Casa Securitywatch Antivirus armato: quando un buon software fa cose cattive

Antivirus armato: quando un buon software fa cose cattive

Video: Qual è il Miglior Antivirus per PC Windows nel 2020? | FAQ e Consigli (Novembre 2024)

Video: Qual è il Miglior Antivirus per PC Windows nel 2020? | FAQ e Consigli (Novembre 2024)
Anonim

La conferenza Black Hat ha attirato oltre 7000 partecipanti questa estate e 25.000 hanno partecipato alla Conferenza RSA in primavera. La partecipazione all'ottava conferenza internazionale sul software dannoso e indesiderato, al contrario, è misurata in dozzine, non migliaia. Ha lo scopo di portare avanti le ultime ricerche accademiche in materia di sicurezza, in un'atmosfera che consente l'interazione diretta e schietta tra tutti i partecipanti. La conferenza di quest'anno (abbreviato in Malware 2013) è stata lanciata con un keynote di Dennis Batchelder, direttore del Microsoft Malware Protection Center, sottolineando i gravi problemi che affliggono l'industria antimalware.

Durante la presentazione, ho chiesto a Mr. Batchelder se avesse qualche idea sul perché Microsoft Security Essentials avesse ottenuto punteggi in corrispondenza o quasi del fondo in molti test indipendenti, abbastanza bassi che molti dei laboratori ora lo trattano come una base per il confronto con altri prodotti. Nella foto nella parte superiore di questo articolo imita il modo in cui i membri del team antivirus Microsoft non provano questa domanda.

Batchelder ha spiegato che Microsoft lo desidera. Va bene per i fornitori di sicurezza dimostrare quale valore possono aggiungere rispetto a ciò che è incorporato. Ha anche osservato che i dati di Microsoft mostrano solo il 21% degli utenti Windows non protetti, grazie a MSE e Windows Defender, in calo di oltre il 40%. E, naturalmente, ogni volta che Microsoft può alzare questa linea di base, i fornitori di terze parti dovranno necessariamente abbinarla o superarla.

I cattivi non scappano

Batchelder ha sottolineato importanti sfide in tre aree principali: problemi per l'intero settore, problemi di scala e problemi per i test. Da questo affascinante discorso, un punto che mi ha davvero colpito è stata la sua descrizione del modo in cui i sindacati criminali possono ingannare gli strumenti antivirus per fare un lavoro sporco per loro.

Batchelder ha spiegato che il modello antivirus standard presuppone che i cattivi scappino e si nascondano. "Cerchiamo di trovarli in modi sempre migliori", ha detto. "Il client locale o il cloud dice" bloccalo! " oppure rileviamo una minaccia e tentiamo di porre rimedio ". Ma non stanno più scappando; stanno attaccando.

I fornitori di antivirus condividono campioni e utilizzano la telemetria dalla base installata e l'analisi della reputazione per rilevare le minacce. Ultimamente, tuttavia, questo modello non funziona sempre. "Che cosa succede se non puoi fidarti di quei dati", ha chiesto Batchelder. "E se i cattivi attaccassero direttamente i tuoi sistemi?"

Ha riferito che Microsoft ha rilevato "file predisposti per i nostri sistemi, file creati che sembrano il rilevamento di altri fornitori". Una volta che un fornitore lo rileva come una minaccia nota, lo passa ad altri, il che aumenta artificialmente il valore del file predisposto. "Trovano un buco, creano un campione e causano problemi. Possono iniettare telemetria per falsificare anche la prevalenza e l'età", ha osservato Batchelder.

Non possiamo lavorare tutti insieme?

Quindi, perché un sindacato criminale dovrebbe preoccuparsi di fornire informazioni false alle società antivirus? Lo scopo è quello di introdurre una firma antivirus debole, che corrisponderà anche a un file valido richiesto da un sistema operativo di destinazione. Se l'attacco ha esito positivo, uno o più fornitori di antivirus metteranno in quarantena il file innocente sui PC vittima, disabilitando eventualmente il loro sistema operativo host.

Questo tipo di attacco è insidioso. Facendo scivolare rilevamenti falsi nel flusso di dati condiviso dai fornitori di antivirus, i criminali possono danneggiare i sistemi su cui non hanno mai messo gli occhi (o le mani). Come vantaggio collaterale, ciò potrebbe rallentare la condivisione dei campioni tra i fornitori. Se non puoi presumere che un rilevamento passato da un altro fornitore sia valido, dovrai dedicare del tempo a ricontrollarlo con i tuoi ricercatori.

Grande, nuovo problema

Batchelder riferisce che stanno ottenendo circa 10.000 di questi file "avvelenati" al mese attraverso la condivisione dei campioni. Circa un decimo dell'uno percento della propria telemetria (dagli utenti dei prodotti antivirus Microsoft) è costituito da tali file, e questo è molto.

Questo è nuovo per me, ma non è sorprendente. I sindacati del crimine malware dispongono di tonnellate di risorse e possono dedicare alcune di queste risorse a sovvertire il rilevamento da parte dei loro nemici. Interrogherò altri venditori su questo tipo di "antivirus armato" mentre ne avrò l'opportunità.

Antivirus armato: quando un buon software fa cose cattive