Video: 20 Säkerhetstips musikvideo [COWTARD] (September 2024)
Strax efter att ha publicerat min recension av Tiranium Premium Security 2014 fick jag ett meddelande från en forskare som använde handtaget Malware1. Han hävdade att Tiranium missbrukade olika webbplatser för kontroll av skadlig programvara för att stärka dess upptäcktsfrekvens. Hans anteckning inkluderade länkar till videor som visar en äldre version av programvaran som ansluter till VirusTotal, i synnerhet (även om han medgav att det inte längre finns en direkt anslutning). Han levererade också det han sa var ett antal e-postmeddelanden från VirusTotal till Tiranium som krävde att de slutade missbruka tjänsten.
Jag kontrollerade med VirusTotal, men min kontakt vägrade att kommentera för publicering. Jag var tvungen att avgöra själv om detta var sant och om det utgör ett problem i så fall.
Vad är VirusTotal
För dem som inte känner till det, är VirusTotals offentliga ansikte en webbplats där du kan ladda upp en fil för att se om den är skadlig. Webbplatsen genererar först en hash för filen - ett unikt matematiskt fingeravtryck. Om hash redan finns i sin databas (och de flesta är) returnerar de lagrade resultat. Om inte, kontrollerar den filen med cirka 50 stora antivirusmotorer och rapporterar vilka som flaggade filen som skadlig. Google förvärvade VirusTotal för ungefär två år sedan.
Tjänsten går utöver att bara kontrollera filer. Enligt sin webbplats är "VirusTotals uppdrag att hjälpa till att förbättra antivirus- och säkerhetsindustrin och göra internet till en säkrare plats genom utveckling av gratis verktyg och tjänster." Samma sida säger att "Inga av de tjänster eller applikationer som offentligt erbjuds på denna webbplats bör användas i kommersiella produkter, kommersiella tjänster eller för något affärsändamål. På samma sätt bör ingen av tjänsterna användas som ersättning för säkerhetsprodukter. ".
Med andra ord, en produkt som helt enkelt använde VirusTotals resultat utan att oberoende verifiera att filen är skadlig skulle bryta mot användarvillkoren. Och ett kontroversiellt test från Kaspersky Lab för flera år sedan visade att det blivit en dålig idé att använda upptäckt från webbplatsen.
Gräva med WireShark
Enligt Malware1 kontrollerar Tiranium först en misstänkt fil med sin lokalt installerade klient. Om det inte finns någon matchning kontrollerar den filens hash på VirusTotal. Endast om det inte får några resultat från VirusTotal åberopar den sin egen beteende molnskanner.
För att starta min utredning skapade jag helt nya modifierade versioner av min nuvarande malware-samling, ändrade filnamn, ändra filstorlek och justera några icke-körbara byte. Jag kontrollerade hash för varje fil mot VirusTotal, för att vara säker på att alla saknade databasen.
När WireShark-spårningsverktyget för nätverkstrafik körts startade jag en Tiranium-skanning av mappen som innehåller dessa filer. Konstigt nog gick skanningen i timmar men avslutades aldrig, och antalet skannade filer ändrades aldrig från dess ursprungliga noll. Senare fick jag veta att detta berodde på att beteendemolnservern var nere i flera timmar.
I själva verket, genom att granska WireShark-loggen såg jag att Tiranium försökte om och om igen att ladda upp filer till beteendemoln, varje försök slutade på ett fel. Vad jag inte hittade var några bevis på en direkt anslutning till VirusTotal eller till någon av de andra tjänsterna som påstås ha använts tidigare.
Indicier
Jag flyttade några av mina testfiler till en annan mapp och skickade dem till VirusTotal för kontroll. I alla fall upptäckte en majoritet av antivirusmotorerna dem som skadliga; vissa fick nästan enhälligt erkännande som skadlig programvara.
Så snart alla filer bearbetades av VirusTotal, skannade jag omedelbart mappen med Tiranium. Denna gång kände den igen dessa filer som skadlig programvara direkt. När jag skannade de återstående filerna, de som jag inte hade laddat upp, skanningen fastnade som tidigare. Även om det fortfarande inte fanns någon direkt anslutning från min dator till VirusTotal, verkar det som om jag hade upprättat en tydlig orsakskedja.
Kanske är det OK?
Jag räckte till mina anslutningar inom antivirusbranschen för att se vad de trodde. En forskare påpekade att antivirusföretag kan avtala med VirusTotal för att automatiskt ta emot alla prov som andra upptäckte men deras produkt missade. Men det verkade inte beskriva situationen jag observerade.
Mycket viktigare är att min Tiranium-kontakt bekräftade användningen av VirusTotal. "VirusTotal har specifika användningsvillkor, " sade han. "De skickar prover till företag. Tiranium är ett av de företag som analyserar det, som alla andra." Han fortsatte att notera att tiden för att analysera nya prover kan variera. "Ibland kommer det att ta timmar, någon gång minuter, någon gång dagar", sa han.
Eller kanske inte
På VirusTotal-kreditsidan listas alla leverantörer som har "integrerat en produkt, verktyg eller resurs i VirusTotal, eller har bidragit på något sätt." Dessa leverantörer har tecknat ett avtal som innehåller en uppsättning bästa praxis. Tiranium är inte bland de listade företagen. Den tar inte emot prover från VirusTotal, så användningen är inte "som alla andra."
Jag har till min egen tillfredsställelse fastställt att e-postmeddelandena från Malware1 som berättar Tiranium att sluta missbruka VirusTotal är riktiga. Jag har sett bevis på att applikationen på en gång anslöt sig direkt till VirusTotal för information, vilket definitivt är missbruk. Men stjäl dess nuvarande inkarnation arbetet hos andra leverantörer, som Malware1 hävdar? Jag kan inte säga definitivt, men mitt förtroende är definitivt skakat.
Potentiellt oönskade?
Tydligen är jag inte ensam. I en diskussion på det väl ansedda Wilders Security-forumet uttrycker flera medlemmar oro över produkten. I själva verket, vid denna diskussion för åtta månader sedan, upptäckte ett antal välkända antivirusprodukter Tiranium som en "potentiellt oönskad applikation" som borde tas bort.
Även nu upptäcker Kaspersky en av Tiraniums två huvudfiler som skadlig programvara, och ESET upptäcker dem båda. Fortinet identifierar Tiraniums webbplats som skadlig, liksom Webrots BrightCloud-tjänst.
Skuggiga beteenden
Jag påpekade denna upptäckt till min Kaspersky-kontakt och frågade om han kunde förklara varför Tiranium flaggades som skadlig programvara. Han grävde in i frågan med betydligt mer skicklighet än jag kunde hitta, och kom med mycket. "De använder mer än fem olika obfuscatorer för att dölja deras kod och det finns ingen digital signatur, " sade han "Det är lite galen och ser långt ifrån legit." Det finns ingen rökpistol här, men dessa och andra skadligartade beteenden var tillräckliga för att få produkten flaggad. Han hittade också trafik från servern som refererar till VT (VirusTotal), Anubis och VirScan, vilket tyder på någon typ av beroende av tredjepartskällor.
BrightCloud-folket kunde inte fastställa orsaken till att Tiraniums webbplats blev markerad som riskabel. De påpekade dock att Tiraniums IP-adress delas med en hel del nätfiskewebbplatser. Googles säkra webbsida för olympe.in-domänen som används av Tiranium hade några oroande nyheter: "Av de 1341 sidorna som vi testade på webbplatsen under de senaste 90 dagarna resulterade 13 sidor i att skadlig programvara laddades ner och installerades utan användarens samtycke. ".
Jag sa i min recension att Tiranium är en bra första ansträngning, men inte redo att utmana våra flera Editors 'Choice antivirusprodukter. Jag känner nu att företaget behöver både förbättra produkten och återfå mitt förtroende med professionalism och transparens. Fixa stavnings- och grammatikfel, dike obskurna, signera de körbara filerna digitalt och se till att det integreras med Windows Action Center. Avstå från användning av tredje parts produkter som inte är helt transparent. Separat webbhotell från servrar som är värd för skadlig programvara. För närvarande rekommenderar jag att du följer våra Editors 'Choice antivirusprodukter.
