Lar Securitywatch Antivírus com arma: quando um bom software faz coisas ruins

Antivírus com arma: quando um bom software faz coisas ruins

Vídeo: Engenharia de Software - Aula 01 - Modelos de processo de software e atividades de software (Novembro 2024)

Vídeo: Engenharia de Software - Aula 01 - Modelos de processo de software e atividades de software (Novembro 2024)
Anonim

A conferência Black Hat atraiu mais de 7.000 participantes neste verão e 25.000 participaram da Conferência RSA na primavera. A participação da 8ª Conferência Internacional sobre Software Mal-Intencionado e Indesejável, por outro lado, é medida em dezenas, e não em milhares. Seu objetivo é apresentar as mais recentes pesquisas acadêmicas sobre segurança, em um ambiente que permite a interação direta e franca entre todos os participantes. A conferência deste ano (Malware 2013) foi lançada com uma palestra de Dennis Batchelder, diretor do Microsoft Malware Protection Center, apontando os difíceis problemas que a indústria de antimalware enfrenta.

Durante a apresentação, perguntei ao Sr. Batchelder se ele pensava em por que o Microsoft Security Essentials pontua na parte inferior ou inferior de muitos testes independentes, baixo o suficiente para que muitos laboratórios agora o tratem apenas como uma linha de base para comparar com outros produtos. Na foto no topo deste artigo, ele está imitando como os membros da equipe de antivírus da Microsoft não se sentem em relação a essa pergunta.

Batchelder explicou que é assim que a Microsoft quer. Não há problema em os fornecedores de segurança demonstrarem o valor que podem acrescentar sobre o que está embutido. Ele também observou que os dados da Microsoft mostram apenas 21% dos usuários do Windows desprotegidos, graças ao MSE e Windows Defender, abaixo dos 40%. E, é claro, sempre que a Microsoft puder elevar essa linha de base, os fornecedores de terceiros precisarão necessariamente igualá-la ou superá-la.

Os bandidos não estão fugindo

Batchelder apontou desafios significativos em três áreas principais: problemas para a indústria como um todo, problemas de escala e problemas para testes. Fora dessa conversa fascinante, um ponto que realmente me impressionou foi a descrição de como os sindicatos do crime podem induzir as ferramentas antivírus a fazer um trabalho sujo para eles.

Batchelder explicou que o modelo antivírus padrão pressupõe que os bandidos estejam fugindo e se escondendo. "Tentamos encontrá-los de maneiras cada vez melhores", disse ele. "O cliente local ou a nuvem diz 'bloqueie!' ou detectamos uma ameaça e tentamos remediar ". Mas eles não estão mais fugindo; eles estão atacando.

Os fornecedores de antivírus compartilham amostras e usam a telemetria de sua base instalada e análise de reputação para detectar ameaças. Ultimamente, porém, esse modelo nem sempre funciona. "E se você não puder confiar nesses dados", perguntou Batchelder. "E se os bandidos estiverem atacando seus sistemas diretamente?"

Ele relatou que a Microsoft detectou "arquivos criados para nossos sistemas, arquivos criados que se parecem com a detecção de algum outro fornecedor". Depois que um fornecedor a pega como uma ameaça conhecida, ele o repassa a outros, o que aumenta artificialmente o valor do arquivo criado. "Eles encontram um buraco, criam uma amostra e causam problemas. Eles podem injetar telemetria para falsificar a prevalência e a idade também", observou Batchelder.

Não podemos todos trabalhar juntos?

Então, por que um sindicato do crime se incomodaria em fornecer informações falsas a empresas de antivírus? O objetivo é introduzir uma assinatura antivírus fraca, que também corresponda a um arquivo válido necessário para o sistema operacional de destino. Se o ataque for bem-sucedido, um ou mais fornecedores de antivírus colocarão o arquivo inocente em quarentena nos PCs vítimas, possivelmente desativando o sistema operacional host.

Esse tipo de ataque é insidioso. Ao introduzir detecções falsas no fluxo de dados compartilhado por fornecedores de antivírus, os criminosos podem danificar sistemas nos quais nunca colocaram os olhos (ou as mãos). Como um benefício colateral, isso pode diminuir o compartilhamento de amostras entre os fornecedores. Se você não pode presumir que uma detecção aprovada por outro fornecedor é válida, terá que gastar um tempo para checá-la novamente com seus próprios pesquisadores.

Grande, novo problema

O Batchelder relata que eles estão recebendo cerca de 10.000 desses arquivos "envenenados" por mês por meio do compartilhamento de amostras. Cerca de um décimo de um por cento de sua própria telemetria (dos usuários dos produtos antivírus da Microsoft) consiste nesses arquivos, e isso é muito.

Este é novo para mim, mas não é surpreendente. Os sindicatos de crimes contra malware têm muitos recursos e podem dedicar alguns desses recursos a subverter a detecção por seus inimigos. Examinarei outros fornecedores sobre esse tipo de "antivírus armado" à medida que tiver a oportunidade.

Antivírus com arma: quando um bom software faz coisas ruins