Video: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)
I virus informatici esistono da molti, molti anni. All'inizio, il rilevamento era una semplice questione di corrispondenza dei file con una serie nota di firme. Alcuni programmi antivirus includevano persino un elenco di tutte le minacce che potevano rilevare. Le cose sono piuttosto diverse in questi giorni, con gli autori di malware che lavorano duramente per creare malware che si trasforma e si evolve in modo che non possa essere rilevato dal rilevamento basato sulla firma. Ho parlato con Roger Thompson, Chief Emerging Threat Researcher per ICSA Labs, su come i programmi anti-malware devono cambiare e come i test di questi prodotti devono cambiare.
Le cose erano così
Rubenking: Puoi dire qualche parola su cosa sia esattamente ICSA Labs e cosa faccia?
Thompson: certifichiamo i prodotti antivirus in base a criteri storici concordati. Negli anni '90 c'era la necessità di distinguere tra l'hype dell'antivirus e i risultati reali del mondo reale. Come ricorderete, allora la gente poteva dire quello che gli piaceva dei propri prodotti e nessuno poteva provarlo o smentirlo. Era necessario che qualcuno con un cervello dicesse: "Funziona, non funziona, non fa quello che dice".
I venditori hanno concordato di aver bisogno di una terza parte neutrale per farlo. Certo, è sempre più importante testare i virus effettivamente presenti in natura piuttosto che contro uno "zoo" noto. Quindi, la wildlist è nata da quell'esigenza: un composito neutro di malware noto.
Sempre negli anni '90, Alan Solomon convinse tutti che i metodi di rilevamento di malware di tipo generico erano una cattiva idea. Ciò che invece era desiderato era uno scanner in grado di determinare esattamente quale virus è presente e esattamente come rimuoverlo. Il mondo fu d'accordo e votò con i loro libri tascabili per supportare quel tipo di scanner.
Il problema con il rilevamento generico, storicamente, è che provoca chiamate di supporto. L'antivirus dice, vediamo che qualche processo sul tuo sistema sta modificando gli eseguibili, o alcuni file eseguibili cambiati; l'hai cambiato? Ciò si traduce in una chiamata di supporto e Fortune 500 non approva. Un antivirus basato sulla firma dice "è un virus!" o non dice niente.
Come sarà
Thompson: è ancora necessario testare gli scanner basati su firme, per assicurarsi che tengano il passo. Possono rilevarlo? Questo è ciò che è stato fatto e c'è ancora bisogno. Tuttavia, i numeri sono cambiati così tanto, ci sono un gran numero di cose morbide create ogni giorno. Ciò che è richiesto ora è anche testare la capacità dell'anti-malware di rilevare cose che non hanno mai visto prima.
Rubenking: Fluff Things ? Cosa intendi con questo?
Thompson: Sai, nessuno conosce i numeri reali. I ragazzi di ESET mi hanno detto davanti a una birra che vedono ogni giorno 600.000 nuovi e unici campioni di malware. Ricordo un rapporto di Symantec che sosteneva ogni giorno un milione di articoli nuovi e unici. Ma la verità è che la maggior parte viene creata algoritmicamente. I cattivi cambiano solo un codice non importante, ricompilano, riconfezionano e ricodificano. Quindi controllano se gli scanner attuali rilevano la nuova versione. In caso contrario, lo rilasciano.
È davvero facile rilevare ciò che già sai. È come il mercato azionario; "solo" compra basso e vendi alto. Il fatto è che con questi virus unici il comportamento sottostante non cambia, ma solo i bit soffici. L'attività, la modifica del registro, la modifica dei file… quel comportamento non cambia. Pertanto, i test devono essere integrati per includere il blocco del comportamento come parte dell'accordo.
Rubenking: Presto aggiungerai questo test di prossima generazione?
Thompson: stiamo cercando di convincere i venditori a concordare che è una buona cosa. Sono generalmente d'accordo, ma in realtà fare i test non è così facile.
Rubenking: Com'è il tuo nuovo processo?
Thompson: è difficile; ecco perché le persone non vogliono farlo. Inizi con un sistema pulito, esegui il malware e vedi se viene installato. In seguito, è necessario poter esaminare il sistema in modo forense. Il malware ha infettato il sistema? Ha cambiato le chiavi di registro? È diventato persistente, in modo da sopravvivere a un riavvio? Quindi è necessario ripristinare una linea di base pulita per farlo di nuovo.
Rubenking: assomiglia molto ai test dinamici eseguiti da AV-Comparatives.
Thompson: Sì, è molto simile.
Rubenking: Sei pronto per partire, ma i venditori non lo sono, allora? Quindi non sai quando entreranno in vigore i nuovi test?
Thompson: siamo pronti per partire. Non so bene quale sia lo stato con i venditori; ti risponderemo al riguardo.] Inoltre, parte del problema è trovare le nostre fonti di malware, raccogliere feed di spam e simili. Dobbiamo sapere cosa c'è davvero là fuori.
Rendi la vita dura per i cattivi
Thompson: questa è la strada giusta da percorrere. Non possiamo smettere di fare ciò che abbiamo sempre fatto, ma quando i fornitori di antimalware aggiungono il blocco basato sul comportamento diventa molto più difficile da battere per i cattivi. Possono battere le firme modificando cose non importanti, ma per battere il blocco del comportamento devono in realtà cambiare i comportamenti e affrontare diverse definizioni di comportamento.
Rubenking: Quindi, una serie diversificata di fornitori di antimalware con diversi tipi di blocco del comportamento renderà la vita difficile ai cattivi?
Thompson: Esatto. È come l'analogia del formaggio svizzero. Un pezzetto di formaggio ha dei buchi, ma se lo si mette su un altro po 'si coprono i buchi. Metti abbastanza bit e non ci sono buchi rimasti.
Rubenking: Grazie, Roger!