BLADE na ataki

[KopalniaWiedzy.pl 357]

Na Georgia Institute of Technology powstało oprogramowanie BLADE, które chroni przed infekcjami dokonywanymi za pomocą coraz popularniejszej techniki "drive-by downloads". Technika ta, ogólnie mówiąc, polega na wgraniu na komputer ofiary, bez jej wiedzy i zgody, szkodliwego oprogramowania. W sieci istnieją setki tysięcy witryn, które działają w taki sposób. Bardzo często są to zaufane witryny, które same wcześniej padły ofiarą cyberprzestępców.

BLADE (Block All Drive-By Download Exploits) jest oprogramowaniem niezależnym od przeglądarki i zużywającym niewiele zasobów komputera. Jego twórcami są Wenke Lee i Long Lu z Georgia Tech oraz Philip Porras i Vinod Yeneswaran z SRI International. Prace nad BLADE sfinansowały amerykańska Narodowa Fundacja Nauki, Biuro Badań Armii Amerykańskiej oraz Amerykańskie Biuro Badań Morskich, które koordynuje prace naukowe Marynarki Wojennej i Korpusu Marines.

BLADE to skuteczny środek zwalczania wszelkich typów ataków drive-by downloads, ponieważ działa niezależnie od wykorzystywanych przez nie luk w oprogramowaniu - mówi jego twórcy. Przetestowali oni BLADE w różnych konfiguracjach programowych i sprzętowych, zarówno na komputerach z zainstalowanym Firefoksem jak i Internet Explorerem. BLADE zablokował wszystkie ataki z ponad 1900 testowanych witryn serwujących szkodliwe oprogramowanie. Nie wywołał przy tym żadnego fałszywego alarmu. Działanie programu porównano ze skutecznością najpopularniejszych programów antywirusowych. Okazało się, że są one w stanie średnio zablokować mniej niż 30% ataków.

BLADE monitoruje i analizuje wszystko, co jest pobierane na twardy dysk i sprawdza, czy użytkownik wydał zgodę na otwarcie, uruchomienie bądź przechowywanie pliku. Jeśli test wypadnie negatywnie, BLADE blokuje dany plik i usuwa go z dysku twardego - wyjaśnia Lee.

Jako, że ataki drive-by downloads najczęściej pomijają etap wyświetlania przez przeglądarkę alertu i zapytania użytkownika, czy życzy sobie pobrania lub uruchomienia danego pliku, BLADE sprawdza w jaki sposób użytkownik współpracuje z pobieranymi plikami. Oprogramowanie przechwytuje wszystkie okienka dialogowe dotyczące zgody na pobranie lub uruchomienie pliku, analizuje je i sprawdza, jak użytkownik zareagował na ich pojawienie się. Ponadto wszystkie pliki przechowywane są w zabezpieczonej strefie na dysku twardym tak, by BLADE miało do nich łatwy dostęp i mogło zablokować pliki w razie potrzeby. Zastosowano też zabezpieczenia, które uniemożliwiają wgranie pliku poza zabezpieczoną strefę. Użytkownik BLADE ma też możliwość stworzenia "białej listy" zaufanych witryn, z których pliki nie są przez sprawdzane.

Testy BLADE wykazały przy okazji, że najczęstszym celem ataków drive-by downloads są Adobe Reader, Adobe Flash oraz Java. Ponadto maszyny z IE6 są częściej infekowane niż komputery z IE7 lub IE8, a Firefox 3 rzadziej pada ofiarą ataków niż wszystkie wersje Internet Explorera.

Twórcy BLADE zauważają jednak, że program nie jest odporny na techniki inżynierii społecznej i wciąż człowiek pozostaje najsłabszym elementem systemów bezpieczeństwa.

BLADE wymaga, by przeglądarka była skonfigurowana w taki sposób, żeby do pobrania wykonywalnego pliku konieczna była zgoda użytkownika. Jeśli opcja taka zostanie wyłączona, BLADE nie będzie w stanie chronić komputera - mówi Lee.

[Tolo 18]

Coś czuje ze pomysł polega na "podpięciu" się pod okno potwierdzenia download jako identyfikator zagrożenia  i zapis do czegoś na kształt kwarantanny.

 

Tylko ze podobne zabezpieczenie daje kontrola pobierania w locie albo kontrola zapisu w locie.

Jak się zablokuje zapis czegokolwiek to ataku drive by download nie będzie.