حتی بهترین و قویترین نرمافزارهای امنیتی هم قادر به محافظت از شما در برابر تهدیدات جدید نیستند اگر پایگاه داده امضای ویروسها (virus signature database) قدیمی و بهروز نشده باشد …
حتی بهترین و قویترین نرمافزارهای امنیتی هم قادر به محافظت از شما در برابر تهدیدات جدید نیستند اگر پایگاه داده امضای ویروسها (virus signature database) قدیمی و بهروز نشده باشد، بنابراین بهعنوان یک اصل اساسی و قانون عمومی بسیار مهم همواره باید ویژگی بهروزرسانی خودکار (auto-update) ضدویروس خود را در حالت فعال و روشن نگهدارید در این مقاله قصد داریم به جای توصیهها و باید و نبایدهای امنیتی تکراری یا نتایج آزمونهای مؤسسههای فعال در حوزه نرمافزارهای امنیتی، از زاویه متفاوت و جذابتری به موضوع بپردازیم در واقع در این نوشتار با راهکارها و سرویسهایی آشنا میشوید که به شما امکان میدهد عملکرد ضدویروستان در برابر تهدیدات مختلف را به شخصه مورد سنجش و ارزیابی قرار دهید و ببینید نگهبانی که تأمین امنیت خود در دنیای دیجیتال را به او سپردهاید، در میدان عمل چند مَرده حلاج است!
EICAR test file
نخستین راهکار پیشنهادی، آزمایش سادهای است که توسط EICAR (سرنام European Expert Group for IT-Security) تدارک دیده و عرضه شده است. فایلی که EICAR برای سنجش عملکرد ضدویروس شما آماده است در واقع نه یک ویروس است و نه حاوی هیچ قطعه کد آلوده به ویروس، اما بیشتر آنتیویروسها کاملاً همانند یک ویروس در مقابل آن واکنش نشان میدهند! البته بهطور معمول همگی فایل مذکور را با اسم و عنوانی گویا و روشن (اغلب “EICAR-AV-Test” یا بسیار شبیه به آن) به کاربر معرفی و گزارش میکنند. این فایل در حقیقت یک برنامه سالم و قانونی DOS است که در صورت اجرا پیام زیر را در خروجی چاپ میکند:
“EICAR-STANDARD-ANTIVIRUS-TEST-FILE!”
فایل مذکور بسیار ساده و کم حجم است و فقط از رشتهای از کاراکترهای ASCII قابل مشاهده و چاپ تشکیل شده است به طوری که هر کاربری تنها با یک نرمافزار ویرایشگر متن معمولی میتواند نمونهای از آن را ایجاد کند. این فایل از 68 کاراکتر زیر تشکیل شده و دقیقاً 68 بایت حجم دارد (شکل۱).
برای انجام آزمایش به سایت EICAR به آدرس www.eicar.org بروید. از منوی اصلی سایت گزینه ANTI-MALWARE TESTFILE را انتخاب کرده و در ادامه روی گزینه Download کلیک کنید(شکل۲).
EICAR به منظور سهولت کار و سنجش توان و عملکرد ضدویروس شما در مقابله با سناریوهای مختلف ۴ فایل مجزا را تدارک دیده است(شکل ۳).
نخستین فایل eicar.com حاوی رشته کاراکترهای اَسکی (ASCII) است که در بالا شرح داده شد. فایل دوم که با نام eicar.com.txt معرفی شده است یک کپی از فایل نخست که تنها نام آن تغییر داده شده است و فقط برای آن دسته از کاربرانی که در دانلود فایل نخست دچار مشکل شده یا میشوند، پیشبینی شده است. چنانچه جزء این دسته از کاربران هستید، توجه داشته باشید که حتماً پس از دانلود نام فایل را به “eicar.com” تغییر دهید. فایل سوم نسخه فشرده با پسوند Zip همان فایل آزمایش نخست است (یک ضدویروس خوب باید محتوای داخل فایلهای فشرده را نیز به دقت رصد کنید.) فایل چهارم نسخه فشرده فایل مرحله سوم است. به عبارت دیگر فایل نخست درون دو فایل فشرده Zip جاسازی شده است. این فایل به شما نشان خواهد داد که آیا ضدویروستان توان شناسایی محتوای آلوده جاسازی شده در فایلهای فشرده با عمق بیشتر از یک مرحله را دارد یا خیر!
AMTSO
AMTSO (سرنام Anti-Malware Testing Standards Organization) مرجع معتبر و قابل اعتمادی در حوزه امنیت است. یکی از بخشهای بسیار مفید و کاربردی سایت مؤسسه AMTSO بخش Feature Settings Check است که در آن سرویسها و منابعی جهت آزمایش و بررسی برخی از ویژگیها و پارامترهای مهم محصولات امنیتی فراهم شده است. در اینجا 5 آزمون جداگانه پیشبینی شده است. هر آزمون به طور اختصاصی جهت سنجش یک ویژگی مشخص، آماده و پیادهسازی شده است. این آزمون 5 مرحلهای به شما نشان خواهد داد که آیا نرمافزار ضدویروس سیستم شما برای مقابله با انواع تهدیدات درست و مناسب پیکربندی و تنظیم شده است یا خیر (شکل4).
آزمون نخست: Test if my protection against the manual download of malware
آزمون نخست در واقع همان مرحله نخست از آزمون سایت EICAR است. با کلیک روی لینک “ Download the EICAR.COM Testfile… “ سیستم سعی میکند فایل 68 بیتی eicar.com را دانلود کند. همانطور که پیشتر گفته شد فایل آزمایش EICAR در واقع یک ویروس یا کد مخرب نیست و تنها برای سنجش و آزمایش قدرت و توانایی تشخیص محصولات ضدویروس ساخته شده است.
آزمون دوم: Test if my protection against a drive-by download
در این آزمون توانایی ضدویروس در شناسایی و بلوکه کردن فایلهای آلوده جاسازی شده داخل محتوای یک صفحه وب مورد آزمایش قرار میگیرد. به محض باز شدن این صفحه در مرورگر وب، یک فرآیند شبیهسازی شده از جنس “drive-by download” آغاز میشود. این فرآیند سعی میکند به صورت پنهانی و دور از چشم شما محتوای آلوده جاسازی شده در صفحه وب را روی سیستم دانلود کند. در اینجا از همان فایل آزمایش EICAR برای این آزمون استفاده شده است. بنابراین اگر نرمافزار امنیتی شما بتواند هنگام باز شدن صفحه وب فوق فایل eicar.com را شناسایی کند یعنی از پس این آزمون بهخوبی برآمده است.
آزمون سوم: Test if my protection against the download of a Potentially Unwanted Application
در این آزمون توانایی ضدویروس در شناسایی و مسدود کردن بدافزارهای رده PUA (سرنام Potentially Unwanted Application ) مورد محک قرار میگیرد. با کلیک روی لینک دانلود مربوطه، سیستم کاربر سعی میکند فایل آزمایش طراحی شده با نام PotentiallyUnwanted.exe را دانلود کند. این فایل اجرایی 32.5 کیلوبایتی کاملاً بیخطر است و تنها یک نمونه شبیهسازی شده از نوع PUAها است که در صورت اجرا پنجرههای محاورهای زیر را به ترتیب نمایش میدهد(شکلهای 6،7،8).چنانچه موفق به دانلود و اجرای فایل شدید یعنی نرمافزار امنیتی شما در این قسمت ضعف دارد یا به درستی پیکربندی نشده است.
آزمون چهارم: Test if protection against accessing a Phishing Page is enabled
این مرحله یک آزمون ضدفیشینگ است. کافی است روی لینک “ Open the AMTSO Phishing Testpage… “ کلیک کنید و منتظر عکسالعمل و اخطار مسدود شدن صفحه توسط ضدویرستان بمانید. چنانچه چنین پیغامی از سوی نرمافزار امنیتیتان دریافت نکردید و صفحه وب آزمایش فیشینگ در مرورگرتان باز شد، یعنی در این زمینه دچار ضعف و مشکل هستید(شکل 9).
آزمون پنجم: Test if my cloud protection is enabled
این آزمون همانطور که از عنوانش مشخص است قصد دارد عملکرد ویژگی Cloud Protection (محافظت ابری) ضدویروس شما مورد ارزیابی و محک قرار دهد. برای این آزمون نیز همانند آزمونهای قبلی یک فایل آزمایش اختصاصی بیخطر با نام CloudCar.exe تدارک دیده شده است. روی لینک دانلود CloudCar کلیک کنید. اگر پیغامی مبنیبر بلوکه شدن فرآیند دانلود و اجرای این فایل 7 کیلوبایتی از طرف ضدویروستان دریافت کردید، یعنی آزمون Cloud Protection را با موفقیت گذراندهاید. اما چنانچه فایل فوق بدون هیچ دردسر و واکنشی از سوی ضدویروس دانلود شد و روی هارددیسک سیستمتان در دسترس بود، به آن معنی است که یا ضدویروس شما مجهز به قابلیت Cloud Protection نیست یا در صورت برخورداری از این قابلیت، به درستی پیکربندی و تنظیم نشده است و نیازمند بازنگری و تغییر در تنظیمات است. توجه داشته باشید که قابلیت Cloud Protection هنوز فراگیر و عمومی نشده است و بسیاری از برندهای توسعهدهنده نرمافزارهای امنیتی هنوز محصولات خود را به ویژگی Cloud Protection مجهز نکردهاند یا بهتازگی این قابلیت را به محصولات رده اینترنت سکیوریتی (و بالاتر) خود افزودهاند.بنابراین، پیش از آغاز این آزمون از پشتیبانی ضدویروستان از این قابلیت جدید اطمینان حاصل کنید.
منبع : ماهنامه شبکه – گردآوری و تألیف: کاوه مهدیزاده
بازنشر » berroz.com