Зброєний антивірус: коли хороше програмне забезпечення робить погані речі

Конференція "Чорна Шапочка" цього літа отримала понад 7000 присутніх, а весна на конференції RSA - 25 000. Відвідуваність 8-ї Міжнародної конференції зі зловмисного та небажаного програмного забезпечення, навпаки, вимірюється десятками, а не тисячами. Вона спрямована на те, щоб просунути останні наукові дослідження в галузі безпеки, в атмосфері, яка дозволяє пряму та відверту взаємодію між усіма учасниками. Цьогорічна конференція (скорочено зловмисне програмне забезпечення 2013 року) розпочалася з доповіддю Денніса Батчелдера, директора Центру захисту від шкідливих програм Microsoft, вказуючи на важкі проблеми, що стоять перед галуззю антивірусних програм.

Під час презентації я поцікавився у містера Батчелдера, чи має він думки про те, чому Microsoft Security Essentials набирає балів у нижній чи нижній частині під час багатьох незалежних тестів, достатньо низьких, що зараз багато лабораторій трактують його як базовий рівень для порівняння з іншими продуктами. На фотографії вгорі цієї статті він імітує, як члени антивірусної команди Microsoft не ставляться до цього питання.

Batchelder пояснив, що так хоче Microsoft. Для постачальників безпеки добре продемонструвати, яку цінність вони можуть додати за те, що вбудовано. Він також зазначив, що дані Microsoft показують, що лише 21 відсоток користувачів Windows незахищений, завдяки MSE та Windows Defender, зменшується понад 40 відсотків. І звичайно, у будь-який час, коли Microsoft зможе підняти цю базову лінію, сторонні постачальники повинні обов'язково відповідати або перевищувати її.

Погані хлопці не тікають геть

Batchelder вказав на значні проблеми у трьох основних сферах: проблеми для галузі в цілому, проблеми масштабу та проблеми тестування. З цієї захоплюючої розмови, один момент, який мене справді вразив, - це опис того, як злочинні синдикати можуть обманювати антивірусні інструменти, роблячи брудну роботу над ними.

Бетчелдер пояснив, що стандартна антивірусна модель передбачає, що погані хлопці тікають і ховаються. "Ми намагаємось знайти їх все кращими та кращими способами", - сказав він. "Місцевий клієнт або хмара говорять" заблокуйте! " або ми виявимо загрозу і спробуємо виправити ". Але вони вже не тікають; вони нападають.

Постачальники антивірусів діляться зразками та використовують телеметрію зі встановленої бази та аналіз репутації для виявлення загроз. Однак останнім часом ця модель не завжди працює. "Що робити, якщо ви не можете довіряти цим даним", - запитав Батчердер. "Що робити, якщо погані хлопці безпосередньо атакують ваші системи?"

Він повідомив, що Microsoft виявила "створені файли, спрямовані на наші системи, створені файли, схожі на виявлення інших постачальників". Як тільки один постачальник сприймає його як відому загрозу, вони передають її іншим, що штучно збільшує значення створеного файлу. "Вони знаходять дірку, проробляють зразок і створюють проблеми. Вони можуть ввести телеметрію, щоб також сфальсифікувати поширеність і вік", - зазначив Бетчелдер.

Хіба ми не можемо просто працювати разом?

То чому б синдикат злочинців турбував подачу неправдивої інформації антивірусним компаніям? Мета - ввести слабкий підпис антивірусу, який також відповідатиме дійсному файлу, потрібному цільовій операційній системі. Якщо атака буде успішною, один або кілька постачальників антивірусів перекладуть карантин невинного файлу на ПК жертв, можливо, вимкнувши їх хост-операційну систему.

Цей тип нападу підступний. Просуваючи фальшиві виявлення в потік даних, якими користуються антивірусні виробники, злочинці можуть пошкодити системи, на які вони ніколи не ставили очей (або рук). Як побічна перевага, це може сповільнити обмін зразками між постачальниками. Якщо ви не можете вважати, що виявлення, передане іншим постачальником, є дійсним, вам доведеться витратити час на його повторне перевірку з власними дослідниками.

Велика, нова проблема

Компанія Batchelder повідомляє, що отримує близько 10 000 цих "отруєних" файлів на місяць за допомогою обміну зразками. Близько десятої частини відсотка власної телеметрії (від користувачів антивірусних продуктів Microsoft) складається з таких файлів, і це багато.

Цей для мене новий, але це не дивно. Синдикати злочинних програм мають багато ресурсів, і вони можуть виділити деякі з цих ресурсів на підривне виявлення їх ворогами. Я буду перевіряти інших постачальників щодо цього типу "збройного антивірусу", коли отримаю можливість.