O "Content-Agnostic Malware Protection system" (também chamado de CAMP), foi descrito em uma pesquisa apresentada em fevereiro (.pdf) no Simpósio de Segurança Distributed System. O sistema para o navegador Chrome é destinado a suprir as deficiências inerentes de usar listas brancas e listas negras como uma defesa contra binários maliciosos.
"Na prática, essas abordagens continuam a oferecer valor para binários populares em ambos os extremos da malícia - o atual surto de malware, os binários benignos entregues com um OS - mas fazer a ponte entre whitelist e detecção de malware da Web com o uso de lista negra continua a ser um desafio significativo", de acordo com o trabalho de pesquisa de Moheeb Abu Rajab, Lucas Ballard, Lutz Noe, Panayiotis Mavrommatis e Niels Provos.
Os pesquisadores afirmam que em 70% do tempo o CAMP pode detectar downloads maliciosos no computador, com o restante do tempo voltado para uma análise mais profunda em um servidor do Google. Manter a análise tanto quanto possível no cliente é importante para proteger a privacidade do utilizador.
Quando os sistemas de antivírus baseados em nuvem são utilizados, os binários normalmente são enviados para a nuvem para exame, resultando em uma perda muito maior de privacidade, disse o Google. "Enquanto o CAMP também leva a detecção de malware para a nuvem, ele reduz o impacto sobre a privacidade, empregando listas brancas para que a maioria das URLs de download fique dentro do navegador e não precisem ser enviadas para um terceiro", diz o documento. "Cargas (payloads) binárias nunca deixam o navegador."
O CAMP
O uso do navegador em vez de um servidor remoto para algumas tarefas é uma diferença fundamental entre o CAMP e tecnologia SmartScreen da Microsoft. O segundo é usado no Internet Explorer para proteger contra downloads e links maliciosos.
Em termos de taxas de detecção, os principais antivírus detectam entre 35% e 70% de malware binários, enquanto a taxa de sucesso do CAMP é de 98,6%, segundo o estudo.
Durante o período de avaliação de seis meses, o Google testou o CAMP em computadores Windows de 200 milhões de usuários, e identificou cerca de 5 milhões de downloads maliciosos por mês.
O sistema primeiramente compara o download contra uma lista branca de conhecidos executáveis benignos e uma lista negra de malwares conhecidos. A lista negra também envolve a comunicação com o servidor do Safe Browsing do Google.
Se uma determinação clara não pode ser feita usando as listas, então o CAMP começa a análise com as características que o navegador coletou do binário. Isso inclui a URL de transferência final e o endereço IP do servidor que hospeda o download, bem como o tamanho do binário, hashes e certificados associados.
O navegador também registra a URL que refere o usuário do computador ao download. Isto é importante, porque o endereço pode ser examinado para determinar se é parte de uma cadeia de redirecionamentos de URL configurada para esconder o original. Várias referências são um bom indicador de malware.
Uma vez que toda a informação é coletada, ela é enviada aos servidores do Google, que analisam os dados e decidem se o binário é benigno, malicioso ou desconhecido. A decisão é passada para o navegador, que fornece uma notificação para o usuário.
Única falha
No entanto, Lance James, cientista-chefe do fornecedor do aplicativo de segurança Vigilant, disse que, como um sistema de segurança global, o CAMP peca em não pegar malwares que exploram vulnerabilidades no navegador.
Tal malware muitas vezes invade um computador por e-mail, sendo os destinatários convencidos a clicar em um anexo que entrega o código malicioso.
"[O CAMP] pode ser capaz de ver 99% do malware baixado por meio do navegador, mas não vai identificar 99% de malware que nunca é visto pelo navegador", disse James. "Há um grande ponto cego e isso é um problema."
(IDGNOW)
0 Comentários
Olá, agradecemos sua visita. Abraço.