Koti Securitywatch Aseistettu virustentorjunta: kun hyvä ohjelmisto tekee huonoja asioita

Aseistettu virustentorjunta: kun hyvä ohjelmisto tekee huonoja asioita

Video: Do Antiviruses Still Slow You Down? (2020) (Marraskuu 2024)

Video: Do Antiviruses Still Slow You Down? (2020) (Marraskuu 2024)
Anonim

Black Hat -konferenssi houkutteli kesällä runsaasti 7000 osallistujaa, ja 25 000 osallistui keväällä RSA-konferenssiin. Haitallisia ja ei-toivottuja ohjelmistoja käsittelevän kahdeksannen kansainvälisen konferenssin osallistuminen sitä vastoin mitataan kymmeninä, ei tuhansina. Sen tavoitteena on tuoda esiin viimeisin tieteellinen tutkimus turvallisuudesta ilmapiirissä, joka mahdollistaa suoran ja rehellisen vuorovaikutuksen kaikkien osallistujien välillä. Tämän vuoden konferenssi (lyhytaikaisesti Malware 2013) käynnistettiin Microsoft Malware Protection Centerin johtajan Dennis Batchelderin avainsanalla, jossa tuodaan esiin haittaohjelmien torjunta-alan kohtaamia vaikeita ongelmia.

Esityksen aikana kysyin herra Batchelderiltä, ​​olisiko hänellä mitään ajatuksia miksi Microsoft Security Essentials arvioi pohjassa tai sen lähellä monissa riippumattomissa testeissä, niin alhainen, että monet laboratorioista käsittelevät sitä nyt vain lähtökohtana vertailuun muihin tuotteisiin. Tämän artikkelin yläosassa olevassa valokuvassa hän jäljittelee sitä, kuinka Microsoftin virustorjuntaryhmän jäsenet eivät suhtautu tähän kysymykseen.

Batchelder selitti, miten Microsoft haluaa sen. On hienoa, että tietoturvatoimittajat osoittavat, mitä lisäarvoa he voivat lisätä sisäänrakennettuihin. Hän huomautti myös, että Microsoftin tietojen mukaan MSE: n ja Windows Defenderin ansiosta vain 21 prosenttia Windows-käyttäjistä on suojaamaton yli 40 prosentista. Ja tietysti milloin tahansa Microsoft voi nostaa perustasoa, kolmansien osapuolten on välttämättä vastattava sitä tai ylitettävä se.

Pahat pojat eivät ole juoksemassa

Batchelder huomautti merkittävistä haasteista kolmella pääalueella: koko teollisuuden ongelmat, mittakaavan ongelmat ja testausongelmat. Tästä kiehtovasta puheesta yksi mieleen todella vaikuttanut kohta oli hänen kuvaus tavastaan, jolla rikosyndikaatit voivat huijata virustorjuntatyökaluja tekemään likaista työtä heidän puolestaan.

Batchelder selitti, että tavanomainen virustorjuntamalli olettaa, että pahat pojat pakenevat ja piiloutuvat. "Yritämme löytää niitä paremmilla ja paremmilla tavoilla", hän sanoi. "Paikallinen asiakas tai pilvi sanoo" estä se! " tai havaitsemme uhan ja yritämme korjata. " Mutta he eivät enää karkaa; he hyökkäävät.

Virustentorjuntatoimittajat jakavat näytteitä ja käyttävät asennetun tukikohdan ja maineanalyysin avulla telemetriaa uhkien havaitsemiseksi. Viime aikoina tämä malli ei kuitenkaan aina toimi. "Entä jos et voi luottaa tietoihin", kysyi Batchelder. "Entä jos pahat kaverit hyökkäävät suoraan järjestelmiisi?"

Hän kertoi, että Microsoft on havainnut "järjestelmiin kohdistettuja muokattuja tiedostoja, muotoilltuja tiedostoja, jotka näyttävät kuin jonkin muun myyjän havaitsemiselta". Kun yksi myyjä valitsee sen tiedossa olevan uhkana, he välittävät sen muille, mikä korottaa keinotekoisen tiedoston arvoa keinotekoisesti. "He löytävät reiän, tekevät näytteen ja aiheuttavat ongelmia. He voivat myös injektoida telemetriaa väärentääkseen myös esiintyvyyden ja iän", Batchelder totesi.

Emmekö kaikki voi työskennellä vain yhdessä?

Joten miksi rikosilmoitus häiritsisi väärien tietojen antamista viruksentorjuntayrityksille? Tarkoitus on tuoda käyttöön heikko virustorjunta, joka vastaa myös kelvollista tiedostoa, jota kohdekäyttöjärjestelmä tarvitsee. Jos hyökkäys onnistuu, yksi tai useampi virustentorjuntatoimittaja karanteenoi uhritietokoneissa viattoman tiedoston ja mahdollisesti estää heidän isäntäkäyttöjärjestelmänsä.

Tämän tyyppinen hyökkäys on salakavala. Liu'uttamalla väärennetyt havainnot virustentorjuntatoimittajien jakamaan tietovirtaan, rikolliset voivat vahingoittaa järjestelmiä, joille he eivät ole koskaan katsoneet silmiään (tai käsiään). Sivutuotteena voi näin hidastaa näytteiden jakamista myyjien välillä. Jos et voi olettaa, että toisen myyjän suorittama havainto on pätevä, joudut viettämään aikaa tarkistaaksesi sen omien tutkijoidesi kanssa.

Iso, uusi ongelma

Batchelder kertoo saavansa noin 10 000 näistä "myrkyllisistä" tiedostoista kuukaudessa näytteiden jakamisen avulla. Noin kymmenesosa prosentista heidän omasta telemetrastaan ​​(Microsoftin virustorjuntatuotteiden käyttäjiltä) koostuu tällaisista tiedostoista, ja se on paljon.

Tämä on minulle uusi, mutta se ei ole yllättävää. Haittaohjelmien rikollissyndikaateilla on paljon resursseja, ja he voivat omistaa osan näistä resursseista vihollisten havaitsemisen hajottamiseen. Tutkin muita myyjiä tämän tyyppisestä "aseistetusta virustorjunnasta", kun saan mahdollisuuden.

Aseistettu virustentorjunta: kun hyvä ohjelmisto tekee huonoja asioita