Video: Best Antivirus in 2020 [Top 5 Malware, Ransomware & Virus Protection For Mac & PC] (November 2024)
Konferencia Black Hat tento rok v lete prilákala viac ako 7 000 účastníkov a na jar sa konferencie RSA zúčastnilo 25 000 účastníkov. Účasť na 8. medzinárodnej konferencii o škodlivom a nechcenom softvéri sa naopak meria v desiatkach, nie tisícoch. Jeho cieľom je predstaviť najnovší vedecký výskum v oblasti bezpečnosti v atmosfére, ktorá umožňuje priamu a úprimnú interakciu medzi všetkými účastníkmi. Tohtoročná konferencia (v skratke Malware 2013) sa začala hlavnou témou Dennisa Batcheldera, riaditeľa strediska Microsoft Malware Protection Center, a poukázala na ťažké problémy, ktorým čelí odvetvie antimalwaru.
Počas prezentácie som sa opýtal pána Batcheldera, či má nejaké myšlienky o tom, prečo skóre Microsoft Security Essentials dosahuje skóre pri mnohých nezávislých testoch alebo blízko nich, a to natoľko nízko, že mnoho laboratórií to teraz považuje za základnú hodnotu na porovnanie s inými produktmi. Na fotografii v hornej časti tohto článku napodobňuje, ako sa členovia antivírusového tímu spoločnosti Microsoft o tejto otázke necítia.
Batchelder vysvetlil, ako to chce Microsoft. Je dobré, aby predajcovia zabezpečenia demonštrovali, akú pridanú hodnotu môžu mať v porovnaní s tým, čo je zabudované. Poznamenal tiež, že údaje spoločnosti Microsoft ukazujú, že iba 21 percent používateľov systému Windows je vďaka MSE a programu Windows Defender nechránených, z viac ako 40 percent. A samozrejme, kedykoľvek spoločnosť Microsoft môže túto základnú úroveň zvýšiť, predajcovia tretích strán budú musieť nevyhnutne zodpovedať alebo ju prekročiť.
Bad Guys nebeží
Batchelder poukázal na významné výzvy v troch hlavných oblastiach: problémy pre priemysel ako celok, problémy s rozsahom a problémy s testovaním. Z tohto fascinujúceho rozhovoru ma jeden bod, ktorý ma skutočne zarazil, opísal ako spôsob, akým môžu zločinecké syndikáty podvádzať antivírusové nástroje, aby pre nich robili špinavú prácu.
Batchelder vysvetlil, že štandardný antivírusový model predpokladá, že zbabelci utekajú a schovávajú sa. „Snažíme sa ich nájsť lepšie a lepšie, “ povedal. „Lokálny klient alebo cloud hovorí:„ zablokujte to! “ alebo zistíme hrozbu a pokúsime sa o nápravu. ““ Ale oni už neutekajú; útočia.
Predajcovia antivírusových programov zdieľajú vzorky a používajú telemetriu zo svojej nainštalovanej základne a analýzy reputácie na zisťovanie hrozieb. V poslednej dobe však tento model nefunguje vždy. „Čo ak týmto údajom nemôžete veriť, “ spýtal sa Batchelder. „Čo ak zlí chlapci útočia priamo na vaše systémy?“
Uviedol, že spoločnosť Microsoft zistila „vytvorený súbor zameraný na naše systémy, vytvorený súbor, ktorý vyzerá ako detekcia iného dodávateľa.“ Keď ho jeden predajca označí ako známa hrozba, odovzdá ho ostatným, čo umelo eskaluje hodnotu vytvoreného súboru. „Nájdu dieru, vyrobia vzorku a spôsobia problémy. Môžu tiež aplikovať telemetriu na falšovanie prevalencie a veku, “ poznamenal Batchelder.
Nemôžeme všetci jednoducho spolupracovať?
Prečo by sa teda mal zločinný syndikát obťažovať antivírusovými spoločnosťami o falošných informáciách? Účelom je predstaviť slabý antivírusový podpis, ktorý bude tiež zodpovedať platnému súboru, ktorý potrebuje cieľový operačný systém. Ak je útok úspešný, jeden alebo viacerí dodávatelia antivírusových programov umiestnia do karantény nevinný súbor na počítačoch obete a pravdepodobne deaktivujú svoj hostiteľský operačný systém.
Tento typ útoku je zákerný. Zasunutím falošných nálezov do toku údajov zdieľaného predajcami antivírusových programov môžu zločinci poškodiť systémy, na ktoré nikdy nevideli oči (alebo ruky). Vedľajšou výhodou môže spomaliť zdieľanie vzoriek medzi predajcami. Ak nemôžete predpokladať, že detekcia prechádzajúca iným dodávateľom je platná, budete ju musieť znova skontrolovať u svojich vlastných výskumných pracovníkov.
Veľký, nový problém
Batchelder hlási, že prostredníctvom zdieľania vzoriek dostáva mesačne asi 10 000 týchto „otrávených“ súborov. Približne desatina percenta ich vlastnej telemetrie (od používateľov antivírusových produktov spoločnosti Microsoft) pozostáva z takýchto súborov, a to je veľa.
Toto je pre mňa nové, ale nie je to prekvapujúce. Syndikáty zločinu škodlivého softvéru majú veľa zdrojov a niektoré z nich môžu venovať podvrhnutiu detekcie nepriateľmi. Keď dostanem príležitosť, budem sa pýtať ďalších predajcov na tento typ „ozbrojeného antivírusu“.