Дарвинизм в IT-безопасности: кое-что из жизни паразитов.

Previous Entry Поделиться Next Entry
27 мая, 2016
e_kaspersky
Продолжаем проводить параллели между развитием секюрити индустрии и эволюционной теорией. Сегодня подробнее про паразитов, но не тех, с которыми мы боремся, а тех, кто делает вид, что борется.

Современная индустрия IT-безопасности развивается стремительно, аж дух захватывает. Ещё совсем недавно, лет 10-15 назад, основной темой были "настольные антивирусы", файрволлы и бэкапы – сейчас же не протолкнуться от самых разных решений, направлений и идей. Иногда нам удаётся быть "впереди планеты всей", иногда приходится догонять, а иногда... от удивления случается ступор. Причём не от новых технологий, инноваций, свежих идей, а от наглости и беспринципности некоторых "коллег по цеху".

Но сначала надо немного пояснить технику развития событий.

Есть такой очень ценный и полезный ресурс – мультисканер VirusTotal. Там крутятся около 60 антивирусных движков, которые "натравливают" на входящие файлы и URLы и показывают результат. Например, кто-то нашёл на диске/флешке/Интернете подозрительное приложение или офисный документ. Свой "боевой" антивирус никак на этот файл не реагирует, но паранойя не дремлет... и хочется узнать, а вдруг файл таки заражён? Что делать? Для этого и есть этот самый бесплатный VirusTotal. Туда можно закинуть подозрительное и посмотреть какие антивирусы как на это реагируют. Вот так, например:

vt_ss_1
vt_ss_2

Сразу проясню ситуацию: ни люди работающие в VirusTotal, ни владеющий им Google к паразитам отношения не имеют. Проект ведёт очень профессиональная команда, которая очень давно и очень хорошо выполняет свою задачу. Обладатели награды MVP на Security Analyst Summit (SAS) просто не могут быть иными. Сегодня VirusTotal - один из важнейших источников новых образцов малвары и вредоносных URL, а также офигенный археологический инструмент.

Проблема в некоторых нечистоплотных пользователях мультисканера, которых, увы, становится всё больше и ведут они себя всё наглее.

Помимо бесплатной публичной версии у VirusTotal есть платная подписка на API, который позволяет автоматически, в режиме реального времени проверять неограниченное количество файлов. А вот тут и начинается самое интересное - раздолье для IT-security-паразитов. Они подсматривают чужие вердикты проверки объектов и выдают их за свои, порой не стесняясь копировать даже уникальные имена вердиктов. Одни компании работают, а вторые живут за их счёт – берут плоды трудов, накручивают на них развесистую маркетинговую мотню под своим брендом и стригут купоны.

Заимствование детекта - это старая проблема. Ещё в 2009 г. мы провели открытый эксперимент, который показал масштаб катастрофы. За последние несколько лет ситуация сильно ухудшилась. Если раньше требовалось инвестировать хотя бы в построение собственного мультисканера, то сейчас даже этого не надо! Плати и получай всё готовое в виде сервиса. Действительно, зачем развивать технологии, инфраструктуру, платить зарплату экспертам? Вот оно, удобно лежит, есть не просит – взял, прикрутил и продал. Попахивает тухлятиной, но легально.

virustotal_nextgen_snakeoil_RU

Порой наглость паразитов зашкаливает, некоторые из них не стесняются открыто признаваться в использовании мультисканера. Вот, например, феерический маркетинговый булщит (копия документа на всякий случай) от одной американской компании:

vt_nextget_snake_oil1

Здесь за каждым предложением отчаянный фейспалм, иногда по несколько раз. Но главное – в подчёркнутом предложении: продукт обращается в VirusTotal, проверяет там репутацию файла/URL у других сканеров и возвращает вердикт пользователю.

А вот ещё пример (копия документа на всякий случай) от корейской компании:

vt_nextget_snake_oil2

Та же ситуация: сначала продукт типа проводит какой-то мутный анализ (для пущей убедительности анализ "обматывается" модными словцами вроде "поведенческий анализ" или "искусственный интеллект"), а потом обращается в VirusTotal и возвращает вердикт пользователю. Иными словами, каким бы ни был результат супер-пупер интеллектуального анализа, решающую роль играет мнение других сканеров. Чтож, с точки зрения заботы о клиенте это правильно – нефиг ему выдавать откровенное фуфло и создавать ложное чувство защищённости.

"Явка с повинной смягчает наказание, но делает его неотвратимым" (с)

И таких примеров много. Признáем: заимствование детекта стало новой нормой в секюрити-индустрии и вокруг этой возможности сформировалась экосистема паразитов, которая успешно кормит своим булщитом пользователей и инвесторов.

Черта, которая объединяет всех паразитов – противопоставление "традиционным методам" (тем самым сканерам, у которых они заимствуют детект через VirusTotal) и маркетинговые пляски вокруг термина "Next-gen" (типа "новое поколение защиты"; что значит "новое" уже не понимается так однозначно).

Вывод: если к вам пришли продавцы из неизвестной компании, жонглирующие словами "next-gen", "behavioral analysis", "artificial intelligence" и т.п. без подтверждения результатами независимых тестов - это верный сигнал напрячься. Маркетинговые материалы таких компаний показывают, что единственное для чего у таких разработчиков используется искусственный интеллект – это для подглядывания за другими секюрити-компаниями через облако.

VirusTotal о проблеме знает и по мере сил пытается её решить. 4 мая были опубликованы новые правила пользования сервисом: все пользователи API системы, которые являются anti-malware компаниями должны внедрить свой движок в обойму мультисканера и подтвердить чистоплотность и компетентность независимой экспертизой в соответствии со стандартами AMTSO. Эксперты предположили (не забудьте прочитать комменты), что эти правила оздоровят обстановку в VirusTotal и прижмут к стенке паразитов.

Это правильный, хотя и запоздалый шаг и сейчас самое время продолжить реформирование, потому что для паразитов остаются варианты обойти новые требования и продолжить высасывать из мультисканера экспертизу.

Первоочередные действия:

  • необходимо допилить публичную версию, чтобы максимально усложнить автоматические запросы через анонимайзеры,

  • участники должны сами определять кто получает доступ к результатам работы их сканера.



На самом деле, мы не единственные, кто недоволен злоупотреблениями VirusTotal. Я уверен, что дальнейшее реформирование сервиса поддержат многие наши коллеги, прежде всего из числа тех, кто вносит реальный вклад в развитие VirusTotal. Никто не хочет, чтобы его трудами пользовались паразиты, но все готовы делиться экспертизой с порядочными коллегами, CERT'ами, полицейскими и другими антикриминальными организациями. Любыми компаниями, которые сотрудничают, а не подглядывают. Заимствование детекта убивает секюрити-индустрию и косвенно пособничает кибер-криминалу.

PS: VirusTotal – самый известный, популярный и продвинутый, но не единственный мультисканер. У Jotti, VirSCAN, Metadefender и других также есть недостатки. И каждому из них также надо совершенствоваться, чтобы исключить возможность злоупотребления. И да будет VirusTotal им примером.



Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «humachine»

  • Рекламная энтомология.

    Само собой разумеется, что мой e-mail весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на…

  • Одержимость фигурами.

    Дамы и господа, Без лишних предисловий сим спешу сообщить, что мы являемся официальным спонсором талантливого шахматиста Сергея Карякина. По этому…

  • Миллиард в облаке.

    Не так давно хорошие наблюдательные пользователи засекли "миллиард" в нашей базе и поздравили меня с этим событием. Спасибо! Но надо объясниться -…


А зачем вообще нужны антивирусы, если почти все APT (да и не только) атаки проходят сквозь них, как нож сквозь масло???

1) антивирусов уже дюжину лет как не существует. если вы видите надпись на коробке "антивирус", то не верьте глазам своим - это продуктовое наследие. сегодня системы защиты - это гораздо более сложные продукты.
2) во-первых, не согласен, что все проходят "как нож сквозь масло". во-вторых, даже если произошло заражение, чем-то надо лечиться.

А что там с системами защиты, если до сих пор большая часть атак это письма в почту?)

APT - это тяжелая артиллерия, целевая шпионская операция, с разведкой, предварительным тестированием итд. Затачивается под конкретные мишени и стоит дорого. А вообще говоря, "антивирус" - слово не вполне корректное. В действительно приличных системах защиты есть масса всего помимо этого самого АВ, причем реально мощного и полезного - типа контроля приложений или автоматизированного патчинга уязвимостей. Вот только народ усердно забивает на то, чтобы продумать свою систему безопасности и потом все грамотно сконфигурировать. И, при всем при этом, массовую мальварь никто не отменял.

плохо...

вообще вирус удбнее искать, своим антивирусом установленным и проверенным, или на сайт своего антивируса залить...


а вот этот сайт у меня друзья очень часто используют, т.е. это в осномнов разработчики, которые хотят свою же программу проверить. Т.е. абсолютно мирная и полезная программа, притом комерческая, но где-то вылезают антивирусы, которые начинают палки в колёса ставить, ругаются на инсталятор или dll сторонюю, а то и на саму программу, абсолютно необоснованно.... и вот этот VirusTotal самый радикальный метод всё и сразу проверить, а не бегать с головной болью и разные антивирусы ставить.. очень удобно вопрос решается

Edited at 2016-05-27 13:37 (UTC)

на VT используются не все технологии "коробочных" продуктов. т.е. вердикт VT ≠ опасность/безопасность файла или URL

Неубедительно

Andrey Anichkin

2016-05-27 13:49 (UTC)

У вас услуга просто коммодизируется, становится такой же базовой, неинтересной и субъективно малоценной, как электричество доступ в интернет. То, что добавленную стоимость начинают создавать другие компании, а не вы, конечно обидно, но тут вы в одной лодке, скажем, с телеком-операторами, у которых забирают миллиарды долларов whatsapp и telegram. Прикручивайте к своему антивирусу модных роботов поверх :)

Re: Неубедительно

see7tee

2016-05-27 14:19 (UTC)

неубедительная параллель, которая демонстрирует поверхностное понимание происходящего. вероятно, вы пропустили начало дискуссии (там и про роботов и про пляски вокруг ИИ): http://e-kaspersky.livejournal.com/313230.html

(Удалённый комментарий)
Вы противоречите себе. Воровство ≠ конкуренция. Украдут они весь детект, займут весь рынок, а дальше-то у кого тянуть экспертизу? Опс.

(Удалённый комментарий)
действительно... вот на газоне не написано "не гадить", а бомж пришёл и нагадил. и с чего бы его называть "свиньёй"?

в eula api vt нет разрешения подобного коммерческого использования

Грядёт очередная война брони и снаряда? Гугл вводит ограничения, креативный парни из стартапов ищут пути их обойти? :)

Какая война, лол, в статье скорее лишь авторское бурчание по поводу посяганий на энтерпрайзный рынок наглыми и безпринципными. Все это решается на раз-два очередным красивым буклетиком и незначительными изменениями в лицензии.

(Удалённый комментарий)
Пора! Пора уже запускать Kaspersky OS - hardened Linux against current and new threats
даже слоган придумал, не благодарите)

Я делал, это никому не нужно, никто ничего не понимает в безопасности. Все решают красивые иконки и связи с нужными людьми, если упрощенно.

А я вот, что хочу рассказать, уважаемый Евгений Валентинович:
Лет сколько-то назад поимел глупость зарегистрироваться на ресурсе вашего фан-клуба.
Оно мне не надо, если хочу купить ваш продукт, то куплю.
А тут приходит рассылка об участии в бета-тестировании какого-то модуля для защиты вай-фай.
Во-первых, перешел по инструкции, ресурс МайКасперский, ввожу туда присланный код активации, а в том коде символа тупо не хватает.
Не активируется ни разу. Сижу, наблюдаю как это замечательное чудо висит значком в трее, не открывается его интерфейс, просто висит, пожирает память, ресурс, но не работает.
Может быть это связано с активацией? Так я уже более суток назад написал в суппорт этого тестирования и в ответ тишина.
Сегодня написал второе письмо. Или вам наплевать на репутацию? Или им наплевать на Вашу репутацию?
Мало вам грязи в адрес Лаб? Ну, я ведь не просил меня приглашать, сами прислали. Я снес бесплатный Аваст, которым пользуюсь уже годы. Поставил ваше чудо, забыл полное имя.
Ну, без активации оно провисит у меня три месяца, денег мне жалко, потом снесу, если не выйдет активировать.
Не, но сам подход! Пишу письма, суппорт должен работать 24/7, а тут какая-то шляпа.
Или пойти в форуме фан-клуба излиться? Достали, ей богу!

?

Log in

No account? Create an account