Dlaczego założyliśmy nową organizację ze stroną internetową www.CheckLab.pl?
Organizacja CheckLab została założona w lipcu 2019 roku przez działającą od 2012 roku firmę AVLab.pl w branży bezpieczeństwa teleinformatycznego. Podstawowym celem organizacji CheckLab jest testowanie przydatności zabezpieczeń oraz wydawanie certyfikatów potwierdzających skuteczność ochrony przed złośliwym oprogramowaniem i cyberatakami, a także dostarczanie wyników do informacji publicznej przy zapewnieniu maksymalnej transparentności testów.
Tych dodatkowych informacji związanych z testami jest tak dużo, że postanowiliśmy przygotować osobną stronę internetową.
Cała aplikacja testująca jest jak jeden organizm zbudowany z poszczególnych elementów, w którym każdy działa osobno i jednocześnie współpracuje z pozostałymi. Stworzyliśmy tak naprawdę aplikację, która robi dokładnie to samo co człowiek, lecz nieporównywalnie szybciej i wydajniej, ponieważ w jednym czasie może zarządzać nieograniczoną ilością maszyn wirtualnych — wykonuje dużą ilość operacji, gdyż nie jest ograniczony ludzką biomechaniką.
Elementy, z których składa się nasza aplikacja do testów, to:
Lokalny serwer DNS i HTTP/S odpowiada za „wystawienie” próbki złośliwego oprogramowania pod losowy adres URL, który będzie przekazany do komponentu zarządzającego testami. Z tego adresu URL będzie pobierany wirus do systemu operacyjnego przez przeglądarkę Chrome.
Próbki wykorzystywane w naszych testach pochodzą z ataków na honeypoty. Są to pułapki, których zadaniem jest udawanie celu podatnego na ataki i przechwytywanie złośliwego oprogramowania. Wykorzystujemy honeypoty niskointeraktywne i wysokointeraktywne. Wszystkie z nich symulują usługi takie jak: SSH, HTTP, HTTPS, SMB, FTP, TFTP, rzeczywisty system Windows i serwer poczty. Korzystamy także z publicznych feedów ze złośliwym oprogramowaniem.
Jest to ten element aplikacji, który raz na dobę loguje się do honeypotów i pobiera przechwycone szkodliwe oprogramowanie. Następnie oblicza sumę kontrolną każdego pliku i porównuje z tymi w bazie danych. Odbiorcy naszych testów mają pewność, że nigdy nie będziemy analizować dwóch takich samych wirusów.
Jest to najważniejszy element aplikacji. Automatyzuje całą procedurę testów:
Zarządca wykorzystuje interfejs API VMware do pilnowania, aby maszyny były uruchamiane w jednym czasie. Reaguje na błędy przy analizie i jeśli jest to konieczne, powtarza operacje (np. jeżeli z jakiegoś powodu system się zawiesi). Dzięki temu szkodliwe oprogramowanie ustawione jest w kolejce, więc mamy pewność, że wszystkie rozwiązania ochronne zostaną przetestowane w tym samym czasie na tej samej próbce wirusa.
Jest to ważny element systemu testującego, który po pierwsze loguje zdarzenia wykonane w Windows 10 przez złośliwe oprogramowanie, a po drugie wychwytuje informacje o zareagowaniu produktu bezpieczeństwa na złośliwe oprogramowanie.
Logi ze systemu Windows zawierają m.in. informacje o tym, czy testowane rozwiązanie wykryło zagrożenie. W tym konkretnym przykładzie analizator „widzi”, że oprogramowanie Bitdefender przeniosło wirusa do kwarantanny.
Decyduje na podstawie wprowadzonych wytycznych, czy złośliwe oprogramowanie zainfekowało system, a także czy produkt bezpieczeństwa zareagował na wirusa. Skrypt przeszukuje logi pod kątem aktywności wirusów i reakcji produktu bezpieczeństwa na złośliwą aktywność. Zdobyte w ten sposób wskaźniki są przekazywane do bazy danych.
PROFESSIONAL TESTING SERVICE
ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!