Video: Top 5 Best FREE ANTIVIRUS Software (2020) (Marraskuu 2024)
Tietokoneviruksia on ollut olemassa useita vuosia. Alkuaikoina havaitseminen oli yksinkertainen asia tiedostojen sovittamisesta tunnettuun allekirjoitusjoukkoon. Jotkut virustentorjuntaohjelmat jopa sisälsivät luettelon kaikista havaitsemistaan uhista. Asiat ovat aivan erilaisia nykyään, kun haittaohjelmien kirjoittajat työskentelevät ahkerasti luodakseen haittaohjelmia, jotka morfisoituvat ja kehittyvät, joten sitä ei voida kiinni allekirjoituspohjaisella havainnoinnilla. Puhuin ICSA Labsin nousevien uhkien tutkijan Roger Thompsonin kanssa siitä, kuinka haittaohjelmien vastaisten ohjelmien on muututtava ja kuinka näiden tuotteiden testauksen on muututtava.
Tapa, jolla asiat olivat
Rubenking: Voitko sanoa muutaman sanan siitä, mitä ICSA Labs on ja mitä se tekee?
Thompson: Sertifioimme virustorjuntatuotteet sovittujen historiallisten kriteerien perusteella. 90-luvulla joudut tekemään ero virustentorjuntahyötyjen ja todellisten, reaalimaailman tulosten välillä. Kuten muistat, tuolloin ihmiset pystyivät sanomaan tuotteistaan kaiken, mitä he pitivät, eikä kukaan voinut todistaa tai kiistää sitä. Joku, jolla oli aivot, piti sanoa: "Tämä toimii, tämä ei toimi, tämä ei tee mitä sanotaan."
Myyjät olivat yhtä mieltä siitä, että he tarvitsivat puolueettoman kolmannen osapuolen tekemään tämän. Tietysti on aina tärkeämpää testata luonnossa tosiasiallisesti esiintyviä viruksia kuin tunnettua "eläintarhaa" vastaan. Joten villiluettelo kasvoi siitä tarpeesta - myyjäneutraali yhdistelmä tunnettuja haittaohjelmia.
Myös 90-luvulla Alan Solomon vakuutti kaikki, että geneerisen tyyppiset menetelmät haittaohjelmien havaitsemiseksi olivat huono idea. Sen sijaan haluttiin jotakin skanneria, joka pystyi määrittämään tarkalleen, mitä viruksia on läsnä ja kuinka poistaa ne. Maailma pääsi yksimielisyyteen ja äänesti taskukirjoillaan tällaisen skannerin tukemiseksi.
Historiallisesti geneerisen havaitsemisen ongelma on, että se aiheuttaa tukipuheluita. Virustentorjunta kertoo, että järjestelmässä jokin prosessi muuttaa suoritettavia tiedostoja tai joitain suoritettavia tiedostoja on muutettu. muutitko sitä? Tuloksena on tukipuhelu, eikä Fortune 500: aa hyväksytä. Allekirjoituspohjaisessa virustentorjunnassa sanotaan joko "se on virus!" tai ei sano mitään.
Kuinka se tulee olemaan
Thompson: Allekirjoituspohjaiset skannerit on edelleen testattava, jotta ne pysyisivät yllä. Voivatko he havaita sen? Sitä on tehty, ja siihen on edelleen tarvetta. Numerot ovat kuitenkin muuttuneet niin paljon, joka päivä luodaan suuri määrä fluff-asioita. Nyt tarvitaan myös testaamaan haittaohjelmien torjuntakyky havaita asioita, joita he eivät ole koskaan nähneet.
Rubenking: Fluff asioita? Mitä tarkoitat sillä?
Thompson: Tiedätkö, kukaan ei tiedä todellisia lukuja. ESET-kaverit kertoivat minulle oluen kautta, että he näkevät päivittäin 600 000 uutta, ainutlaatuista haittaohjelmanäytettä. Muistan Symantecin raportin, jossa väitettiin miljoona uutta ja ainutlaatuista tuotetta joka päivä. Mutta totuus on, että suurin osa luodaan algoritmisesti. Pahat pojat vain vaihtavat jotakin merkityksetöntä koodia, kääntää, pakkaa uudelleen ja salaa uudelleen. Sitten he tarkistavat, havaitsevatko nykyiset skannerit uuden version. Jos ei, he vapauttavat sen.
On todella helppo havaita, mitä jo tiedät. Se on kuin osakemarkkinat; "vain" osta alhainen ja myy korkea. Asia on, että näiden ainutlaatuisten virusten taustalla oleva käyttäytyminen ei muutu, vain pörröiset bitit. Toiminta, rekisterin muokkaaminen, tiedostojen muuttaminen… että käyttäytyminen ei muutu. Joten testauksen on siirryttävä sisällyttämään käyttäytymisen estäminen osana kauppaa.
Rubenking: Aiotko lisätä tämän seuraavan sukupolven testauksen pian?
Thompson: Yritämme saada myyjät sopimaan, että se on hyvä asia. He ovat yleensä yhtä mieltä, mutta itse asiassa testaus ei ole niin helppoa.
Rubenking: Millainen on uusi prosessi?
Thompson: Se on vaikeaa; siksi ihmiset eivät halua tehdä sitä. Aloitat puhtaalla järjestelmällä, suoritat haittaohjelman ja tarkista, asennetaanko se. Järjestelmän on voitava tutkia rikosteknisesti jälkikäteen. Tarttuiko haittaohjelma järjestelmää? Muuttiko se rekisteriavaimia? Muuttui siitä jatkuva, jotta selvisit uudelleenkäynnistyksestä? Sitten sinun on palautettava puhtaalle lähtötasolle tehdäksesi sen uudelleen.
Rubenking: Tämä kuulostaa paljon AV-Comparativesin suorittamalle dynaamiselle testaukselle.
Thompson: Kyllä, se on hyvin samanlainen.
Rubenking: Oletko valmis menemään, mutta myyjät eivät ole? Joten et tiedä milloin uusi testaus tulee voimaan?
Thompson: Olemme valmiita menemään. En tiedä aivan, mikä on myyjien asema; palaamme sinuun siitä.] Lisäksi osa ongelmasta on omien haittaohjelmalähteidemme löytäminen, roskapostisyötteiden keruu ja vastaavat. Meidän on tiedettävä, mitä siellä oikeasti on.
Tee elämästä kovaa pahoille
Thompson: Tämä on oikea tie eteenpäin. Emme voi lopettaa sitä, mitä olemme aina tehneet, mutta kun haittaohjelmien torjuntatoimittajat lisäävät käyttäytymiseen perustuvan estämisen, pahojen ihmisten on paljon vaikeampaa voittaa. He voivat lyödä allekirjoituksia säätämällä merkityksettömiä asioita, mutta käyttäytymisen estämiseksi heidän on tosiasiallisesti muutettava käyttäytymistä ja käsiteltävä erilaisia käyttäytymisen määritelmiä.
Rubenking: Joten monipuoliset haittaohjelmien torjuntatoimittajat, joilla on erityyppisiä käyttäytymistä estäviä, tekevät pahojen ihmisten elämästä kovaa?
Thompson: Aivan. Se on kuin sveitsiläinen juusto-analogia. Yhdessä juustomittarissa on reikiä, mutta jos kerrostat toiselle bitille, se peittää reikät. Laita riittävästi bittejä, eikä reikiä ole jäljellä.
Rubenking: Kiitos, Roger!