Video: Week 10 (Oktober 2024)
Black Hat-konferansen trakk godt over 7000 deltagere i sommer, og 25 000 deltok på RSA-konferansen våren. Deltagelse av den 8. internasjonale konferansen om ondsinnet og uønsket programvare måles derimot i dusinvis, ikke tusenvis. Den har som mål å bringe frem den siste vitenskapelige forskningen innen sikkerhet, i en atmosfære som tillater direkte og åpenhjertig samhandling mellom alle deltagere. Årets konferanse (Malware 2013 i korte trekk) ble lansert med en hovednotat av Dennis Batchelder, direktør for Microsoft Malware Protection Center, og påpekte de harde problemene som står overfor antimalware-industrien.
Under presentasjonen spurte jeg Mr. Batchelder om han hadde noen tanker om hvorfor Microsoft Security Essentials scorer på eller nær bunnen i mange uavhengige tester, så lave at mange av laboratoriene nå behandler det som en grunnleggende sammenligning med andre produkter. På bildet øverst i denne artikkelen mimrer han hvordan Microsofts antivirus-teammedlemmer ikke føler om det spørsmålet.
Batchelder forklarte at det er slik Microsoft vil ha det. Det er greit for sikkerhetsleverandørene å demonstrere hvilken verdi de kan tilføre over det som er innebygd. Han bemerket også at Microsofts data viser bare 21 prosent av Windows-brukere ubeskyttet, takket være MSE og Windows Defender, ned fra over 40 prosent. Og selvfølgelig når Microsoft kan heve den grunnlinjen, vil tredjepartsleverandører nødvendigvis måtte matche eller overskride den.
De dårlige karene løper ikke unna
Batchelder påpekte betydelige utfordringer på tre hovedområder: problemer for industrien som helhet, skalaproblemer og testproblemer. Ut av denne fascinerende snakken, var et poeng som virkelig slo meg beskrivelsen av måten kriminalsyndikater kan lure antivirusverktøy til å gjøre skittent arbeid for dem.
Batchelder forklarte at antivirusmodellen som standard antar at skurkene løper bort og gjemmer seg. "Vi prøver å finne dem på bedre og bedre måter, " sa han. "Den lokale klienten eller skyen sier 'blokker det!' eller vi oppdager en trussel og prøver sanering. " Men de løper ikke lenger; de angriper.
Leverandører av antivirus deler prøver og bruker telemetri fra deres installerte base- og omdømmeanalyse for å oppdage trusler. I det siste fungerer imidlertid ikke denne modellen alltid. "Hva hvis du ikke kan stole på disse dataene, " spurte Batchelder. "Hva hvis skurkene angriper systemene dine direkte?"
Han rapporterte at Microsoft har oppdaget "laget filer som er målrettet mot systemene våre, lagde filer som ser ut som en annen leverandørs gjenkjenning." Når en leverandør plukker den opp som en kjent trussel, sender de den videre til andre, som kunstig eskalerer verdien av den lagde filen. "De finner et hull, lager en prøve og forårsaker problemer. De kan injisere telemetri for å forfalske utbredelse og alder også, " bemerket Batchelder.
Kan vi ikke bare jobbe sammen?
Så hvorfor skulle et kriminalsyndikat bry seg om å mate falsk informasjon til antivirusfirmaer? Hensikten er å introdusere en svak antivirussignatur, en som også vil samsvare med en gyldig fil som trengs av et operativsystem. Hvis angrepet er vellykket, vil en eller flere antivirusleverandører karantene den uskyldige filen på offer-PC-er, og muligens deaktivere deres operativsystem.
Denne typen angrep er snikende. Ved å gli falske deteksjoner i datastrømmen som deles av antivirus-leverandører, kan kriminelle skade systemer som de aldri har lagt øyne (eller hender) på. Som en sidefordel kan det gjøre sakte deling av prøver mellom leverandører sakte. Hvis du ikke kan anta at en gjenkjenning som er gitt av en annen leverandør er gyldig, må du bruke tid på å sjekke den sammen med dine egne forskere.
Stort, nytt problem
Batchelder rapporterer at de får rundt 10.000 av disse "forgiftede" filene per måned gjennom deling av prøver. Omtrent en tidel av en prosent av deres egen telemetri (fra brukere av Microsofts antivirusprodukter) består av slike filer, og det er mye.
Dette er nytt for meg, men det er ikke overraskende. Syndikater for skadelig programvare har mange ressurser, og de kan bruke noen av disse ressursene på å undergrave oppdagelse av fiendene sine. Jeg kommer til å spørre andre leverandører om denne typen "våpnet antivirus" når jeg får muligheten.
