Video: Top 5 Best FREE ANTIVIRUS Software (2020) (Listopad 2024)
Konference Black Hat letos v létě přitáhla přes 7 000 účastníků a na jaře se konference RSA zúčastnilo 25 000. Naopak účast na 8. mezinárodní konferenci o škodlivém a nežádoucím softwaru se měří v desítkách, nikoli tisících. Jeho cílem je přiblížit nejnovější vědecký výzkum v oblasti bezpečnosti v atmosféře, která umožňuje přímou a upřímnou interakci mezi všemi účastníky. Letošní konferenci (Malware 2013 zkráceně) zahájila hlavní řeč Dennisa Batcheldera, ředitele Microsoft Malware Protection Center, a poukázala na těžké problémy, kterým čelí odvětví antimalwaru.
Během prezentace jsem se zeptal pana Batcheldera, zda má nějaké myšlenky na to, proč skóre Microsoft Security Essentials dosahuje skóre v mnoha nezávislých testech nebo blízko nich, natolik nízko, že to mnoho laboratoří nyní považuje za základní k porovnání s jinými produkty. Na fotografii v horní části tohoto článku napodobuje, jak se členové antivirového týmu společnosti Microsoft o této otázce necítí.
Batchelder vysvětlil, jak to Microsoft chce. Je dobré, aby dodavatelé zabezpečení demonstrovali, jakou hodnotu mohou přidávat k tomu, co je zabudováno. Také poznamenal, že data společnosti Microsoft ukazují, že pouze 21 procent uživatelů Windows je nechráněno díky MSE a Windows Defender, z více než 40 procent. A samozřejmě kdykoli může společnost Microsoft tuto základní úroveň zvýšit, prodejci třetích stran budou muset nutně odpovídat nebo ji překročit.
Bad Guys neběží
Batchelder poukázal na významné výzvy ve třech hlavních oblastech: problémy pro průmysl jako celek, problémy z rozsahu a problémy s testováním. Z tohoto fascinujícího projevu mě jednou zasáhl jeho popis způsobu, jakým mohou zločinecké syndikáty podvádět antivirové nástroje, aby pro ně udělaly špinavou práci.
Batchelder vysvětlil, že standardní antivirový model předpokládá, že padouchy utíkají a schovávají se. „Snažíme se je najít lépe a lépe, “ řekl. "Místní klient nebo cloud říká:" zablokujte to! " nebo zjistíme hrozbu a zkusíme nápravu. “ Ale oni už neutíkají; útočí.
Prodejci antivirových programů sdílejí vzorky a používají telemetrii ze své nainstalované analýzy základny a reputace k detekci hrozeb. V poslední době však tento model nefunguje vždy. „Co když těmto datům nemůžete věřit, “ zeptal se Batchelder. "Co když padouchy útočí přímo na vaše systémy?"
Oznámil, že Microsoft zjistil „vytvořené soubory zaměřené na naše systémy, vytvořené soubory, které vypadají jako detekce jiného dodavatele.“ Jakmile jej jeden obchodník zvedne jako známá hrozba, předá ji ostatním, což uměle zvyšuje hodnotu vytvořeného souboru. „Najdou díru, vytvoří vzorek a způsobí problémy. Mohou také aplikovat telemetrii, aby falšovali prevalenci a věk, “ poznamenal Batchelder.
Nemůžeme všichni prostě spolupracovat?
Proč by se tedy zločinecký syndrom obtěžoval dodávat nepravdivé informace antivirovým společnostem? Účelem je zavést slabý antivirový podpis, který bude také odpovídat platnému souboru potřebovanému cílovým operačním systémem. Pokud je útok úspěšný, jeden nebo více dodavatelů antivirových programů uloží do karantény nevinný soubor na počítačích oběti a možná deaktivuje jejich hostitelský operační systém.
Tento typ útoku je zákeřný. Zasunutím falešných detekcí do datového toku sdíleného prodejci antivirových programů mohou zločinci poškodit systémy, na které nikdy nevložili oči (nebo ruce). Vedlejším přínosem může zpomalit sdílení vzorků mezi prodejci. Pokud nemůžete předpokládat, že detekce předaná jiným dodavatelem je platná, budete muset strávit čas opětovnou kontrolou u svých vlastních výzkumníků.
Velký, nový problém
Batchelder hlásí, že prostřednictvím sdílení vzorků získává měsíčně asi 10 000 těchto „otrávených“ souborů. Asi desetina jednoho procenta jejich vlastní telemetrie (od uživatelů antivirových produktů společnosti Microsoft) sestává z takových souborů, a to je hodně.
Tohle je pro mě nové, ale není to překvapivé. Syndikáty zločinu škodlivého softwaru mají spoustu zdrojů a některé z nich mohou věnovat detekci nepřátel. Jakmile dostanu příležitost, budu se ptát jiných dodavatelů na tento typ „ozbrojeného antiviru“.
