וִידֵאוֹ: ª (נוֹבֶמבֶּר 2024)
דניס באצ'לדר, מנהל המרכז להגנה מפני תוכנות זדוניות של מיקרוסופט (MMPC), הציג את נאום המרכזי לכנס הבינלאומי השמיני בנושא תוכנות זדוניות ולא רצויות (Malware 2013 בקיצור). לאחר סיום הוועידה הראשית, הוא נפגש עם קבוצה נבחרת עבור מצגת שלאחר הוועידה, כיצד בדיוק מעריכה מיקרוסופט את ההצלחה שלהם נגד תוכנות ריגול. אני לא יכול להיכנס לפרטי פרטים, מכיוון שחלק מהמצגת הועמדו לרשותם בתנאים של אי-גילוי, אבל אני יכול לומר לכם, מה שהם עושים זה די מדהים.
נגן המפתח בבדיקה העצמית של מיקרוסופט הוא משהו שראית בכל יום שלישי של תיקון, הכלי להסרת תוכנות זדוניות. ה- MSRT פועל בקצרה במהלך Windows Update ואז נעלם, עד החודש הבא. כחלק מתפקידה היא מדווחת על אוסף של מידע מערכתי שאינו אישי לחלוטין בחזרה למיקרוסופט. על ידי צבירה של מיליוני הדוחות הרבים שנוצרו, מיקרוסופט יכולה ללמוד הרבה. אתה יכול לבדוק סיכום מצומצם של תוצאותיהם באתר MMPC, אך באופן פנימי יש להם מידע רב, הרבה יותר.
מי לא מוגן?
זה הצמד עבור כל תוכנית לגלות את גרסת Windows המדויקת שבה היא פועלת. חישוב פשוט אחד המתאפשר על ידי דו"ח MSRT הוא פירוט בשכיחות גרסאות Windows. זה משמעותי במיוחד עם מותו הרשמי הקרוב של Windows XP. חשוב מכך, Windows גם ידווח על אבטחה לכל תוכנית שתבקש אותה. באופן ספציפי, היא תזהה את תוכנית האנטי-וירוס הרשומה, אם קיימת, ותציין אם אותה תוכנית מעודכנת.
באצ'לדרר דיווח שכ -21 אחוז מהמערכות שנבדקו לא הוגנו על ידי אנטי-וירוס, לעומת 40 אחוז לפני כניסתם של חלונות 8. אולם זה לא אומר שאין בהן שום אנטי-וירוס המותקן. בין 21 אחוזים אלה מערכות אשר האנטי-וירוס אינו מעודכן, או שהוא קיים אך פג תוקפו. זה כולל גם מערכות בהן המשתמש כבה את ההגנה. המספר בפועל ללא הגנה הוא חלק זעיר מבין אלה שאינם מוגנים.
מה התגעגענו?
כל מטרתו של הכלי להסרת תוכנות זדוניות היא לאתר ולמחוק אוסף קטן אך פעיל של תוכנות זדוניות נפוצות - תעלולים שמחקר מיקרוסופט סמן כחשוב ביותר. אם ה- MSRT מוחק את אחד האיומים הללו במערכת שמותקנת בה הגנה מפני אנטי-וירוס, פירוש הדבר שהאנטי-וירוס לא הצליח למנוע את הזיהום.
כן, המשמעות היא שמיקרוסופט יכולה לזהות בצורה ברורה כשלים על ידי מוצרי אנטי-וירוס ספציפיים, כולל שלהם. זהו מידע רגיש מאוד, באופן טבעי, ו… אבל אני לא יכול לומר יותר. המשמעות היא שהחבורה של מרכז ההגנה מפני תוכנות זדוניות של מיקרוסופט מקבלת משוב מדויק במיוחד מדי חודש על התקנות נגד תוכנות זדוניות של מיקרוסופט. זה מאפשר להם לראות בדיוק מה שלומם, ללא צורך בבדיקות מעבדה.
כמובן, בכל פעם שמתפרסמת תוצאת בדיקה גרועה, הכוחות הנמצאים במיקרוסופט דורשים לדעת מדוע. באצ'לדר אמר לי שהציעו לו צוות שיוכל להקצות למשימה להשיג ציונים טובים יותר במבחני מעבדה עצמאיים. "אמרתי להם להמשיך, " הוא אמר. "תן לי את הצוות הזה. אבל אני לא אשתמש בהם למבחנים שעוברים. אקצה אותם להגן טוב יותר על הלקוחות שלנו."
עכשיו אני רואה…
מוקדם יותר השנה דיווחתי על העובדה שמיקרוסופט ביצעה בדיקה של מעבדות טכנולוגיות דניס, הרוויחה ציון מתחת לאפס וגם נכשלה בהסמכה על ידי AV-Test. מיקרוסופט החזירה לאחור את ההצהרה כי הבדיקה המדוברת איננה אמיתית, כי "99.997 אחוז מלקוחותינו נפגעו בכל יום של 0 לא נתקלו בדגימות הזדוניות שנבדקו במבחן זה."
באותה תקופה הרגשתי שההצהרה הזו צריכה להיות היפר-בולרית, במקרה הטוב. איך הם יכולים לדעת זאת? לאחר שראיתי בדיוק את מה שמיקרוסופט מקבלת בטלמטריה ממוצריה, אני חייב לומר, אני מאמין בזה.
עם זאת, בהתחשב במשאבים האדירים של מיקרוסופט, מדוע לא לעבוד בשני קצוות המשוואה? מדוע לא ליצור מוצר שעושה עבודה טובה וגם עובר את כל המבחנים? באצ'לדר הסביר כי מטרתה של מיקרוסופט היא להבטיח הגנה ללקוחות חלונות, ולא להיות האנטי-וירוס הגדול והרע ביותר בסביבה. מנקודת מבטו, ככל שתוכנת המגן המותקנת מגוונת יותר, מיקרוסופט מקבלת מידע רב יותר, כך הם יכולים להגן טוב יותר על לקוחותיהם.
במהלך המצגת הוא הצביע על גרף המראה ירידה קלה בהתקנות הפעילות של מוצרי האנטי-וירוס של מיקרוסופט. "זה מה שאנחנו רוצים, " אמר למורת רוחם הגלויה של כמה מהנוכחים. "אנו זקוקים לאוסף מגוון של שיטות מיגון כדי שכולנו יכולים לעשות עבודה טובה יותר." הוא נפצע והזכיר לנו נקודה חשובה מהנקודה המרכזית שלו. יש מערכת אקולוגית ענקית של פושעים ותומכים בשחקנים הפועלים נגד ביטחונם של כולם. אם גם ענף ההפעלה אינו פועל כמערכת אקולוגית, אם כל חברה מתעקשת על הצלחה פרטנית על חשבון התחרות, אנו נידונים.
במבט קדימה, Batchelder מקווה לשתף כמה שיותר מהנתונים שנאספו של מיקרוסופט עם חוקרים מעוניינים. זה עשוי לגרום לכמה מאמרים מעניינים מאוד בכנס Malware 2014. נראה!