Video: Турнирная игра AG vs Plink (teamspeak AG): Пункт Назначения (September 2024)
Black Hat-konferensen drog väl över 7000 deltagare i sommar, och 25 000 deltog på RSA-konferensen under våren. Deltagandet av den åttonde internationella konferensen om skadlig och oönskad programvara mäts däremot i dussintals, inte tusentals. Det syftar till att föra fram den senaste vetenskapliga forskningen inom säkerhet, i en atmosfär som tillåter direkt och uppriktig samverkan mellan alla deltagare. Årets konferens (Malware 2013 i korthet) lanserades med en nyckel av Dennis Batchelder, chef för Microsoft Malware Protection Center, och påpekade de hårda problem som möter antimalwareindustrin.
Under presentationen frågade jag Mr. Batchelder om han hade några tankar om varför Microsoft Security Essentials poäng på eller nära botten i många oberoende tester, tillräckligt låga för att många av laboratorierna nu behandlar det som en baslinje för att jämföra med andra produkter. På bilden högst upp i denna artikel efterliknar han hur Microsofts antivirusgruppsmän inte känner för den frågan.
Batchelder förklarade att det är så Microsoft vill ha det. Det är bra för säkerhetsleverantörerna att visa vilket värde de kan lägga till över vad som är inbyggt. Han noterade också att Microsofts data visar att bara 21 procent av Windows-användare är oskyddade, tack vare MSE och Windows Defender, från över 40 procent. Och naturligtvis när som helst Microsoft kan höja den baslinjen måste tredjepartsleverantörer nödvändigtvis matcha eller överskrida den.
De onda killarna springer inte bort
Batchelder påpekade betydande utmaningar inom tre huvudområden: problem för branschen som helhet, skalproblem och testproblem. Av detta fascinerande samtal, en punkt som verkligen slog mig var hans beskrivning av hur brottssyndikater kan lura antivirusverktyg att göra smutsigt arbete för dem.
Batchelder förklarade att antivirusmodellen som standard antar att skurkarna springer bort och gömmer sig. "Vi försöker hitta dem på bättre och bättre sätt, " sade han. "Den lokala klienten eller molnet säger 'blockera det!' eller vi upptäcker ett hot och försöker åtgärda. " Men de flyr inte längre; de attackerar.
Antivirusleverantörer delar prover och använder telemetri från sin installerade bas- och rykte-analys för att upptäcka hot. På senare tid fungerar den här modellen inte alltid. "Tänk om du inte kan lita på den informationen", frågade Batchelder. "Tänk om skurkarna attackerar dina system direkt?"
Han rapporterade att Microsoft har upptäckt "skapade filer som riktar sig till våra system, skapade filer som ser ut som någon annan leverantörs upptäckt." När en leverantör plockar upp det som ett känt hot, skickar de det vidare till andra, som konstgjordt eskalerar värdet på den skapade filen. "De hittar ett hål, skapar ett prov och orsakar problem. De kan injicera telemetri för att förfalska prevalens och ålder också, " konstaterade Batchelder.
Kan vi inte bara arbeta tillsammans?
Så varför skulle ett brottsyndikat bry sig om att mata falsk information till antivirusföretag? Syftet är att införa en svag antivirussignatur, en som också matchar en giltig fil som behövs av ett måloperativsystem. Om attacken är framgångsrik kommer en eller flera antivirusleverantörer att karantänera den oskyldiga filen på offerdatorer, eventuellt inaktivera deras värdoperativsystem.
Den här typen av attack är lumska. Genom att hålla falska upptäckter i dataströmmen som delas av antivirusleverantörer kan brottslingar skada system som de aldrig har lagt ögon (eller händer) på. Som en sidofördel kan detta göra långsam delning av prover mellan leverantörer. Om du inte kan anta att en upptäckt som godkänts av en annan leverantör är giltig, måste du spendera tid på att kontrollera den igen med dina egna forskare.
Stort, nytt problem
Batchelder rapporterar att de får cirka 10 000 av dessa "förgiftade" filer per månad genom provdelning. Cirka en tiondel av en procent av sin egen telemetri (från användare av Microsofts antivirusprodukter) består av sådana filer, och det är mycket.
Den här är ny för mig, men det är inte förvånande. Syndikater för skadlig programvara har massor av resurser, och de kan ägna några av dessa resurser åt att undvika upptäckt av sina fiender. Jag kommer att fråga andra leverantörer om denna typ av "vapenat antivirus" när jag får möjligheten.
