Vídeo: Philippines eyes herd immunity with COVID vaccination plan | TeleRadyo (Setembre 2024)
A la Conferència internacional d’enguany sobre programari maliciós i no desitjat, també coneguda amb MalCon 2015, Fanny Lalonde Lévesque, doctora. estudiant de l'École Polytechnique de Montréal, va demostrar els resultats fascinants que es poden obtenir quan es disposen de grans quantitats d'informació sobre protecció antivirus en mil milions d'equips. Mitjançant un enfocament extret de l'estudi dels ecosistemes naturals, va idear algunes mètriques per mesurar la salut de tot l'ecosistema antivirus.
És possible que hagueu notat l’Eina d’eliminació de programari maliciós (MSRT) que s’executa com a part de cada actualització de Microsoft. Busca i elimina molt específicament unes dotzenes de famílies de programari maliciós molt prevalents, seleccionades cada mes per l’equip de seguretat de Microsoft. També torna a enviar telemetria significativa a Microsoft. Segons Dennis Batchelder, director del Microsoft Malware Protection Center (MMPC), aquesta telemetria és el motiu pel qual Microsoft no necessita proves antivirus. En un discurs principal fa uns anys a MalCon, va exposar detalladament la quantitat massiva de dades recollides per MSRT i va convidar els acadèmics a presentar propostes per utilitzar aquestes dades en investigació.
Milions i milions
Entre altres coses, el MSRT informa si va trobar algun programari maliciós, quin antivirus (si n’hi havia) instal·lat i si l’antivirus estava configurat i funcionant correctament. La Sra. Lalonde Lévesque va començar amb quatre mesos de dades MSRT de Microsoft. Després d'eliminar les entrades de màquines sense antivirus, encara tenia gairebé mil milions de dades. Hi ha un cert biaix en el conjunt d'exemples, ja que alguns usuaris van optar per no executar Windows Update ni MSRT. Per ajudar a superar aquest biaix, va seleccionar un 10 per cent de les entrades aleatòries. Això encara és de més de 90 milions de mostres.
Amb la població objectiu seleccionada, va analitzar la salut del sistema global. Aquesta anàlisi analitza específicament tres àrees derivades de l’anàlisi dels ecosistemes naturals: Activitat, Diversitat i Estabilitat.
A l’ecosistema antivirus, el grau de protecció representa activitat. Un antivirus instal·lat pot estar desfasat o desactivar-lo, o bé pot tenir una protecció en temps real. La Sra. Lalonde Lévesque va comprovar que, durant els quatre mesos, el nombre d'instal·lacions actualitzades adequadament configurades es va situar al voltant del 87 al 88 per cent.
La diversitat en un ecosistema natural significa que cap espècie única no és totalment dominant. La Sra. Lalonde Lévesque va examinar els 100+ productes antivirus diferents en l'ecosistema antivirus i va trobar un alt grau de diversitat. El producte dominant, el de major base instal·lada, mai no va reclamar més del 18 per cent del mercat.
Per examinar l'estabilitat, va reduir la llista als ordinadors que havien respost a la MSRT durant els quatre mesos. Va mirar els canvis en l'estat dels antivirus i va trobar resultats encoratjadors. Només al voltant del 3 per cent dels equips que tenien antivirus funcionant i actualitzat es van desplaçar cap a un estat menys segur i molts ordinadors dels altres estats van millorar.
Aquí és una sorpresa. Al llarg de l'estudi, completament un terç dels ordinadors van canviar a un antivirus diferent. Alguns assistents especulaven sobre la possibilitat que es pogués produir un resultat obtingut basat en la caducitat de l'antivirus gratuït als nous ordinadors. Sigui quina sigui la raó, això canvia molt.
El darrer pas va ser examinar quins equips informadors eren afectats per programari malaurat malgrat tenir antivirus instal·lat. No en va, la baixa taxa d’infecció amb programari maliciós es va correlacionar fortament amb antivirus actualitzats i en funcionament. Per contra, una taxa d’estabilitat baixa, que significa molt canvi en l’estat d’antivirus o antivirus instal·lats, es va correlacionar fortament amb una taxa d’infecció més elevada.
Monocultiu i immunitat de la rajada
El següent pas consistia en esborrar les dades de cadascun dels 126 països implicats i en combinar la salut dels ecosistemes antivirus a tot el país amb les taxes d’infecció a tot el país. Per a aquesta part de l'estudi, la Sra. Lalonde Lévesque va mirar els ordinadors protegits per antivirus i els que no tenien cap protecció.
Alguns països van exhibir una qualificació de diversitat tímida, amb un producte que protegia la majoria de tots els sistemes. Aquests països mostraven habitualment una taxa d'infecció superior a la mitjana, mentre que els amb més diversitat presentaven una taxa més baixa. El seu informe complet detalla com va verificar la importància estadística d’aquest resultat. A l’ecosistema antivirus, com a la vida, el monocultiu no és saludable.
No és estrany que un percentatge més gran d’ordinadors amb antivirus funcionals actualitzats es correlacioni fortament amb una taxa d’infecció més baixa. Si no fos així, alguna cosa estaria molt malament. Aquesta opció de correcció és la que es pot observar quan es busquen ordinadors sense antivirus al mateix país. Sembla que hi ha una espècie d’immunitat al ramat, de manera que fins i tot aquells que renuncien a la protecció antivirus aconsegueixen tenir els veïns totalment blindats.
Després hi ha l’efecte MSRT. Els països amb una elevada taxa d'infecció també van mostrar una elevada taxa de "pudor", amb molts usuaris que canvien productes antivirus. Podria ser que el simple fet de veure MSRT eliminar el programari maliciós va fer que l’usuari quedés insatisfet amb la protecció existent i escollís un venedor diferent? Això seria difícil de demostrar, ja que no hi ha ordinadors a l'estudi que mai hagin utilitzat MSRT.
Només una vista
La Sra. Lalonde Lévesque es va esforçar en assenyalar que els resultats d’aquest estudi tenen certes limitacions. Per exemple, només es van incloure equips que es connectaven al sistema MSRT. I els resultats de la infecció només estan disponibles per a les famílies de programari maliciós generalitzades seleccionades per Microsoft cada mes. A més, les teories sobre la immunitat i el monocultiu no són les úniques explicacions per a les correlacions descobertes.
La col·lecció massiva de dades de Microsoft està disponible per a investigadors qualificats. Uns altres poden ampliar l'estudi de la Sra. Lalonde Lévesque o desenganxar-se en una direcció totalment diferent. Espero veure amb què es veuen.
