האם אתה סומך על האנטי-וירוס שלך?

זמן קצר לאחר שפרסמתי את הביקורת שלי על Tiranium Premium Security 2014, קיבלתי הודעה מחוקר באמצעות הידית Malware1. הוא טען כי טירניום התעלל באתרי אינטרנט שונים לבדיקת תוכנות זדוניות כדי לחזק את שיעור הגילוי שלה. הפתק שלו כלל קישורים לסרטונים המציגים גרסה ישנה יותר של התוכנה המחברת ל- VirusTotal, בפרט (אם כי הודה כי אין עוד קשר ישיר). הוא גם סיפק את מה שאמר שהיו מספר מיילים מ- VirusTotal לטירניום בדרישה להפסיק להתעלל בשירות.

בדקתי עם VirusTotal, אך איש הקשר שלי סירב להגיב לפרסום. הייתי צריך לקבוע בעצמי אם זה נכון, והאם זה מהווה בעיה אם כן.

מה זה VirusTotal

למי שלא מכיר את זה, הפנים הציבוריות של VirusTotal הן אתר בו תוכלו להעלות קובץ כדי לראות אם הוא זדוני. האתר מייצר תחילה hash לקובץ - טביעת אצבע מתמטית ייחודית. אם ה- hash כבר נמצא בבסיס הנתונים שלו (והרוב הם) הוא מחזיר את התוצאות המאוחסנות. אם לא, היא בודקת את הקובץ עם כ -50 מנועי אנטי-וירוס עיקריים, ומדווחת אשר סימנה את הקובץ כזדוני. גוגל רכשה את VirusTotal לפני כשנתיים.

השירות חורג פשוט מבדיקת קבצים. על פי אתר האינטרנט שלה, "המשימה של VirusTotal היא לעזור בשיפור תעשיית האנטי-וירוס והאבטחה ולהפוך את האינטרנט למקום בטוח יותר באמצעות פיתוח כלים ושירותים חינמיים." באותו עמוד נאמר כי "אין להשתמש בשירותים או באפליקציות המוצעות באופן ציבורי באתר זה במוצרים מסחריים, שירותים מסחריים או למטרה עסקית כלשהי. באותו אופן אסור לשמש אף אחד מהשירותים כתחליף למוצרי אבטחה.."

במילים אחרות, מוצר שפשוט השתמש בתוצאות של VirusTotal מבלי לאמת באופן עצמאי שהקובץ זדוני, יפר את תנאי השירות. ואכן, מבחן שנוי במחלוקת של מעבדת קספרסקי לפני מספר שנים הראה כי שימוש עיוור באיתור מהאתר הוא רעיון רע.

חופרים עם

על פי Malware1, טירניום בודק תחילה קובץ חשוד באמצעות לקוח המותקן באופן מקומי. אם אין התאמה, הוא בודק את חשיש הקובץ ב- VirusTotal. רק אם אין לו תוצאות מ- VirusTotal, הוא קורא סורק ענן התנהגותי משלו.

כדי להתחיל בחקירה שלי, יצרתי גרסאות מותאמות חדשות לחלוטין של אוסף התוכנות הזדוניות הנוכחיות שלי, שיניתי את שמות הקבצים, שינו את גודל הקובץ והכוונו כמה בתים שאינם ניתנים להפעלה. בדקתי את החשיש של כל קובץ נגד VirusTotal, כדי להיות בטוח שכולם נעדרים מהמאגר.

כאשר כלי מעקב התעבורה ברשת WireShark פועל, השגתי סריקת Tiranium של התיקיה המכילה קבצים אלה. באופן מוזר, הסריקה רצה שעות אך מעולם לא הסתיימה, וספירת הקבצים שנסרקו מעולם לא השתנתה מאפס ההתחלה שלה. מאוחר יותר נודע לי שזה בגלל ששרת הענן ההתנהגותי היה פועל במשך מספר שעות.

אכן, בעיון ביומן WireShark יכולתי לראות שטירניום ניסתה שוב ושוב להעלות קבצים לענן ההתנהגותי, כאשר כל ניסיון הסתיים בשגיאה. מה שלא מצאתי היה כל עדות לקשר ישיר ל- VirusTotal, או לאף אחד מהשירותים האחרים ששימשו לכאורה בעבר.

ראיה נסיבתית

העברתי כמה מקבצי הבדיקה שלי לתיקיה אחרת והגשתי אותם ל- VirusTotal לבדיקה. בכל מקרה, רוב מנועי האנטי-וירוס זיהו אותם כזדוניים; חלקם קיבלו הכרה כמעט פה אחד כנוזקה.

ברגע שכל הקבצים עובדו על ידי VirusTotal, סרקתי מייד את התיקיה עם Tiranium. הפעם היא זיהתה את הקבצים הללו כאל תוכנה זדונית מייד. כשסרקתי את שאר הקבצים, אלה שלא העליתי, הסריקה נתקעה, כמו קודם. למרות שעדיין לא היה קשר ישיר מהמחשב שלי ל- VirusTotal, נראה שהקמתי שרשרת ברורה של סיבתיות.

אולי זה בסדר?

הושטתי קשרים שלי בתעשיית האנטי-וירוס לראות מה הם חושבים. חוקר אחד ציין כי חברות אנטי-וירוס יכולות להתקשר עם VirusTotal כדי לקבל אוטומטית כל דגימה שאחרים זיהו אך המוצר שלהם החמיץ. עם זאת, נראה שזה לא תיאר את המצב שצפיתי בו.

חשוב מכך, איש הקשר שלי עם Tiranium אישר את השימוש ב- VirusTotal. "ל- VirusTotal תנאי שימוש ספציפיים, " אמר. "הם שולחים דגימות לחברות. טירניום היא אחת החברות שמנתחות את זה, כמו כל האחרות." הוא המשיך וציין כי הזמן לניתוח דגימות חדשות יכול להשתנות. "לפעמים זה ייקח שעות, מתישהו דקות, ימים מתישהו, " אמר.

או שלא

דף הזיכויים של VirusTotal מפרט את כל הספקים ש"שילבו מוצר, כלי או משאב ב- VirusTotal, או שתרמו איכשהו. " ספקים אלה חתמו על הסכם שכולל קבוצה של שיטות עבודה מומלצות. טירניום אינה נמנית עם החברות הרשומות. זה לא מקבל דגימות מ- VirusTotal, ולכן השימוש בו אינו "כמו כל האחרים."

החלטתי לשביעות רצוני שלי שהדוא"ל שמספק Malware1 אומר לטירניום להפסיק להשתמש לרעה בווירוס טוטל הם אמיתיים. ראיתי עדויות שבפעם אחת היישום עצמו התחבר ישירות ל- VirusTotal למידע, וזה בהחלט שימוש לרעה. אך האם גלגולו הנוכחי גונב את עבודתם של ספקים אחרים, כפי שטוענים Malware1? אני לא יכול לומר באופן סופי, אבל האמון שלי בהחלט מתערער.

לא רצוי?

כנראה שאני לא לבד. בדיון בפורום הנודע של ווילדרס המוערך, כמה חברים מביעים דאגה לגבי המוצר. למעשה, בזמן הדיון לפני כשמונה חודשים, מספר מוצרי אנטי-וירוס ידועים זיהו את טירניום כ"יישום שעלול להיות בלתי רצוי "שיש להסירו.

אפילו כעת, קספרסקי מזהה את אחד משני הקבצים העיקריים של טירניום כנוזקה, ו- ESET מזהה את שניהם. פורטינט מזהה את אתר Tiranium כזדוני, כמו גם שירות BrightCloud של Webroot.

התנהגויות מוצלות

ציינתי את הגילוי הזה לאיש הקשר שלי עם קספרסקי ושאלתי אם הוא יכול להסביר מדוע טירניום סומן ככלי זדון. הוא חקר בשאלה במיומנות רבה משמעותית מכפי שיכולתי לגייס, והגיע עם המון. "הם משתמשים ביותר מחמישה ערפלים שונים כדי לערפל את הקוד שלהם ואין חתימה דיגיטלית. זה קצת מטורף ונראה רחוק מלהיות לגיטימי." אין כאן אקדח מעשן, אבל התנהגויות אלה ואחרות כמו תוכנות זדוניות הספיקו כדי לסמן את המוצר. הוא גם מצא תנועה מהשרת שמפנה ל- VT (VirusTotal), Anubis ו- VirScan, מה שמציע סוג של הסתמכות על מקורות של צד שלישי.

האנשים של ברייטקלוד לא יכלו להצביע על הסיבה שאתר טירניום סומן כמסוכן. עם זאת, הם ציינו כי כתובת ה- IP של טירניום משותפת ללא מעט אתרי דיוג. לדף הגלישה הבטוח של גוגל לדומיין olympe.in ששימש Tiranium היו חדשות מדאיגות: "מתוך 1341 העמודים שבדקנו באתר במהלך 90 הימים האחרונים, 13 דפים (ים) הביאו להורדה והתקנה של תוכנות זדוניות ללא הסכמת המשתמש.."

אמרתי בסקירה שלי כי טירניום הוא מאמץ ראשון טוב, אך אינו מוכן לאתגר את מספר מוצרי האנטי-וירוס של Choice Editors 'Choice שלנו. כעת אני מרגיש שהחברה צריכה גם לשפר את המוצר ולהחזיר לי את האמון במקצועיות ובשקיפות. תקן את שגיאות הכתיב והדקדוק, תעלה את הערפול, חתם דיגיטלית על קבצי ההפעלה וודא שהוא משתלב עם מרכז הפעולות של Windows. הימנע מכל שימוש במוצרי צד ג 'שאינם שקופים לחלוטין. אירוח נפרד מהשרתים המארחים תוכנות זדוניות. לעת עתה, אני ממליץ לך להתאים למוצרי האנטי-וירוס של Choice Editors שלנו.