Video: Lần thứ hai Bá» VÄn hóa bác Äá» xuất bán vé há»i chá»i trâu Äá» SÆ¡n (Tháng mười một 2024)
Virus máy tính đã tồn tại trong nhiều, nhiều năm. Trong những ngày đầu, phát hiện là một vấn đề đơn giản của việc khớp các tệp với một bộ chữ ký đã biết. Một số chương trình chống vi-rút thậm chí bao gồm một danh sách tất cả các mối đe dọa mà họ có thể phát hiện. Ngày nay mọi thứ khá khác biệt, với những người viết phần mềm độc hại đang làm việc chăm chỉ để tạo ra phần mềm độc hại biến đổi và phát triển để nó không bị bắt bởi phát hiện dựa trên chữ ký. Tôi đã nói chuyện với Roger Thompson, Trưởng nhóm nghiên cứu về mối đe dọa mới nổi của ICSA Labs, về cách các chương trình chống phần mềm độc hại cần thay đổi và cách thử nghiệm các sản phẩm này cần thay đổi.
Cách thức
Rubenking : Bạn có thể nói vài lời về chính xác ICSA Labs là gì không và nó hoạt động như thế nào?
Thompson : Chúng tôi chứng nhận các sản phẩm chống vi-rút chống lại các tiêu chí lịch sử đã thỏa thuận. Quay trở lại những năm 90, cần phải phân biệt giữa cường điệu chống vi-rút và kết quả thực tế, thực tế. Khi bạn nhớ lại, hồi đó mọi người có thể nói bất cứ điều gì họ thích về sản phẩm của họ và không ai có thể chứng minh hay bác bỏ. Cần có người có bộ não để nói, "Điều này hoạt động, điều này không hoạt động, điều này không làm những gì nó nói."
Các nhà cung cấp đồng ý rằng họ cần một bên thứ ba trung lập để làm điều này. Tất nhiên, việc kiểm tra chống lại virus thực sự có trong tự nhiên luôn quan trọng hơn chống lại một "sở thú" đã biết. Vì vậy, danh sách hoang dã phát triển từ nhu cầu đó là một tổ hợp phần mềm độc hại trung lập với nhà cung cấp.
Cũng trở lại những năm 90, Alan Solomon đã thuyết phục mọi người rằng các phương pháp phát hiện phần mềm độc hại chung chung là một ý tưởng tồi. Thay vào đó, thứ được muốn là một số máy quét có thể xác định chính xác loại virus nào có mặt và chính xác làm thế nào để loại bỏ nó. Thế giới đã đồng ý và bỏ phiếu với túi tiền của họ để hỗ trợ loại máy quét đó.
Vấn đề với phát hiện chung, trong lịch sử, là nó gây ra các cuộc gọi hỗ trợ. Phần mềm chống vi-rút nói, chúng tôi thấy một số quy trình trên hệ thống của bạn đang sửa đổi các tệp thực thi hoặc một số tệp thực thi đã thay đổi; bạn đã thay đổi nó? Điều đó dẫn đến một cuộc gọi hỗ trợ và Fortune 500 không chấp thuận. Một phần mềm chống vi-rút dựa trên chữ ký hoặc nói "đó là vi-rút!" hoặc không nói gì cả.
Nó sẽ như thế nào
Thompson : Vẫn còn một nhu cầu cơ bản để kiểm tra máy quét dựa trên chữ ký, để đảm bảo chúng theo kịp. Họ có thể phát hiện ra nó không? Đó là những gì đã được thực hiện, và vẫn còn một nhu cầu. Tuy nhiên, những con số đã thay đổi rất nhiều, có một số lượng lớn những thứ lông tơ được tạo ra mỗi ngày. Những gì cần thiết bây giờ cũng là để kiểm tra khả năng chống phần mềm độc hại để phát hiện những thứ họ chưa từng thấy trước đây.
Rubenking : Những thứ lông tơ ? Ý của bạn là gì?
Thompson : Bạn biết đấy, không ai biết những con số thực sự. Các anh chàng ESET đã nói với tôi về một loại bia rằng họ thấy 600.000 mẫu phần mềm độc hại mới, độc đáo mỗi ngày. Tôi nhớ một báo cáo từ Symantec yêu cầu một triệu mặt hàng mới và độc đáo mỗi ngày. Nhưng sự thật là, phần lớn được tạo ra bằng thuật toán. Kẻ xấu chỉ thay đổi một số mã không quan trọng, biên dịch lại, đóng gói lại và mã hóa lại. Sau đó, họ kiểm tra xem máy quét hiện tại có phát hiện phiên bản mới hay không. Nếu không, họ phát hành nó.
Thật dễ dàng để phát hiện những gì bạn đã biết về. Nó giống như thị trường chứng khoán; "Chỉ" mua thấp và bán cao. Vấn đề là, với những virus độc nhất này, hành vi cơ bản không thay đổi, chỉ là các bit mịn. Hoạt động, sửa đổi sổ đăng ký, thay đổi tập tin … hành vi đó không thay đổi. Vì vậy, kiểm tra phải di chuyển để kết hợp chặn hành vi như một phần của thỏa thuận.
Rubenking : Bạn sẽ sớm thêm thử nghiệm thế hệ tiếp theo này chứ?
Thompson : Chúng tôi đang cố gắng để các nhà cung cấp đồng ý rằng đó là một điều tốt. Họ thường đồng ý, nhưng thực sự làm thử nghiệm không dễ dàng như vậy.
Rubenking : Quá trình mới của bạn như thế nào?
Thompson : Thật khó khăn; đó là lý do tại sao mọi người không muốn làm điều đó Bạn bắt đầu với một hệ thống sạch, chạy phần mềm độc hại và xem nó có được cài đặt không. Bạn phải có khả năng kiểm tra hệ thống pháp y sau đó. Có phải phần mềm độc hại đã lây nhiễm hệ thống? Nó có thay đổi khóa Registry không? Có phải nó đã trở nên dai dẳng, để sống sót khi khởi động lại? Sau đó, bạn phải khôi phục lại một đường cơ sở sạch sẽ để làm lại.
Rubenking : Nghe có vẻ giống như thử nghiệm động được thực hiện bởi AV-So sánh.
Thompson : Vâng, nó rất giống nhau.
Rubenking : Bạn đã sẵn sàng để đi, nhưng các nhà cung cấp thì không? Vì vậy, bạn không biết khi nào thử nghiệm mới sẽ có hiệu lực?
Thompson : Chúng tôi đã sẵn sàng để đi. Tôi hoàn toàn không biết tình trạng của các nhà cung cấp là gì; chúng tôi sẽ lấy lại cho bạn về điều đó. ] Ngoài ra, một phần của vấn đề là tìm các nguồn phần mềm độc hại của riêng chúng tôi, thu hoạch các nguồn cấp dữ liệu spam và như vậy. Chúng ta cần biết những gì thực sự ngoài đó.
Làm cho cuộc sống khó khăn cho những kẻ xấu
Thompson : Đây là con đường đúng đắn phía trước. Chúng tôi không thể ngừng làm những gì chúng tôi luôn làm, nhưng khi các nhà cung cấp chống phần mềm độc hại thêm chặn chặn dựa trên hành vi, kẻ xấu sẽ khó đánh bại hơn nhiều. Họ có thể đánh bại chữ ký bằng cách điều chỉnh những thứ không quan trọng, nhưng để đánh bại việc chặn hành vi, họ phải thực sự thay đổi hành vi và xử lý các định nghĩa khác nhau về hành vi.
Rubenking : Vì vậy, một tập hợp các nhà cung cấp chống phần mềm độc hại đa dạng với các loại chặn hành vi khác nhau sẽ khiến cuộc sống trở nên khó khăn cho kẻ xấu?
Thompson : Chính xác. Nó giống như sự tương tự phô mai Thụy Sĩ. Một bit phô mai có lỗ, nhưng nếu bạn lớp trên một bit khác, nó sẽ che lấp các lỗ. Đặt đủ bit và không còn lỗ.
Rubenking : Cảm ơn, Roger!