Video: Обзор Avast Free Antivirus 2017. (Oktober 2024)
Black Hat-konferencen trak godt over 7.000 deltagere i sommer, og 25.000 deltog i RSA-konferencen i foråret. Deltagelse af den 8. internationale konference om ondsindet og uønsket software måles derimod i snesevis, ikke tusinder. Det sigter mod at fremskynde den nyeste videnskabelige forskning inden for sikkerhed, i en atmosfære, der tillader direkte og ærlig interaktion mellem alle deltagere. Dette års konference (Malware 2013 for kort) lanceret med en hovednotat af Dennis Batchelder, direktør for Microsoft Malware Protection Center, der påpegede de hårde problemer, der står over for antimalware-industrien.
Under præsentationen spurgte jeg Mr. Batchelder, om han havde nogen tanker om, hvorfor Microsoft Security Essentials scorer i eller nær bunden i mange uafhængige tests, så lave, at mange af laboratorierne nu behandler det som en baseline til sammenligning med andre produkter. På billedet øverst i denne artikel efterligner han, hvordan Microsofts antivirus-teammedlemmer ikke har det spørgsmål.
Batchelder forklarede, at det er sådan, Microsoft ønsker det. Det er fint for sikkerhedsleverandørerne at demonstrere, hvilken værdi de kan tilføje over det, der er indbygget. Han bemærkede også, at Microsofts data viser, at kun 21 procent af Windows-brugere er ubeskyttede takket være MSE og Windows Defender, ned fra over 40 procent. Og selvfølgelig når som helst Microsoft kan hæve den baseline, skal tredjepartsleverandører nødvendigvis matche eller overskride den.
De dårlige fyre løber ikke væk
Batchelder påpegede væsentlige udfordringer på tre hovedområder: problemer for industrien som helhed, stordriftsproblemer og testproblemer. Ud af denne fascinerende tale var et punkt, der virkelig ramte mig, hans beskrivelse af den måde, kriminalsyndikater kan narre antivirusværktøjer til at udføre beskidt arbejde for dem.
Batchelder forklarede, at antivirusmodellen som standard antager, at de onde løber væk og gemmer sig. ”Vi prøver at finde dem på bedre og bedre måder, ” sagde han. "Den lokale klient eller skyen siger 'bloker det!' eller vi opdager en trussel og prøver afhjælpning. " Men de løber ikke længere; de angriber.
Antivirus-leverandører deler prøver og bruger telemetri fra deres installerede base- og omdømmeanalyse til at opdage trusler. På det seneste fungerer denne model ikke altid. "Hvad hvis du ikke kan stole på disse data, " spurgte Batchelder. "Hvad hvis de onde angriber direkte dine systemer?"
Han rapporterede, at Microsoft har opdaget "udformede filer, der er målrettet mod vores systemer, udformede filer, der ligner en anden leverandørs detektion." Når en leverandør opfanger den som en kendt trussel, sender de den videre til andre, hvilket kunstigt eskalerer værdien af den udformede fil. "De finder et hul, udarbejder en prøve og skaber problemer. De kan indsprøjte telemetri for også at forfalske udbredelse og alder, " bemærkede Batchelder.
Kan vi ikke alle bare arbejde sammen?
Så hvorfor skulle et kriminalsyndikat genere at fodre falske oplysninger til antivirusfirmaer? Formålet er at introducere en svag antivirussignatur, en der også matcher en gyldig fil, der kræves af et måloperativsystem. Hvis angrebet er vellykket, vil en eller flere antivirusleverandører karantæne den uskyldige fil på offer-pc'er, muligvis deaktivere deres host-operativsystem.
Denne type angreb er lumsk. Ved at glide falske detektioner i datastrømmen, der deles af antivirus-leverandører, kan de kriminelle beskadige systemer, som de aldrig har lagt øjne (eller hænder) på. Som en sidefordel kan det ved at gøre det langsomt dele delingen af prøver mellem leverandører. Hvis du ikke kan antage, at en detektion, der er bestået af en anden leverandør, er gyldig, skal du bruge tid på at kontrollere den igen med dine egne forskere.
Stort, nyt problem
Batchelder rapporterer, at de får omkring 10.000 af disse "forgiftede" filer pr. Måned gennem deling af prøver. Cirka en tiendedel af en procent af deres egen telemetri (fra brugere af Microsofts antivirusprodukter) består af sådanne filer, og det er meget.
Denne er ny for mig, men det er ikke overraskende. Syndikater med ondsindet kriminalitet har mange ressourcer, og de kan bruge nogle af disse ressourcer til at undergrave opdagelse af deres fjender. Jeg spørger andre leverandører om denne type "våbeniseret antivirus", når jeg får muligheden.
