Analiza impactului sistemelor [629191]

Analiza impactului sistemelor
de detect ,ie a intrus ,ilor asupra
sistemelor de calcul
Universitatea de Vest din Timis ,oara
Facultatea de Matematic a s ,i Informatic a
Master Securitate Cibernetic a
[anonimizat]
Sp^ nu Daniel
Noiembrie 2018
1 Introducere
Sistemele de detectare a intruziunilor(IDS) reprezint a o component a impor-
tant a a m asurilor defensive care protejeaz a sistemele informatice s ,i ret ,elele
de calculatoare ^ mpotriva abuzurilor. ^In continuare ^ n aceast a prezentare voi
lua ^ n considerare rolul IDS ^ n cadrul unei pozit ,ii defensive s ,i voi analiza
efectul pe care un asemenea sistem de detect ,ie a intrus ,ilor ^ l produce asupra
sistemului nostru informatic.
Deoarece sistemele informatice au devenit din ce ^ n ce mai complexe, sis-
temele de detect ie a intruziunilor au fost ^ ncorporate init ial ca elemente com-
ponente ale sistemelor de operare, deci nu ca aplicat ii separate. De asemenea,
tehnologiile de r aspuns automat la evenimente de tip intruziune sunt ^ n plin a
evolut ie. Primele sisteme de detect ie a intruziunilor vizau sisteme de calcul
de sine st at atoare  si cu un singur procesor; detect ia consta ^ n procesarea
post-facto a ^ nregistr arilor de evident  a a evenimentelor consemnate ^ n sistem.
1

Detect ia intruziunilor este procesul de monitorizare a evenimentelor ap arute
la nivelul unui sistem de calcul sau al unei ret ele, precum  si de analizare a
acestora pentru a c auta semne de intruziuni, denite ca ^ ncerc ari de realizare
a unor act iuni neautorizate de penetrare, prin ocolirea mecanismelor de se-
curitate ale unui sistem de calcul  si/sau ret ele. ^In timp ce detectarea s ,i
raportarea anomaliilor sunt funct ,ia principal a, unele sisteme de detectare a
intruziunilor sunt capabile s a ^ ntreprind a act ,iuni atunci c^ and se detecteaz a o
activitate r au intent ,ionat a sau un trac anormal, inclusiv blocarea tracului
trimis de la adresele IP suspecte. Intruziunile sunt cauzate de oricare dintre
urm atoarele situat ii: atacatori care acceseaz a sistemul din Internet, utiliza-
tori autorizat i ai sistemului care ^ ncearc a s a obt in a privilegii suplimentare
pentru care nu au permisiuni, sau utilizatori autorizat i care folosesc ^ n mod
inadecvat privilegiile care le sunt alocate. Sistemele de detect ie a intruziu-
nilor (IDS, Intrusion Detection Systems) sunt produse software sau hardware
care asigur a procesul de monitorizare  si analiz a a intruziunilor.
Sistemele de detectare a intruziunilor au fost clasicate ca pasive sau ac-
tive; un IDS pasiv care a detectat o activitate r au intent ,ionat a ar genera
intr ari de alert a sau jurnal, dar nu ar lua nicio m asur a. Un IDS activ, denu-
mit uneori un sistem de detectare s ,i prevenire a intruziunilor, ar genera alerte
s,i ^ nregistr ari ^ n jurnal, dar ar putea  congurat s a ^ ntreprind a act ,iuni, cum
ar  blocarea adreselor IP sau oprirea accesului la resurse restrict ,ionate.
Am ales ca s ,i sistem de operare pe care vom analiza efectele Windows
10(64bit) iar ca IDS voi folosi Avast Antivirus. Am ales solut ,ia Avast Free
Antivirus deoarece consider c a aceast a edit ,ie gratuit a a lui Avast este o solut ie
simpl a, compact a s ,i util a. Majoritatea dezvoltatorilor de antivirus creeaz a
prea mult decalaj^ ntre versiunile pl atite s ,i cele gratuite ceea ce nu se^ nt^ ampl a
^ n cazul cu Avast Free Antivirus din punctul meu de vedere. Desigur c a vor
lipsi c^ ateva dintre caracteristicile premium utile, dar elementele esent ,iale sunt
^ nc a acolo: protect ,ie ^ n timp real, protect ,ie pe web s ,i capabilit at ,i de scanare
s,i detectare profunde s ,i detaliate.
^In plus, avem la dispozit ,ie urm atoarele funct ,ii secundare s ,i c^ ateva instru-
mente ciudate:
Protect ,ia ^ mpotriva phishingului
Manager de parole pe care ^ l putet ,i sincroniza pe mai multe dispozitive
2

(nu perfect, dar din moment ce este gratuit …)
Wi-Fi Inspector pentru a v a ment ,ine ret ,eaua ^ n sigurant , a.
Funct ,ia Disk Rescue pentru restaurarea sistemului.
Software Updater care caut a programe ^ nvechite instalate pe PC.
Browser Integrare add-on pentru securitate ^ n timp ce navigat ,i pe
interweb.
SafePrice add-on pentru cele mai bune preturi in timp ce faci
cumparaturi online.
Din punct de vedere al protect ,iei, baza virusului este enorm a, iar ratele de
detect ,ie sunt put ,in peste medie. C^ and vine vorba de neajunsuri (s ,i ecare
produs are s ,i ele aceleas ,i), activitatea CPU a Avast poate  uneori o prob-
lem a. Din fericire, putet ,i opri acest lucru din panoul de control Avast.
2 Not iuni Teoretice
Un program antivirus este o parte esent ,ial a a unei strategii de securitate pe
mai multe nivele – chiar dac a suntet ,i un utilizator de computer inteligent,

uxul constant de vulnerabilit at ,i pentru browsere, plug-in-uri s ,i sistemul de
operare Windows face ca protect ,ia antivirus s a e important a.
2.1 Scanarea la acces
Software-ul antivirus ruleaz a ^ n fundal pe computer, veric^ and ecare s ,ier
pe care ^ l deschidet ,i. Acest lucru este cunoscut ^ n general ca scanare la acces,
scanare de fundal, scanare rezident a sau protect ,ie ^ n timp real, ^ n funct ,ie de
programul antivirus.
C^ and facet ,i dublu clic pe un s ,ier EXE, poate p area c a programul se
lanseaz a imediat ^ ns a software-ul antivirus veric a mai ^ nt^ ai programul, com-
par^ andu-l cu virus ,i, viermi s ,i alte tipuri de malware cunoscute. Software-ul
antivirus efectueaz a, de asemenea, veric ari "euriste", veric^ and programe
pentru tipuri de comportamente necorespunz atoare care pot indica un nou
virus necunoscut.
Antivirusul scaneaz a s ,i alte tipuri de s ,iere care pot cont ,ine virus ,i. De
exemplu, un s ,ier arhivat .zip poate cont ,ine virus ,i comprimat ,i sau un docu-
ment Word poate cont ,ine o macrocomand a r au intent ,ionat a. Fis ,ierele sunt
3

scanate ori de c^ ate ori sunt utilizate – de exemplu, dac a desc arcat ,i un s ,ier
EXE, acesta va  scanat imediat, ^ nainte s a ^ l deschidet ,i.
Este posibil s a utilizat ,i un antivirus f ar a scanare la acces, ^ ns a eu con-
sider c a aceasta nu este o idee foarte bun a deoarece virus ,ii care exploateaz a
vulnerabilit at ile de securitate din programe nu ar  prins ,i de scaner. Dup a
ce un virus a infectat sistemul, este mult mai greu s a ^ l elimini. (Este, de
asemenea, greu s a i sigur c a malware-ul a fost vreodat a complet eliminat.)
2.2 Scanarea Complet a
Atunci cand este folosita scanarea la acces, de obicei, nu este necesar s a rulat ,i
scanarea ^ n ^ ntregul sistem. Dac a desc arcat ,i un virus pe computer, progra-
mul antivirus va observa imediat – nu trebuie s a init ,iat ,i manual o scanare
mai ^ nt^ ai.
Scan arile de pe ^ ntregul sistem pot  utile pentru anumite lucruri. O
scanare complet a a sistemului este util a atunci c^ and tocmai at ,i instalat un
program antivirus – v a asigur a c a nu exist a virusi existenti pe computer.
Majoritatea programelor antivirus au scan ari complete programate, adesea
o dat a pe s apt am^ an a. Acest lucru asigur a faptul c a cele mai recente s ,iere
de denit ,ie ale virusului sunt utilizate pentru a scana sistemul pentru virus ,ii
latent ,i.
Aceste scan ari complete pe disc pot , de asemenea, utile atunci c^ and
se repar a un computer. Dac a dorit ,i s a reparat ,i un computer deja infectat,
inserarea hard diskului ^ n alt computer s ,i efectuarea unei scan ari complete a
sistemului pentru virus ,i (dac a nu facet ,i o reinstalare complet a a Windows)
este util a. Cu toate acestea, de obicei, nu trebuie s a rulat ,i complet sistemul
de scanare atunci c^ and un program antivirus v a protejeaz a deja – el intot-
deauna efectueaza scanari complete regulat ^ n fundal.
2.3 Denit ii de viru si
Software-ul antivirus se bazeaz a pe denit ,ii de virusi pentru detectarea malware-
ului. De aceea, se descarc a automat s ,iere de denit ,ie noi, actualizate – o
dat a pe zi sau chiar mai des. Fis ,ierele de denit ,ie cont ,in semn aturi pentru
4

virus ,i s ,i alte programe malware care au fost ^ nt^ alnite p^ an a ^ n momentul re-
spectiv. Atunci c^ and un program antivirus scaneaz a un s ,ier s ,i observ a c a
s,ierul se potrives ,te cu o bucat a de malware cunoscut a, programul antivirus
opres ,te rularea s ,ierului, pun^ andu-l ^ n "carantin a". ^In funct ,ie de set arile
programului antivirus, programul antivirus poate s ,terge automat s ,ierul sau
este posibil s a putet ,i permite s ,ierul s a ruleze oricum, dac a suntet ,i ^ ncrez ator
c a este un fals pozitiv.
Companiile care dezvolt a programe antivirus trebuie s a t ,in a mereu la
curent cu cele mai recente fragmente de programe malware, pun^ and la dispozit ie
actualiz ari de denit ,ie care asigur a c a acele malware-uri sunt prinse de pro-
gramele lor. Laboratoarele antivirus utilizeaz a o varietate de instrumente
pentru dezasamblarea virus ,ilor, pentru a le rula ^ n sandbox-uri s ,i pentru a
lansa actualiz ari ^ n timp util, care asigur a c a utilizatorii sunt protejat ,i de
noua bucat a de malware.
2.4 Euristici
Euristici Programele antivirus folosesc de asemenea heuristici. Euristica per-
mite unui program antivirus s a identice tipuri de malware noi sau modi-
cate, chiar s ,i f ar a s ,iere de denit ,ie a virusului. De exemplu, dac a un program
antivirus observ a c a un program care ruleaz a pe sistemul dvs. ^ ncearc a s a
deschid a ecare s ,ier EXE din sistem, infect^ andu-l scriind o copie a progra-
mului original ^ n el, programul antivirus poate detecta acest program ca un
nou, tipul necunoscut de virus.
Niciun program antivirus nu este perfect. Euristica nu poate  prea agre-
siv a sau va marca software-ul legitim ca virus ,i.
2.5 False Positives
Datorit a cantit at ,ii mari de programe software existente, este posibil ca pro-
gramele antivirus s a poat a spune ocazional c a un s ,ier este un virus atunci
c^ and este un s ,ier complet sigur. Acest lucru este cunoscut sub numele de
"fals pozitiv". Ocazional, companiile antivirus fac chiar s ,i gres ,eli, cum ar
identicarea s ,ierelor de sistem Windows, programe populare de tert , a parte
5

sau propriile s ,iere de programe antivirus ca virus ,i. Aceste rezultate fals
pozitive pot afecta sistemele utilizatorilor – astfel de gres ,eli se ^ ncheie, ^ n
general, ^ n s ,tiri, atunci c^ and Microsoft Security Essentials identicat Google
Chrome ca un virus, AVG deteriorat versiunile pe 64 de bit ,i de Windows 7,
sau Sophos sine identicat ca ind malware.
Euristica poate, de asemenea, cres ,te rata de fals pozitive. Un antivirus
poate observa c a un program se comport a similar cu un program r au intent ,ionat
s,i ^ l identic a ca un virus.
Cu toate acestea, fals pozitive sunt destul de rare ^ n utilizarea normal a.
Dac a antivirusul dvs. spune c a un s ,ier este r au intent ,ionat, ar trebui s a
credet ,i ^ n general. Dac a nu suntet ,i sigur dac a un s ,ier este de fapt un virus,
putet ,i ^ ncerca s a ^ l ^ nc arcat ,i ^ n VirusTotal (care este ^ n prezent det ,inut de
Google). VirusTotal scaneaz a s ,ierul cu o varietate de produse antivirus
diferite s ,i v a spune ce spune ecare despre el.
2.6 Rata de detectie
Diferitele programe antivirus au rate de detect ,ie diferite, care implic a at^ at
denit ,ii ale virus ,ilor, c^ at s ,i euristic. Unele companii antivirus pot avea
euristici mai eciente s ,i pot elibera mai multe denit ,ii ale virus ,ilor dec^ at
concurent ,ii lor, rezult^ and o rat a mai mare de detectare.
Unele organizat ,ii fac teste regulate ale programelor antivirus^ n comparat ,ie
cu altele, compar^ and ratele de detect ,ie ^ n utilizarea ^ n lumea real a. AV-
Comparitives public a ^ n mod regulat studii care compar a starea actual a a
ratelor de detect ,ie antivirus. Ratele de detectare tind s a
uctueze ^ n timp –
nu exist a niciunul dintre cele mai bune produse care s a e ^ n mod constant
^ n partea de sus. Dac a suntet ,i ^ ntr-adev ar ^ n c autarea pentru a vedea c^ at de
ecient este un program antivirus s ,i care sunt cele mai bune acolo, studiile
ratei de detectare sunt locul de a ar ata.
6

2.7 Platforme indicate
Majoritatea utilizatorilor de antivirus consider a c a cea mai indicat a plat-
forma unde se cere folosirea unui antivisus sunt PC-urile, ^ ns a acum s ,i tele-
foanele inteligente au nevoie de o asemenea aplicat ,ie. Deasemenea nu avet ,i
nevoie de un antivirus pe sistemele cu OS X s ,i Linux sau terminale cu An-
droid, cu condit ,ia s a e folosite doar aplicat ,iile din magazinele virtuale o-
ciale.
Pe Android, studiile care asociaz a 95% din toate infect ,iile pe smartphone-
uri sau tablete acestei platforme, aproape de ecare dat a, vizeaz a, aplicat ,ii
desc^ rcate de l a tert ,i, de pe site-uri ^ ndoielnice sau de pe torrent. Printre
aplicat ,iile de pe Google Play rata de malware este inm a. Acelas ,i lucru este
valavil s ,i pentru Mac-uri. Per ansamblu, mitul c a pe Windows exist a cea mai
mare parte a infect ,iilor este la fel de valabil ca acum cinci sau zece ani, cu
condit ,ia s a nu petrecet ,i un timp excesiv^ ncerc^ and s a v a infectat ,i MacBook-ul
cu diverse aplicat ,ii malware, spyware sau toolbar-uri ^ n browser.[4]
3 Analiza pe sistemul de operare
3.1 Analiza ^ nainte de instalarea antivirusului
^Inainte de a instala antivirusul pe sistemul de operare am vrut s a fac un-
ele teste ^ n care am s a evident ,iez anumite aspecte legate de performant ,a
sistemului ^ nainte s ,i dup a instalarea antivirusului. Astfel, cu ajutorul Task
Manager-ului din Windows ne vom focusa pe anumite aspecte de interes
s,i vom analiza procentul consumului de procesor, de exemplu, ^ n condis ,iile
rul arii unor programe care folosesc intensiv s ,iere pe disc sau ret ,eaua.
7

Figure 1: CPU f ar a antivirus.
Pentru acest test am descis un program de editare audio s ,i am observat
astfel c a procentul de utilizare al procesorului ^ n timpul rul arii acestui pro-
gram era de aproximativ 11%, consumul de memorie undeva la 77%, ^ n timp
ce consumul de spat ,iu pe disc era de doar 10%.
Pentru a analiza impactul asupra performant ,ei generale am ales s a rulez
mai multe programe ^ n paralel, programe care acceseaz a discul repetat, astfel
am mai pornit inc a o aplicat ,ie pentru a vedea schimb arile ce au loc la nivelul
consumului de procesor, memorie s ,i spat ,iu pe disc dup a cum se poate observa
^ n gura urm atoare:
8

Figure 2: Performant ,a general a.
Deasemenea, ^ n ^ ncercarea noastr a de a vedea impactul unui antivirus
asupra unui sistem de calcul, am evident ,iat s ,i timpul de r aspuns pentru ru-
larea unui anumit program, astfel am obs ,inut urm atorul rezultat:
Figure 3: Timp de r aspuns.
3.2 Analiza dup a instalarea antivirusului
Am instalat ^ n acest moment versiunea Free de la Avast pentru Windows s ,i
vom deschide astfel din nou Task Managerul din Windows s ,i ne vom focusa
pe aceleas ,i aspecte din momentul c^ and nu era instalat programul antivirus,
unde putem observa ^ n gura de mai jos c a nivelul consumului de procesor a
crescut cu un procent de aproximativ 12%.
9

Figure 4: CPU cu antivirus.
Am rulat astfel aceleas ,i aplicat ,ii ca s ,i ^ nainte pentru a observa s ,i impactul
asupra performant ,elor generale ale sistemului de calcul dup a instalarea an-
tivirusului, unde am obt ,inut urm atorul rezulat:
10

Figure 5: Performant ,a general a.
Referitor la timpul de r aspuns ^ n urma execut ,iei unei aplicat ,ii ulterior
instal arii programului antivirus, rezultatul este urm atorul:
Figure 6: Timp de r aspuns.
4 Studiu comparativ
Orice software care ruleaz a pe computerul nostru va plasa ^ n mod natural
o sarcin a pe resursele calculatorului, iar software-ul antivirusului nu face
except ,ie de la aceast a regul a. ^In cazul nostru se poate observa din testele pe
care le-am f acut mai sus faptul c a versiunea de antivirus pe care eu am ales-o
a afectat ^ n mod vizibil performant ,ele computerului ^ ns a nu la nivelul la care
11

s a m a ^ mpiedice s a mai folosesc computerul ^ n parametrii normali. De aceea
este important s a alegem o solut ,ie antivirus care s a ofere un nivel adecvat
de protect ,ie a computerului – f ar a a afecta ^ n mod semnicativ performant ,a
acestuia.
Pentru a proteja computerul, programul antivirus trebuie s a efectueze o
gam a larg a de activit at ,i, printre care:
Deschiderea s ,ierelor
Citirea datelor din acele s ,iere
Despachetarea arhivelor
Scanarea s ,ierelor pentru a detecta software r au intent ,ionat
Evaluarea sigurant ,ei site-urilor Web – dac a solut ,ia antivirus include funct ,ii
de protect ,ie pe Internet
Gestioneaz a s ,i primes ,te actualiz ari s ,i ruleaz a multe alte funct ,ii anti-malware
^Intr-o anumit a m asur a, cu c^ at software-ul antivirus este mai cuprinz ator ^ n
scanarea, detectarea s ,i neutralizarea malware-ului, cu at^ at este mai probabil
s a se utilizeze puterea de procesare a computerului. Cu toate acestea, dac a
ne baz am ^ n select ,ia unui produs antivirus numai pe modul ^ n care afecteaz a
performant ,a computerului s ,i nu ne g^ andim la nivelul de protect ,ie pe care ^ l
poate oferi produsul – calculatorul ar putea  foarte vulnerabil.
5 Concluzii
Sistemele de detectare a intruziunilor ofer a organizat ,iilor o mult ,ime de ben-
ecii, ^ ncep^ and cu capacitatea de a identica incidentele de securitate. Un
IDS poate  folosit pentru a ajuta la analiza cantit at ,ii s ,i tipurilor de atacuri,
iar organizat ,iile pot folosi aceste informatii pentru a-si schimba sistemele de
securitate sau pentru a implementa controale mai eciente. Un sistem de
detect ,ie a intruziunilor poate, de asemenea, ajuta companiile s a identice
bug-uri sau probleme cu congurat ,iile dispozitivelor lor de ret ,ea. Aceste val-
ori pot  apoi folosite pentru a evalua riscurile viitoare.
Sistemele de detect ,ie a intruziunilor pot, de asemenea, ajuta^ ntreprinderea
s a ating a conformitatea cu reglement arile. Un IDS ofer a companiilor o
vizibilitate mai mare ^ n ret ,elele lor, facilit^ and respectarea reglement arilor
de securitate. ^In plus, ^ ntreprinderile pot utiliza jurnalele IDS ca parte a
documentat ,iei pentru a ar ata c a ^ ndeplinesc anumite cerint ,e de conformitate.
12

Sistemele de detectare a intruziunilor pot ^ mbun at at ,i s ,i r aspunsul la se-
curitate. Deoarece senzorii IDS pot detecta gazde s ,i dispozitive de ret ,ea, ele
pot  utilizate s ,i pentru a inspecta datele din pachetele de ret ,ea, precum s ,i
pentru a identica sistemele de operare ale serviciilor utilizate. Utilizarea
unui IDS pentru colectarea acestor informat ,ii poate  mult mai ecient a
dec^ at recens amintele manuale ale sistemelor conectate.
6 Bibliograe
[1] http://www.agir.ro/buletine/726.pdf
[2] https://searchsecurity.techtarget.com/denition/intrusion-detection-system
[3] https://windowsreport.com/free-antivirus-windows-7/
[4] https://playtech.ro/2014/care-este-cel-mai-bun-antivirus-pentru-mine/
[5] https://www.kaspersky.com/resource-center/preemptive-safety/antivirus-
performance-vs-protection
13