Vídeo: Antivirus 2010 - An incredibly rare fake antivirus (Setembre 2024)
Dennis Batchelder, director del Microsoft Malware Protection Center (MMPC), va presentar el discurs principal de la 8a Conferència Internacional sobre Programes Maliciosos i No desitjats (en breu, Malware 2013). Un cop acabada la conferència principal, es va reunir amb un grup selecte per presentar una presentació posterior a la conferència sobre com Microsoft avalua el seu propi èxit antimalware. No puc entrar al detall, ja que es van posar a disposició parts de la presentació en condicions de no divulgar-se, però us puc dir, el que fan és bastant sorprenent.
El reproductor clau de l’autocontrol de Microsoft és alguna cosa que heu vist cada dimarts de pedaç, l’eina d’eliminació de programari maliciós. El MSRT s’executa breument durant l’actualització de Windows i després s’apareix fins al mes següent. Com a part del seu treball, informa de Microsoft una col·lecció d'informació del sistema totalment no personal de Microsoft. Agregant molts milions d’informes així generats, Microsoft pot aprendre molt. Podeu consultar un resum limitat dels seus resultats al lloc web de MMPC, però internament tenen molta més informació.
Qui no està protegit?
És un complement per a qualsevol programa esbrinar la versió exacta de Windows en què es troba. Un senzill càlcul que va fer possible l’informe del MSRT és un desglossament de la prevalença de les versions de Windows. Això és especialment significatiu a causa de la desaparició oficial de Windows XP. Més important encara, Windows també informarà sobre seguretat a qualsevol programa que ho sol·liciti. Concretament, identificarà el programa antivirus registrat, si n’hi ha, i indicarà si aquest programa està actualitzat.
Batchelder va informar que al voltant del 21 per cent dels sistemes examinats no estaven desprotegits per antivirus, baixant del 40 per cent abans de l’arribada de Windows 8. Això no vol dir que no tinguin cap antivirus instal·lat. Entre aquest 21 per cent hi ha sistemes que antivirus no estan actualitzats o estan presents, però han caducat. Això també inclou sistemes on l’usuari ha desactivat la protecció. El nombre real sense protecció és una fracció minúscula dels no protegits.
Què trobàvem a faltar?
L’objectiu sencer de l’Eina d’eliminació de programari maliciós és detectar i esborrar una petita però activa col·lecció de programari maliciós prevalent: les molèsties que la investigació de Microsoft ha marcat com a més important. Si el MSRT elimina una d'aquestes amenaces en un sistema que té instal·lada la protecció antivirus, vol dir que l'antivirus no ha pogut evitar la infecció.
Sí, això vol dir que Microsoft pot identificar clarament les falles de productes antivirus específics, inclosos els propis. Aquesta és una informació molt sensible, naturalment, i… però no puc dir més. El que vol dir és que la colla del Centre de protecció del programari de Microsoft rep una informació extremadament precisa cada mes sobre instal·lacions antimalware de Microsoft. Això els permet veure exactament com fan, sense necessitat de proves de laboratori.
Per descomptat, en qualsevol moment que es publiqui un mal resultat, els poders que estan a Microsoft exigeixen saber per què. Batchelder em va dir que li van oferir un equip que podia assignar a la tasca d'obtenir millors puntuacions en proves de laboratori independents. "Els vaig dir que vagin endavant", va dir. "Dóna'm aquest equip. Però no els utilitzaré per passar proves. Les assignaré a protegir millor els nostres clients".
Ara veig...
A principis d’any vaig informar sobre el fet que Microsoft va fer un test per part de Dennis Technology Labs, obtenint una puntuació per sota de zero i que també va fallar la certificació per part de AV-Test. Microsoft es va retirar amb una afirmació que la prova en qüestió no era real, que "el 99, 997 per cent dels nostres clients va arribar a 0 dies no va trobar les mostres de programari maliciós provades en aquesta prova."
En el seu moment vaig sentir que aquesta afirmació havia de ser una hipèrbole, en el millor dels casos. Com podrien saber-ho possiblement? Un cop vist el que Microsoft rep en telemetria dels seus productes, he de dir-ho, crec.
Tanmateix, tenint en compte els recursos immensos de Microsoft, per què no funcionen els dos extrems de l’equació? Per què no crear un producte que faci una bona feina i que supera totes les proves? Batchelder va explicar que l'objectiu de Microsoft és garantir la protecció als clients de Windows, no ser el més gran i més dolent antivirus al voltant. Des del seu punt de vista, com més divers sigui el programari de protecció instal·lat, més informació obté Microsoft i millor poden protegir els seus clients.
Durant la presentació va assenyalar un gràfic que mostra un lleu descens de les instal·lacions actives dels productes antivirus de Microsoft. "Això és el que volem", va dir, a la consternació visible d'alguns assistents. "Necessitem una col·lecció diversa de mètodes de protecció perquè tots puguem fer una feina millor". Va acabar recordant un punt important de la seva nota clau. Hi ha un enorme ecosistema maliciós de delinqüents i agents de suport que treballen contra la seguretat de tothom. Si la indústria antimalware no funciona igualment com a ecosistema, si cada empresa insisteix en l'èxit individual a costa de la competència, estem condemnats.
Amb expectatives, Batchelder espera compartir la major part de les dades recollides de Microsoft amb investigadors interessats. Això podria resultar en alguns treballs molt interessants a la conferència de Malware 2014. Ho veure'm!
