanno la propria terminologia e criteri per la classificazione del malware, che non è certo l'ideale data la natura globale di Internet e della criminalità" (Security and the Internet, 2008, p.10). La base per tale tassonomia è offerta in questo documento.


Vocabolari di tassonomia

Drupal.org (2005), un noto editore di Content Management System, ha prescritto che uno degli elementi più importanti per creare una tassonomia è lo sviluppo del vocabolario. I vocabolari per la proposta Tassonomia di software dannoso e strumenti di rilevamento conterrebbe i termini per descrivere sia gli strumenti di rilevamento che il software rilevato da tali strumenti.

Questi vocabolari proposti potrebbero essere i seguenti:

Vocabolario del software dannoso

  • Adware: Il software che contiene annunci pubblicitari scaricati nel sistema dell'utente senza la conoscenza o l'autorizzazione dell'utente, che spesso si traducono in reindirizzamento del browser, pubblicità popup o pubblicità pop-under è un adware.
  • Auto-rooter: Il software sviluppato dagli hacker per entrare automaticamente in un sistema remoto precedentemente intatto è un auto-rooter.
  • Porta sul retro: Un meccanismo tipicamente inserito in un programma da uno sviluppatore per aggirare i normali controlli di sicurezza a scopo di test è una backdoor. I programmatori spesso trascurano di rimuovere le backdoor quando il test è completo.
  • Boot Sector Infector: Il malware che infetta il Master Boot Record (MBR) di una partizione di sistema in modo che il malware venga eseguito all'avvio del sistema è un infettore del settore di avvio.
  • Downloader: Il componente di un tipico attacco Trojan che scarica altro software dannoso è un downloader.
  • Virus crittografato: Un virus che utilizza un algoritmo di crittografia insieme a una chiave di crittografia per oscurare il contenuto del pacchetto virale è un virus crittografato. Il sistema infetto decrittografa il pacchetto al ricevimento utilizzando la chiave di crittografia ricevuta e cambia la chiave prima della ritrasmissione del virus al sistema di un'altra vittima, in modo che il virus non presenti la stessa firma agli scanner antivirus.
  • Virus macro: Un virus che infetta la funzionalità macro di un documento anziché il codice del programma è un virus macro.
  • Virus metamorfico: Un virus che riscrive completamente il codice del virus a ogni infezione è un virus metamorfico. I virus metamorfici differiscono dai virus polimorfici in quanto non solo l'aspetto del codice cambia, ma i virus cambiano effettivamente il proprio codice di programma.
  • Virus polimorfico: Un virus che modifica l'aspetto del codice del virus presentato al software antivirus a ogni infezione per eliminare la probabilità di una corrispondenza della firma è un virus polimorfico.
  • Cavallo di Troia: Prende il nome dalla storia del cavallo di Troia, un programma cavallo di Troia attira una vittima apparendo come un programma utile, ma la vera funzione del programma può essere di natura dannosa. Un programma cavallo di Troia acquisisce il livello di autorizzazione dell'utente che installa inconsapevolmente il malware in modo che il software acquisisca spesso un accesso illimitato al sistema.
  • Virus: Un pacchetto software che si fonde in un codice eseguibile legittimo per il trasporto su un altro sistema è un virus. Si dice che il codice eseguibile originale sia infetto quando il codice del virus si fonde con successo in quell'eseguibile. L'esecuzione del codice infetto esegue anche il virus.
  • Verme: A differenza di un virus, un worm non ha bisogno di fondersi in un altro codice eseguibile per il trasporto su altri sistemi. Un worm può autoreplicarsi su una rete per individuare e infettare altri host ed essere eseguito all'arrivo. (Stallings e Brown, 2008)

Vocabolario del carico utile di software dannoso

  • Flooder: Un payload dannoso progettato per avviare un attacco Denial of Service generando enormi quantità di traffico di rete è un flooder.
  • Registratore di tasti: Un payload dannoso che trasmette le sequenze di tasti acquisite a un altro sistema è un keylogger.
  • Bomba logica: Una bomba logica attende un momento o un evento specifico per attivare un'attività dannosa, come l'eliminazione di file.
  • Rootkit: Gli strumenti inclusi in un payload per nascondere il malware o per consentire a un hacker di rientrare in un sistema compromesso sono un rootkit.
  • Programma Spammer: La sollecitazione, la pornografia e il materiale di marketing inviati a un individuo in un'e-mail senza consenso sono noti come SPAM. Un programma spammer è un pacchetto di payload che invia enormi quantità di SPAM.
  • Spyware: Lo spyware raccoglie informazioni personali o sensibili da un utente e le inoltra a un altro sistema. (Stallings e Brown, 2008)

Vocabolario degli strumenti di rilevamento software

  • Scanner basato sulla firma: L'acquisizione di un frammento univoco di codice del computer e l'utilizzo di tale frammento per identificare il software dannoso è il metodo di rilevamento che caratterizza gli scanner basati su firme.
  • Scanner basato sull'euristica: L'impiego di un metodo in grado di apprendere il comportamento del malware è la caratteristica che identifica gli scanner basati sull'euristica.

Classificazioni tassonomiche

Come affermato in precedenza, una tassonomia è un metodo di classificazione. Una volta definiti i vocabolari, potrebbe iniziare una classificazione tassonomica del software dannoso e degli strumenti di rilevamento. La classificazione tassonomica del software dannoso e degli strumenti di rilevamento classificherebbe sia il software dannoso che gli strumenti utilizzati per rilevare e rimuovere tale software.

Software dannoso

La classificazione di primo livello per il software dannoso indica se il software è indipendente. I veri virus informatici dipendono dai programmi host per replicarsi su altri sistemi e Stallings e Brown (2008) hanno definito i virus di natura parassitaria.Questi bit di software "sono essenzialmente frammenti di programmi che non possono esistere indipendentemente da qualche programma applicativo, utilità o programma di sistema effettivo" (p. 216). Altri tipi di software dannoso sono programmi indipendenti che esistono e vengono eseguiti senza l'ausilio di un programma eseguibile host.

Il software dannoso potrebbe essere suddiviso in due categorie che indicano se il software fornisce o meno un carico utile. Se il software fornisce un carico utile, il tipo di carico utile consegnato verrà aggiunto alla classificazione dal vocabolario. Il livello finale di classificazione indica se il codice dannoso ne altera l'aspetto.

Daoud, et al. (2008) hanno spiegato che i virus metamorfici alterano il loro aspetto riprogrammando il codice dannoso. Questa riprogrammazione modifica le caratteristiche del comportamento dell'esecuzione del programma, che cambia anche l'aspetto del virus in algoritmi di rilevamento delle firme. "I virus metamorfici utilizzano diverse trasformazioni metamorfiche, tra cui il riordino delle istruzioni, il riordino dei dati, l'inserimento e il delineamento, la ridenominazione dei registri, la permutazione del codice, l'espansione del codice, la riduzione del codice, l'interleaving di subroutine e l'inserimento di codice spazzatura" (p. 127). I virus polimorfici semplicemente offuscano l'aspetto originale per evitare il rilevamento da parte degli scanner di firme.

Strumenti di rilevamento

La strategia predominante per rilevare il software dannoso, come spiegato da Evans-Pugh (2006), analizza i file alla ricerca di frammenti di codice noti come firme di virus. Quando una firma di una scansione corrisponde a una porzione di codice in un file di prova, si determina che il file è infetto. Questo tipo di rilevamento può essere classificato come scansione antivirus basata su firme. Quando uno scanner basato su firma identifica un file infetto, lo scanner tenta di disinfettare il file per rimuovere lo snippet di codice aggiunto al file scansionato dal software dannoso. Questi scanner spesso collocano i file infetti in una directory di quarantena quando la disinfezione non riesce.

L'altro tipo di scanner è più dinamico e utilizza un metodo euristico per apprendere l'attività del software dannoso. Daoud, et al. (2008) hanno spiegato che i metodi euristici di rilevamento eseguono il codice di un programma e monitorano l'attività del software, quindi confronta tale attività con metodi noti di attività del virus. "Ad esempio, la maggior parte delle attività dei virus alla fine deve chiamare alcune funzionalità di sistema, come le operazioni di I / O, devono essere considerate solo queste azioni. Non importa quanto siano staticamente offuscate le chiamate I / O, le chiamate appariranno chiaramente (p. 125).

Un altro tipo di rilevamento euristico di software dannoso confronta l'attività di un programma con la normale attività acquisita di utenti reali. I blocchi del comportamento eseguono il codice di test in tempo reale durante l'analisi dell'attività. I processi vengono quindi interrotti quando viene rilevato un comportamento anomalo. Ad esempio, "gli esseri umani che utilizzano un computer in genere effettuano una o due connessioni di rete al secondo, mentre se un pezzo di codice su una macchina cerca di effettuare 10.000 connessioni al secondo, sai che è dannoso" (Evans-Pughe, 2006, p. 33).

Sia i metodi di rilevamento basati sulla firma che i metodi dinamici o euristici presentano alcuni importanti inconvenienti. I metodi di rilevamento basati sulla firma possono identificare solo il software per il quale mantengono i file delle firme. Questi strumenti di rilevamento di software dannoso non identificheranno il software per cui non esiste una firma, quindi richiedono un aggiornamento costante per rimanere aggiornati con le nuove firme. Possono anche richiedere un tempo più lungo per l'esecuzione man mano che la base della firma cresce. I metodi euristici possono classificare erroneamente il comportamento normale e consentire l'esecuzione di software dannoso o bloccare la normale attività.

Riferimenti

biology-online.org (2008). Tassonomia: definizione. Disponibile su http://www.biology-online.org/dictionary/Taxonomy

Daoud, E., A., Jebril, I., H., e Zaqaibeh, B. (2008). Strategie e metodi di rilevamento dei virus informatici. Rivista internazionale di problemi aperti in informatica e matematica. 1(2), 122-129. Scaricato il 4 settembre 2011 da http://www.ijopcm.org/files/IJOPCM(vol.1.2.3.S.8).pdf

Drupal.org (2005). Documentazione: vocabolari e termini. Disponibile da http://drupal.org/node/22272

Evans-Pughe, C. (2006). Difese naturali [sicurezza dei dati]. Ingegneria e tecnologia (17509637), 1 (6), 30-33. doi: 10.1049 / et: 20060603

Li, J. e Knickerbocker, P. (2007). Somiglianze funzionali tra vermi informatici e agenti patogeni biologici. Computer e sicurezza, 26(2007), 338-347. Estratto il 14 luglio 2011 da http://netsec.cs.uoregon.edu/research/papers/li07bio.pdf

Sicurezza e Internet. (2008). Osservatore OCSE, (268), 10-11.

Stallings, W. e Brown, L. (2008). Capitolo 7: Software dannoso. Principi e pratiche di sicurezza informatica. Upper Saddle River, NJ: Pearson Education, Inc.

Dipartimento del Commercio degli Stati Uniti (2011). Storia del codice tassonomico NODC. Disponibile da http://www.nodc.noaa.gov/General/CDR-detdesc/taxonomic-v8.html

Questo articolo è accurato e fedele al meglio delle conoscenze dell'autore. Il contenuto è solo a scopo informativo o di intrattenimento e non sostituisce consulenza personale o consulenza professionale in questioni aziendali, finanziarie, legali o tecniche.

Articolo Precedente

Un'introduzione alla rettifica delle antenne

Articolo Successivo

Cosa fare con i vecchi telefoni cellulari

Aspetto

Aspetto

La mia esperienza con AlphaSmart Dana Battery Hack
 Computer

La mia esperienza con AlphaSmart Dana Battery Hack

Quando non upporta le e igenze tecnologiche nel ettore K-12, Jeremiah ama il campeggio e pa are il tempo offline nei grandi pazi aperti.Tutto il merito di que to trucco intelligente va a Vance Fry, ch...
Come utilizzare l'Editor video online gratuito di YouTube
 Computer

Come utilizzare l'Editor video online gratuito di YouTube

Jonathan è un in egnante certificato che ha in egnato nel Regno Unito e negli tati Uniti. Ora lavora come con ulente per l'apprendimento digitale.Che ci crediate o no, l'editor video di Y...