Video: "Мышление как антивирус". Михаил Казиник онлайн. (November 2024)
Kmalu po objavi mojega pregleda Tiranium Premium Security 2014 sem prejel sporočilo raziskovalca s pomočjo ročaja Malware1. Trdil je, da je Tiranium zlorabljal različna spletna mesta za preverjanje zlonamerne programske opreme, da bi okrepil svojo stopnjo odkrivanja. Njegov zapis je zlasti vseboval povezave do videoposnetkov, ki prikazujejo predvsem starejšo različico programske opreme, ki se povezuje z VirusTotal (čeprav je priznal, da neposredne povezave ni več). Poskrbel je tudi za več e-poštnih sporočil od VirusTotal do Tiranium, ki zahtevajo, da nehajo zlorabljati storitev.
Preveril sem pri VirusTotal, vendar je moj kontakt zavrnil komentar glede objave. Sam sem moral določiti, ali je to res in ali je to problem, če je tako.
Kaj je VirusTotal
Za tiste, ki tega ne poznajo, je javni vir VirusTotal spletna stran, na katero lahko naložite datoteko in preverite, ali je zlonamerna. Spletno mesto najprej ustvari hash za datoteko - edinstven matematični prstni odtis. Če je hash že v njegovi bazi podatkov (in večina jih je), vrne shranjene rezultate. Če ne, preveri datoteko s približno 50 glavnimi protivirusnimi sistemi, ki poročajo, da je ta datoteka označila kot zlonamerno. Google je VirusTotal kupil pred približno dvema letoma.
Storitev presega preprosto preverjanje datotek. Po njegovem spletnem mestu je "poslanstvo VirusTotal pomagati pri izboljšanju protivirusne in varnostne industrije ter narediti internet varnejši kraj z razvojem brezplačnih orodij in storitev." Na isti strani je navedeno, da "nobene storitve ali aplikacije, javno objavljene na tem spletnem mestu, ne bi smeli uporabljati v komercialnih izdelkih, komercialnih storitvah ali v kakršne koli poslovne namene. Na enak način se nobena od storitev ne sme uporabljati kot nadomestek varnostnih izdelkov."
Z drugimi besedami, izdelek, ki je preprosto uporabil rezultate VirusTotal, ne da bi neodvisno preveril, ali je datoteka zlonamerna, krši pogoje storitve. In res je kontroverzni test laboratorija Kaspersky pred nekaj leti pokazal, da je slepa uporaba odkrivanja s spletnega mesta slaba ideja.
Kopanje z WireShark
Po poročanju Malware1 Tiranium najprej preveri sumljivo datoteko s svojim lokalno nameščenim odjemalcem. Če ni ujemanja, preveri hash datoteke v VirusTotal. Samo če VirusTotal ne dobi rezultatov, se sklicuje na lasten vedenjski optični bralnik.
Za začetek preiskave sem ustvaril popolnoma nove spremenjene različice moje trenutne zbirke zlonamerne programske opreme, spreminjal imena datotek, spreminjal velikost datoteke in nastavil nekaj neizvršljivih bajtov. Preveril sem, da se hash vsake datoteke proti VirusTotal, da se prepričam, da vsi niso iz baze.
Ko se je izvajal pripomoček za sledenje omrežnega prometa WireShark, sem sprožil skeniranje Tiranium mape, ki vsebuje te datoteke. Čudno je, da je optično branje trajalo ure, vendar se nikoli ni končalo, število prebranih datotek pa se ni spremenilo od začetne nič. Pozneje sem izvedel, da je bil to, ker je vedenjski strežnik v oblaku nekaj ur nižal.
Dejansko sem s pomočjo dnevnika WireShark videl, da je Tiranium znova in znova poskusil naložiti datoteke v vedenjski oblak, pri čemer se je vsak poskus končal z napako. Nisem našel nobenih dokazov o neposredni povezavi z VirusTotal ali katero koli drugo storitvijo, ki se je domnevno uporabljala v preteklosti.
Okrožni dokazi
Nekatere preizkusne datoteke sem premaknil v drugo mapo in jih predložil VirusTotal na pregled. V vsakem primeru je večina protivirusnih sistemov zaznala, da so zlonamerni; nekateri so dobili skoraj soglasno prepoznavanje kot zlonamerne programske opreme.
Takoj, ko je vse datoteke obdelal VirusTotal, sem takoj skeniral mapo s Tiranium. Tokrat je te datoteke takoj prepoznal kot zlonamerno programsko opremo. Ko sem skeniral preostale datoteke, tiste, ki jih še nisem naložil, se je optično obtičal, kot prej. Medtem ko še vedno ni bilo neposredne povezave od mojega računalnika do VirusTotal, se zdi, da sem vzpostavil jasno verigo vzročnosti.
Mogoče je v redu?
Povezala sem se s svojimi povezavami v protivirusni industriji, da vidim, kaj mislijo. En raziskovalec je poudaril, da lahko protivirusna podjetja sklenejo pogodbo z VirusTotal, da samodejno prejme katerikoli vzorec, ki so ga drugi zaznali, vendar je njihov izdelek zamudil. Vendar to na videz ne opisuje situacije, ki sem jo opazil.
Še pomembneje pa je, da je moj stik s Tiranijem potrdil uporabo VirusTotal. "VirusTotal ima posebne pogoje uporabe, " je dejal. "Vzorce pošiljajo podjetjem. Tiranium je eno izmed podjetij, ki to analizira, tako kot vsa druga." Nadalje je ugotovil, da je čas za analizo novih vzorcev lahko različen. "Včasih bodo to trajale ure, včasih, nekaj dni, " je dejal.
Ali pa morda ne
Na strani kreditov VirusTotal so navedeni vsi prodajalci, ki so "integrirali izdelek, orodje ali vir v VirusTotal ali so nekako prispevali." Ti prodajalci so podpisali sporazum, ki vključuje niz najboljših praks. Tiranium ni med omenjenimi podjetji. Ne prejema vzorcev od VirusTotal, zato njegova uporaba ni "kot vse druge."
Sama po svojem zadovoljstvu sem ugotovila, da so e-poštna sporočila, ki jih je poslal Malware1, sporočila Tiraniumu, da preneha z zlorabo VirusTotal, resnični. Videla sem dokaze, da se je naenkrat sama aplikacija za informacije povezala neposredno z VirusTotal, kar je vsekakor zloraba. Toda ali njegova trenutna utelešenje krade delo drugih prodajalcev, kot trdi Malware1? Ne morem dokončno reči, toda moje zaupanje se vsekakor pretresa.
Potencialno nezaželene?
Očitno nisem sam. V razpravi o dobro cenjenem forumu Wilders Security več članov izrazi zaskrbljenost nad izdelkom. V resnici so v času te razprave pred približno osmimi meseci številni znani protivirusni izdelki zaznali Tiranium kot "potencialno nezaželeno aplikacijo", ki jo je treba odstraniti.
Tudi zdaj Kaspersky zazna eno od dveh glavnih datotek Tiranium kot zlonamerno programsko opremo, ESET pa jih zazna obe. Fortinet spletno mesto Tiranium prepozna kot zlonamerno, prav tako tudi Webrootova storitev BrightCloud.
Senčna vedenja
To odkritje sem izpostavil svojemu stiku s Kasperskim in ga vprašal, ali lahko razloži, zakaj je Tiranium označen kot zlonamerna programska oprema. Vprašal se je v vprašanje z bistveno več spretnosti, kot sem ga lahko postavil, in se domislil veliko. "Za prikrivanje svoje kode uporabljajo več kot pet različnih zatemnilcev, digitalnega podpisa pa ni, " je dejal: "To je malo noro in je videti daleč od zakonitega." Tu ni pištole za kajenje, vendar so ta in drugačna vedenja, podobna zlonamerni programski opremi, zadostovala za označevanje izdelka. Prav tako je našel promet s strežnika, ki se sklicuje na VT (VirusTotal), Anubis in VirScan, kar kaže na nekakšno zanašanje na vire drugih proizvajalcev.
Ljudje BrightCloud niso mogli določiti razloga, da je spletno mesto Tiranium označeno kot tvegano. Vendar so poudarili, da je IP-naslov Tiranium-a deljen s kar nekaj spletnimi mesti z lažnim predstavljanjem. Googlova spletna stran za varno brskanje po domeni olympe.in, ki jo uporablja Tiranium, je imela nekaj skrb vzbujajočih novic: "Od 1341 strani, ki smo jih na spletnem mestu testirali v zadnjih 90 dneh, je 13 strani povzročilo, da se zlonamerna programska oprema prenese in namesti brez privolitve uporabnika."
V svojem pregledu sem rekel, da je Tiranium dober prvi napor, vendar ni pripravljen izzvati naših več protivirusnih izdelkov za urejanje. Zdaj čutim, da mora podjetje izdelek izboljšati in si povrniti zaupanje s strokovnostjo in preglednostjo. Odpravite črkovalne in slovnične napake, zataknite se z zamračenjem, digitalno podpišite izvršljive datoteke in se prepričajte, da je integrirana v Windows Action Center. Ne uporabljajte izdelkov drugih proizvajalcev, ki niso popolnoma pregledni. Ločeno spletno gostovanje od strežnikov, ki gostijo zlonamerno programsko opremo. Za zdaj priporočam, da se držite naših protivirusnih izdelkov za izbiro urednikov.