Pian julkaistuaani katsaukseni Tiranium Premium Security 2014 -ohjelmasta sain viestin Malware1-kahvaa käyttävältä tutkijalta. Hän väitti, että Tiranium väärinkäytti useita haittaohjelmien tarkistamiseen tarkoitettuja verkkosivustoja vahvistaakseen sen havaitsemisnopeutta. Hänen muistiinpanossaan oli linkkejä videoihin, jotka osoittavat erityisesti VirusTotaliin yhdistävän ohjelmiston vanhemman version (vaikka hän myönsi, että suoraa yhteyttä ei enää ole). Hän toimitti myös hänen sanomansa olevan useita VirusTotalilta lähettämiä sähköpostia Tiraniumille, joissa vaadittiin lopettamaan palvelun väärinkäyttö.
Tarkistin VirusTotalilla, mutta yhteystietoni kieltäytyi kommentoimasta julkaisua. Minun piti itse selvittää, onko tämä totta ja onko se jos ongelma.
Mikä on VirusTotal
Niille, jotka eivät tunne sitä, VirusTotalin julkiset kasvot ovat verkkosivustot, joissa voit ladata tiedoston haitallisiksi. Sivusto luo ensin hash-tiedoston - ainutlaatuisen matemaattisen sormenjäljen. Jos hash on jo tietokannassa (ja suurin osa niistä on), se palauttaa tallennetut tulokset. Jos ei, se tarkistaa tiedoston noin 50 suurimmalla virustentorjuntamoottorilla ja ilmoittaa tiedoston haitallisena. Google osti VirusTotalin noin kaksi vuotta sitten.
Palvelu menee tiedostojen tarkistamisen lisäksi. Verkkosivuston mukaan "VirusTotalin tehtävänä on auttaa parantamaan virustentorjunta- ja tietoturvateollisuutta ja tehdä Internetistä turvallisempi paikka kehittämällä ilmaisia työkaluja ja palveluita." Samalla sivulla todetaan, että "yhtäkään tällä sivustolla julkisesti tarjotuista palveluista tai sovelluksista ei saa käyttää kaupallisissa tuotteissa, kaupallisissa palveluissa tai mihinkään liiketaloudelliseen tarkoitukseen. Samalla tavoin mitään palveluista ei pidä käyttää suojatuotteiden korvikkeena.."
Toisin sanoen tuote, joka yksinkertaisesti käytti VirusTotalin tuloksia varmentamatta riippumattomasti, onko tiedosto haitallista, rikkoo palvelusehtoja. Ja todellakin, useita vuosia sitten Kaspersky Labin kiistanalainen testi osoitti, että verkkosivuston havaitsemisen sokeasti käyttäminen on huono idea.
Kaivaminen WireSharkilla
Malware1: n mukaan Tiranium tarkistaa ensin epäilyttävän tiedoston paikallisesti asennetulla asiakkaallaan. Jos hakua ei löydy, se tarkistaa tiedoston tiivisteen VirusTotal-sovelluksessa. Vain jos se ei saa tuloksia VirusTotalista, se vetoaa omaan käyttäytymistason pilviskanneriin.
Tutkimuksen aloittamiseksi olen luonut upouusia muokattuja versioita nykyisestä haittaohjelmaluokituksestani, vaihtamalla tiedostonimiä, muuttamalla tiedoston kokoa ja mukauttamalla joitain ei-suoritettavia tavuja. Tarkistin kunkin tiedoston tiiviste VirusTotal-ohjelmaa vastaan varmistaakseni, että kaikki puuttuivat tietokannasta.
Kun WireShark-verkkoliikenteen jäljitys-apuohjelma oli käynnissä, käynnistin Tiranium-skannauksen näitä tiedostoja sisältävästä kansiosta. Kummallista, skannaus kesti tunteja, mutta ei koskaan päättynyt, ja skannattujen tiedostojen määrä ei koskaan muuttunut alkuperäisestä nollasta. Sain myöhemmin tietää, että tämä johtui siitä, että käyttäytymispilvipalvelin oli alhaalla useita tunteja.
Itse asiassa tutkiessani WireShark-lokia huomasin, että Tiranium yritti uudestaan ja uudestaan ladata tiedostoja käyttäytymispilveen, jokainen yritys päättyen virheeseen. En löytänyt mitään todisteita suorasta yhteydestä VirusTotaliin tai mihinkään muihin palveluihin, joita väitetään aiemmin käytetty.
Asiaan liittyvä todiste
Siirrin osa testitiedostoistani toiseen kansioon ja lähetin ne VirusTotaliin tarkistamista varten. Joka tapauksessa suurin osa virustorjuntamoottoreista havaitsi ne haitallisiksi; Jotkut tunnustettiin melkein yksimielisesti haittaohjelmiksi.
Heti kun VirusTotal käsitteli kaikki tiedostot, skannain kansion heti Tiraniumilla. Tällä kertaa se tunnisti nämä tiedostot heti haittaohjelmiksi. Kun skannain jäljellä olevia tiedostoja, joita en ollut ladannut, skannaus juuttui kuten aiemmin. Vaikka tietokoneeltani ei edelleenkään ollut suoraa yhteyttä VirusTotaliin, näyttää siltä, että olin luonut selkeän syy-yhteyden ketjun.
Ehkä se on OK?
Otin yhteyksiä virustorjunta-alaan nähdäkseni heidän ajatuksensa. Yksi tutkija huomautti, että virustentorjuntayritykset voivat tehdä sopimuksia VirusTotalin kanssa saadakseen automaattisesti kaikki näytteet, jotka muut havaitsivat, mutta heidän tuotteensa puuttui. Se ei kuitenkaan näyttänyt kuvaavan havaitsemani tilannetta.
Vielä tärkeämpää on, että Tiranium-yhteyshenkilöni vahvisti VirusTotalin käytön. "VirusTotalilla on erityiset käyttöehdot", hän sanoi. "He lähettävät näytteitä yrityksille. Tiranium on yksi niistä yrityksistä, jotka analysoivat sitä, kuten kaikki muutkin." Hän jatkoi, että uusien näytteiden analysointiaika voi vaihdella. "Joskus tämä vie tunteja, joskus minuutteja, joskus päiviä", hän sanoi.
Tai ehkä ei
VirusTotal-hyvitykset -sivulla luetellaan kaikki toimittajat, jotka ovat "integroineet tuotteen, työkalun tai resurssin VirusTotaliin tai osallistuneet jollakin tavalla". Nämä myyjät ovat allekirjoittaneet sopimuksen, joka sisältää joukon parhaita käytäntöjä. Tiranium ei kuulu pörssiyhtiöihin. Se ei vastaanota näytteitä VirusTotalilta, joten sen käyttö ei ole "kuin kaikki muut".
Olen päättänyt omalla tyytyväisyydelläni, että Malware1: n lähettämät sähköpostit, joissa käsketään Tiraniumia lopettamaan VirusTotalin väärinkäyttö, ovat todellisia. Olen nähnyt todisteita siitä, että kerralla sovellus itse liittyi suoraan VirusTotaliin tiedoksi, mikä on ehdottomasti väärinkäyttöä. Varastaako sen nykyinen inkarnaatio muiden myyjien työn, kuten Malware1 väittää? En voi sanoa lopullisesti, mutta luottamus on ehdottomasti horjutettu.
Mahdollisesti ei-toivottuja?
Ilmeisesti en ole yksin. Keskustellessaan arvostetusta Wilders Security -foorumista useat jäsenet ilmaisevat huolensa tuotteesta. Itse asiassa tämän keskustelun aikana noin kahdeksan kuukautta sitten monet tunnetut virustentorjuntatuotteet havaitsivat tiraniumin "mahdollisesti ei-toivotuksi sovellukseksi", joka olisi poistettava.
Jo nyt, Kaspersky havaitsee yhden Tiraniumin kahdesta päätiedostosta haittaohjelmina, ja ESET tunnistaa ne molemmat. Fortinet tunnistaa Tiraniumin verkkosivuston haitalliseksi, samoin kuin Webrootin BrightCloud-palvelu.
Varjoisa käyttäytyminen
Huomautin tämän havainnon Kaspersky-yhteyshenkilölleni ja kysyin, voisiko hän selittää miksi Tiranium merkittiin haittaohjelmaksi. Hän kaivoi kysymykseen huomattavasti enemmän taitoja kuin pystyin keräämään, ja kekseli paljon. "He käyttävät yli viittä erilaista hämärtäjää häivyttämään koodinsa. Eikä digitaalista allekirjoitusta ole", hän sanoi "Se on vähän hullu ja näyttää kaukana legitista." Täällä ei ole tupakointipistoolia, mutta nämä ja muut haittaohjelmamaiset käytökset olivat riittäviä tuotteen merkitsemiseen. Hän löysi myös liikennettä palvelimelta, joka viittaa VT: hen (VirusTotal), Anubisiin ja VirScaniin, mikä viittaa jonkinlaiseen luottamiseen kolmansien osapuolien lähteisiin.
BrightCloudin ihmiset eivät pystyneet selvittämään syytä, miksi Tiraniumin verkkosivut merkittiin riskialttiiksi. He huomauttivat kuitenkin, että Tiraniumin IP-osoite on jaettu melko monien tietojenkalastelusivustojen kanssa. Tiraniumin käyttämässä Googlen turvallisella selaamissivulla olympe.in-verkkotunnukselle oli huolestuttavia uutisia: "Viimeisen 90 päivän aikana sivuston testaamasta 1341 sivusta 13 sivua johti haittaohjelmien lataamiseen ja asentamiseen ilman käyttäjän suostumusta.."
Sanoin arvosteluissani, että Tiranium on hyvä ensimmäinen yritys, mutta et ole valmis haastamaan useita Editors 'Choice-virustorjuntatuotteitamme. Minusta tuntuu, että yrityksen on sekä parannettava tuotetta että saatava takaisin luottamukseni ammattitaito ja läpinäkyvyys. Korjaa oikeinkirjoitus- ja kielioppivirheet, ohita hämärtäminen, allekirjoita suoritettavat tiedostot digitaalisesti ja varmista, että ne integroituvat Windowsin toimintakeskukseen. Pidättäydyttämästä sellaisten kolmansien osapuolien tuotteiden käyttöä, jotka eivät ole täysin avoimia. Erota web-hosting palvelimista, jotka isännöivät haittaohjelmia. Toistaiseksi suosittelen, että noudatat Editors 'Choice-virustorjuntatuotteitamme.