אנטי-וירוס נשק: כאשר תוכנה טובה עושה דברים רעים

ועידת הכובע השחור הגיעה לקיץ למעלה מ -7, 000 משתתפים, ו -25, 000 השתתפו בוועידת RSA באביב. נוכחות הוועידה הבינלאומית השמינית בנושא תוכנות זדוניות ולא רצויות, לעומת זאת, נמדדת בעשרות ולא באלפים. זה נועד להביא לקידום המחקר המדעי האחרון בתחום הביטחון, באווירה המאפשרת אינטראקציה ישירה ונכונה בין כל המשתתפים. הכנס השנה (Malware 2013 בקיצור) הושק בתוספת מפתח מאת דניס באטלדר, מנהל מרכז ההגנה מפני תוכנות זדוניות של מיקרוסופט, והצביע על הבעיות הקשות שעומדות בפני תעשיית antimalware.

במהלך המצגת שאלתי את מר באצ'לדרר אם יש לו מחשבות מדוע ציוני האבטחה של מיקרוסופט מביאים ציונים בתחתית או בקרבתה בבדיקות עצמאיות רבות, מספיק נמוכות לכך שרבים מהמעבדות מתייחסים אליו עכשיו כאל קו בסיס כדי להשוות למוצרים אחרים. בתמונה שבראש המאמר הוא מחקה כיצד חברי צוות האנטי-וירוס של מיקרוסופט לא מרגישים בשאלה זו.

באצ'לדר הסביר שככה מיקרוסופט רוצה את זה. ספקי האבטחה יפים להפגין איזה ערך הם יכולים להוסיף על מה שמובנה. הוא גם ציין כי הנתונים של מיקרוסופט מראים כי רק 21 אחוז ממשתמשי Windows אינם מוגנים, הודות ל- MSE ו- Windows Defender, לעומת מעל 40 אחוזים. וכמובן שבכל עת שמיקרוסופט תוכל להעלות את קו הבסיס הזה, ספקי צד ג 'בהכרח יצטרכו להתאים אותה או לחרוג ממנה.

החבר'ה הרעים לא בורחים

באצ'לדר ציין אתגרים משמעותיים בשלושה תחומים עיקריים: בעיות לתעשייה כולה, בעיות בקנה מידה ובעיות בבדיקה. מתוך הדיבורים המרתקים האלה, נקודה אחת שבאמת היכתה אותי הייתה התיאור שלו כיצד סינדיקטות פשע יכולות להערים על כלי אנטי-וירוס לעשות עבודות מלוכלכות עבורן.

באצ'לדר הסביר כי מודל האנטי-וירוס הרגיל מניח שהחבר'ה הרעים בורחים ומתחבאים. "אנו מנסים למצוא אותם בדרכים טובות וטובות יותר, " אמר. "הלקוח המקומי או הענן אומרים 'חסום אותו!' או שאנחנו מגלים איום ומנסים לתקן. " אבל הם כבר לא בורחים; הם תוקפים.

ספקי אנטי-וירוס משתפים דגימות ומשתמשים בטלמטריה מניתוח הבסיס והמוניטין המותקן שלהם כדי לאתר איומים. אולם לאחרונה, המודל הזה לא תמיד עובד. "מה אם אתה לא יכול לסמוך על הנתונים האלה", שאל באצ'לדר. "מה אם הרעים תוקפים ישירות את המערכות שלך?"

הוא דיווח שמיקרוסופט זיהתה "קבצים מעוצבים הממקדים למערכות שלנו, קבצים מעוצבים שנראים כמו איתור של ספק אחר." ברגע שספק אחד מרים אותו כאיום ידוע, הם מעבירים אותו לאחרים, מה שמסלים באופן מלאכותי את ערך הקובץ המעוצב. "הם מוצאים חור, יוצרים מדגם וגורמים לבעיות. הם יכולים להזריק טלמטריה כדי לזייף גם את השכיחות ואת הגיל, " ציין באצ'לדר.

האם לא כולנו יכולים פשוט לעבוד יחד?

אז מדוע סינדיקט פשע יטריד את הזנת מידע כוזב לחברות אנטי-וירוס? המטרה היא להציג חתימה אנטי-וירוס חלשה, כזו שתתאים גם לקובץ תקף הדרוש למערכת הפעלה יעד. אם ההתקפה תצליח, ספקי אנטי-וירוס אחד או יותר יסגרו את הקובץ התמים במחשבים קורבניים בהסגר, ואולי יבטלו את מערכת ההפעלה המארחת שלהם.

סוג זה של תקיפה הוא מגוחך. על ידי החלפת גילויים מזויפים לזרם הנתונים המשותף לספקי האנטי-וירוס, הפושעים יכולים לפגוע במערכות שמעולם לא שמו עליהן עיניים (או ידיים). כיתרון לוואי, פעולה זו עשויה להאט את שיתוף הדגימות בין הספקים. אם אינך יכול להניח שגילוי שהועבר על ידי ספק אחר תקף, תצטרך להקדיש זמן לבדיקה מחדש עם החוקרים שלך.

בעיה גדולה, חדשה

Batchelder מדווח כי הם מקבלים בערך 10, 000 מתיקים "מורעלים" בחודש באמצעות שיתוף מדגמים. בערך עשירית אחוז מהטלמטריה שלהם (ממשתמשי מוצרי האנטי-וירוס של מיקרוסופט) מורכבת מקבצים כאלה וזה המון.

זה חדש לי, אבל זה לא מפתיע. לסינדיקטים לפשע זדוני יש טונות של משאבים, והם יכולים להקדיש חלק מאותם משאבים להסרת גילוי על ידי אויביהם. אני אשאל ספקים אחרים לגבי סוג זה של "אנטי-וירוס נשק" ככל שאני מקבל את ההזדמנות.