על תעשיית האנטי-וירוס להתמקד בזיהוי מבוסס התנהגות

וירוסי מחשב קיימים שנים רבות ורבות. בימים הראשונים גילוי היה עניין פשוט של התאמת קבצים כנגד קבוצת חתימות ידועה. חלק מתוכנות האנטי-וירוס אפילו כללו רשימה של כל האיומים שהם יכלו לאתר. הדברים שונים לחלוטין בימינו, כשכותבי תוכנות זדוניות עובדים קשה על מנת ליצור תוכנות זדוניות המתרחשות ומתפתחות כך שלא ניתן לתפוס אותה באמצעות איתור מבוסס חתימה. שוחחתי עם רוג'ר תומפסון, חוקר האיומים הראשיים במעבדות ICSA, על האופן בו תוכניות אנטי-תוכנות זדוניות צריכות להשתנות ואיך הבדיקה של מוצרים אלה צריכה להשתנות.

הדרך בה היו הדברים

Rubenking: האם אתה יכול לומר כמה מילים בדיוק מה זה מעבדות ICSA, ומה זה עושה?

תומפסון: אנו מאשרים מוצרי אנטי-וירוס על פי קריטריונים היסטוריים מוסכמים. בשנות ה -90 היה צורך להבחין בין הייפ אנטי-וירוס לבין תוצאות אמיתיות בעולם האמיתי. כזכור, אז אנשים יכלו לומר כל מה שהם אוהבים על המוצרים שלהם, ואף אחד לא יכול להוכיח או להפריך אותם. היה צורך שמישהו עם מוח יגיד, "זה עובד, זה לא עובד, זה לא עושה מה שהוא אומר."

הספקים הסכימו כי הם זקוקים לצד שלישי נייטרלי שיעשה זאת. כמובן שתמיד חשוב יותר לבדוק נגד וירוסים שנמצאים בפועל בטבע מאשר נגד "גן חיות" ידוע. אז, רשימת הפרועים צמחה מתוך הצורך הזה - מרכיב נייטרלי של ספק של תוכנות זדוניות ידועות.

עוד בשנות ה 90, אלן סולומון שכנע את כולם ששיטות גנריות לגילוי תוכנות זדוניות הן רעיון רע. מה שרצה במקום זה היה סורק כלשהו שיכול לקבוע בדיוק איזה וירוס קיים ואיך בדיוק להסיר אותו. העולם הסכים והצביע עם פנקסי הכיס כדי לתמוך בסורק מסוג זה.

הבעיה עם גילוי גנרי, מבחינה היסטורית, היא שהיא גורמת לשיחות תמיכה. האנטי-וירוס אומר, אנו רואים שתהליך כלשהו במערכת שלך הוא שינוי ההפעלה, או שקובץ הפעלה כלשהו השתנה; שינית את זה? זה מביא לשיחת תמיכה, ו- Fortune 500 לא מאשרים זאת. אנטי-וירוס מבוסס חתימה אומר כי "זה וירוס!" או לא אומר כלום.

איך זה יהיה

תומפסון: עדיין יש צורך בסיסי לבדוק סורקים מבוססי חתימה, כדי לוודא שהם עומדים בקצב. האם הם יכולים לזהות את זה? זה מה שנעשה, ועדיין יש צורך. עם זאת, המספרים השתנו כל כך הרבה, יש מספר גדול של דברים שטפים שנוצרים מדי יום. מה שנדרש כעת הוא גם לבדוק את היכולת של אנטי-תוכנות זדוניות לאתר דברים שמעולם לא ראו.

Rubenking: מטרף דברים? רק למה אתה מתכוון לזה?

תומפסון: אתה יודע, אף אחד לא יודע את המספרים האמיתיים. החבר'ה של ESET אמרו לי על בירה שהם רואים 600, 000 דוגמאות תוכנות זדוניות חדשות וייחודיות מדי יום. אני זוכר דו"ח של סימנטק הטוען למיליון פריטים חדשים וייחודיים בכל יום. אבל האמת, הרוב נוצרים בצורה אלגוריתמית. הרעים פשוט משנים איזשהו קוד לא חשוב, דחוס מחדש, מארז מחדש ומצפין מחדש. לאחר מכן הם בודקים אם הסורקים הנוכחיים מזהים את הגירסה החדשה. אם לא, הם משחררים אותו.

ממש קל לזהות את מה שאתה כבר יודע עליו. זה כמו שוק המניות; "רק" לקנות נמוך ולמכור גבוה. העניין הוא שווירוסים ייחודיים אלה ההתנהגות הבסיסית לא משתנה, אלא רק הקטעים הרופפים. הפעילות, שינוי רישום, שינוי קבצים… התנהגות זו אינה משתנה. לכן הבדיקה חייבת לעבור כדי לשלב חסימת התנהגות כחלק מהעסקה.

Rubenking: האם תוסיף בקרוב את הבדיקה הזו מהדור הבא?

תומפסון: אנחנו מנסים לגרום לספקים להסכים שזה דבר טוב. הם בדרך כלל מסכימים, אך בפועל ביצוע הבדיקה אינו כה קל.

Rubenking: איך התהליך החדש שלך?

תומפסון: זה קשה; זו הסיבה שאנשים לא רוצים לעשות את זה. אתה מתחיל במערכת נקייה, מפעיל את התוכנה הזדונית ובדוק אם היא מותקנת. עליכם להיות מסוגלים לבחון את המערכת לאחר מכן. האם התוכנה הזדונית הדביקה את המערכת? האם זה שינה את מפתחות הרישום? האם זה הפך להתמיד כדי לשרוד הפעלה מחדש? אז עליכם לחזור לקו הבסיס הנקי כדי לעשות זאת שוב.

Rubenking: זה נשמע כמו הבדיקה הדינאמית שביצעה AV-Comparatives.

תומפסון: כן, זה מאוד דומה.

Rubenking: אתה מוכן ללכת, אבל הספקים לא? אז אינך יודע מתי הבדיקה החדשה תיכנס לתוקף?

תומפסון: אנחנו מוכנים ללכת. אני לא ממש יודע מה המצב אצל הספקים; נחזור אליך על זה.] בנוסף, חלק מהנושא הוא מציאת המקורות שלנו לתוכנות זדוניות, קציר עדכוני דואר זבל וכדומה. אנחנו צריכים לדעת מה באמת שם בחוץ.

הפוך את החיים לקשים עבור החבר'ה הרעים

תומפסון: זו הדרך הנכונה קדימה. איננו יכולים להפסיק לעשות את מה שתמיד עשינו, אך כאשר ספקים נגד תוכנות זדוניות מוסיפים חסימת התנהגות, קשה להם להרביץ לחבר'ה הרעים. הם יכולים לנצח חתימות על ידי לצבוט דברים לא חשובים, אבל כדי לנצח חסימת התנהגות עליהם לשנות בפועל התנהגויות, ולהתמודד עם הגדרות שונות של התנהגות.

Rubenking: אז, קבוצה מגוונת של ספקים נגד תוכנות זדוניות עם סוגים שונים של התנהגויות תעשה את החיים קשים עבור הרעים?

תומפסון: בדיוק. זה כמו אנלוגיית הגבינה השוויצרית. לחלק של גבינה אחת יש חורים, אבל אם אתה משכבה על חלק אחר זה מכסה את החורים. שים מספיק חתיכות ולא נשארו חורים.

Rubenking: תודה, רוג'ר!