Video: It’s Time to Bring TV Program Distribution Networks Back Down to Earth (Listopad 2024)
Na letošní mezinárodní konferenci o škodlivém a nežádoucím softwaru aka MalCon 2015, Fanny Lalonde Lévesque, Ph.D. student na École Polytechnique de Montréal, demonstroval fascinující výsledky, které lze odvodit, když máte obrovské množství informací o antivirové ochraně na miliardě počítačů. Pomocí přístupu vycházejícího ze studia přírodních ekosystémů vymyslela některé metriky pro měření zdraví celého antivirového ekosystému.
Možná jste si všimli Nástroj pro odstranění škodlivého softwaru (MSRT), který se spouští jako součást každé aktualizace společnosti Microsoft. Velmi konkrétně vyhledává a eliminuje několik desítek velmi rozšířených rodin malwaru, které každý měsíc vybere tým zabezpečení společnosti Microsoft. Také odesílá společnosti Microsoft významnou telemetrii. Podle Dennisa Batcheldera, ředitele Microsoft Malware Protection Center (MMPC), je tato telemetrie důvodem, proč společnost Microsoft nepotřebuje antivirové testy. V přednášce na MalCon před několika lety podrobně vysvětlil obrovské množství údajů shromážděných MSRT a vyzval akademiky, aby předložili návrhy na použití těchto údajů ve výzkumu.
Miliony a miliony
MSRT mimo jiné hlásí, zda našel nějaký malware, jaký antivirus (pokud byl nainstalován) a zda byl antivir nakonfigurován a správně fungoval. Paní Lalonde Lévesque začala čtyřmi měsíci dat MSRT od společnosti Microsoft. Po vyloučení položek z počítačů bez antiviru měla stále téměř miliardu záznamů. Ve vzorové sadě je určitá zkreslení, protože někteří uživatelé se rozhodli nespustit Windows Update nebo MSRT. Aby pomohla překonat tuto zaujatost, vybrala náhodných 10 procent záznamů. To je stále více než 90 milionů vzorků.
S vybranou cílovou populací analyzovala zdraví celého systému. Tato analýza se zaměřuje konkrétně na tři oblasti odvozené z analýzy přírodních ekosystémů: aktivita, rozmanitost a stabilita.
V antivirovém ekosystému představuje stupeň ochrany aktivitu. Nainstalovaný antivirus může být zastaralý nebo vypnutý nebo může být jeho ochrana v reálném čase odložena. Paní Lalonde Lévesque zjistila, že za čtyři měsíce se počet řádně nakonfigurovaných moderních instalací pohyboval kolem 87 až 88 procent.
Rozmanitost v přirozeném ekosystému znamená, že žádný jediný druh není zcela dominantní. Paní Lalonde Lévesque prozkoumala více než 100 různých antivirových produktů v antivirovém ekosystému a zjistila vysokou míru rozmanitosti. Dominantní produkt, ten s největší instalovanou základnou, nikdy netvrdil více než 18 procent trhu.
Aby prozkoumala stabilitu, nejprve zúžila seznam na počítače, které reagovaly na MSRT ve všech čtyřech měsících. Podívala se na změny stavu antiviru a zjistila povzbudivé výsledky. Pouze asi 3 procenta počítačů, které měly funkční a aktuální antivirový program, se přesunula do méně zabezpečeného stavu a mnoho počítačů v ostatních státech se zlepšilo.
To je ale překvapení. V průběhu studie se jedna třetina počítačů přepnula na jiný antivirus. Někteří účastníci spekulovali o možnosti zkoseného výsledku na základě vypršení platnosti bezplatného antiviru na nových počítačích. Ať už je důvod jakýkoli, je to hodně změn.
Posledním krokem bylo zjistit, které zpravodajské počítače byly zasaženy malwarem, přestože byl nainstalován antivirový program. Není divu, že nízká míra infekce malwarem silně korelovala s aktuálním a fungujícím antivirem. Naopak nízká míra stability, což znamená hodně změn v nainstalovaném antivirovém nebo antivirovém stavu, silně korelovala s vyšší mírou infekce.
Imunita monokultury a stáda
Dalším krokem bylo rozdělení dat pro každou ze 126 zúčastněných zemí a sladění celosystémového antivirového ekosystému s mírou infekce v celé zemi. V této části studie se paní Lalonde Lévesque zaměřila jak na počítače chráněné antivirovým programem, tak na počítače bez ochrany.
Některé země vykázaly skličující hodnocení rozmanitosti, přičemž jeden produkt chrání většinu všech systémů. Tyto země běžně vykazovaly vyšší než průměrný výskyt infekce, zatímco země s větší rozmanitostí měly nižší výskyt. Její úplná zpráva podrobně popisuje, jak ověřila statistickou významnost tohoto výsledku. V antivirovém ekosystému, stejně jako v životě, není monokultura zdravá.
Není nijak překvapivé, že větší procento počítačů s aktuálním funkčním antivirem silně koreluje s nižší mírou infekce. Pokud by tomu tak nebylo, něco by bylo velmi, velmi špatně. Kicker je, tato stejná korelace platí i při pohledu na počítače bez antiviru ve stejné zemi. Vypadá to, že se zde může objevit jistá imunita stáda, takže i ti, kdo se vzdají antivirové ochrany, získají úplným pancéřováním svých sousedů.
Pak je tu efekt MSRT. Země s vysokou mírou infekce také vykazovaly vysokou míru „víření“, přičemž mnoho uživatelů přepíná antivirové produkty. Je možné, že prostá skutečnost, že MSRT eliminuje malware, způsobila, že uživatel nebyl spokojen s existující ochranou a vybral jiného dodavatele? To by bylo těžké dokázat, vzhledem k tomu, že ve studii nejsou žádné počítače, které nikdy nezažily používání MSRT.
Pouze jeden pohled
Paní Lalonde Lévesqueová se snažila zdůraznit, že výsledky této studie mají určitá omezení. Byly zahrnuty pouze počítače připojující se k systému MSRT. A výsledky infekce jsou dostupné pouze pro rozšířené rodiny malwaru vybrané společností Microsoft každý měsíc. Teorie monokultury a stádové imunity navíc nejsou jediným vysvětlením objevených korelací.
Masivní sběr dat společnosti Microsoft je k dispozici kvalifikovaným vědcům. Jiní se mohou rozšířit o studium paní Lalonde Lévesqueové nebo vzlétnout úplně jiným směrem. Těším se na to, s čím přijdou.
