Video: Former NSA and Israeli Intelligence Directors on Resilience (Oktober 2024)
Za navidezne stroje, ki jih povzročajo zlonamerne programske opreme, ki jih uporabljam za testiranje protivirusnih izdelkov, je déjà vu vsakič, ko začnem nov test. Navidezni stroj vrnem na natančno isto izhodišče za vsak preizkus, nato namestim (ali poskusim namestiti) protivirusni virus in ga izzovem, da očisti. Toda včasih se zgodi kaj več; včasih zlonamerna programska oprema vabi prijatelje k igranju.
Dnevi samotnega hekerja, ki piše viruse samo za vraga, so že zdavnaj. Danes obstaja cel ekosistem zlonamerne programske opreme in ena uspešna sestavina tega ekosistema vključuje prevoze, v katerih eden kiber-prevarant plača drugemu, da piggybacku ponudi novo grožnjo obstoječi zlonamerni programski opremi. Tisti, ki jim rečemo "kapljači", nimajo niti zlonamerne koristne obremenitve; služijo le kot noga v vratih za druge zlonamerne programske opreme.
Kaj to pomeni za moje testiranje? Čim dlje začne napaden sistem delovati, preden se novi protivirusni program lahko v celoti namesti in zažene skeniranje, več je možnosti, da obstoječa okužba povabi prijatelje na zabavo. Namestitev zaščite v te sisteme včasih traja nekaj dni s pomočjo tehnične podpore. Medtem ko ostanejo zasedeni, je tudi zlonamerna programska oprema; strašljivo!
Gameover ZeuS
Na konferenci Malware 2013 je prejšnji mesec nizozemski študent predstavil zelo podrobno analizo Gameover ZeuS. Tako kot drugi primeri trojanke ZeuS ima tudi to omrežje zlonamerne programske opreme številne funkcije, večinoma pa je namenjeno kraji občutljivih informacij, kot so poverilnice spletnega bančništva. Pri Gameover ZeuS se razlikuje to, da namesto centraliziranega sistema za vodenje in nadzor uporablja porazdeljeno omrežje enakovrednih, kar otežuje sledenje in izkoreninjenje. Novice mi!
Predstavljajte si moje presenečenje, ko sem pred kratkim od svojega ponudnika internetnih storitev prejel sporočilo, da so zaznali promet Gameover ZeuS z mojega naslova IP. Ne, nisem okužil raziskovalca. Namesto tega je eden izmed mojih obstoječih vzorcev povabil popolnoma novega prijatelja, da se je nastanil, morda med nenavadnim enodnevnim tehničnim podpornim maratonom, ki mu je dal dovolj časa.
Pred leti, ko sem prvič začel testirati protivirusne sisteme z uporabo navideznih računalnikov, zajetih z zlonamerno programsko opremo, sem lahko precej računal, da bo populacija zlonamerne programske opreme v mojih testnih sistemih ostala stabilna. Dokler nisem nameščal vzorcev zlonamerne programske opreme, ki se aktivno poskušam širiti po internetu, bi se izognil temu, da bi postal del te težave. Opomba mojega ponudnika internetnih storitev je bila budni klic. Če namestim reprezentativno zbirko vzorcev zlonamerne programske opreme, ni nobenega zagotovila, da eden od njih ne bo spremenil vedenja ali povzročil nevarnega spremljevalca.
Igra zares
Mogoče bi lahko zamenjal ponudnike internetnih storitev in se izognil obvestilom, vendar to ni rešitev. Ne morem z dobro vestjo nadaljevati prakse, ki bi lahko povzročila škodo zunaj mojih virtualnih strojev. Ne morem samo odrezati preskusnih sistemov iz interneta, saj veliko protivirusnih orodij zahteva povezavo. In nimam sredstev za kopiranje prometa zlonamerne programske opreme v zaprtem okolju, kot to počnejo veliki neodvisni laboratoriji za testiranje. Moral bom prestati praktično testiranje zlonamerne programske opreme v živo.
Poleg tega neodvisni laboratoriji za testiranje protivirusnih programov v teh dneh izdelujejo res dobre rezultate. Definitivno bom bolj izkoristil te rezultate. Še vedno bom preizkusil filtriranje neželene pošte, zaščito pred lažnim predstavljanjem, zlonamerno blokiranje URL-jev - vsak test, ki ne vključuje potencialne sprostitve aktivne zlonamerne programske opreme. In še vedno bom skoval v vsako funkcijo vsakega protivirusnega programa in si prizadeval, da bi določil najboljše. Preprosto ne bom izvajal nobenih testov, ki bi lahko povzročili težave v zunanjem svetu.
Nov preizkus z enim dnevom
Poleg tega dodajam nov test, da preverim, kako dobro se vsak protivirusni program obnese, da blokira prenos izjemno novih groženj. Ljudje iz MRG-Effitas, britanskega varnostnega raziskovalnega podjetja, so mi omogočili dostop do njihovega ogromnega vira v realnem času zlonamernih URL-jev. S pomočjo tega vira lahko preverim, kako protivirusni program obdeluje sto ali več najnovejših zlonamernih datotek. Ali blokira URL? Blokirati prenos? Popolnoma pogrešate? Veselim se, da bom v celoti izvedel ta nov test.
