26 setembro 2013
ZETA Shield – O escudo que protege seu computador
Bem vindos de volta pessoal!
O que mais de novo e interessante pode ser encontrado sob o capô do KIS 2014? Hoje a estrela convidada é a tecnologia ZETA Shield.
Essa ferramenta poderia ser mais bem descrita como um microscópio de alta tecnologia para a detecção e eliminação dos mais astutos malware, que se esconde nas entranhas dos arquivos mais complicados. Em suma, esta é a nossa tecnologia de defesa exclusiva contra ameaças futuras.
Para entender melhor o conceito, vamos tomar um conjunto de tradicionais bonecas russas.
Abra uma e você encontra outra dentro, depois outra, e assim por diante. E em termos de onde programas problemáticos podem se esconder, é uma boa analogia. O malware faz o possível para incorporar -se em seus arredores, e até mesmo usa ‘cirurgia plástica’ digital para mudar sua aparência e se esconder de programas antivírus. Ele entra em arquivos, crypto-contêineres, arquivos de multimídia, documentos do Office, scripts, etc – as possibilidades são infinitas. A tarefa do programa antivírus é mergulhar na essência real de todos esses diferentes objetos, sondar o interior, e extrair o malware.
Então é isso? Bem… não é tão simples.
Os programas antivírus têm sido capazes de desmontar arquivos complexos. Por exemplo, desde o início da década de 90 outras empresas têm licenciado nosso motor antivírus devido a sua capacidade de descompactar arquivos compactados. Mas isso é apenas metade do trabalho. Você precisa de um instrumento que é inteligente o suficiente para não só desmontar arquivos complicados, mas também analisar essas “bonecas russas”, entender quem está fazendo o que lá, construir conexões entre diferentes eventos, e, finalmente, diagnosticar. E importante: fazer isso de forma proativa – sem assinaturas e atualizações. É um pouco como o trabalho de detetive que investiga possíveis armas binárias. Elas são feitas de componentes individuais que sozinhos são inofensivos, mas juntos criam algo mortal.
Aí que entra o ZETA Shield.
E bem na hora também, pois o número e a perversidade dos ataques direcionados e 0-day estão em alta. Estas são as coisas contra as quais o ZETA foi projetado para lidar (Zeta= 0-day Exploits e Ataques Direcionados).
O ZETA Shield é outro recurso do KIS 2014 que trouxemos de nossos produtos corporativos pesados - além do Aplicações Confiáveis. O ZETA também apareceu pela primeira vez em nossas soluções corporativas, onde provou seu valor, e agora foi adaptado para produtos pessoais. Até onde sei, é a primeira utilização mundial de tal tecnologia em produtos pessoais.
O trabalho do ZETA pode ser dividido em duas fases.
Primeiro vem a parte mecânica -o alvo precisa ser fatiado. Por exemplo, um documento do Word pode conter itens incorporados – outros arquivos, dados flash, outros documentos, até mesmo um sistema operacional ou uma coleção de vírus! Nossa tarefa é identificar a natureza de todos esses itens (e como gostam de se disfarçar!) e classificá-los.
Então fica mais interessante…O analisador heurístico entra em ação – ponderando os conteúdos, as camadas, e as relações entre todos esses itens, avaliando sua semelhança com modelos de ameaças detectadas anteriormente, a detecção de anomalias, e toma uma decisão sobre o quão perigoso um determinado arquivo é.
Essa decisão é em conjunto com a nossa rede de segurança cloud KSN, que dá as estatísticas de sintomas suspeitos semelhantes em PCs de outros usuários. Via KSN vemos a distribuição e escala geográfica das ameaças, podemos identificar anomalias típicas de um ataque direcionado, e ganhar um monte de outras informações úteis para nos ajudar a proteger os usuários no futuro.
Tomemos o exemplo de um ataque direcionado em março: as vítimas selecionadas receberam documentos RTF com títulos tentadores, como ‘Resultados financeiros para os primeiros nove meses de 2012’, supostamente da Rubin Submarine Manufacturing Company (sim, este tipo de engenharia social ainda funciona). O documento trazia escondidos tanto um exploit quanto um malware, mas – e aqui está o problema- o antivírus que estavam usando não os detectou. O ZETA Shield, por outro lado, alertou na hora!
Uma característica desta tecnologia no ambiente corporativo é a capacidade de ‘desmontar’ não apenas arquivos individuais, mas também fluxos de dados. No final do dia, cada arquivo é parte de um quadro maior, e é por olhar para esta imagem ampla (de todos os componentes da arma binária) que é possível ver as relações mais complexas e tomar decisões melhores.
Infelizmente, no KIS 2014 o ZETA teve de ser prejudicado um pouco em interesse da produtividade: A versão doméstica só funciona com arquivos e somente em modo de demanda. No entanto, com a higiene adequada do sistema (ou seja, verificação regular do computador com a potência máxima), é uma barreira importante na defesa.
Por exemplo, gerentes seniores podem ser alvos no trabalho ou em casa, em seus computadores pessoais. Em casa, eles infelizmente não tem proteção no nível do servidor corporativo. E é aí que Shield entra, trabalhando juntamente com Aplicações Confiáveis e Prevenção Automática contra Exploit para filtrar com precisão os ataques que usam diversas vulnerabilidades.
Questões lógicas aqui seriam: por que colocar esta tecnologia de servidor em um produto pessoal, e (ii) quem mandaria um ataque direcionado a um computador doméstico (ou a uma pequena empresa) ?
Primeiro de tudo, um ponto importante:
Há uma visão comum de que os ataques direcionados estão sempre destinada a governos, organizações de defesa, instalações de infra-estrutura crítica ou políticos, enquanto que, se voltado para empresas comerciais – pelo menos aquelas do tamanho da Microsoft. Além disso, muitas vezes a complexidade incompreensível de tais ataques é digna de…Hollywood.
Não. E não.
A razão para o primeiro equívoco pode ser explicado pelo fato de que a maior parte da mídia só fala dos ataques importantes. E a razão para o segundo equívoco vem de uma abundância de termos técnicos incompreensíveis ou, pelo contrário, a falta de informação.
Há um pensamento como: “atacaram um ministério, eles contratam os melhores profissionais de segurança e têm boas defesas , o que significa que ataques direcionados devem precisar de alguns gênios para serem realizados.”
Mas, na realidade quase qualquer usuário ou organização pode se tornar uma vítima de um ataque direcionado, como demonstrado pelas palhaçadas do grupo de hackers Winnti ou pelo fato de que o spyware comercial FinSpy existe. E não se esqueça de que as ameaças de computador são, por vezes, quase tão controláveis como a gripe – um ataque direcionado pode sair do controle e acertar um monte de pessoas inocentes.
Sim, existem complicadas ciberoperações (como Stuxnet e Flame). Mas a grande maioria é feita com métodos conhecidos, com uma pitada de engenharia social. E isso está realmente se tornando mais fácil e mais barato. Com mil dólares, você pode comprar kits de exploits e colocá-los juntos, montando seu próprio kit criminoso.
Finalmente chegamos a principal razão para a inclusão de tecnologia de servidor inteligente e proteção multinível em produtos pessoais.
Qualquer invenção, incluindo um malware, tem um ciclo de vida. Mais cedo ou mais tarde, um amplo espectro de cibercriminosos vão encontrar uma maneira de aplicar mesmo o mais complicado dos ataques que antes eram reservados aos melhores profissionais (sim, a comercialização de ataques direcionados). Mas estamos prontos para isso: o KIS pode resistir a agressões graves dos malwares do futuro.
Em resumo: Estamos prontos para o que o futuro trará. E agora você também. 😉