Дарвинизм в IT-безопасности: кое-что из жизни паразитов.

Previous Entry Поделиться Пожаловаться Next Entry
27 мая, 2016
e_kaspersky
Продолжаем проводить параллели между развитием секюрити индустрии и эволюционной теорией. Сегодня подробнее про паразитов, но не тех, с которыми мы боремся, а тех, кто делает вид, что борется.

Современная индустрия IT-безопасности развивается стремительно, аж дух захватывает. Ещё совсем недавно, лет 10-15 назад, основной темой были "настольные антивирусы", файрволлы и бэкапы – сейчас же не протолкнуться от самых разных решений, направлений и идей. Иногда нам удаётся быть "впереди планеты всей", иногда приходится догонять, а иногда... от удивления случается ступор. Причём не от новых технологий, инноваций, свежих идей, а от наглости и беспринципности некоторых "коллег по цеху".

Но сначала надо немного пояснить технику развития событий.

Есть такой очень ценный и полезный ресурс – мультисканер VirusTotal. Там крутятся около 60 антивирусных движков, которые "натравливают" на входящие файлы и URLы и показывают результат. Например, кто-то нашёл на диске/флешке/Интернете подозрительное приложение или офисный документ. Свой "боевой" антивирус никак на этот файл не реагирует, но паранойя не дремлет... и хочется узнать, а вдруг файл таки заражён? Что делать? Для этого и есть этот самый бесплатный VirusTotal. Туда можно закинуть подозрительное и посмотреть какие антивирусы как на это реагируют. Вот так, например:

vt_ss_1
vt_ss_2

Сразу проясню ситуацию: ни люди работающие в VirusTotal, ни владеющий им Google к паразитам отношения не имеют. Проект ведёт очень профессиональная команда, которая очень давно и очень хорошо выполняет свою задачу. Обладатели награды MVP на Security Analyst Summit (SAS) просто не могут быть иными. Сегодня VirusTotal - один из важнейших источников новых образцов малвары и вредоносных URL, а также офигенный археологический инструмент.

Проблема в некоторых нечистоплотных пользователях мультисканера, которых, увы, становится всё больше и ведут они себя всё наглее.

Помимо бесплатной публичной версии у VirusTotal есть платная подписка на API, который позволяет автоматически, в режиме реального времени проверять неограниченное количество файлов. А вот тут и начинается самое интересное - раздолье для IT-security-паразитов. Они подсматривают чужие вердикты проверки объектов и выдают их за свои, порой не стесняясь копировать даже уникальные имена вердиктов. Одни компании работают, а вторые живут за их счёт – берут плоды трудов, накручивают на них развесистую маркетинговую мотню под своим брендом и стригут купоны.

Заимствование детекта - это старая проблема. Ещё в 2009 г. мы провели открытый эксперимент, который показал масштаб катастрофы. За последние несколько лет ситуация сильно ухудшилась. Если раньше требовалось инвестировать хотя бы в построение собственного мультисканера, то сейчас даже этого не надо! Плати и получай всё готовое в виде сервиса. Действительно, зачем развивать технологии, инфраструктуру, платить зарплату экспертам? Вот оно, удобно лежит, есть не просит – взял, прикрутил и продал. Попахивает тухлятиной, но легально.

virustotal_nextgen_snakeoil_RU

Порой наглость паразитов зашкаливает, некоторые из них не стесняются открыто признаваться в использовании мультисканера. Вот, например, феерический маркетинговый булщит (копия документа на всякий случай) от одной американской компании:

vt_nextget_snake_oil1

Здесь за каждым предложением отчаянный фейспалм, иногда по несколько раз. Но главное – в подчёркнутом предложении: продукт обращается в VirusTotal, проверяет там репутацию файла/URL у других сканеров и возвращает вердикт пользователю.

А вот ещё пример (копия документа на всякий случай) от корейской компании:

vt_nextget_snake_oil2

Та же ситуация: сначала продукт типа проводит какой-то мутный анализ (для пущей убедительности анализ "обматывается" модными словцами вроде "поведенческий анализ" или "искусственный интеллект"), а потом обращается в VirusTotal и возвращает вердикт пользователю. Иными словами, каким бы ни был результат супер-пупер интеллектуального анализа, решающую роль играет мнение других сканеров. Чтож, с точки зрения заботы о клиенте это правильно – нефиг ему выдавать откровенное фуфло и создавать ложное чувство защищённости.

"Явка с повинной смягчает наказание, но делает его неотвратимым" (с)

И таких примеров много. Признáем: заимствование детекта стало новой нормой в секюрити-индустрии и вокруг этой возможности сформировалась экосистема паразитов, которая успешно кормит своим булщитом пользователей и инвесторов.

Черта, которая объединяет всех паразитов – противопоставление "традиционным методам" (тем самым сканерам, у которых они заимствуют детект через VirusTotal) и маркетинговые пляски вокруг термина "Next-gen" (типа "новое поколение защиты"; что значит "новое" уже не понимается так однозначно).

Вывод: если к вам пришли продавцы из неизвестной компании, жонглирующие словами "next-gen", "behavioral analysis", "artificial intelligence" и т.п. без подтверждения результатами независимых тестов - это верный сигнал напрячься. Маркетинговые материалы таких компаний показывают, что единственное для чего у таких разработчиков используется искусственный интеллект – это для подглядывания за другими секюрити-компаниями через облако.

VirusTotal о проблеме знает и по мере сил пытается её решить. 4 мая были опубликованы новые правила пользования сервисом: все пользователи API системы, которые являются anti-malware компаниями должны внедрить свой движок в обойму мультисканера и подтвердить чистоплотность и компетентность независимой экспертизой в соответствии со стандартами AMTSO. Эксперты предположили (не забудьте прочитать комменты), что эти правила оздоровят обстановку в VirusTotal и прижмут к стенке паразитов.

Это правильный, хотя и запоздалый шаг и сейчас самое время продолжить реформирование, потому что для паразитов остаются варианты обойти новые требования и продолжить высасывать из мультисканера экспертизу.

Первоочередные действия:

  • необходимо допилить публичную версию, чтобы максимально усложнить автоматические запросы через анонимайзеры,

  • участники должны сами определять кто получает доступ к результатам работы их сканера.



На самом деле, мы не единственные, кто недоволен злоупотреблениями VirusTotal. Я уверен, что дальнейшее реформирование сервиса поддержат многие наши коллеги, прежде всего из числа тех, кто вносит реальный вклад в развитие VirusTotal. Никто не хочет, чтобы его трудами пользовались паразиты, но все готовы делиться экспертизой с порядочными коллегами, CERT'ами, полицейскими и другими антикриминальными организациями. Любыми компаниями, которые сотрудничают, а не подглядывают. Заимствование детекта убивает секюрити-индустрию и косвенно пособничает кибер-криминалу.

PS: VirusTotal – самый известный, популярный и продвинутый, но не единственный мультисканер. У Jotti, VirSCAN, Metadefender и других также есть недостатки. И каждому из них также надо совершенствоваться, чтобы исключить возможность злоупотребления. И да будет VirusTotal им примером.



Previous Entry Поделиться Пожаловаться Next Entry

Записи из этого журнала по тегу «humachine»

  • Умная пробирка для злобной малвары.

    Вы задавали себе вопрос - почему компьютерные вирусы назвали именно «вирусами»? Вопрос на самом деле риторический, но если для кого-то это не…

  • Рекламная энтомология.

    Само собой разумеется, что мой e-mail весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на…

  • Одержимость фигурами.

    Дамы и господа, Без лишних предисловий сим спешу сообщить, что мы являемся официальным спонсором талантливого шахматиста Сергея Карякина. По этому…


?

Log in

No account? Create an account