Astazi va prezentam o solutie sigura pentru activitatile de browsing, de la consultantii in materie de securitate informationala, Pentest.es
Solutia numita InmunOS este oferita gratuit, sub licenta GPL, tuturor utilizatorilor ce doresc o experienta web “la zi” in conditii de securitate deplina. In esenta, InmunOS reprezinta un pachet compus din solutia de virtualizare VMWare Player, distribuita gratuit de VMWare si o distributie Linux, Knoppix, cu browser-ul Firefox 2.0 preinstalat. Instalarea InmunOS este un proces simplu ce implica descarcarea si rularea unui fisier de tip Microsoft Installer (.msi). Procesul de instalare va copia atat imaginea masinii virtuale Knoppix cat si cea mai noua versiune VMWare Player, iar utilizatorul va trebui doar sa aleaga sistemul de operare gazda de pe care ruleaza InmunOS. Deocamdata, platforma de distribuitie a fost testata doar pe sistemele Windows XP si Windows Vista.Pachetul de instalare are 145 MBytes iar procesul de instalare dureaza in jur de 10 minute.

Trasaturile ce fac din aceasta distributie un mediu foarte sigur pentru browsing sunt:
+Ruleaza in masina virtuala, via VMWare Player deci compromiterea sistemului gazda este improbabila;
+Ruleaza doar in memoria RAM a sistemului, nu copiaza niciun fisier pe discurile locale;
+Beneficiaza de protectie la nivel de Kernel al OS-ului impotriva bug-urilor si expl0it-urilor ce ar putea duce la coruperea memoriei;
+Are implementat la nivel de kernel un model de acces al utilizatorilor la resurse bazat pe roluri.

InmunOS ruland in VMWare Player

Recomandam aceasta solutie utilizatorilor ce doresc sa acceseze continut din internet intr-un mediu foarte sigur, cu sanse minime de a compromite sistemul de operare gazda, prin virusi, troieni sau alt fel de malware!

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: anti-spyware, anti-virus, securitate linux, securitate windows, tutoriale securitate

HijackThis, cunoscut si ca HJT, este o aplicatie freeware de tip spyware-removal tool oferita gratuit de TrendMicro.
Unealta ruleaza pe sisteme de operare Microsoft Windows XP si mai noi.

Utilitatea acestei aplicatii de securitate a fost recunoscuta de-a lungul timpului de catre utilizatorii si dezvoltatorii ei deoarece este printre putinele aplicatii de tip spyware-removal ce foloseste un mecanism de detectie de tip heuristic. O aplicatie de inlaturare spyware / Spyware-removal ‘clasica’ va detecta amenintarile din calculatorul scanat printr-un proces de comparare permanenta a unor portiuni din fisierele de pe sistem, a memoriei RAM precum si a registrilor Windows cu o baza de date de semnaturi specifice spyware-ului. Aceasta metoda, desi eficienta, are o serie de dezavantaje fata de metoda HijackThis:
-procesul de scanare este consumator de timp;
-o baza de date neactuala nu va proteja impotriva celor mai noi amenintari;
-”industria” spyware genereaza un numar impresionant de noi metode de atac in intervaluri de timp foarte scurte.

HijackThis, pe de alta parte, foloseste o metoda heuristica pentru detectia spyware-ului: Aplicatia va genera foarte rapid o lista extinsa ce va contine toate serviciile, procesele, aplicatiile si plug-in-urile unor aplicatii ce ruleaza pe sistem la momentul scanarii. Aceasta lista va fi comparata cu o lista de referinta a unui sistem de operare cunoscut ca si “curat”. Acesta ultima lista insoteste aplicatia HijackThis, este stocata criptat, fara drepturi de scriere.

HijackThis va analiza, in ordine:

-Registrii Windows, unde va cauta orice modificari fata de baseline-ul “sigur”
-Fisierele de tip autoloading (.ini) unde va marca orice aplicatie ce porneste automat odata cu sistemul
-Fisierele de configurare pentru cele mai utilizate Web Browsere: Internet Explorer/Mozila Firefox/Opera, unde va cauta modificari ale paginilor de start implicite, ale plugin-urilor incarcate de browser la start-up etc.
-Alte locatii din Registrii Windows pentru a descoperi orice modificare, adaugare sau stergere de obiecte de tip BHO (Browser Helper Object), DPF (Downloaded Program Files), Toolbars, Dialers etc.

In urma verificarilor, aplicatia va genera un fisier log ce evidentiaza toate modificarile sau adaugirile din categoriile mentionate anterior. Acest log va fi analizat de utilizator pentru a decide care dintre elementele descoperite constituie posibile amenintari de tip spyware. HijackThis este o unealta deosebit de puternica pentru analizarea exhaustiva a starii de sanatate a sistemului de operare, insa, poate fi dificil de utilizat pentru utilizatorii ce nu sunt familiarizati cu notiunile de securitate IT.

In continuare vom analiza un Log HijackThis, explicand fiecare dintre elementele descoperite de aplicatie precum si masurile luate pentru eliminarea amenintarilor.

Log-ul generat de aplicatie prezinta o lista a tuturor nonconformitatilor descoperite in sistem, insa, pentru utilizatorul obisnuit, exprimarea poate parea criptica. HJT utilizeaza o codificare pentru a indica resursa in care a fost descoperita nonconformitatea, dupa cum urmeaza:

Rx – Problema descoperita la nivel de registrii (modificare, creeare sau stergerea unei chei de registrii)
Fx – Fisiere de configurare ale sistemului de operare ce au fost modificate
Nx – Modificari in configurarea implicita a browserelor Web si a plug-in-urilor acestora
Oxx - Alte modificari ale sistemului de operare cum ar fi: modificari ale fisierelor de configurare pentru anumite servicii Windows, instalarea de programe de tip dialer, adaugarea de tool-bar-uri si butoane in diverse aplicatii etc.

Cum interpretam rezultatele log-ului si care sunt actiunile corective?

In screenshot-ul alaturat putem observa cateva nonconformitati descoperite la nivel de registrii Windows (cod R0 si R1). Apasand butonul marcat cu albastru un screenshot, “Info on Selected Items” putem analiza problema descoperita.

La o prima vedere, in cazul primei chei “R1 – HKCU\Software\Microsoft\Internet Explorer\Main,SearchBar=http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9…” putem considera ca este vorba despre un agent spyware raportat prin HijackThis.  Apeland la butonul “Info on Selected Items” observam, defapt, ca este vorba despre intrarea in registrii corespondenta Search-Bar-ului Yahoo ce vine instalat odata cu clientul Messenger. Stergerea acestei chei, prin selectare si apasare pe butonul marcat cu rosu, “Fix Checked” duce la eliminarea barei de cautare Yahoo ce apare in Internet Explorer.

Repetand pasii pentru fiecare dintre erorile semnalate de HijackThis putem distinge foarte usor intre amenintari reale de tip spyware si rezultate de tip “Fals-Pozitiv” care alerteaza asupra unor aplicatii legitime, instalate chiar cu stiinta utilizatorului, cum este cazul de mai sus.
In continuarea listei putem apela la acelasi algoritm de analiza pentru a verifica nonconformitatile codate Fx, Nx si Oxx. In cazul celor din urma, HijackThis va afisa o lista cuprinzatoare a tuturor aplicatiilor si serviciilor de sistem ce pornesc odata cu Windows-ul. Este foarte important de stiut cum ca o mare parte dintre agentii spyware sunt incarcati odata cu sistemul de operare, fie prin intermediul unui program ce este lansat la pornire “Auto Run” sau prin intermediul unui Serviciu nelegitim marcat ca fiind unul util.

Efectuati un scurt inventar al aplicatiilor utile ce pornesc odata cu calculatorul dumneavoastra. Notati denumirea fisierelor executabile prin care acestea sunt lansate. Din lista afisata de HijackThis, sectiunea Others – Oxx, stergeti orice intrare ce nu corespunde inventarului dumneavoastra, din ramurile StartUp si RunAtStartup.
Va recomandam, deasemenea, sa consultati Knowledge Base-ul Online al Microsoft pentru a va documenta asupra serviciilor esentiale pentru incarcarea sistemului de operare Windows, eliminand, astfel, toate serviciile nelegitime incarcate la pornire de agenti spyware, virus etc.

Regula de baza in lucrul cu HijackThis este: “Verifica de 3 ori si sterge o singura data” deoarece fiecare dintre modificarile posibile pot afecta stabilitatea sau chiar functionarea sistemului de operare! Asadar, utilizati aceasta unealta deosebit de puternica cu un grad sporit de atentie!

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: analiza vulnerabilitati, anti-spyware, anti-virus, hijackthis, securitate windows, sisteme de securitate, tutoriale securitate