Дарвинизм в IT-безопасности: кое-что из жизни паразитов.

Previous Entry Поделиться Next Entry
27 мая, 2016
e_kaspersky
Продолжаем проводить параллели между развитием секюрити индустрии и эволюционной теорией. Сегодня подробнее про паразитов, но не тех, с которыми мы боремся, а тех, кто делает вид, что борется.

Современная индустрия IT-безопасности развивается стремительно, аж дух захватывает. Ещё совсем недавно, лет 10-15 назад, основной темой были "настольные антивирусы", файрволлы и бэкапы – сейчас же не протолкнуться от самых разных решений, направлений и идей. Иногда нам удаётся быть "впереди планеты всей", иногда приходится догонять, а иногда... от удивления случается ступор. Причём не от новых технологий, инноваций, свежих идей, а от наглости и беспринципности некоторых "коллег по цеху".

Но сначала надо немного пояснить технику развития событий.

Есть такой очень ценный и полезный ресурс – мультисканер VirusTotal. Там крутятся около 60 антивирусных движков, которые "натравливают" на входящие файлы и URLы и показывают результат. Например, кто-то нашёл на диске/флешке/Интернете подозрительное приложение или офисный документ. Свой "боевой" антивирус никак на этот файл не реагирует, но паранойя не дремлет... и хочется узнать, а вдруг файл таки заражён? Что делать? Для этого и есть этот самый бесплатный VirusTotal. Туда можно закинуть подозрительное и посмотреть какие антивирусы как на это реагируют. Вот так, например:

vt_ss_1
vt_ss_2

Сразу проясню ситуацию: ни люди работающие в VirusTotal, ни владеющий им Google к паразитам отношения не имеют. Проект ведёт очень профессиональная команда, которая очень давно и очень хорошо выполняет свою задачу. Обладатели награды MVP на Security Analyst Summit (SAS) просто не могут быть иными. Сегодня VirusTotal - один из важнейших источников новых образцов малвары и вредоносных URL, а также офигенный археологический инструмент.

Проблема в некоторых нечистоплотных пользователях мультисканера, которых, увы, становится всё больше и ведут они себя всё наглее.

Помимо бесплатной публичной версии у VirusTotal есть платная подписка на API, который позволяет автоматически, в режиме реального времени проверять неограниченное количество файлов. А вот тут и начинается самое интересное - раздолье для IT-security-паразитов. Они подсматривают чужие вердикты проверки объектов и выдают их за свои, порой не стесняясь копировать даже уникальные имена вердиктов. Одни компании работают, а вторые живут за их счёт – берут плоды трудов, накручивают на них развесистую маркетинговую мотню под своим брендом и стригут купоны.

Заимствование детекта - это старая проблема. Ещё в 2009 г. мы провели открытый эксперимент, который показал масштаб катастрофы. За последние несколько лет ситуация сильно ухудшилась. Если раньше требовалось инвестировать хотя бы в построение собственного мультисканера, то сейчас даже этого не надо! Плати и получай всё готовое в виде сервиса. Действительно, зачем развивать технологии, инфраструктуру, платить зарплату экспертам? Вот оно, удобно лежит, есть не просит – взял, прикрутил и продал. Попахивает тухлятиной, но легально.

virustotal_nextgen_snakeoil_RU

Порой наглость паразитов зашкаливает, некоторые из них не стесняются открыто признаваться в использовании мультисканера. Вот, например, феерический маркетинговый булщит (копия документа на всякий случай) от одной американской компании:

vt_nextget_snake_oil1

Здесь за каждым предложением отчаянный фейспалм, иногда по несколько раз. Но главное – в подчёркнутом предложении: продукт обращается в VirusTotal, проверяет там репутацию файла/URL у других сканеров и возвращает вердикт пользователю.

А вот ещё пример (копия документа на всякий случай) от корейской компании:

vt_nextget_snake_oil2

Та же ситуация: сначала продукт типа проводит какой-то мутный анализ (для пущей убедительности анализ "обматывается" модными словцами вроде "поведенческий анализ" или "искусственный интеллект"), а потом обращается в VirusTotal и возвращает вердикт пользователю. Иными словами, каким бы ни был результат супер-пупер интеллектуального анализа, решающую роль играет мнение других сканеров. Чтож, с точки зрения заботы о клиенте это правильно – нефиг ему выдавать откровенное фуфло и создавать ложное чувство защищённости.

"Явка с повинной смягчает наказание, но делает его неотвратимым" (с)

И таких примеров много. Признáем: заимствование детекта стало новой нормой в секюрити-индустрии и вокруг этой возможности сформировалась экосистема паразитов, которая успешно кормит своим булщитом пользователей и инвесторов.

Черта, которая объединяет всех паразитов – противопоставление "традиционным методам" (тем самым сканерам, у которых они заимствуют детект через VirusTotal) и маркетинговые пляски вокруг термина "Next-gen" (типа "новое поколение защиты"; что значит "новое" уже не понимается так однозначно).

Вывод: если к вам пришли продавцы из неизвестной компании, жонглирующие словами "next-gen", "behavioral analysis", "artificial intelligence" и т.п. без подтверждения результатами независимых тестов - это верный сигнал напрячься. Маркетинговые материалы таких компаний показывают, что единственное для чего у таких разработчиков используется искусственный интеллект – это для подглядывания за другими секюрити-компаниями через облако.

VirusTotal о проблеме знает и по мере сил пытается её решить. 4 мая были опубликованы новые правила пользования сервисом: все пользователи API системы, которые являются anti-malware компаниями должны внедрить свой движок в обойму мультисканера и подтвердить чистоплотность и компетентность независимой экспертизой в соответствии со стандартами AMTSO. Эксперты предположили (не забудьте прочитать комменты), что эти правила оздоровят обстановку в VirusTotal и прижмут к стенке паразитов.

Это правильный, хотя и запоздалый шаг и сейчас самое время продолжить реформирование, потому что для паразитов остаются варианты обойти новые требования и продолжить высасывать из мультисканера экспертизу.

Первоочередные действия:

  • необходимо допилить публичную версию, чтобы максимально усложнить автоматические запросы через анонимайзеры,

  • участники должны сами определять кто получает доступ к результатам работы их сканера.



На самом деле, мы не единственные, кто недоволен злоупотреблениями VirusTotal. Я уверен, что дальнейшее реформирование сервиса поддержат многие наши коллеги, прежде всего из числа тех, кто вносит реальный вклад в развитие VirusTotal. Никто не хочет, чтобы его трудами пользовались паразиты, но все готовы делиться экспертизой с порядочными коллегами, CERT'ами, полицейскими и другими антикриминальными организациями. Любыми компаниями, которые сотрудничают, а не подглядывают. Заимствование детекта убивает секюрити-индустрию и косвенно пособничает кибер-криминалу.

PS: VirusTotal – самый известный, популярный и продвинутый, но не единственный мультисканер. У Jotti, VirSCAN, Metadefender и других также есть недостатки. И каждому из них также надо совершенствоваться, чтобы исключить возможность злоупотребления. И да будет VirusTotal им примером.



Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «humachine»

  • Умная пробирка для злобной малвары.

    Вы задавали себе вопрос - почему компьютерные вирусы назвали именно «вирусами»? Вопрос на самом деле риторический, но если для кого-то это не…

  • Рекламная энтомология.

    Само собой разумеется, что мой e-mail весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на…

  • Одержимость фигурами.

    Дамы и господа, Без лишних предисловий сим спешу сообщить, что мы являемся официальным спонсором талантливого шахматиста Сергея Карякина. По этому…


1) антивирусов уже дюжину лет как не существует. если вы видите надпись на коробке "антивирус", то не верьте глазам своим - это продуктовое наследие. сегодня системы защиты - это гораздо более сложные продукты.
2) во-первых, не согласен, что все проходят "как нож сквозь масло". во-вторых, даже если произошло заражение, чем-то надо лечиться.

А что там с системами защиты, если до сих пор большая часть атак это письма в почту?)

?

Log in

No account? Create an account