Come rilevo un Trojan

Share

|

La rilevazione del Trojans è facile, se avete un modello statico di ricerca da esplorare per. il software del Anti-virus rileva ordinariamente (alcuni) usando di Trojans molto le stesse tecniche diricerca usate per la rilevazione dei virus. Tuttavia, l'identificazione di un Trojan conosciuto non è sempre la difesa migliore. La rilevazione di Trojans precedentemente sconosciuto è inoltre (concettualmente) semplice, se avete effettuato sempre le pratiche di sicurezza migliori (letteralmente sempre, almeno per quanto il sistema protetto).

La maggior parte dei metodi di rilevazione sui sistemi multiutenti tradizionali derivano da una riconciliazione a volte denominata dell'oggetto di principio. La riconciliazione dell'oggetto è un senso operato di chiedere, "sono ancora le cose giuste il senso I a sinistra loro?" Qui è come funziona: Gli oggetti sono zone del sistema, quali le lime o gli indici. La riconciliazione è il processo di confrontare quegli oggetti contro un'annotazione di fotografia istantanea degli stessi oggetti presi ad una certa data precedente in cui l'oggetto protetto è stato conosciuto per essere in un in maniera fidata, "pulita" dichiara.

Nota

In senso stretto, non ci è tali "pulito dichiara" il tempo. Anche "un'installazione zero di giorno" del software di sistema su un sistema vergine presuppone un suite di programma senza le sostituzioni ed i portelli posteriori. Potete disporre la fiducia illimitata in un sistema voi fate non la configurazione completamente da zero voi stessi? "nessuna quantità di verifica o di esame accurato del fonte-livello li proteggerà dal usando untrusted il codice," dice Ken Thompson nelle sue riflessioni sul fidarsi della fiducia. questa media che noi dovrebbe dare in su su questo metodo? Naturalmente non, ma dovremmo considerare che, anche se costruiamo un tion di applica dal codice sorgente controllato, non potremmo potere fidarsi del compilatore o di ogni snippet del microcodice dei fissaggi sulla cartolina base del sistema.

Più conunemente, il processo descritto come riconciliazione dell'oggetto è conosciuto come rilevazione del cambiamento, il controllo di integrità, o amministrazione di integrità. Tuttavia, questi termini non sono rigorosamente sinonimi.

La rilevazione del cambiamento descrive semplicemente tutta la tecnica che avverte l'utente al fatto che un oggetto è stato cambiato in un certo rispetto.

Il controllo di integrità ha lo stesso significato di nucleo, ma spesso è preso per implicare un metodo più specializzato, non soltanto a rilevare il cambiamento nonostante i tentativi di celarlo, ma di accertarsi che il software di segnalazione in se non subverted.

L'amministrazione di integrità è un termine più generale. Può includere non soltanto la rilevazione dei cambiamenti non autorizzati, ma altri metodi di effettuare l'integrità del sistema. Tali metodi possono includere alcuno o tutto il quanto segue, in nessun ordine particolare:

• Sostegni di fiducia effettuanti
• Ostruire le intrusioni sconosciute all'entrata (per esempio, allontanandosi le lime di sistema dai mezzi passivi o rinfrescando le lime di sistema dai mezzi passivi di fiducia)
• Mantenimento di controllo di accesso rigoroso
• Applicazione attenta delle zone del fornitore per ostruire le scappatoie recentemente scoperte
• Un sistema con precisione costruito dell'cambi-amministrazione, usando soltanto codice (di fiducia) firmato.

Un metodo semplice di verificare l'integrità della lima, è basato sui rapporti dei cambiamenti in lima dichiara le informazioni. Le prove differenti di integrità della lima variano nella sofisticazione. Per esempio, potete verificare crudamente l'integrità della lima usando c'è ne di seguenti indici:

• Last modified della data
• Data di creazione della lima
• Formato di lima

Purtroppo, nessun di questi tre metodi costituiscono una difesa realmente sufficiente contro più dell'attacco più grezzo. Ogni volta una lima è alterata, i relativi valori cambiano. Per esempio, ogni volta la lima è aperta, alterata ed è conservata, una nuova data ultimo-modificata emerge. Tuttavia, questa data può essere maneggiata facilmente. Studii la possibilità di maneggiare questo timestamp della lima. Quanto difficile è? Cambi il tempo del sistema, applichi voluto pubblica, archiviano la lima e ripristinano il tempo del sistema. Migliori ancora, ottenga e risparmi le informazioni di date/time usando le funzioni di libreria C Standard (per esempio), modificano o sostituiscono l'oggetto e ristabiliscono la data di modifica della lima. Su un sistema monoutente (come il MS-DOS) con di accesso nessun o minimi comandi, la codificazione in questione è insignificante. Per questo figlio di rea, controllare il periodo di modifica è un senso non fidato rilevare il cambiamento. Inoltre, l'ultima data di modifica non rivela niente se la lima fosse invariata (per esempio, se fosse copiato soltanto, osservato, o spedito). D'altra parte, se ci è una disparità fra la data di modifica restituita dal sistema e la data di modifica registrata da un sistema che controlla il programma di utilità, ci è una possibilità distinta di azione cattiva.

Un altro senso controllare l'integrità di una lima è esaminando il relativo formato. Tuttavia, questo valore può essere maneggiato molto facilmente, assettando o riempiendo la lima in se, o alterando il valore segnalato dal sistema operativo.

Ci sono altri indici. Per esempio, i totali di controllo di base hanno potuto essere usati. Tuttavia, anche se i totali di controllo sono più certi della timbratura di data e di tempo, possono essere alterati, anche. Se contate su un sistema di base di totale di controllo (o usi il software di rilevazione del cambiamento, che conta sul checksumming semplice), è particolarmente importante che mantenete la vostra lista di totale di controllo in un ambiente di fiducia. Ciò potrebbe significare su un assistente separato o persino un mezzo separato, accessibile soltanto dalla radice o da altra si è fidato degli utenti. I totali di controllo funzionano efficientemente e giustamente per il controllo dell'integrità di una lima trasferita, per esempio, da punto A indicare la B, ma non proviene adatto ad alte applicazioni di sicurezza. Non sono destinati semplicemente per difendersi da un tentativo cattivo di subvert per restituire le informazioni false.

Una tecnica meno facilmente subverted coinvolge calcolare un'impronta digitale digitale più specializzata per ogni lima usando le varie procedure. Una famiglia delle procedure denominate la serie di MD può essere usata a questo fine. Una delle esecuzioni più popolari è un sistema denominato MD5.

MD5

MD5 appartiene ad una famiglia delle funzioni unidirezionali del hash denominate procedure della raccolta del messaggio. Il sistema MD5 è definito in RFC 1321 come segue:

La procedura prende come input un messaggio della lunghezza arbitraria e produce come uscita un 128-bit "impronta digitale" o "raccolta del messaggio" dell'input. È congetturato che è informaticamente infeasible produrre due messaggi che hanno la stessa raccolta del messaggio, o produrre tutto il messaggio che ha una data raccolta stabilita prima del messaggio dell'obiettivo. La procedura MD5 è intesa per le applicazioni digitali della firma, dove una grande lima deve essere "appiattita" in un modo sicuro prima della cifratura con una chiave (segreta) riservata sotto un cryptosystem di pubblico-chiave quale RSA.

Quando fate funzionare una lima con MD5, l'impronta digitale emerge mentre un valore 32-character. Assomiglia a questa:

2d50b2bffb537cc4e637dd1f07a187f4

Molti luoghi che distribuiscono l'uso MD5 del software di UNIX generare le impronte digitali digitali per le loro distribuzioni. Poichè passate in rassegna i loro indici, potete esaminare l'impronta digitale digitale originale di ogni lima. Un elenco tipico dell'indice ha potuto assomigliare a questo:

MD5 (wn-1.17.8.tar.gz) = 
2f52aadd1defeda5bad91da8efc0f980

MD5 (wn-1.17.7.tar.gz) = 
b92916d83f377b143360f068df6d8116

MD5 (wn-1.17.6.tar.gz) = 
18d02b9f24a49dee239a78ecfaf9c6fa

MD5 (wn-1.17.5.tar.gz) = 
0cf8f8d0145bb7678abcc518f0cb39e9

MD5 (wn-1.17.4.tar.gz) = 
4afe7c522ebe0377269da0c7f26ef6b8

MD5 (wn-1.17.3.tar.gz) = 
aaf3c2b1c4eaa3ebb37e8227e3327856

MD5 (wn-1.17.2.tar.gz) = 
9b29eaa366d4f4dc6de6489e1e844fb9

MD5 (wn-1.17.1.tar.gz) = 
91759da54792f1cab743a034542107d0

MD5 (wn-1.17.0.tar.gz) = 
32f6eb7f69b4bdc64a163bf744923b41

Se trasferite una lima dal sistema centrale verso i satelliti da un tal assistente e trovate che l'impronta digitale digitale della lima trasferita è differente, ci è una buona probabilità che qualcosa è amiss.

Con o senza MD5, l'amministrazione di integrità è un processo complesso. I vari programmi di utilità sono stati destinati per aiutare all'amministrazione di integrità sui sistemi complessi e distribuiti. I seguenti programmi di utilità originalmente UNIX-SONO stati basati, ma i programmi simili sono disponibili per i sistemi operativi del Microsoft.

Tripwire

Tripwire (scritto in 1992) è un attrezzo completo di integrità della lima. Tripwire è progettato bene, facilmente è capito e facilmente è effettuato.

I valori originali (impronte digitali digitali) affinchè le lime siano controllati sono mantenuti all'interno di una lima di base di dati. Che la lima di base di dati nella disposizione semplice di ASCII è raggiunta ogni volta che una firma deve essere calcolata o verificata.

Nel migliore dei casi, un attrezzo quale Tripwire sarebbe utilizzato subito dopo (giorno zero) di un'installazione fresca. Ciò vi dà 100% l'assicurazione di integrità del sistema di lima come punto di partenza (o quasi 100%—ricordisi dell'articolo di Ken Thompson). Una volta che generate la base di dati completa per il vostro sistema di lima, potete introdurre altri utenti (chi immediatamente riempiranno il vostro sistema di roba di rifiuto che, facoltativamente, può anche fingerprinted e verificata sui controlli successivi). Qui sono alcune delle relative caratteristiche più utili:

• Tripwire può effettuare la relativa operazione sopra i collegamenti di rete. Di conseguenza, è possibile generare una base di dati delle impronte digitali digitali per alcune intere reti a tempo dell'installazione.
• Tripwire è stato scritto in C con una mente verso portabilità. Compilerà per molte piattaforme senza alterazione.
• Tripwire viene con una lingua d'elaborazione, di modo che le vostre mansioni possono essere automatizzate.

Tripwire è un attrezzo popolare ed efficace, ma ci sono alcuni problemi di sicurezza comuni la maggior parte o a tutti gli attrezzi di amministrazione di integrità. Un'tale edizione si riferisce alla base di dati dei valori che è generata ed effettuata. Dall'inizio, gli autori del Tripwire erano bene informati di questo:

La base di dati usata dall'ispettore di integrità dovrebbe essere protetta dalle modifiche non autorizzate; un intruso che può cambiare la base di dati può subvert l'intera integrità che controlla lo schema.

Un metodo di protezione della base di dati deve memorizzarlo sui mezzi passivi. Ciò elimina tutta la probabilità di alterazione. Kim e Spafford suggeriscono che la base di dati è protetta in questo modo, anche se precisano che questo potrebbe presentare alcuni problemi pratici e procedurali. Molto dipende da ogni quanto tempo la base di dati sarà aggiornata ed il relativo formato. Certamente, se state effettuando Tripwire o un programma di utilità simile su una scala larga (e stanno usando le relative regolazioni più rigorose), il mantenimento di una base di dati passiva potrebbe essere arduo. Come di consueto, questo analizza ad un'alternanza fra il livello del rischio e l'inconveniente di regolazione e di effettuare dei difetti paranoid.

TAMU

Il suite della tigre di TAMU (dall'università del Texas A&M) è una collezione di attrezzi che notevolmente hance dell'en la sicurezza di una scatola di UNIX. Questi attrezzi sono stati generati in-house, in risposta ad un vasto attacco da un gruppo coordinato dei cracker del Internet. Il pacchetto è stato aggiornato e cambiato titolo CESALPINA (assistente di ricerca analitico della tigre). Comprende un certo numero di scritti usati per esplorare i sistemi di UNIX per i problemi.

Hobgoblin

Hobgoblin è un'esecuzione interessante di controllo di sistema-integrità e della lima. È sia una lingua che un interpretatore. La lingua, secondo gli autori, descrive le proprietà di un insieme delle lime ed i controlli dell'interpretatore se la descrizione abbina le lime reali ed inbandiera tutte le eccezioni.

Su Altre Piattaforme

Gli ispettori di integrità della lima esistono per Windows, (in effetti ci è un'esecuzione di Tripwire per Windows NT). Gli ispettori di integrità necessariamente espressamente non sono destinati per controllare le macchine multiple e le reti eccessive dei sistemi di lima. Alcuni più vecchi attrezzi di Windows e del DOS usano il CRC semplice che checksumming come un indice e quindi potrebbe essere più facile da subvert che gli attrezzi che impiegano MD5 e le procedure relative. La maggioranza è intesa per uso come supplemento ai dispositivi d'esplorazione del virus (poiché i cambiamenti rilevabili ad un oggetto infectable potrebbero indicare l'infezione del virus). Ciò non invalida l'utilità potenziale degli ispettori di integrità poichè mezzi di rilevazione delle sostituzioni possibili del codice compromesso per le lime di sistema.

Tuttavia, la rilevazione del cambiamento è meno conveniente sulle piattaforme di Windows in quanto le lime di sistema raggiunte dalle applicazioni multiple possono essere sostituite dalle installazioni e dagli aggiornamenti legittimi. Ci è spesso una delineazione più marcata su altre piattaforme fra le lime che appartengono al sistema e le lime che appartengono ad un'applicazione.

Ancora, la rilevazione del cambiamento funziona soltanto bene con determinati tipi di executables binari, anche nel contesto di rilevazione del virus. Molti virus e Trojans infettano le lime di cui lo scopo principale è contenere i dati (fogli elettronici, lime elaborate a parole ed e così via). Tuttavia, tali lime sono intese solitamente per essere modificate, come sono le lime di ceppo usate su molti sistemi multiutenti per rintracciare l'azione cattiva possibile. Chiaramente, la rilevazione del cambiamento basata sulla presunzione che le lime rimangono statiche non sta andando funzionare in questi casi. In alcuni casi, è possibile specificare i cambiamenti che potrebbero indicare una frattura (l'aggiunta del codice a macroistruzione ad una lima di parola, per esempio). Questo metodo richiede che il software di controllo "conosce" più circa i internals della lima, piuttosto che appena la relativa impronta digitale digitale. Quello richiederebbe le difficoltà amministrative gravi, in modo da il metodo non è buono favorito attualmente.

La difesa più sicuro, benchè, debba ostruire la modifica non autorizzata delle lime di sistema proactively dalla sign di codice, dai mezzi passivi e da altre misure preventive.