Vídeo: Avast Free Antivirus 2015 el mejor antivirus del mundo original (Setembre 2024)
Els virus informàtics existeixen des de fa molts, molts anys. En els primers dies, la detecció era una simple qüestió de combinar fitxers amb un conjunt de signatures conegut. Alguns programes antivirus van incloure fins i tot una llista de totes les amenaces que van poder detectar. Actualment, les coses són molt diferents, i els escriptors de programari maliciós treballen dur per crear programari maliciós que evolucioni i evolucioni, de manera que no es pot atrapar mitjançant la detecció basada en signatures Vaig parlar amb Roger Thompson, investigador en cap de les amenaces emergents d’ICSA Labs, sobre com han de canviar els programes anti-malware i com s’ha de canviar la prova d’aquests productes.
Les maneres de fer
Rubenking: Es pot dir algunes paraules sobre què és exactament ICSA Labs i què fa?
Thompson: Certifiquem productes antivirus segons criteris històrics acordats. A la dècada dels 90, hi havia la necessitat de distingir entre els antivirus i els resultats reals del món real. Com recordeu, aleshores la gent podia dir el que els agrada dels seus productes i ningú no ho podia demostrar ni rebutjar. Calia que algú amb un cervell digués: "Això funciona, això no funciona, això no fa el que diu".
Els venedors van acordar que necessitaven un tercer neutre per fer-ho. Per descomptat, sempre és més important fer una prova contra els virus presents en estat salvatge que contra un conegut "zoo". Així, la llista salvatge va sorgir per aquesta necessitat: un compost de programari maliciós neutre per als venedors.
A la dècada dels 90, Alan Solomon va convèncer tothom que els mètodes genèrics de detecció de programari maliciós eren una mala idea. El que es volia en lloc va ser un escàner que pogués determinar exactament quin virus hi ha present i exactament com eliminar-lo. El món va estar d’acord i va votar amb els seus llibres de butxaca per donar suport a aquest tipus d’escàner.
El problema de detecció genèrica, històricament, és que provoca trucades de suport. Diu l’antivirus, veiem que algun procés del vostre sistema està modificant executables o bé s’ha modificat algun fitxer executable; ho heu canviat? Això es tradueix en una trucada d’assistència i Fortune 500 no s’aprova. Un antivirus basat en signes ja diu que "és un virus!" o no diu res de res.
Com serà
Thompson: Hi ha una necessitat bàsica de provar els escàners basats en signatures per assegurar-se que es mantinguin al dia. La poden detectar? Això és el que s'ha fet i encara hi ha una necessitat. Tot i això, els números han canviat molt, hi ha un gran nombre de coses esponjoses creades cada dia. El que cal ara és també posar a prova la capacitat dels anti-malware de detectar coses que mai havien vist abans.
Rubenking: Coses esponjoses ? Què vol dir amb això?
Thompson: Ja ho sabeu, ningú coneix els números reals. Els nois d’ESET em van dir a una cervesa que veuen 600.000 mostres de programari maliciós úniques cada dia. Recordo un informe de Symantec que reclamava cada any un milió de productes nous i únics. Però la veritat és que la majoria es creen algoritmicament. Els dolents només canvien algun codi sense importància, recompilar, reembalar i tornar a xifrar. A continuació, comproven si els escàners actuals detecten la nova versió. Si no, l’alliberen.
És molt fàcil detectar el que ja coneixeu. És com la borsa; "només" comprar baix i vendre alt. El fet és que, amb aquests virus únics, el comportament subjacent no canvia, només els bits esponjosos. L’activitat, la modificació del registre, els fitxers canviants… aquest comportament no canvia. Per tant, les proves s’han de desplaçar per incorporar el bloqueig del comportament com a part de l’acord.
Problemes: Afegireu aviat aquesta prova de nova generació?
Thompson: Intentem que els venedors estiguin d’acord que és una bona cosa. Generalment estan d’acord, però realment no es fa una prova tan fàcil.
Rubenking: com és el vostre nou procés?
Thompson: És dur; per això la gent no ho vol fer. Comenceu amb un sistema net, executeu el programari maliciós i vegeu si s’instal·la. Després heu de poder examinar el sistema forense. El programari maliciós va infectar el sistema? Ha canviat les claus del Registre? Es va fer persistent, per sobreviure a un reinici? Aleshores, heu de restaurar a la línia de base neta per tornar-la a fer.
Rubenking: Sembla molt a les proves dinàmiques realitzades per AV-Comparatives.
Thompson: Sí, és molt similar.
Escomesa: Ja estàs preparat, però els venedors no ho són? No sabeu, doncs, quan entrarà en vigor la nova prova?
Thompson: Estem preparats per anar-hi. No sé ben bé quin és l'estat dels venedors; us respondrem a això.] A més, part del problema és trobar les nostres pròpies fonts de programari maliciós, recollir fonts de correu brossa i altres. Hem de saber què hi ha realment.
Que la vida sigui resistent per als dolents
Thompson: Aquest és el camí correcte. No podem deixar de fer el que hem fet sempre, però quan els venedors anti-malware addueixen un bloqueig basat en el comportament, és molt més difícil que els dolents puguin guanyar-los. Poden vèncer signatures fent retocs importants, però per combatre el bloqueig de la conducta han de canviar comportaments i fer front a diferents definicions del comportament.
Esborrany: doncs, un conjunt divers de venedors anti-malware amb diferents tipus de bloqueig de conducta farà que la vida sigui dura per als dolents?
Thompson: Exactament. És com l’analogia del formatge suís. Una mica de formatge té forats, però si es fa una capa amb una altra es cobreix els forats. Poseu bastants trossos i no us queden forats.
Rubenking: Gràcies, Roger!
