Video: Cách tắt tường lửa và phần mềm diệt virus chặn file tải xuống và file giải nén (Tháng mười một 2024)
Hội nghị Black Hat đã thu hút hơn 7.000 người tham dự vào mùa hè này và 25.000 người đã tham dự Hội nghị RSA vào mùa xuân. Tham dự Hội nghị quốc tế lần thứ 8 về Phần mềm độc hại và không mong muốn, ngược lại, được đo bằng hàng chục chứ không phải hàng ngàn. Nó nhằm mục đích đưa ra các nghiên cứu học thuật mới nhất về bảo mật, trong một bầu không khí cho phép tương tác trực tiếp và thẳng thắn giữa tất cả những người tham dự. Hội nghị năm nay (viết tắt là Malware 2013) với bài phát biểu của Dennis Batchelder, giám đốc Trung tâm bảo vệ phần mềm độc hại của Microsoft, chỉ ra những vấn đề khó khăn mà ngành công nghiệp phần mềm chống virus phải đối mặt.
Trong buổi thuyết trình, tôi đã hỏi ông Batchelder nếu ông có bất kỳ suy nghĩ nào về lý do tại sao Microsoft Security Essentials đạt điểm gần hoặc thấp nhất trong nhiều bài kiểm tra độc lập, đủ thấp để nhiều phòng thí nghiệm hiện chỉ coi nó là cơ sở để so sánh với các sản phẩm khác. Trong bức ảnh ở đầu bài viết này, anh ấy bắt chước cách các thành viên nhóm chống vi-rút của Microsoft không cảm thấy về câu hỏi đó.
Batchelder giải thích đó là cách Microsoft muốn nó. Các nhà cung cấp bảo mật rất tốt khi chứng minh giá trị họ có thể thêm vào so với những gì được tích hợp. Ông cũng lưu ý rằng dữ liệu của Microsoft chỉ cho thấy 21% người dùng Windows không được bảo vệ, nhờ MSE và Windows Defender, giảm từ hơn 40%. Và tất nhiên bất cứ khi nào Microsoft có thể nâng mức cơ bản đó, các nhà cung cấp bên thứ ba sẽ nhất thiết phải khớp hoặc vượt quá nó.
Những kẻ xấu không chạy đi
Batchelder đã chỉ ra những thách thức đáng kể trong ba lĩnh vực chính: các vấn đề cho toàn ngành, các vấn đề về quy mô và các vấn đề để thử nghiệm. Trong cuộc nói chuyện hấp dẫn này, một điểm thực sự gây ấn tượng với tôi là mô tả của ông về cách các tập đoàn tội phạm có thể lừa các công cụ chống vi-rút làm công việc bẩn thỉu cho chúng.
Batchelder giải thích rằng mô hình chống vi-rút tiêu chuẩn giả định rằng những kẻ xấu đang trốn chạy và ẩn náu. "Chúng tôi cố gắng tìm ra chúng theo những cách tốt hơn và tốt hơn", ông nói. "Máy khách cục bộ hoặc đám mây nói 'chặn nó!' hoặc chúng tôi phát hiện ra mối đe dọa và thử khắc phục. " Nhưng họ không chạy trốn nữa; họ đang tấn công.
Các nhà cung cấp phần mềm chống vi-rút chia sẻ các mẫu và sử dụng từ xa từ cơ sở được cài đặt và phân tích danh tiếng để phát hiện các mối đe dọa. Gần đây, mặc dù, mô hình này không phải lúc nào cũng hoạt động. "Điều gì sẽ xảy ra nếu bạn không thể tin tưởng vào dữ liệu đó", Batchelder hỏi. "Nếu kẻ xấu tấn công trực tiếp vào hệ thống của bạn thì sao?"
Ông báo cáo rằng Microsoft đã phát hiện "các tệp được tạo thủ công nhắm vào các hệ thống của chúng tôi, các tệp được tạo ra trông giống như phát hiện của một số nhà cung cấp khác." Khi một nhà cung cấp chọn nó như một mối đe dọa đã biết, họ chuyển nó cho những người khác, điều này làm tăng giá trị của tệp được tạo ra một cách giả tạo. Batchelder lưu ý: "Họ tìm thấy một lỗ hổng, tạo ra một mẫu và gây ra vấn đề. Họ cũng có thể tiêm từ xa để làm sai lệch tỷ lệ lưu hành và tuổi tác".
Tất cả chúng ta không thể làm việc cùng nhau?
Vậy, tại sao một tập đoàn tội phạm lại bận tâm cung cấp thông tin sai lệch cho các công ty chống vi-rút? Mục đích là để giới thiệu một chữ ký chống vi-rút yếu, một chữ ký cũng sẽ khớp với một tệp hợp lệ cần thiết cho một hệ điều hành đích. Nếu cuộc tấn công thành công, một hoặc nhiều nhà cung cấp phần mềm chống vi-rút sẽ cách ly tệp vô tội trên các PC nạn nhân, có thể vô hiệu hóa hệ điều hành máy chủ của họ.
Kiểu tấn công này là ngấm ngầm. Bằng cách đưa các phát hiện giả vào kho dữ liệu được chia sẻ bởi các nhà cung cấp phần mềm chống vi-rút, bọn tội phạm có thể làm hỏng các hệ thống mà chúng chưa bao giờ đặt mắt (hoặc tay). Là một lợi ích phụ, làm như vậy có thể làm chậm việc chia sẻ mẫu giữa các nhà cung cấp. Nếu bạn không thể cho rằng một phát hiện được thông qua bởi một nhà cung cấp khác là hợp lệ, bạn sẽ phải dành thời gian kiểm tra lại với các nhà nghiên cứu của riêng bạn.
Vấn đề lớn
Batchelder báo cáo rằng họ nhận được khoảng 10.000 tệp "bị nhiễm độc" này mỗi tháng thông qua chia sẻ mẫu. Khoảng một phần mười của một phần trăm từ xa của chính họ (từ người dùng các sản phẩm chống vi-rút của Microsoft) bao gồm các tệp như vậy và đó là rất nhiều.
Điều này mới đối với tôi, nhưng nó không đáng ngạc nhiên. Các tập đoàn tội phạm phần mềm độc hại có hàng tấn tài nguyên và họ có thể dành một số tài nguyên đó để phá hoại sự phát hiện của kẻ thù. Tôi sẽ hỏi các nhà cung cấp khác về loại "chống vi-rút vũ khí" này khi tôi có cơ hội.