Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Wothanaz

Revisão sobre TruPrevent Personal 2006

Recommended Posts

Saudações Colegas,

Resolvi escrever um artigo avaliativo sobre um aplicativo que me chamou atenção. Espero que esse formato(de artigo) sirva para apresentar ao conhecimento dos que não nunca tiveram contato com tal aplicativo e para comprar opiniões dos que já conhecem-no.

Gerenciadores de redes de computadores sempre tiveram\têm tarefas administrativas/de manutenção relacionadas a Malwares (termo técnico utilizado para enquadrar várias categorias de software “mal intencionados”, como virus, worms, trojans horses, root kits e back doors e bots e zombies). No entanto, a magnitude( seja tamanho, seja potencial de conectividade) das redes de computadores evoluiu espantosamente na última década e o ocorrido é aproveitado de maneira nova por autores de códigos “mal intencionados” quando projetam sua forma de replicação.

Segundo Stuart McClure et al (Hacking Exposed 5th Edition, Pg.635), citando pesquisa efetuada na Universidade de Berkeley-USA (http://www.cs.berkeley.edu/~nweaver/sapphire/ ) , em 25 de janeiro de 2003 a Worm Slammer ( também conhecida por Sapphire) logo em seu primeiro minuto de liberação duplicou a população infectada a cada 8.5 (+- 1) segundos e atingiu a taxa de trabalho de 55milhões de escaneamentos por segundo após 3 minutos. Hoje em dia, especialistas trabalham com o número-chave 16 horas para elaboração de vacinas. Tendo-se em mente essas 16 horas e sabendo-se que a elas são adicionadas o tempo gasto para que usuários domésticos e administradores de rede efetuem a atualização, logo percebe-se que outro mecanismo de proteção, imperativamente, deve ser adotado.

A proteção tradicional contra Malwares é oferecida por aplicações Antivirus e é baseada em uma abordagem reativa. Em outras palavras, as empresas desenvolvedoras dessas aplicações esperam por notificações de infecções e só então desenvolvem vacinas.

A vacina é a informação do padrão de comportamento de determinado Malware. Todas as aplicações Antivirus tradicionais necessitam “aprender” sobre a vacina para conseguirem proteger os sistemas sob sua vigilância. Uma aplicação Antivirus possui uma biblioteca de vacinas que a permite identificar a ameaça em arquivos. Já explicado o mecanismo, torna-se fácil comprender o jargão “antivirus baseado em assinatura”.

A empresa PandaSofware é uma das empresas líderes do segmento de soluções contra virus e demais ameaças do mercado mundial de T.I. PandaSofware foi fundada em 1990, tem sua sede em Bilbao-Espanha e escritórios regionais em mais de 50 países.

PandaSoftware investiu por quatro anos em pesquisas sobre um novo mecanismo proativo de detecção de ameaças e em 2004 anunciou publicamente a TruPrevent. Até então, a soluções semelhantes oferecidas por aplicações Antivirus eram baseadas em método heurístico apenas. O termo heurístico foi derivado de heuriskein que é uma palavra grega cujo significado aproximado é achar. Em ciências da computação, a palavra refere a um algoritmo que oferece resoluções aproximadas(satisfatórias) para problemas muito complexos(difíceis), já em programas Antivirus, refere à identificação de arquivos(programas) que intentam executar comandos(rotinas) tipicamente familiares as encontradas em códigos de vírus. Em outras palavras, a identificação é eficiente apenas se a semelhança for grande.

Outra grande empresa do ramo de soluções contra virus, a Symantec Corporation (fundada em 1982 e com sede no Estado da Califórnia – USA), chegou a desenvolver um método heurístico mais elaborado e o nomeou de BloodHound cuja patente foi defendida em 1997. O mecanismo do BloodHound descreve o uso de inteligência artificial, então, de certa forma, é questionável a inovação anunciada pela PandaSofware em sua tecnologia TruPrevent.

Tanto BloodHound quanto TruPrevent apresentam uma abordagem corrente no universo da seguridade em software: a técnica da SANDBOX. Em termos gerais, uma SANDBOX é um ambiente virtual(emulado) cujos recursos disponíveis são controlados (geralmente restritos com desconfiança) e utilizado para executar programas(códigos) desconhecidos ou experimentais. Como exemplos de uso da técnica, citamos os Applets carregados em WebBrowsers(Navegadores) rodados em ambientes “externos” e os programas Máquinas Virtuais que emulam um Sistema Operacional por completo. Os programas escolhidos para o carregamento passam, então, pela SANDBOX e só quando têm sua pureza conferida são efetivamente executados: a ideia é garantir que o programa faça apenas o que explicitamente se propôs a fazer.

O que é observável de inovação em TruPrevent é que , como anunciado por seus autores, seu mecanismo trabalha a partir de um paradigma semelhante ao das redes-neurais, além do uso de inteligência artificial. Esse modo de operação garantiu, segundo pesquisa efetuada pelo laboratório ICSA em janeiro de 2005 ( referência mundial em teste e certificação de soluções em VPN, Firewall, Criptologia, Antivirus, Anti-spyware e outros), a taxa de 98,92% em bloqueio de Malwares desconhecidos, inclusos exemplos de Adwares, Back doors, Trojans e Worms escritos tanto em W32 como em VisualBasic, ao passo que o produto semelhante BloddHound da Symantec Corporation apresenta uma taxa de 80% para bloqueio de vírus em geral e 90% para bloqueio de vírus de Macro.

Há alguns apontamentos importantes a serem feitos sobre a pesquisa conduzida pelo ICSA. O primeiro deles é que a PandaSofware contratou os serviços ICSA para a pesquisa e isso pode ser mal sinal para os mais desconfiados.O segundo é que o objetivo (escrito explicitamente) da pesquisa era avaliar a capacidade de evitar a propagação do Malware em uma rede de computadores a partir do ponto de infecção(máquina de teste) e não a capacidade de evitar a instalação do Malware na máquina de teste.

De qualquer forma, exporei algumas informações e conclusões tiradas a partir de minha experiência pessoal com o aplicativo. Devo alertar que não consegui encontrar documentação oficial de nível técnico sobre a TruPrevent no site da PandaSofware.

Nome Externo: Panda TruPrevent Personal 2006

Fabricante: PandaSoftware

Requisitos mínimos do Sistema:

Processador classe Pentium de 150mhz

96 megabytes de memória RAM

80 megabytes de espaço livre em disco rígido ( 130 megabytes exigidos durante instalação)

Windows 98/ME/XP/2000

Preço: US$ 29.95 ( preço para o Brasil verificado na loja virtual do site oficial) a licença de 12 meses.

O programa pode ser copiado do site oficial e utilizado por 30 dias sob um regime de Evaluation (experimentação/avaliação). O arquivo de instalação tem 25,2 megabytes e demorou 13 minutos e 30 segundos para ser baixado, em uma conexão de plano 300K da Velox Residencial, às 00:56h .

Abaixo estão os URI para o arquivo de instalação:

http://acs.pandasoftware.com/shareware/preventshuk.exe (Versão Inglês)

http://acs.pandasoftware.com/shareware/preventshpt.exe ( Versão Português)

Após baixar o arquivo de instalação, executei-o. O instalador performou um rápido escaneamento por vírus no meu sistema e nada encontrou.

Não há muito o que configurar nesse momento. O instalador apresenta um Termo de Uso e oferece uma opção de participar ou não de uma coleta de informações automática a serem enviadas como feedback para a PandaSofware. Instalado o sofware, o instalador recomenda que se reinicie a máquina. Concordei reiniciar.

O Sistema Operacional (Windows XP Professional Sp2) demorou mais do que o de costume(após instalação de um novo software) para reiniciar e apresentou-me caixa de diálogo informando-me de que o sistema havia recuperado-se de um erro grave. Na caixa de sistema havia, como é comum, a cuspida de memória(um dump) e um relatório de informações técnicas em formato especificado pelos engenheiros da Microsoft caso quiséssemos enviá-lo pela Internet (ah! que gentileza feita por um usuário pirata!). Notei que o Sistema estava sem qualquer conectividade com a internet. Meu Navegador, por exemplo, não respondia aos pedidos de carregar páginas e não retornava mensagens de erro. Resolvi reiniciar a máquina. Para meu espanto, após o bootstrap e início de carga do Sistema Operacional, o computador reiniciava automaticamente.

Bom, foi o que realmente aconteceu da última vez que instalei o TruPrevent Personal 2005. Eu digo última vez, porque achei que deveria seguir todo o processo de instalação passo-a-passo em compasso com a escrita desse artigo. Eu desenvolverei a respeito desse PEPINO e da resolução do problema mais para frente. Por enquanto, continuarei a avaliação tendo por base minha experiência com outra instalação que já havia feito e em qual não tive problema algum.

Continuando, o programa de instalação adiciona sem qualquer pergunta ao usuário um ícone na barra de inicialização rápida e um menu na barra de tarefas. Pessoalmente, acho isso desagradável. O ambiente de trabalho é meu, portanto, eu escolho o que adicionar ou não. Ademais, o instalador adiciona um ícone na bandeja de sistema(systemtray). O ícone é visualmente bom e permite acesso rápido à interface central do sofware.

A instalação em regime EVALUATION(experimentação/avaliação) oferece uma atualização gratuita e direito a contactar o suporte técnico uma vez. Resolvi fazer a atualização e a taxa de cópia foi rápida e os arquivos de atualização não são grandes.

O programa é muito simples de configurar e é capaz de fazer auto-diagnóstico de maneira suficientemente inteligente. Ele informa qual o nível de proteção presente e qual o nível adequado, bem como sobre erros que impeçam o bom funcionamento da proteção.

Um ponto negativo (e que foi responsável pelo PEPINO que descutirei mais tarde) é o fato de que a PandaSoftware, inconsistentemente, resolveu entregar uma caixa-de-ferramentas ao invés de uma simples chave-de-fendas. Como a própria empresa alega em seu site oficial e no manual dos usuários, o TruPrevent Professional deveria ser utilizado em conjunto com um antivirus e outras soluções de seguridade já instaladas no Sistema. Em palavras da PandaSoftware: “TruPrevent age como uma segunda camada de defesa para complementar o seu antivirus já instalado”( Manual do usuário - Capítulo 1, Página 2). O software propõe-se proteger contra ataques de rede, proteger contra vulnerabilidades de aplicativos e de sistema operacional (buffer-overflows), anti-spyware, etc.

De qualquer forma, a interface para configuração é muito amigável, basicamente: ativa-se ou desativa-se uma determinada proteção.

Como “firewall”, pareceu-me funcionar muito bem, pois mesmo estando conectado à internet por trás de um roteador implementando “firewall” e com pouquíssimas regras de PAT (port forwarding) ele foi capaz de inspecionar ao nível de detectar inconsistência/invalidade de flags TCP.

Eu pude constatar que o programa não me apresentou falsos-positivos em momento algum. Pude rodar minhas principais aplicações sem que fossem tidas como potencialmente perigosas e bloqueadas. Rodei ferramentas da suite MsOffice (Word,Excel,Powerpoint), MsnMessenger, FireFox, MIRC, Soulseek, MSI CoreCenter( utilitário da fabricantes de placas-mãe MSI que requer acesso privilegiado a alguns recursos do Sistema, já que monitora hardware e altera configurações de overclock de maneira dinâmica), Nero, Adobe Reader e BitComet (cliente para Torrents). A pesquisa do ICSA também indiciou ausência de falsos-positivos.

Não tive problemas com meu aplicativo Antivirus (Kaspersky Personal Pro 5.0.388) ou com meu aplicativo de “Firewall” (ZoneAlarm 6.1.737). No entanto, acredito que o ZoneAlarm continuou funcionando como firewall ao nível de aplicativo, mas não esteve participando em nível mais baixo da rede porque(como menciono na resolução de PEPINO) o TruPrevent Personal instala espécie de Wrappers ou Redirecionadores (não sei se seria o termo técnico correto). Mesmo que se escolha desativar as proteções relacionadas à rede, é provável que aplicativos de Firewall secundários não funcionem corretamente porque o TruPrevent instala drivers de rede ( pude identificar instalações/alterações ao nível da TDI Boundary – Transport Driver Interface e da NDIS – Network Driver Interface Specification). Vale apontar que o TruPrevent também instala um WebProxy.

No quesito perfomance, é inquestionável a voracidade do Software por recursos de memória. O processo principal consome permanentemente por volta de 40 megabytes e os seis outros processos consomem em média 1 megabyte cada. Não notei mudanças perceptíveis de perfomance, mas estive rodando-o em um Athlon 64 3000+ Venice com 1GB DDR-400Mhz em Dual-Channel, SATA-I 80GB 7.200RPM 8MB NCQ e placa-mãe MSI Neo4 Platinum. Segundo a pesquisa do ICSA a perfomance no Sistema testado( foi utilizado o Business Winstone 2004 1.0.1 para fazer o benchmark) caiu em 10,37% e a configuração de hardware era Athlon XP 2600+ com 512MB RAM DDR-266Mhz e IDE/ATA-133 80GB.

Após os 30 dias ou para atualizar uma segunda vez, você necessitará ativar o sofware através de um nome de usuário e de uma senha. Dentro dos meus humildes conhecimentos sobre “cracking” software, arrisco dizer que um patch que cancele o “server check”(autenticação antes das atualizações) não deve ser muito trivial e deve ser difícil de encontrar já feito, já que a procura pelo TruPrevent não é grande.

[Conclusão]

Acho que a intenção foi boa e que o caminho para o inferno está repleto de boas intenções.

Realmente precisamos encontrar um mecanismo de proteção que não seja baseado em assinatura, bem como precisamos estar atentos ao fator-humano, em outras palavras, atentos às soluções de proteção que trabalhem de maneira inteligente na camada dos aplicativos de usuário e nesse ponto a PandaSoftware esteve emparelhada com as tendências atuais.

Novamente acompanhando as tendências, PandaSoftware decidiu-se por distribuir todos os serviços integrados em um só software. A Microsoft já oferece o OneCare que integra antivirus,firewall,anti-spyware,anti-adware,atualizações automáticas do sistema operacional e backup. O mercado do software antivirus definitivamente passará brevemente por grandes mudanças, pois as empresas terão de vender suas “caixas-de-ferramentas”( um software de proteção e manutenção integradas) ao invés de apenas um Antivirus.

Para o usuário avançado, aparentemente, essa mare parece não estar para peixe, porque perde-se em flexibilidade.

Não recomendo o uso do TruPrevent em sua distribuição stand-alone(separado dos programas antivirus vendidos pela PandaSofware), porque é claramente um software que “incomoda” o sistema operacional(ou, ao menos, sua parte de rede) e é pesado (consumo voraz de memória e 7 processos rodando permanentemente). Se você faz questão de usufruir da tecnologia TruPrevent, instale um dos software antivirus da PandaSoftware pois possuem-na e não te causaram os problemas de incompatibilidade (existentes quando possui-se outro software antivirus ou uma solução de “firewall” para PC).

Existem outros programas que prometem uma proteção semelhante(SEMELHANTE). Estarei citando-os abaixo para quem realmente sinta a necessidade desse tipo de proteção em sua rede ou para os saudavelmente paranóicos com seus computadores domésticos.

Prev1 - http://www.prevx.com/ - Parece funcionar convencionalmente da maneira baseada em assinatura, apesar de toda a propaganda. A vantagem parece ser a abordagem da proteção-comunitária que permite identificar novas ameaças mais rapidamente.

Finjan Vitual Security - http://www.finjan.com/ - Oferece uma solução de proteção para a WEB bastante interessante.

Escreverei a parte II caso alguém chegue a ler esse texto, risos. Na parte II, pretendo descrever como solucionei o PEPINO causado pelo TruPrevent Professional e espero, com isso, expor algumas pistas sobre o funcionamento do Windows.

REFERNCIAS BIBLIOGRÁFICAS:

Relatório da pesquisa providenciada pelo laboratório ICSA sobre a tecnologia TruPrevent

https://www.icsalabs.com/icsa/docs/html/com..._Evaluation.PDF

Documento técnico da Symantec sobre seu método heurístico chamado BloodHound

http://www.symantec.com/avcenter/reference/heuristc.pdf

Documento de processo de pedido de patente por parte da Symantec a respeito do método heurístico dinâmico e exposição embrionária da técnica de Sandbox

http://service1.symantec.com/legal/publish...206,357,008.htm

Manual do usuário TruPrevent Personal 2006

http://www.pandasoftware.com/resources/pro...prevent2005.zip

A Aguiar

Compartilhar este post


Link para o post
Compartilhar em outros sites

Fazendo uma pesquisa achei esse tópico, que apesar de parecer uma propaganda - relata sobre os novos recursos do Panda e sobre sua experiência com ele.

Acabei de instalar ontem, que fez com que desinstala-se o Avast, até aí tudo bem ... mas a inicialização do "WinXP SP2" ficou super lenta... quase 5min!

Como você disse no seu relatório... Será que vale tudo isso???

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×