Diciamo che ho un server chiamato A che ospita un sito Web di upload che è connesso alla connessione di rete B. Diciamo che uno dei miei clienti carica più file .rar di 1 MB (che contengono parti di malware) e quando li decomprimo Ricostruisco il malware. C'è un modo per rilevare le parti del malware prima di decomprimere i file?
Posso avere un firewall / dispositivo che controllerà tutti i file tra A e B e li bloccherà?
È tecnicamente possibile?
Di solito l'analisi funziona solo a livello di singolo download ed è davvero difficile farlo in modo diverso. Il firewall non sa che uno specifico download è solo una parte di una sessione di download più ampia e dove il resto dei dati può essere scaricato per un'analisi completa.
Tuttavia, a seconda del formato del file, il firewall potrebbe almeno rilevare che fa parte di un download più grande o che si tratta di un formato di dati sconosciuto. E potrebbe avere una lista bianca che tipi di dati sono consentiti e dati sconosciuti o archivi parziali non fanno parte di questa lista bianca. In questo caso il firewall potrebbe non essere in grado di analizzare il download per malware ma potrebbe decidere di bloccare il download perché il contenuto non è nella lista bianca.
Questo tipo di situazione si verifica anche con gli acceleratori di download o la ripresa dei download, nel qual caso anche il firewall vedrebbe solo un download parziale. Alcuni firewall si occupano di questo caso cambiando la richiesta del client in modo che si traduca in un download completo che può quindi essere analizzato dal firewall.
In generale, questo è un problema irrisolvibile. Considera la situazione in cui un utente carica file zip crittografati: puoi decomprimerli solo se hai la password per ognuno. Senza quella password, puoi vedere il nome del contenuto, ma nient'altro.
Ciascuno di questi file può essere perfettamente legittimo: forse sono documenti di Word. Il tuo firewall può vedere che si tratta di documenti Word, ma non solo quali sono i contenuti. Potresti anche essere in grado di indovinare le password per alcuni di questi file zip e decomprimere i documenti di Word, per scoprire che sono effettivamente documenti Word validi. Tuttavia, i documenti Word sono, nelle versioni moderne, i file zip stessi, che possono essenzialmente contenere qualsiasi cosa. Il tuo firewall non avrebbe la possibilità di trovarlo senza conoscere la password per il file zip esterno e quindi di ispezionare anche il contenuto del file interno.
Questa non è l'unica combinazione che permetterà ai file arbitrari di superare la maggior parte dei firewall. Prendi in considerazione l'invio di un documento Word che contiene una stringa di testo Base64, che, in seguito alla decodifica, è un binario dannoso. Qualsiasi trucco tu possa pensare per evitare che i file vengano introdotti nel tuo ambiente, è possibile pensare a come aggirarli.
Un modo migliore per affrontare questo problema è consentire l'accesso ai dati, ma applicare l'utilizzo del rilevamento dei malware in accesso. Questo si attiva non appena un file viene decodificato, o ricostruito, e lo elimina, o blocca l'accesso ad esso. Ha anche il vantaggio di lavorare contro il malware introdotto tramite i firewall di bypass - chiavette USB, dispositivi mobili collegati per caricare, file trasferiti su laptop mentre su altre reti.
Leggi altre domande sui tag malware firewalls antivirus antimalware