Πώς να κάνετε σάρωση για ιούς μέσω μιας υπηρεσίας API προστασίας από ιούς

από
Tweet
Share
Share
Pin

Ο Ιστός είναι γεμάτος κακόβουλες σελίδες. Δυστυχώς, αυτά μπορεί να υπάρχουν και στους ιστότοπους πελατών/προμηθευτών σας.

Καμία επιχείρηση σήμερα δεν είναι χωρίς κάποια ενοποίηση που τροφοδοτεί ή παρέχει εισροές σε έναν ιστότοπο πελάτη ή προμηθευτή. Φυσικά, η επιχείρησή σας δεν θα υπάρχει χωρίς αυτές τις υπηρεσίες, αλλά μερικές φορές αποτελεί απειλή λόγω αυτών των υπηρεσιών. Οι εξωτερικοί ιστότοποι με τους οποίους αλληλεπιδράτε μπορεί να έχουν κακόβουλο περιεχόμενο (είτε έχει εγκατασταθεί σκόπιμα είτε έχει παραβιαστεί από τρίτο μέρος) και αν αυτό το περιεχόμενο βρει το δρόμο του προς το προκαθορισμένο μέρος, οι συνέπειες μπορεί να είναι καταστροφικές.

Δεν μπορούμε να σαρώσουμε ιστότοπους για κακόβουλες σελίδες με μη αυτόματο τρόπο;

Μπορεί να φαίνεται ότι ένας ικανός προγραμματιστής θα πρέπει να μπορεί να σαρώνει σελίδες για τρωτά σημεία. Δυστυχώς, αυτό δεν είναι καν κοντά στην πραγματικότητα για πολλούς λόγους:

  • Οι προγραμματιστές δεν ειδικεύονται στον εντοπισμό/ασφάλεια. Η τεχνογνωσία τους έγκειται στην κατασκευή πολύπλοκου λογισμικού συναρμολογώντας πολλά μικρότερα υποσυστήματα. Με άλλα λόγια, απλά δεν έχουν τις δεξιότητες.
  • Ακόμα κι αν συναντούσατε έναν προγραμματιστή αρκετά ταλαντούχο, η εργασία θα ήταν απλώς υπερβολική. Μια τυπική, πλούσια σε χαρακτηριστικά ιστοσελίδα περιέχει χιλιάδες γραμμές κώδικα — το να τις συνδυάσεις όλες μαζί για να βρεις τη μεγαλύτερη εικόνα καθώς και τα μικροσκοπικά κενά δεν είναι τίποτα λιγότερο από εφιάλτης. Μπορείτε επίσης να δώσετε εντολή σε κάποιον να φάει έναν ολόκληρο ελέφαντα για μεσημεριανό γεύμα!
  • Για να μειωθούν οι χρόνοι φόρτωσης σελίδων, οι ιστότοποι συχνά συμπιέζουν και ελαχιστοποιούν τα αρχεία CSS και JavaScript τους. Αυτό έχει ως αποτέλεσμα ένα τέτοιο μπερδεμένο κώδικα που είναι εντελώς αδύνατο να διαβαστεί.

Τι πιστεύετε ότι κάνει αυτός ο κωδικός; :kappa: (Πηγή elgg.org)

Εάν αυτό εξακολουθεί να φαίνεται ευανάγνωστο, είναι επειδή οι καλές ψυχές εκεί αποφάσισαν να διατηρήσουν τα ονόματα των μεταβλητών σε ένα μεγάλο πλαίσιο. Δοκιμάστε τον πηγαίο κώδικα για το jQuery, τον οποίο κάποιος μπορεί να φιλοξενήσει στον ιστότοπό του και να τον παραποιήσει (δύο γραμμές κάπου κάτω από αυτό το χάος):

Για να μην αναφέρουμε, ότι η πηγή είναι κοντά στις 5.000 γραμμές κώδικα. 😎

Αυτό είναι μόνο ένα σενάριο για το οποίο μιλάμε. Μια ιστοσελίδα έχει συνήθως συνημμένα 5-15 σενάρια και είναι πιθανό να εργάζεστε με 10-20 ιστοσελίδες συνολικά. Φανταστείτε να πρέπει να το κάνετε αυτό κάθε μέρα. . . Ή χειρότερα, μερικές φορές την ημέρα!

Ευτυχώς, είναι δυνατή η σάρωση διευθύνσεων URL γρήγορα και εύκολα μέσω των API. Μπορείτε να σαρώσετε όχι μόνο ιστοσελίδες, αλλά και αρχεία που σας παρέχονται για λήψη. Ας δούμε μερικά από τα εργαλεία API που σας βοηθούν να το κάνετε αυτό. Και ω, καθώς πρόκειται για API, οι προσπάθειες του προγραμματιστή σας θα εξυπηρετηθούν πολύ καλύτερα αν του ζητήσετε να δημιουργήσουν ένα εργαλείο σάρωσης ιστότοπου χρησιμοποιώντας αυτά τα API. 😀

Κίνδυνος Ιστού Google

Δεν αποτελεί έκπληξη το γεγονός ότι ένας έλεγχος ιστοσελίδων θα προερχόταν από την εταιρεία που κατέχει ουσιαστικά το Διαδίκτυο (όλες τις ιστοσελίδες του, εννοώ). Αλλά υπάρχει ένα πιάσιμο: Κίνδυνος Ιστού Google είναι ακόμα σε beta και είναι διαθέσιμο στις αίτηση μόνο. Το να είσαι σε beta σημαίνει περισσότερες αλλαγές.

  14 καλύτερες δωρεάν εναλλακτικές λύσεις Gmail

Ωστόσο, δεδομένου ότι το API είναι αρκετά απλό, οποιεσδήποτε αλλαγές μπορούν να αντιμετωπιστούν από τον προγραμματιστή σας χρησιμοποιώντας ένα εργαλείο παρακολούθησης API και λίγα λεπτά χρόνου ανάπτυξης. 🙂

Η χρήση του API είναι επίσης εξαιρετικά εύκολη. Για να ελέγξετε μια μεμονωμένη σελίδα χρησιμοποιώντας τη γραμμή εντολών, απλώς στείλτε ένα αίτημα ως εξής:

curl -H "Content-Type: application/json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&threatTypes=MALWARE&uri=http%3A%2F%2Ftestsafebrowsing.appspot.com%2Fs%2Fmalware.html"

Εάν το αίτημα ήταν επιτυχές, το API απαντά με τον τύπο ευπάθειας στη σελίδα:

{
  "threat": {
    "threatTypes": [
      "MALWARE"
    ],
    "expireTime": "2019-07-17T15:01:23.045123456Z"
  }
}

Όπως μπορείτε να δείτε, το API επιβεβαιώνει ότι η σελίδα είναι γνωστό ότι περιέχει κακόβουλο λογισμικό.

Λάβετε υπόψη ότι το Google Web Risk API δεν εκτελεί διαγνωστικά κατ’ απαίτηση σε URL ή αρχείο της επιλογής σας. Συμβουλεύεται μια μαύρη λίστα που διατηρεί η Google με βάση τα ευρήματα αναζήτησης και τις αναφορές και αναφέρει εάν η διεύθυνση URL βρίσκεται σε αυτήν τη μαύρη λίστα ή όχι. Με άλλα λόγια, εάν αυτό το API λέει ότι ένα URL είναι ασφαλές, είναι ασφαλές να υποθέσουμε ότι είναι αρκετά ασφαλές, αλλά δεν υπάρχουν εγγυήσεις.

VirusTotal

VirusTotal είναι μια άλλη ωραία υπηρεσία που μπορείτε να χρησιμοποιήσετε για να σαρώσετε όχι μόνο διευθύνσεις URL, αλλά και μεμονωμένα αρχεία (με αυτή την έννοια, το βάζω πάνω από το Google Web Risk από άποψη χρησιμότητας). Εάν αισθάνεστε φαγούρα για να δοκιμάσετε την υπηρεσία, απλώς μεταβείτε στον ιστότοπο και ακριβώς στην αρχική σελίδα, υπάρχει μια επιλογή να ξεκινήσετε.

Ενώ το VirusTotal είναι διαθέσιμο ως δωρεάν πλατφόρμα που έχει δημιουργηθεί και επιμελείται μια ζωντανή κοινότητα, προσφέρει μια εμπορική έκδοση του API του. Να γιατί θέλετε να πληρώσετε για την υπηρεσία premium:

  • Ευέλικτο ποσοστό αιτημάτων και ημερήσιο όριο (σε αντίθεση με τα μόλις τέσσερα αιτήματα ανά λεπτό για το δημόσιο API)
  • Ο πόρος που υποβλήθηκε σαρώνεται από το VirusTotal από το πρόγραμμα προστασίας από ιούς και επιστρέφονται πρόσθετες διαγνωστικές πληροφορίες.
  • Πληροφορίες που βασίζονται στη συμπεριφορά σχετικά με τα αρχεία που υποβάλλετε (τα αρχεία θα τοποθετηθούν σε διαφορετικά περιβάλλοντα sandbox για την παρακολούθηση ύποπτων δραστηριοτήτων)
  • Υποβάλετε ερώτημα στη βάση δεδομένων αρχείων VirusTotal για διάφορες παραμέτρους (υποστηρίζονται σύνθετα ερωτήματα)
  • Αυστηροί χρόνοι SLA και απόκρισης (τα αρχεία που υποβάλλονται στο VirusTotal μέσω του δημόσιου API μπαίνουν στην ουρά και χρειάζονται πολύ χρόνο για ανάλυση)

Εάν προτιμάτε το ιδιωτικό API VirusTotal, μπορεί να είναι μία από τις καλύτερες επενδύσεις που έχετε κάνει ποτέ σε ένα προϊόν SaaS για την επιχείρησή σας.

Scanii

Μια άλλη σύσταση για API σαρωτή ασφαλείας είναι Scanii. Είναι ένα απλό REST API που μπορεί να σαρώσει υποβληθέντα έγγραφα/αρχεία για την παρουσία απειλών. Σκεφτείτε το ως έναν σαρωτή ιών κατ’ απαίτηση που μπορεί να εκτελεστεί και να κλιμακωθεί χωρίς κόπο!

Εδώ είναι τα καλούδια που προσφέρει η Scanii:

  • Δυνατότητα εντοπισμού κακόβουλου λογισμικού, σεναρίων phishing, ανεπιθύμητου περιεχομένου, περιεχομένου NSFW (Not Safe For Work) κ.λπ.
  • Είναι χτισμένο στο Amazon S3 για εύκολη κλιμάκωση και αποθήκευση αρχείων μηδενικού κινδύνου.
  • Εντοπίστε προσβλητικό, μη ασφαλές ή δυνητικά επικίνδυνο κείμενο σε περισσότερες από 23 γλώσσες.
  • Μια απλή, χωρίς περιττά στοιχεία, εστιασμένη προσέγγιση στη σάρωση αρχείων που βασίζεται σε API (με άλλα λόγια, χωρίς περιττές “χρήσιμες” λειτουργίες)
  13 Καλύτερο Μουσικό Οπτικοποιητή για Καλύτερη Δέσμευση

Το πραγματικά καλό είναι ότι το Scanii είναι μια μετα-μηχανή. Δηλαδή, δεν εκτελεί σαρώσεις από μόνο του, αλλά χρησιμοποιεί ένα σύνολο υποκείμενων κινητήρων που κάνουν στο πόδι. Είναι ένα μεγάλο πλεονέκτημα καθώς δεν χρειάζεται να είστε συνδεδεμένοι με μια συγκεκριμένη μηχανή ασφαλείας, πράγμα που σημαίνει ότι δεν χρειάζεται να ανησυχείτε για χαλασμένες αλλαγές API και οτιδήποτε άλλο.

Βλέπω το Scanii ως ένα τεράστιο όφελος για πλατφόρμες που εξαρτώνται από περιεχόμενο που δημιουργείται από τους χρήστες. Μια άλλη περίπτωση χρήσης είναι αυτή της σάρωσης αρχείων που δημιουργούνται από μια υπηρεσία προμηθευτή που δεν μπορείτε να εμπιστευτείτε 100%.

Metadefender

Για ορισμένους οργανισμούς, η σάρωση αρχείων και ιστοσελίδων σε ένα μόνο τελικό σημείο δεν αρκεί. Έχουν μια πολύπλοκη ροή πληροφοριών και κανένα από τα τελικά σημεία δεν μπορεί να παραβιαστεί. Για αυτές τις περιπτώσεις χρήσης, Metadefender είναι η ιδανική λύση.

Σκεφτείτε το Metadefender ως έναν παρανοϊκό θυρωρό που βρίσκεται ανάμεσα στα βασικά στοιχεία δεδομένων σας και οτιδήποτε άλλο, συμπεριλαμβανομένου του δικτύου. Λέω «παρανοϊκό» γιατί αυτή είναι η σχεδιαστική φιλοσοφία πίσω από το Metadefender. Δεν μπορώ να το περιγράψω καλύτερα από αυτούς, οπότε ακολουθεί:

Οι περισσότερες λύσεις ασφάλειας στον κυβερνοχώρο βασίζονται στην ανίχνευση ως βασική προστατευτική τους λειτουργία. Η εξυγίανση δεδομένων MetaDefender δεν βασίζεται στην ανίχνευση. Υποθέτει ότι όλα τα αρχεία θα μπορούσαν να έχουν μολυνθεί και αναδομεί το περιεχόμενό τους χρησιμοποιώντας μια ασφαλή και αποτελεσματική διαδικασία. Υποστηρίζει περισσότερους από 30 τύπους αρχείων και εξάγει ασφαλή και χρησιμοποιήσιμα αρχεία. Η εξυγίανση δεδομένων είναι εξαιρετικά αποτελεσματική στην πρόληψη στοχευμένων επιθέσεων, ransomware και άλλων τύπων γνωστών και άγνωστων απειλών κακόβουλου λογισμικού.

Υπάρχουν μερικά προσεγμένα χαρακτηριστικά που προσφέρει το Metadefender:

  • Πρόληψη απώλειας δεδομένων: Με απλά λόγια, αυτή είναι η δυνατότητα παράκαμψης και προστασίας ευαίσθητων πληροφοριών που εντοπίζονται μέσα στα περιεχόμενα του αρχείου. Για παράδειγμα, μια απόδειξη PDF με ορατό τον αριθμό της πιστωτικής κάρτας θα αποκρύπτεται από το Metadefender.
  • Αναπτύξτε τοπικά ή στο cloud (ανάλογα με το πόσο παρανοϊκός είστε!).
  • Ανατρέξτε σε 30+ τύπους μορφών αρχειοθέτησης (zip, tar, rar, κ.λπ.) και 4.500 τεχνάσματα πλαστογράφησης τύπου αρχείων.
  • Αναπτύξεις πολλαπλών καναλιών — ασφαλίστε μόνο αρχεία ή χρησιμοποιήστε τον έλεγχο ηλεκτρονικού ταχυδρομείου, δικτύου και σύνδεσης.
  • Προσαρμοσμένες ροές εργασίας για την εφαρμογή διαφορετικών τύπων σωληνώσεων σάρωσης με βάση προσαρμοσμένους κανόνες.

Το Metadefender περιλαμβάνει 30+ κινητήρες, αλλά τους αφαιρεί όμορφα, οπότε δεν χρειάζεται να τους σκεφτείτε ποτέ. Εάν είστε μια επιχείρηση μεσαίου έως μεγάλου μεγέθους που απλά δεν μπορεί να αντέξει οικονομικά εφιάλτες ασφαλείας, το Metadefender είναι μια εξαιρετική επιλογή.

Urlscan.io

Εάν ασχολείστε κυρίως με ιστοσελίδες και πάντα θέλατε μια πιο εμπεριστατωμένη ματιά στο τι κάνουν στα παρασκήνια, Urlscan.io είναι ένα εξαιρετικό όπλο στο οπλοστάσιό σας.

Ο όγκος των πληροφοριών που απορρίπτει το Urlscan.io δεν είναι τίποτα λιγότερο από εντυπωσιακός. Μεταξύ άλλων, μπορείτε να δείτε:

  • Συνολικός αριθμός διευθύνσεων IP με τις οποίες έρχεται σε επαφή η σελίδα.
  • Λίστα γεωγραφιών και τομέων στους οποίους έστειλε πληροφορίες η σελίδα.
  • Τεχνολογίες που χρησιμοποιούνται στο front-end και στο backend του ιστότοπου (δεν υπάρχουν ισχυρισμοί για την ακρίβεια, αλλά είναι ανησυχητικά ακριβής!).
  • Πληροφορίες για τον τομέα και το πιστοποιητικό SSL
  • Λεπτομερείς αλληλεπιδράσεις HTTP μαζί με ωφέλιμο φορτίο αιτημάτων, ονόματα διακομιστών, χρόνους απόκρισης και πολλά άλλα.
  • Κρυφές ανακατευθύνσεις και αποτυχημένα αιτήματα
  • Εξερχόμενοι σύνδεσμοι
  • Ανάλυση JavaScript (καθολικές μεταβλητές που χρησιμοποιούνται στα σενάρια κ.λπ.)
  • Ανάλυση δέντρου DOM, περιεχόμενο φορμών και πολλά άλλα.
  Δωρεάν λήψη: Το GarageBand για iPhone και iPad είναι απαραίτητο

Δείτε πώς φαίνονται όλα:

Το API είναι απλό και απλό, επιτρέποντάς σας να υποβάλετε μια διεύθυνση URL για σάρωση, καθώς και να ελέγχετε το ιστορικό σάρωσης αυτής της διεύθυνσης URL (σαρώσεις που πραγματοποιούνται από άλλους, δηλαδή). Ολα για όλα, Urlscan.io παρέχει πληθώρα πληροφοριών για κάθε ενδιαφερόμενη επιχείρηση ή άτομο.

SUCURI

Το SUCURI είναι μια πολύ γνωστή πλατφόρμα όσον αφορά την ηλεκτρονική σάρωση ιστότοπων για απειλές και κακόβουλο λογισμικό. Αυτό που ίσως δεν γνωρίζετε είναι ότι έχουν α REST API Επίσης, επιτρέποντας την αξιοποίηση της ίδιας ισχύος μέσω προγραμματισμού.

Δεν υπάρχουν πολλά να μιλήσουμε εδώ, εκτός από το ότι το API είναι απλό και λειτουργεί καλά. Φυσικά, το Sucuri δεν περιορίζεται σε ένα API σάρωσης, οπότε όσο είστε σε αυτό, θα σας συνιστούσα να ελέγξετε μερικές από τις ισχυρές λειτουργίες του, όπως σάρωση από την πλευρά του διακομιστή (Βασικά, παρέχετε τα διαπιστευτήρια FTP, και αυτό συνδέεται και σαρώνει όλα τα αρχεία για απειλές!).

Quttera

Η τελευταία μας καταχώριση σε αυτή τη λίστα είναι Quttera, που προσφέρει κάτι ελαφρώς διαφορετικό. Αντί να σαρώνει τον τομέα και τις υποβληθείσες σελίδες κατ’ απαίτηση, το Quttera μπορεί επίσης να πραγματοποιεί συνεχή παρακολούθηση, βοηθώντας σας να αποφύγετε τρωτά σημεία μηδενικής ημέρας.

Το REST API είναι απλό και ισχυρό και μπορεί να επιστρέψει μερικές περισσότερες μορφές από το JSON (για παράδειγμα, XML και YAML). Η πλήρης πολυνηματική και η ταυτόχρονη υποστήριξη υποστηρίζονται στις σαρώσεις, επιτρέποντάς σας να εκτελείτε πολλαπλές εξαντλητικές σαρώσεις παράλληλα. Δεδομένου ότι η υπηρεσία εκτελείται σε πραγματικό χρόνο, είναι πολύτιμη για τις εταιρείες που είναι σε κρίσιμες για την αποστολή προσφορές όπου ο χρόνος διακοπής λειτουργίας σημαίνει εξαφάνιση.

συμπέρασμα

Τα εργαλεία ασφαλείας όπως αυτά που καλύπτονται σε αυτό το άρθρο είναι απλώς μια επιπλέον γραμμή άμυνας (ή προσοχή, αν θέλετε). Ακριβώς όπως ένα πρόγραμμα προστασίας από ιούς, υπάρχουν πολλά που μπορούν να κάνουν, αλλά δεν υπάρχει τρόπος να προσφέρουν μια μέθοδο σάρωσης που να μην λειτουργεί σωστά. Αυτό συμβαίνει απλώς και μόνο επειδή ένα πρόγραμμα γραμμένο με κακόβουλη πρόθεση είναι το ίδιο για τον υπολογιστή με αυτό που έχει γραφτεί για θετικό αντίκτυπο — και ζητούν πόρους συστήματος και κάνουν αιτήματα δικτύου. ο διάβολος βρίσκεται στο πλαίσιο, το οποίο δεν είναι για τους υπολογιστές να λειτουργούν με επιτυχία.

Τούτου λεχθέντος, αυτά τα API παρέχουν μια ισχυρή κάλυψη ασφαλείας που είναι επιθυμητή στις περισσότερες περιπτώσεις — τόσο για εξωτερικούς ιστότοπους όσο και για τους δικούς σας! 🙂