Videó: 10 Creative Ideas How to Maximize Small Closets (November 2024)
A Black Hat konferencia jóval több mint 7000 résztvevőt vonzott ezen a nyáron, és 25 000 részt vett a tavaszi RSA konferencián. A rosszindulatú és nem kívánt szoftverekkel foglalkozó nyolcadik nemzetközi konferencia részvételét ezzel szemben tízezsekben, nem pedig ezerben mérik. Célja a biztonsággal kapcsolatos legújabb tudományos kutatások előmozdítása olyan légkörben, amely lehetővé teszi a közvetlen és őszinte interakciót az összes résztvevő között. Az idei konferencia (röviden a Malware 2013) Dennis Batchelder, a Microsoft Malware Protection Center igazgatójának kiemelt szavazatával indult, rámutatva az antimalware-ipar nehézségeire.
Az előadás során Batchelder úrtól kérdeztem, hogy gondolkodik-e arról, hogy a Microsoft Security Essentials miért számít számos független teszt alján vagy annak közelében, annyira alacsony, hogy manapság sok laboratórium ezt csak alapvető szempontnak tekinti, hogy összehasonlítsa más termékekkel. A cikk tetején található fotón azt utánozza, hogy a Microsoft antivírus csapata nem érzi ezt a kérdést.
Batchelder kifejtette, hogy a Microsoft ezt akarja. Jó, ha a biztonsági szolgáltatók megmutatják, hogy milyen hozzáadott értéket tudnak hozzáadni a beépített anyaghoz. Azt is megjegyezte, hogy a Microsoft adatai szerint az MSE és a Windows Defendernek köszönhetően a Windows-felhasználók mindössze 21% -a védtelen. Ez több mint 40% -ot jelent. És természetesen bármikor, amikor a Microsoft emeli ezt az alapvonalat, a harmadik féltől származó gyártóknak feltétlenül meg kell egyezniük vagy túllépniük azt.
A rossz fiúk nem futnak el
Batchelder három fő területen rámutatott a jelentős kihívásokra: az ipar egészére, a méretre és a tesztelésre vonatkozó problémákra. Ennek a lenyűgöző beszélgetésnek az egyik pontja, amely igazán megdöbbent, az volt, hogy leírta, ahogyan a bűncselekmény-szindikátusok becsaphatják a vírusölő eszközöket, hogy piszkos munkát végezzenek érte.
Batchelder kifejtette, hogy a szokásos víruskereső modell feltételezi, hogy a rossz fiúk elmenekülnek és rejtőznek. "Próbálunk jobb és jobb módokon megtalálni őket" - mondta. "A helyi kliens vagy a felhő azt mondja:" blokkolja! " vagy felfedezzük a fenyegetést és megpróbáljuk orvosolni. " De már nem menekülnek; támadnak.
A víruskereskedők megosztják a mintákat, és a telepített bázisukból és a hírnév elemzéséből telemetriát használnak a fenyegetések felismerésére. Az utóbbi időben azonban ez a modell nem mindig működik. - Mi lenne, ha nem bízhat az adatokban - kérdezte Batchelder. "Mi van, ha a rossz fiúk közvetlenül megtámadják a rendszert?"
Jelentette, hogy a Microsoft észlelte "a rendszereinket célzó, ügyfelek által létrehozott fájlokat, olyan ügyes fájlokat, amelyek hasonlóak más gyártók észleléseihez". Amint az egyik eladó ismert fenyegetésként felveszi azt, továbbadja másoknak, ez pedig mesterségesen növeli a kidolgozott fájl értékét. "Megtalálnak egy lyukat, elkészítik a mintát, és problémákat okoznak. Telemetriát fecskendezhetnek, hogy meghamisítsák az előfordulást és az életkorot" - jegyezte meg Batchelder.
Nem tudunk mind együtt dolgozni?
Tehát miért zavarna egy bűncselekmény-szindikátus hamis információkat az antivírus cégeknek? A cél egy gyenge vírusvédelmi aláírás bevezetése, amely szintén megfelel egy érvényes fájlnak, amelyre a cél operációs rendszernek szüksége van. Ha a támadás sikeres, egy vagy több víruskereső gyártó karanténba helyezi az ártatlan fájlt az áldozatok PC-jén, esetleg letiltva gazda operációs rendszerüket.
Ez a támadás félrevezető. A hamis észlelések becsúszásával az antivíruskereskedők által megosztott adatfolyamba, a bűnözők megrongálhatják azokat a rendszereket, amelyekre még soha nem tettek figyelmet. Mellékhatásként az ilyen eljárás lelassíthatja a minták megosztását a gyártók között. Ha nem tudja feltételezni, hogy egy másik gyártó átadja a felismerést, akkor időt kell fordítania a saját kutatóinak ellenőrzéséhez.
Nagy, új probléma
A Batchelder jelentése szerint havonta mintegy 10 000 ilyen "mérgezett" fájlt kapnak a minták megosztása révén. Saját telemetria (a Microsoft antivírus termékeinek felhasználóitól) körülbelül egytizedének egy része ilyen fájlokból áll, és ez nagyon sok.
Ez számomra új, de nem meglepő. A rosszindulatú programok bűncselekmény-szindikátusai rengeteg erőforrással rendelkeznek, és ezeknek a forrásoknak egy részét az ellenség általi észlelés aláásására fordíthatják. Felkérdezem más gyártókat az ilyen "fegyveres víruskereskedésekről", amint lehetőségem van.
