Whitelisting - Općenito

Ako želite da imate računalo sigurnije što je bolje moguće,onda biste trebali razmisliti o whitelistingu. Za one što ne znaju što je whitelisting aplikacija, to znači dodavanje aplikacija na listu "dobrih" aplikacija koje često koristite, a blacklisting aplikacija znači dodavanje aplikacija na listu "loših/štetnih/nepoznatih" aplikacija koje su u većini slučajeva malware i koje bi mogle naštetiti vašem računalu. Nisam baš nešto precizno objasnio ali nema veze, shvatićete sve u ovom postu :)

Imamo dvije aplikacije čija je svrha whitelisting aplikacija a to su :

-SecureAPlus (besplatan na 1 godinu,poslije ga možete produžiti tako što ga preporučite prijatelju i on ga instalira ili pak kupite licencu)

-VoodooShield (koji je potpuno besplatan)

Imajte na umu da je VoodooShield samo za osobnu upotrebu.

Naš kolega @djigibao je napisao članak na svom blogu malo više o SecureAPlus, a to možete pročitati na njegovom blogu av-gurus.blogspot.com.

Link od članka:

SecureAPlus (uključuje test i video recenziju)

Prvo ću da počnem sa SecureAPlus tj. detaljno objašnjavanje.

Whitelisting aplikacija sa SecureAPlus

SecureAPlus je proizvod od kompanije SecureAge koja nam dolazi iz Singapura i nudi nam ovaj proizvod da zaštitimo svoja računala. SecureAPlus je besplatan na 1 godinu, što znači da ga morate poslije tog perioda deinstalirati , kupiti ili pak preporučiti prijatelju.SecureAPlus se može koristiti u privatne i poslovne svrhe što je dobro ako želite zaštiti svoj mali ured ili tvrtku. S obzirom da je malware sve napredniji i neki su Anti-VM i Anti-Sandbox , a nijedan antivirus ne pruža 100% zaštitu. Ovaj program ima i plaćenu premium verziju,a usporedbu izdanja možete naći na njihovom web stranici : www.secureaplus.com . Dovoljna je free verzija za sve jer ne vidim smisla kupovati aplikaciju (osim kad istekne korištenje na 1 godinu naravno). Ovaj program je lak za instalirati i proces počinje nakon što prihvatite uslove korištenja. Nakon instalacije potrebno je skenirati cijeli sustav jer će sve biti dodano  na whitelist. Ovaj program dolazi sa Universal AV koji je bespotreban, pa zato savjetujem instalirati onaj bez AV koji troši mnogo manje RAMa i lakši je nego sa Universal AV. S obzirom da je Universal AV baziran na Clam AV koji ima slabu detekciju, onda ga ne preporučujem, no on nije obavezan. 

Kako ovaj program radi ? Nakon skeniranja cijelog sustava, on će whitelistati tj. uploadovati MD5 svih datoteka ili hashova u cloud i biće vam moguće ih pokrenuti. Ovaj program također sadrži 12 antivirusa u oblaku koji skenira nove i nepoznate infekcije tako da kada pokrenete malware dobićete upozorenje (tu su veliki igrači kao ESET,MSE,Avira itd). 

NAPOMENA: Savjetovao bih vam da prije instalacije ovih programa pregledate računalo za viruse jer time ćete biti mnogo sigurniji . Za to savjetujem Malwarebytes,Zemana,Emsisoft Emergency Kit i AdwCleaner u slučaju infekcija adwarea / PUP.Nemojte prekidati skeniranje jer će ono biti samo jednom i traje ovisno o količini programa i općeg zauzeća na disku. 

Nakon instalacije dočekaće vas ovakav prozor gdje klikate Next i počinje skenirati potpuno sustav za whitelistanje. Ono traje dugo zato budite strpljivi ! Windows direktorij će uzeti malo više vremena, poslije toga će skeniranje biti brže.Skeniranje će biti kraće ako postavite na "Fast" i zatvorite sve aplikacije.

Sučelje programa izgleda pregledno i lako je za korištenje.

Aplikacija ima sljedeće modove:

-Interactive Mode - Sve aplikacije koje su nove i nisu whitelistane će dobiti upit za korisnika da li želi dodati u whitelistu ili ne. Ako je aplikacija malware dobićete prozorčić sa upozorenjem i opciju koju želite da uradite za taj file. Ako je file čist dobićete pitanje da li želite ga whitelistati ili ne  - to je do vas.

-Lockdown Mode - Kad je ovaj mod uključen, sve aplikacije koje nisu whitelistane će biti blokirane i spriječene od pokretanja što je super stvar ako niste sigurni da li je file malware ili nije. Ovu opciju možete ostaviti uključenu ako ste totalni početnik ili neznalica oko računala, a ako ste advanced ostavite kako jeste, tj. na Interactive.

Nakon što skeniranje završi možete nastaviti svoj normalan rad na računalu.Na slici dolje imate kako ono izgleda :

Što se tiče upotrebe memorije ono je veoma mala i sa slike vidimo da ne zauzima puno ako ste instalirali verziju sa linka gore.

Ako je aplikacija čista npr. Process Explorer, ono će omogućiti preuzimanje i pokretanje određene datoteke.No ako je u pitanju malware onda ćete dobiti ovakav prozor gdje vam nudi opciju za uklanjanje tog malicioznog programa:

Taj proces ne traje dugo i nije potreban restart.

Što se tiče lockdown moda, on se uključuje tako što se uradi kao ovako na slici :

Kada se blokira program u lockdown modu  dobićete kao ovo na slici :

Da biste dodali program imate u kontekst meniju Trust Level :

Eto to bi bilo to što se tiče osnova SecureAPlus. Sad je na redu VoodooShield u postu ispod.

Whitelisting aplikacija s Comodo Internet Security / Firewall

Kao i SecureAPlus i VoodooShield, Comodo također ima jednu vrstu whitelistinga a to je pomoću njegovog clouda. Ono radi na principu trusted vendors, što znači da aplikacije koje su digitalno potpisane kao npr. Dropbox,Adobe itd. neće biti sandboxane od strane Comoda jer su whitelistane. Što se tiče malicioznog softvera on će biti automatski sandboxan (izolovan) od OS tako da neće moći uraditi nikakvu štetu dok je u Sandboxu. Comodo (Internet Security) također ima značajku koja se zove Default Deny Protection ili DDP. 

Više o DDP možemo citirati s njihove stranice :

Default Deny Protection™ (DDP)Known and listed PC-safe files and applications are easily identified and able to access your PC.

To znači da poznate i listane kao sigurne datoteke i aplikacije su lako identificirane i mogu pristupiti vašem računalu,dok kod malwarea je potpuno drugačije. Comodo također ima opciju koja se zove Viruscope koja automatski poništava sve akcije učinjene od strane malwarea (o tome ću više detalja malo kasnije). 

SAVJET: AKO PRVI PUT INSTALIRAVATE COMODO FIREWALL/ANTIVIRUS/INTERNET SECURITY, MAKNITE KVAČICE SA GEEKBUDDY I OSTALOG ŠTO NE TREBA, ISTO I ZA MIJENJANJE POČETNE STRANICE VAŠEG BROWSERA. VIŠE O TOME U PRILOŽENIM SLIKAMA.

Kada dođete do ovog prozora na slici dolje odaberite Customize Installation da ne biste instalirali GeekBuddy/Chromodo ili kaj već nude.

Nakon što sam vam objasnio kako pravilno instalirati Comodo, sada ću nastaviti o whitelistanju. Što se tiče Trusted Vendors vi također možete dodati svoje vlastite ako hoćete. No što ako je malware digitalno potpisan ? Comodo će ga također blokirati (staviti u sandbox ili karantenu) zato nemate brige. U ovoj maloj demonstraciji pokazaću vam kako Comodo reagira na digitalno potpisanu datoteku s  whiteliste a kako na malware. 

Trusted vendori se dodaju kao na slici dolje (otvorite comodo UI, odete na Tasks,Advanced Tasks,Settings)

Kad je aplikacija u toj whitelisti njegova instalacija / korištenje je normalna i Comodo ga neće sandboxati/blokirati također ako nije u antivirusnoj bazi. 

No ako je malware u pitanju Comodo automatski sandboxa kao na demonstraciji dolje :

Pošto ja koristim Firewall samo za ovaj tut a hips je uklj. prema zadanom dobićete ovakav prozor kao na slici :

On se isključuje HIPS pod Tasks / Advanced Tasks / Open Advanced Settings / Defense+ /HIPS Settings. Ako isključujete HIPS onda možete si uključiti Autosandbox. On se uključuje pod Autosandbox postavkama. 

Eto to je bilo to što se tiče whitelistinga. Pitanja, sugestije sve je dobrodošlo :)

Možda da dodate i NoVirusThanks EXE Radar Pro ( koji nije za sada free ) ali je jedan od najboljih programa ove vrste.

http://www.novirusthanks.org/products/exe-radar-pro/

http://novirusthanks.org/help-files/exe-radar-pro/