Vídeo: SpyShelter Firewall - Обзор Анти Кейлоггера, Анти Шпиона (De novembre 2024)
La conferència Black Hat va reunir més de 7.000 assistents aquest estiu i 25.000 van assistir a la Conferència RSA de la primavera. L'assistència a la 8a Conferència Internacional sobre Programes Maliciosos i No desitjats, per contra, es mesura en desenes, no en milers. El seu objectiu és avançar les darreres investigacions acadèmiques en seguretat, en un ambient que permeti la interacció directa i sincera entre tots els assistents. La conferència d’enguany (Malware 2013 per a resum) va ser llançada amb una nota principal de Dennis Batchelder, director del Microsoft Malware Protection Center, que va assenyalar els problemes difícils que té la indústria antimalware.
Durant la presentació, li vaig preguntar al senyor Batchelder si tenia pensats sobre per què les puntuacions de Microsoft Security Essentials es trobaven a prop o a la part inferior en moltes proves independents, prou baix que molts dels laboratoris ara ho tracten com una línia de referència per comparar amb altres productes. A la foto de la part superior d'aquest article, es veu com els membres de l'equip antivirus de Microsoft no se senten per aquesta pregunta.
Batchelder va explicar que és així com Microsoft ho vol. Està bé perquè els venedors de seguretat demostrin quin valor poden afegir sobre allò integrat. A més, va assenyalar que les dades de Microsoft mostren només el 21 per cent dels usuaris de Windows sense protecció, gràcies a MSE i Windows Defender, que van baixar de més del 40 per cent. I, per descomptat, qualsevol cop que Microsoft pugui incrementar aquesta línia de referència, els proveïdors de tercers necessàriament hauran de coincidir o superar-la.
Els dolents no corren lluny
Batchelder va assenyalar reptes importants en tres grans àrees: problemes per a la indústria en general, problemes d’escala i problemes per fer proves. D'aquesta fascinant xerrada, un punt que em va cridar l'atenció va ser la descripció de la manera en què els sindicalitzats de delinqüència poden enganyar les eines antivirus per fer feina bruta per a ells.
Batchelder va explicar que el model estàndard d’antivirus suposa que els dolents s’escapen i s’amaguen. "Intentem trobar-los de maneres millors i millors", va dir. "El client local o el núvol diu" bloquejar-lo! " o detectem una amenaça i intentem solucionar ". Però ja no fugen; estan atacant
Els venedors d’antivirus comparteixen mostres i utilitzen telemetria des de la base instal·lada i l’anàlisi de reputació per detectar amenaces. Però, darrerament, aquest model no sempre funciona. "Què passa si no es pot confiar en aquestes dades", va preguntar Batchelder. "Què passa si els dolents ataquen els vostres sistemes directament?"
Va informar que Microsoft ha detectat "fitxers dissenyats dirigits als nostres sistemes, fitxers dissenyats que semblen detecció d'altres venedors". Un cop que un venedor el recull com a amenaça coneguda, el transmeten a d'altres, cosa que augmenta artificialment el valor del fitxer dissenyat. "Troben un forat, elaboren una mostra i causen problemes. També poden injectar telemetria per falsificar la prevalença i l'edat", va assenyalar Batchelder.
No podem treballar tots junts?
Per tant, per què un sindicat de delicte molestaria en proporcionar informació falsa a empreses antivirus? El propòsit és introduir una signatura antivirus feble, que també coincidirà amb un fitxer vàlid que necessita un sistema operatiu de destinació. Si l’atac té èxit, un o més venedors d’antivirus posaran en quarantena l’arxiu innocent als ordinadors víctimes, possiblement inhabilitant el seu sistema operatiu d’amfitrió.
Aquest tipus d’atac és insidiós. Al col·locar deteccions falses a la base de dades compartida per venedors d’antivirus, els delinqüents poden danyar sistemes que mai no han posat els ulls (ni les mans). Com a benefici secundari, fer-ho pot retardar el repartiment de mostres entre proveïdors. Si no podeu suposar que una detecció passada per un altre venedor sigui vàlida, haureu de passar el temps per tornar-la a comprovar amb els vostres propis investigadors.
Gran, nou problema
Batchelder informa que s'estan rebent al voltant de 10.000 d'aquests fitxers "enverinats" al mes mitjançant l'intercanvi de mostres. Al voltant d'una desena part de la seva telemetria (dels usuaris de productes antivirus de Microsoft) consisteix en fitxers, i això és molt.
Això és nou per a mi, però no és estrany. Els sindicats de delictes contra programari maliciós tenen tones de recursos i poden dedicar alguns d'aquests recursos a subvertir la detecció dels seus enemics. Vaig a preguntar a altres venedors sobre aquest tipus d'antivirus armats a mesura que tingui l'oportunitat.