Comment expliquer le fonctionnement de la protection antivirus à un non-super utilisateur?

J'ai trouvé cette question qui explique en détail comment les logiciels antivirus fonctionnent exactement. Mais je viens de demander à un client de me poser cette question et je ne pouvais vraiment pas lui donner une bonne réponse, simple et facile à comprendre. La meilleure chose que j'ai pu trouver, c'est que chaque virus a une «empreinte digitale» spécifique et que le logiciel les analyse dans les zones infectées connues.

Comment expliquer cela d'une manière simple et facile à comprendre?

Mécanisme de détection, ou comment ils à un niveau plus profond?

Quand les gens me disent comment les logiciels malveillants ont pénétré sur leur machine, et pourquoi n'est-il pas toujours possible de les supprimer une fois qu'ils sont sur le système, et à peu près tout ce qui concerne les logiciels malveillants, je réponds toujours avec une combinaison / similaire à cette métaphore:

(Et quand je l'écris, je dois ressembler un peu à un idiot, mais j'espère que vous l'aimez!)

Imaginez que votre maison est l'ordinateur, un programme anti-virus comprend plusieurs mécanismes de sécurité différents.

Téléchargement / Création d'un nouveau fichier:

Imaginez un videur à votre porte d'entrée - toute personne entrant dans la maison (les fichiers entrant dans votre machine) passent par lui et il vérifie qu'ils sont propres *. S'il trouve quelque chose de mauvais, il vous donne généralement la possibilité de faire quoi.

Scanner actif

Imaginez une équipe de sécurité interne qui surveille tout le monde (processus actifs) dans votre maison, tout objet (fichier) qu'ils touchent est examiné pour s'assurer qu'il est propre *

Scan passif / manuel

Lorsqu'il n'y a rien d'autre à faire, ou que vous choisissez, vous pouvez demander à l'équipe de sécurité de vérifier chaque objet dans la maison, juste pour vous assurer qu'il est propre contre les dernières menaces.

Rootkits / une fois infecté

Bien que la sécurité de votre maison fasse toujours de son mieux, rien n'est efficace à 100%. Une fois que quelqu'un est dans la maison, s'il n'a pas été arrêté, il peut faire ce qu'il veut. Bien qu'il soit possible de nettoyer après eux, et dans la plupart des cas, de réparer tous les dommages ... ils pourraient laisser leur propre équipe de sécurité derrière qui interfère avec la vôtre.

`* Comme Randolph l'a dit dans sa réponse, il s'agit généralement d'un mélange d'empreintes digitales et d' heuristique )

Je n'arrive pas à le trouver, mais Microsoft avait un document API sur la création de logiciels AV, je ne peux trouver qu'un lien vers le guide de l'API MS Office / IE . Je suppose qu'en raison de faux kits AV / Root, ils ont supprimé ces informations.

(De plus, Symantec a un article intéressant à lire)

Modifier - Je viens de trouver une question de débordement de pile intéressante ... Comment un antivirus Windows se connecte-t-il au processus d'accès aux fichiers?

Ils opèrent à plusieurs niveaux, notamment:

• La définition de l'empreinte digitale, comme vous l'avez dit, qui vérifie les signatures d'activité ou de fichier qui correspondent à une base de données

• Comportement suspect, par exemple, le secteur de démarrage est modifié par quelque chose qui n'est pas reconnu, ou la mémoire est remplacée par un processus qui ne devrait pas avoir accès

• Détection de rootkit, qui nécessite que l'AV s'exécute presque comme un virus lui-même (* c'est pourquoi AVG n'aime pas ComboFix, par exemple - il fait des choses qui ne se distinguent pas du comportement du virus), en ce sens qu'il doit se cacher du rootkit.

Ce n'est certainement pas une liste complète, et je salue les modifications apportées à la réponse.

J'ai plusieurs fois été en mesure de dire aux gens qu'ils ont besoin d'un logiciel AV tout en repoussant les critiques "expertes" volontaires selon lesquelles les logiciels AV sont "sans valeur" parce que les nouveaux virus non imprimés ne seraient pas arrêtés et comme Wil le dit, ils peuvent laisser des trucs derrière cela rend impossible un véritable nettoyage.

Je pense qu'il est important que les non-super-utilisateurs comprennent ces deux derniers points mais ne pensent pas que les logiciels AV ne valent rien. Ils doivent également comprendre un troisième point, à savoir qu'un plan de sauvegarde minutieux est nécessaire dans le but de le "nettoyer de l'orbite, c'est le seul moyen d'être sûr" de nettoyer où le système est effacé et le système d'exploitation est réinstallé à partir de bonnes sauvegardes connues.

Votre système d'exploitation est un bâtiment et le virus est un voleur

Windows est un immeuble de bureaux

Alors que tout le monde est autorisé à entrer et sortir, ils doivent passer par la sécurité où leurs bagages sont enregistrés et ils passent une radiographie. Ce serait l'équivalent d'un scanner actif . Tout est vérifié, il y a donc une petite chance que tout soit pris par la porte d'entrée.

Tout au long de l'installation, des caméras et des agents de sécurité les surveillent pour détecter toute activité suspecte. Ceci est le scan passif . Les agents de sécurité sont assez bons pour repérer les comportements malveillants courants, car ils passent toute la journée à regarder les gens.

Le kicker est, si vous faites la danse du poulet funky à travers le scanner à rayons X que vous traverserez, aucune question ne sera posée.

Une infection va comme ça. Le voleur fait la danse du poulet funky devant le garde à l'avant. Une fois qu'ils sont entrés et prennent ce qu'ils veulent, il leur suffit de trouver (ou de créer) une porte dérobée pour sortir avec les marchandises.

Si les voleurs ne sont pas sophistiqués, les scanners passifs déclencheront une alarme et enverront une sécurité après eux, mais, si vous avez regardé Oceans Eleven récemment, vous comprendrez ce que je veux dire quand je dis: «tous les voleurs ne sont pas non sophistiqués». Essentiellement, une fois qu'un méchant pénètre à l'intérieur, s'il est bon, il saura échapper et renverser votre système de surveillance afin que vous ne sachiez même pas qu'il est là. Ensuite, c'est un jeu gratuit avec vos données.

Pire encore, ils sont influents. Ils se font des amis à l'intérieur de votre système (infectent d'autres applications) donc, même si vous réussissez à leur donner le démarrage, ils peuvent simplement appeler un copain pour les laisser rentrer. Les scanners passifs ne se contentent pas de surveiller les méchants, ils regardez le comportement de tout le monde mais ils ne sont pas parfaits.

Un cheval de Troie est comme un voleur caché qui se cache derrière l'une des issues de secours, s'il entend un coup secret de l'un de ses amis à l'extérieur, il ouvre la porte de l'intérieur. Vous n'en voulez vraiment pas dans votre immeuble car ils sont extrêmement talentueux.

Un Mac est un immeuble de bureaux mais avec un système de carte-clé

Une fois que vous entrez dans le bâtiment, vous devez vous connecter avec le gardien pour obtenir votre laissez-passer. Mais, une fois que vous y êtes, vous avez la liberté de vous déplacer dans les zones où vous êtes autorisé à errer. Si vous avez besoin d'accéder à l'inventaire de l'entreprise, vous devez vous reconnecter pour continuer avec un laissez-passer de niveau supérieur. Chaque fois que vous quittez un niveau de sécurité, vous perdez votre laissez-passer, vous devez donc vous y inscrire chaque fois que vous devez rentrer.

La vulnérabilité ici est, assurez-vous de savoir que la personne à laquelle vous donnez accès est censée être autorisée à entrer.

Linux est comme une base militaire

Vous devez passer la sécurité pour entrer dans la porte, mais vous avez également besoin d'un rang / titre pour accéder à certaines parties de la base. Par exemple, vous ne pouvez pas entrer dans le domaine aérien si vous n'êtes pas un pilote (et n'êtes pas un officier supérieur), vous ne pouvez pas entrer dans le sous-marin si vous n'êtes pas un sous-marin.

Considérez le compte root comme le Général. Il n'a pas besoin de permission pour aller n'importe où, car il est l'officier le plus supérieur de la base. Par conséquent, vous ne voulez pas laisser votre général laisser passer n'importe qui dans la base (car il sera obéi sans poser de questions).

L'astuce avec Linux est de ne pas devenir le général. Faites-vous un petit officier qui fait consciencieusement son travail. Ensuite, lorsque ce maître découvre qu'il a besoin de ressources supplémentaires pour faire son travail, mettez-le temporairement à niveau (la commande pour les privilèges élevés dans linux est sudo qui accorde un accès root temporaire) au général pour faire bouger les choses et les secouer.

En réalité, Linux et Unix utilisent le même modèle de sécurité pour les privilèges. Les Mac ne compartimentent tout simplement pas le système comme le fait Linux pour le rendre plus convivial.

Le problème majeur avec tous ces systèmes est que, une fois que les voleurs ont réussi à entrer, ils peuvent créer une porte dérobée pour rentrer plus tard sans avoir à passer par la sécurité.

La seule sécurité de système vraiment sûre serait d'avoir un système plus sophistiqué. Comme, remontez le temps jusqu'au début de la journée à la fin de chaque journée. C'est l'équivalent de la virtualisation sandbox . Chaque fois que vous chargez le système d'exploitation, il charge une nouvelle copie non altérée. Il n'y aura pas de portes dérobées car le système d'exploitation sera remis dans l'état dans lequel il se trouvait avant que les voleurs n'entrent. Il y a des limites à cette méthode mais elles sont trop détaillées / complexes pour être couvertes ici.

L'astuce que la plupart des gens (certains commodément) négligent est. Une fois que vous avez laissé quelqu'un entrer dans le bâtiment et que vous lui avez accordé des privilèges d'accès, il peut laisser entrer d'autres personnes. Donc, ne laissez pas le gars porter la chemise à rayures noires et blanches (et, dans certains cas, la petite fille avec le livre de mécanique quantique) dans la porte d'entrée en premier lieu. À l'exception de la danse géniale du poulet, ils ne peuvent pas entrer à moins que vous ne les laissiez.

Le problème avec les antivirus est que les gens comptent trop sur eux. Considérez que ni vos scanners actifs ni passifs ne connaissent l'astuce du poulet génial. Vous venez de laisser librement un méchant dans votre système. Si vous avez de la chance, il fera quelque chose qui attirera l'attention du scanner passif. Si vous n'êtes pas chanceux, il se déplacera d'ombre en ombre au sein de votre système, faisant des ravages et vous ne saurez même pas qu'il est là.

Les vulnérabilités logicielles de 0 jour (défauts logiciels connus révélant une faille de sécurité qui n'a pas encore été corrigée) sont l'équivalent de la danse géniale du poulet. Microsoft n'est pas la seule partie à blâmer pour ces derniers non plus; J'ai vu un piratage Adobe Flash passer au travers et jeter mon système au-delà de toute réparation en moins de 15 secondes.

Windows / Linux ont tendance à ne pas avoir le problème du poulet génial parce que vous portez vos privilèges d'accès (carte-clé, classement) partout où vous allez dans le système.

Un rootkit, c'est comme si l'un de ces gars kidnappait votre responsable de la sécurité, l'enfermait dans le placard et se faisait passer pour lui. Avec le grade de chef de la sécurité, il a le pouvoir d'embaucher / licencier n'importe qui et de changer de politique à son gré. S'ils l'atteignent, vous êtes vraiment foutu car il peut licencier tout le personnel de sécurité ou appliquer des politiques qui obligent le personnel de sécurité à regarder à leurs pieds et à s'asseoir sur les mains sous la menace d'être renvoyé. C'est à dire. vous ne voulez vraiment pas que ce type soit compromis.

J'espère que ça aide.