HIPS (objašnjenje)

Ovo je pokušaj da se razjasni što je HIPS, što i kako radi.

Što znači "HIPS"?

HIPS znači Host Intrusion Prevention System. U biti to je program koji upozorava korisnika da malware program (npr. virus, rootkit, spyware...) pokušava zaraziti računalo ili da neovlašteni korisnik (npr. haker) želi imati pristup vašem računalu.

Pozadina i povijest

Prije nekoliko godina bilo je relativno lako klasificirati maliciozni program. Virus je virus, a ostale stvari su bile...drugo! Današnje "bube" su se promijenile i definicije između njih su postale više zamagljene. Ne samo da smo dobili prijetnje od trojanaca, crva i rootkita, nego se ti  različiti zlonamjerni proizvodi često kombiniraju zajedno. To je razlog zašto se maliciozni programi danas često nazivaju "malware".

U prošlosti softver za otkrivanje “malware” se oslanjao prvenstveno na utvrđivanje zlonamjernih programa svojim potpisom. Ova metoda je dobra koliko je dobra učestalost ažuriranja antivirusnih programa (update). Tu je i dodatna komplikacija, zbog toga što mnogo zlonamjernih programa stalno mutira i mijenja svoj ​​oblik. U tom procesu se mijenja i njegov potpis. Za borbu protiv toga napravljeni su HIPS programi, koji imaju sposobnost da "prepoznaju" mogući malware svojim djelovanjem, a ne potpisom. Malware "akcija" bi se mogla prepoznati kao pokušaj kontroliranja druge aplikacije, pokretanje Windows servisa ili promjena Registra.

To je slično otkrivanju kriminalaca prema njegovom ponašanju, a ne prema otisku prsta. Ako se ponaša kao lopov onda je vjerojatno lopov. Slično je i s računalnim programom, ako se ponaša kao zlonamjerni program onda je vjerojatno zlonamjerni program.

Problem je da ponekad sasvim legitimni program može djelovati malo sumnjivo i to može dovesti do toga da HIPS lažno etiketira legitimni program kao zlonamjerni. Ti takozvani "false positive” su pravi problem za HIPS programe. Zato su najbolji HIPS programi oni koji koriste kombinaciju potpisa i ponašanja.

Što HIPS program zapravo radi?

HIPS program nastoji zadržati integritet sustava u kojem je instaliran i sprječava promjene u tom sustavu od neovlaštenog izvora. Obično to radi tako da izbacuje pop-up upozorenja tražeći od korisnika da li je neka promjena dozvoljena ili nije.

Ovaj sustav je dobar samo koliko je dobar odgovor korisnika na pop-up upozorenja. Čak i ako HIPS program ispravno identificira prijetnju, korisnik nehotice (ili iz neznanja) može odobriti krivu akciju i može inficirati PC.

Definiranje vrsta HIPS-a

Danas mnoge aplikacije koriste kombinaciju različitih tehnika kako bi identificirali i blokirati prijetnje. Kao rezultat nekoliko različitih vrsta zaštite, sigurnosni proizvodi sada stavljaju HIPS. Danas nije neuobičajeno pronaći HIPS u anti-virus programima ili anti-spyware programima, premda je daleko najčešća primjena HIPS-a kao dio vatrozida (firewall). Dosta najmodernijih firewalla sada su dodali HIPS zaštitu u IP filtriranje.

HIPS programi koriste različite metode detekcije za povećavanje učinkovitosti. Osim sigurnosnih potpisa HIPS programi gledaju i ponašanje (behavior consistent with the activities of malware). Što znači da oni žele identificirati radnju ili događaj koji je tipičan za malware aktivnosti.

Kako su to postigli varira, ali dobar primjer je DSA* (Dynamic Security Agent) koji je sastavni dio programa ThreatFire. Osim uobičajenih "Želite li pokrenuti ovaj program" (do you want this program to run), DSA mapira korištenje resursa nadziranih aplikacija preko određenog perioda vremena ili "trening razdoblja" (Training Period). Za vrijeme tog razdoblja program “uči” vaše svakodnevne radnje na PC-u i time se smanjuju upozorenja kada se vrati u “normalan” način rada.

Neki HIPS programi analiziraju ponašanja automatski, a neki ne. Iako to izgleda kao dobra ideja, u praksi to može dovesti do komplikacija. Povremeno se dešava da neke kombinirane okolnosti legitimnih programa budu označene kao sumnjive i da ih HIPS program ugasi i time našteti stabilnosti cijelog PC-a (BSOD). Iako su takve manifestacije rijetke njihov utjecaj može biti težak, tako da je razmatranje ovoga poželjno prilikom izbora. DSA je siguran izbor, jer premda su stvari blokirane i spremljene u karantenu, one se nikada ne brišu.

Postavljanje i konfiguracija

HIPS programi trebaju biti instalirani sa zadanim postavkama dok je program u fazi “učenja” (Learning Mode ili Training Mode) ili dok se ne upoznate s njegovim načinom rada. Kasnije možete prilagoditi razinu osjetljivosti i dodati dodatna pravila ako mislite da je to potrebno. ThreatFire je konfiguriran automatski "out of the box", što je jedan od razloga zašto je tako popularan izbor. Imajte na umu da su napredne postavke za ThreatFire samo za stvarno iskusne korisnike. PDF vodič proizveden od strane proizvođača je uvijek dobra ideja da pročitate prije instaliranja.

Ranije je spomenuto da se HIPS može koristiti i za kontrolu legitimnih aplikacija. To već i činimo upotrebom Firewall-a i kontrolom portova. Na sličan način se koristi i HIPS tako da se blokira ili ograniči pristup nekog programa komponenti sustava.
Ponekad je neki legitimni program defaultno namješten da ima pristup sustavu i ostatku sistema više nego što mu treba. Ograničavanje aplikacija samo na "čitanje", a ne i “pisanje” po hard disku je jedan je od načina za smanjenje rizika. DriveSentry je izvrstan u tom pogledu. Također možete koristiti DEFENSE+  postavke Comoda (CIS) na isti način (video test Comodo Defense+) ili Online Armor-a.

Kada je potencijalna prijetnja identificirana

Većina HIPS programa obavještava korisnike pop-up prozorom kada je uočena neka prijetnja. Neki programi automatski blokiraju ili dozvoljavaju i o tome vas naknadno obavještavaju (možda). Vrlo je važno da VI ne odgovarate automatski! Nema smisla da na svako pitanje odgovarate sa “DA” (Yes ili Allow). Samo nekoliko sekundi razmišljanja prije donošenja odluke može uštedjeti sate rada kasnije (da ne spominjemo gubitke podataka). Ako ste sigurni da se radi o “false positive” možete dodati taj program u “iznimke” (Exception). Također je poželjno obavijestiti proizvođača o lažno pozitivnim obavijestima, tako da mogu popraviti to u sljedećim verzijama.

Što ako niste sigurni?

Sigurno ste pročitali/čuli da 80% svih infekcija malware dolaze s Interneta, tako da čete većinom vremena biti online kada dobijete pop-up prozor upozorenja od HIPS programa.
Lokacija prijetnji može biti jednako važna kao i naziv datoteke. Također, "iSpy.exe" može biti legitiman, ali "ispy.exe" bi mogao biti zlonamjeran. "HijackThis" log može pomoći, ali rezultati s automatskog servisa mogu biti malo dvosmisleni. Općenito ako pritisnete na “Block” u takvoj situaciji (dok ne budete sigurni šta je to) napraviti ćete manju štetu nego da pritisnete “Allow” (dozvoli) pa da inficirate računalo (ako ne znate o čemu se radi).

Koliko su pouzdane zajednice preporuka?

U zadnje vrijeme sve je više programa koji imaju neku zajednicu u Oblaku (Cloud Community). Te zajednice vam omogućuju da vidite kako su drugi korisnici odgovorili na to pitanje. DriveSentry ima 'Advisor', Online Armor ima 'Oasis' a Comodo 'Threatcast'.
Ovo u teoriji lijepo zvuči ali u praksi rezultati mogu biti razočaravajući.
Npr. - imate 10 ljudi koji su dobili istu pop-up obavijest i 9 od njih je napravilo krivu odluku, tada vidite da je 90% ljudi tako napravilo pa ćete i vi.
Uvijek se preporučuje koristit drugo mišljenje...Google is your friend ;-)

Da li mi je to potrebno?

Ako Vaš firewall ima dobru HIPS komponentu (kao što je Comodo ili Online Armor),  onda je to dovoljno. Programi kao što su ThreatFire i DSA koriste različite tehnike kako bi mogli ponuditi besplatnu zaštitu u određenim okolnostima. Samo vi možete odlučiti da li vam je to potrebno. Stručnjaci još uvijek savjetuju da se ne koristi više od jednog sigurnosnog softvera istog tipa.

Zaključak

Korisnici bi možda prvo trebali razmisliti o poboljšanju sigurnosti preglednika zamjenom Internet Explorera (iako se poboljšava sa zadnjom v.9) s Firefox-om, Chrome-om ili Opera-om i korištenje Sandboxie-a ili GeSWall-a (izoliranje nekog programa od ostatka sistema) prije nego počnu razmišljati o HIPS-u. Osobe sa standardnim vatrozidom (firewall) bi se mogle upoznati sa DSA, MJ Registry Watcher, ThreatFire ili DriveSentry za dodatnu zaštitu. Korisnici CIS-a ili Online Armor-a ne bi dobili nikakvu korist od toga. Uzmite u obzir i povećanje resursa i zauzeće memorije, uglavnom za starije strojeve. Zapravo ne postoji definitivno rješenje, osim reći da puno svega je obično previše! Sve u svemu potrebno je pronaći ravnotežu.


*NAPOMENA:
DSA je ukinut kao samostalna aplikacija. Ažurirana verzija sada je uključena kao dio Privatefirewall paketa. Ovaj firewall je prethodno bio u komercijalnoj primjeni, ali je sada freeware i odličan izbor za nekoga u potrazi za softverom u ovoj kategoriji.

I za kraj, evo jedne jako pametne tvrdnje:

NAJVEĆA PRIJETNJA ZA MOJE RAČUNALO ĆU UVIJEK BITI JA!!!

Korišteni materijal s ove stranice