Video: Business Cybersecurity Tips & Tricks – Antivirus Conspiracy (November 2024)
Konferenca Black Hat je to poletje zbrala več kot 7000 udeležencev, pomladi pa se jih je spomladi udeležilo 25.000. Število udeležencev 8. mednarodne konference o zlonamerni in nezaželeni programski opremi se meri v desetinah in ne v tisočih. Njegov namen je predstaviti najnovejše znanstvene raziskave na področju varnosti v ozračju, ki omogoča neposredno in odkrito interakcijo med vsemi udeleženci. Letošnja konferenca (skratka zlonamerna programska oprema 2013) se je začela s uvodno izjavo Dennisa Batchelderja, direktorja Microsoftovega centra za zaščito pred zlonamerno programsko opremo, ki je opozoril na resne težave, s katerimi se sooča industrija antimalware.
Med predstavitvijo sem gospoda Batchelderja vprašal, če ima kaj razmišljati o tem, zakaj ima Microsoft Security Essentials v številnih neodvisnih testih rezultate na dnu ali blizu njega, dovolj nizko, da ga mnogi laboratoriji zdaj obravnavajo le kot izhodišče za primerjavo z drugimi izdelki. Na fotografiji na vrhu tega članka oponaša, kako člani Microsoftove protivirusne skupine ne menijo o tem vprašanju.
Batchelder je pojasnil, da tako želi Microsoft. V redu je, da prodajalci varnosti dokažejo, kakšno vrednost lahko dodajo nad tem, kar je vgrajeno. Opozoril je tudi, da Microsoftovi podatki kažejo, da je le 21 odstotkov uporabnikov sistema Windows, zahvaljujoč MSE in Windows Defender, manj kot dobrih 40 odstotkov. In seveda kadar koli lahko Microsoft zviša to izhodiščno vrednost, jo bodo morali prodajalci nujno uskladiti ali preseči.
Slabi fantje ne bežijo
Batchelder je opozoril na pomembne izzive na treh glavnih področjih: težave za celotno industrijo, težave z obsegom in težave pri testiranju. Med tem očarljivim pogovorom me je ena točka, ki me je resnično prizadela, opisal način, kako lahko kriminalisti prevarijo protivirusna orodja, da bi zanje umazali.
Batchelder je pojasnil, da standardni antivirusni model predvideva, da slabi fantje bežijo in se skrivajo. "Poskušamo jih najti na boljše in boljše načine, " je dejal. "Lokalni odjemalec ali oblak pravijo:" blokiraj! " ali pa odkrijemo grožnjo in poskusimo sanirati. " A ne bežijo več; napadajo.
Prodajalci protivirusnih virusov delijo vzorce in uporabljajo telemetrijo iz svoje nameščene baze in analize ugleda za odkrivanje groženj. V zadnjem času pa ta model ne deluje vedno. "Kaj pa, če tem podatkom ne morete zaupati, " je vprašal Batchelder. "Kaj pa, če slabi fantje neposredno napadajo vaše sisteme?"
Poročal je, da je Microsoft odkril "oblikovane datoteke, ki ciljajo na naše sisteme, izdelane datoteke, ki so videti kot zaznavanje nekaterih drugih prodajalcev." Ko ga en prodajalec zazna kot znano grožnjo, ga posreduje drugim, kar umetno povečuje vrednost izdelane datoteke. "Najdejo luknjo, naredijo vzorec in povzročajo težave. Telemetrijo lahko vbrizgajo, da ponaredijo razširjenost in starost, " je opozoril Batchelder.
Ali ne moremo vsi le delati skupaj?
Zakaj bi torej sindikat kriminala motil napačne informacije protivirusnim podjetjem? Namen je predstaviti šibek antivirusni podpis, ki bo ustrezal tudi veljavni datoteki, ki jo potrebuje ciljni operacijski sistem. Če je napad uspešen, bo eden ali več prodajalcev protivirusnih programov na karanteni nedolžne datoteke na osebnih računalnikih žrtev in morda onemogočil njihov operacijski sistem gostitelj.
Ta vrsta napada je zahrbtna. Z zdrsom ponarejenih odkritij v podatkovni tok, ki ga delijo prodajalci protivirusnih virusov, lahko kriminalci poškodujejo sisteme, ki jim nikoli niso bili oči (ali roke). Kot stranska korist to lahko upočasni delitev vzorcev med prodajalci. Če ne morete domnevati, da je odkritje drugega prodajalca veljavno, boste morali porabiti čas, da ga ponovno preverite pri svojih raziskovalcih.
Velika, nova težava
Batchelder poroča, da dobijo približno 10.000 teh "zastrupljenih" datotek na mesec z deljenjem vzorcev. Približno desetino enega odstotka lastne telemetrije (od uporabnikov Microsoftovih protivirusnih izdelkov) sestavljajo takšne datoteke in to je veliko.
Ta je zame nov, vendar ne preseneča. Sindikati z zlonamerno programsko opremo razpolagajo s številnimi sredstvi in nekatere od teh virov lahko namenijo podrejanju odkrivanja s strani svojih sovražnikov. Preizkušal bom druge prodajalce o tej vrsti "oboroženega protivirusnega programa", ko bom dobil priložnost.