Białe listy kontra czarne listy

Jak pewnie wiecie, ochrona przed szkodliwym oprogramowaniem opiera się na sygnaturach. Jednak wykrywanie szkodliwego oprogramowania to tylko jedno z zadań antywirusa. Ktoś mógłby powiedzieć, że wykrywanie na podstawie sygnatur –

Jak pewnie wiecie, ochrona przed szkodliwym oprogramowaniem opiera się na sygnaturach. Jednak wykrywanie szkodliwego oprogramowania to tylko jedno z zadań antywirusa. Ktoś mógłby powiedzieć, że wykrywanie na podstawie sygnatur – czyli przy wykorzystaniu czarnej listy – to jego mniej ważna strona. Ale zamiast polityki blokowania szkodliwego oprogramowania, można także użyć białych list, na których znajduje się domyślnie dozwolone nieszkodliwe oprogramowanie.

Co to są czarne listy?

Pozwólcie, że wyjaśnię to przez pryzmat technologii Kaspersky Lab – Kaspersky Security Network (KSN). Gdy użytkownik instaluje jakiś produkt Kaspersky Lab, ma możliwość przystąpienia do KSN-u. Każdy sam powinien zdecydować o swoim udziale w tej usłudze, czyli zwyczajnie wybrać, czy chce stać się częścią rozproszonej infrastruktury, której zadaniem jest przetwarzanie informacji związanych z cyberbezpieczeństwem. Gdy użytkownik z Indii, który zgodził się na uczestnictwo w KSN-ie, zostanie zainfekowany nowym rodzajem szkodliwego oprogramowania, Kaspersky Lab utworzy sygnaturę potrzebną do wykrywania tego programu, a następnie doda  do swojej bazy, aby ochronić pozostałych użytkowników produktów Kaspersky Lab.

Tak można pokrótce opisać działanie czarnych list. Tworzymy spis rzeczy, które są szkodliwe, i trzymamy je z dala Twojego komputera. Wszystko byłoby świetnie, gdyby skuteczność sięgała 99,9% przy 10 000 nowych szkodliwych rodzin oprogramowania pojawiających się każdego roku. Lecz gdy rocznie pojawia się 10 000 000 nowych rodzin szkodliwego oprogramowania, to skuteczność na poziomie 99,9% nie jest wystarczająca.

Co to są białe listy?

Aby wyjaśnić, jak działają białe listy, znowu posłużę się technologią Kaspersky Lab oraz technologią wykorzystywaną w branży. Można je porównać do pewnego rodzaju „odmowy domyślnej”, gdzie produkt bezpieczeństwa domyślnie blokuje wszystkie aplikacje i oprogramowanie, chyba że zostały one wskazane przez użytkownika jako dozwolone. Inaczej mówiąc, biała lista zawiera domyślnie dozwolone aplikacje.

Białe listy są najczęściej używane w środowisku korporacyjnym, gdzie dział IT może mieć większą kontrolę nad tym, czego użytkownik chce lub potrzebuje w danym momencie. Stosunkowo łatwo można stwierdzić, które aplikacje są konieczne do pracy, a całą resztę można zignorować. Co więcej, w środowisku biznesowym lista dozwolonych aplikacji jest dość statyczna w czasie. Jeśli chodzi zaś o konsumentów, trudno wiedzieć dokładnie, czego dany użytkownik potrzebuje lub chce.

Odmowa domyślna przy wykorzystaniu zaufanych aplikacji

Badacze z Kaspersky Lab wymyślili, jak zastosować technologię odmowy domyślnej w produktach dla użytkowników domowych: do tego celu można użyć technologii o nazwie „Zaufane aplikacje”. Zasadniczo zaufane aplikacje reprezentują białą listę aplikacji, która jest dynamicznie aktualizowana poprzez porównywanie odpowiednich kryteriów zaufania do danych otrzymanych z usługi KSN.

Innymi słowy, nasza dynamiczna biała lista to obszerna i ciągle uaktualniana baza wiedzy o istniejących aplikacjach. Baza ta zawiera informacje o miliardzie unikatowych plików i obejmuje zdecydowaną większość popularnych aplikacji, np. pakiety biurowe, przeglądarki, przeglądarki graficzne oraz prawie wszystko, co można sobie wyobrazić.

Zaufane aplikacje reprezentują białą listę aplikacji, która jest dynamicznie aktualizowana poprzez porównywanie odpowiednich kryteriów zaufania do danych otrzymanych z usługi KSN.

Dzięki współpracy prawie 450 partnerów – głównych dostawców oprogramowania, pojawienie się fałszywych powiadomień jest zminimalizowane, ponieważ zawartość każdej aktualizacji jest znana przed jej pojawieniem się.

Łańcuch zaufania

A co z aplikacjami, o których nic nie wiemy? Pewne aplikacje i procesy rodzą nowe aplikacje, dlatego niemożliwe jest, aby nasza biała lista posiadała informacje na temat pracy wszystkich programów. Na przykład: w celu pobrania aktualizacji program może musieć uruchomić specjalny moduł, który połączy się z serwerem dostawcy oprogramowania i pobierze nową wersję. Wówczas moduł aktualizacji będzie nową aplikacją utworzoną przez oryginalny program, więc biała lista może nie zawierać o niej żadnych informacji. Jednak od momentu utworzenia tej aplikacji i jej uruchomienia przez zaufany program jest ona uważana za zaufaną. Mechanizm ten nazywany jest „łańcuchem zaufania”.

Podobnie jest w sytuacji, gdy automatycznie zostaje pobrana nowa aktualizacja, która różni się od starszej aplikacja na tyle, że biała lista jej nie rozpoznaje. Wówczas może ona zostać zatwierdzona przez środki wtórne, takie jak weryfikowanie podpisu cyfrowego lub certyfikatu. Trzecia metoda bezpieczeństwa wkracza do akcji, gdy aplikacja niespodziewanie zmienia się oraz nie jest podpisana. Łańcuch zaufania może wtedy porównać domenę pobierania z listą zaufanych domen, które należą do dobrze znanych dostawców oprogramowania. Jeśli domena jest zaufana, za taką jest też uznawana nowa aplikacja. Jeśli domena kiedykolwiek będzie użyta do dystrybucji szkodliwego oprogramowania, zostanie usunięta z łańcucha zaufania.

Ostatnie, ale niemniej ważne

Jak dobrze wiesz, atakujący interesują się wszystkim, co jest ostatnim ogniwem ochrony. Po części dlatego, że często lubią wyszukiwać luki w popularnych programach i wykorzystywać je do obejścia opisanych powyżej zabezpieczeń, a wykorzystują do tego szkodliwe działania pochodzące od zaufanych programów.

Aby rozwiązać tę sytuację, nasi badacze zaprojektowali system znany jako „korytarz bezpieczeństwa”. Uzupełnia on nasze dynamiczne białe listy, upewniając się, że zaaprobowane oprogramowanie i aplikacje wykonują tylko takie akcje, które mają wykonywać.

whitelisting-1

„Na przykład, działanie przeglądarki polega na wyświetlaniu stron internetowych i pobieraniu plików” – wyjaśnił Andrey Ladikov z działu zajmującego się badaniem białych list i infrastruktury chmury w Kaspersky Lab. „Akcje takie jak zamiana systemu plików lub sektorów dysku są tak naprawdę obce przeglądarce. Edytor tekstowy ma za zadanie otwierać i zapisywać dokumenty tekstowe na dysku, a nie zapisywać nowe aplikacje na dysku i uruchamiać je”. Analogicznie, jeśli Twoja ulubiona aplikacja do rysowania uruchamia się wraz z mikrofonem, zostanie oflagowana.

Czyje komputery są bezpieczne?

Technologia dynamicznych białych list nie jest dostępna dla każdego, jednak mogą z niej korzystać wszyscy użytkownicy produktów Kaspersky Internet Security – multi-device i Kaspersky PURE.

Dodatkowe informacje

Nasi badacze wyjaśnili w bardziej techniczny sposób, jak działają białe listy. Jeśli chcesz uzyskać bardziej specjalistyczną wiedzę, zapraszamy do oglądania.

Porady