Lar Rever A troca limpa de metadados de arquivos facilita a separação de malware de arquivos seguros

A troca limpa de metadados de arquivos facilita a separação de malware de arquivos seguros

Vídeo: 04 METADADOS TEORIA + QUESTÕES | PC DF 2020 | Prof. Fabiano Abreu (Novembro 2024)

Vídeo: 04 METADADOS TEORIA + QUESTÕES | PC DF 2020 | Prof. Fabiano Abreu (Novembro 2024)
Anonim

Existem muitos ótimos produtos antivírus por aí, mas às vezes eles perdem o alvo. Ver quanto malware um programa de segurança captura é uma maneira de avaliá-lo, mas o mesmo ocorre com o número de falsos positivos. Um falso positivo é quando o antivírus relata por engano um programa seguro e legítimo como malware perigoso. Isso é irritante para os usuários que tentam acessar programas confiáveis, mas ainda pior para os criadores do software injustamente demonizado. O Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) quer acabar com isso, e o asceta de segurança residente do PCMag, Neil Rubenking, nos trouxe os detalhes de seus planos.

Os falsos positivos geralmente são o resultado de um software antivírus encontrar um programa seguro novo demais para ser reconhecido. A solução do IEEE depende do serviço CMX (Clean File Metadata Exchange). Com o CMX, os autores do software podem enviar metadados para novos arquivos, como novos programas ou atualizações de programas existentes antes mesmo de serem lançados. Os fornecedores de segurança podem acessar esses dados em tempo real para manter-se atualizado com os arquivos legítimos mais recentes e impedir que seus programas os sinalizem como malware. O CMX não é um banco de dados. Ele mantém os dados por uma semana ou duas, à medida que os valida e os entrega aos assinantes. Qualquer pessoa que faça check-in com menos frequência e procure dados mais antigos terá que puxar um arquivo morto.

"O sistema do nosso lado é mais voltado para grandes empresas de software", disse o professor Igor Muttik, arquiteto principal de pesquisa sênior da McAfee, em entrevista ao Rubenking. Os fornecedores podem enviar se tiverem uma assinatura digital de classe 3. "Se eles desejam construir reputação, agora têm uma maneira de fazê-lo." Inicialmente, a Microsoft era a única grande empresa comprometida com a CMX. Mas, como o serviço continua com os parceiros judiciais, agora contém milhões de registros EXE de grupos como grandes empresas de segurança, OEMs de PCs e até Steam.

Isso não significa que terceiros menores estão sem sorte. Mark Kennedy, ilustre engenheiro de tecnologia de segurança e resposta da Symantec, explicou como uma empresa como a Symantec poderia aprovar software que considera limpo. Os consumidores veem essa opinião e optam por confiar nela ou não. O CMX também usa tags SWID (Software Identification) para adicionar mais informações ao serviço. O governo dos EUA exige que qualquer software usado para exibir tags SWID, forneça ao CMX ainda mais dados para extrair como bônus.

O CMX faz parte da iniciativa maior do Serviço de Suporte Antimalware (AMSS). Outro componente, o Taggant System, que identifica os pacotes de malware, foi proposto por Kennedy e Muttik há cinco anos na conferência Black Hat. Alguns criticam essas colaborações como anticoncorrenciais, mas James Wendorf, diretor de colaborações entre setores e múltiplas partes interessadas do IEEE, vê de uma maneira diferente.

"Os padrões consistem em reunir as partes interessadas, geralmente concorrentes, para combater os problemas. Os bandidos colaboram e compartilham, por isso precisamos de um meio para os mocinhos colaborarem o máximo possível", disse Wendorf. "Sem ser anticompetitivo, não queremos esses problemas. Ele corresponde aos objetivos e objetivos gerais do IEEE, que é o avanço da tecnologia em benefício da humanidade".

A troca limpa de metadados de arquivos facilita a separação de malware de arquivos seguros