El ocuparse de malware en Windows (Parte 1) - ¿Por qué Anti-Virus es una tecnología de morir

11 de julio de 2009 por Chris Dejar una respuesta »

A veces una tecnología deja de ser útil. Un buen ejemplo es el carburador de automóvil. Aunque hemos conocido las mejoras de rendimiento y ahorro de combustible de múltiples puertos de inyección directa de combustible desde hace décadas, algunos (NASCAR!) todavía se aferran al uso del carburador anticuado, pero familiar. Lo mismo ha ocurrido con la tecnología para luchar contra el malware. Anti-virus se ha convertido en el "carburador" de mantener el código malicioso fuera de nuestros sistemas.

¿Qué es un software / V?

Anti-virus sigue siendo principalmente un sistema basado en firmas. En otras palabras, se define un patrón de código que queremos detectar y luego buscar en la memoria o el disco duro para ese modelo. Esto se conoce como "lista de la aplicación negro", ya que estamos definiendo las aplicaciones mal que queremos mantener fuera del sistema.

¿Dónde A la firma de A / V viene?

Normalmente, un cliente de A / V se infectará y reportar el problema a su proveedor. El vendedor de A / V se puede generar un patrón, que permite a sus clientes que deben ser protegidos de esta misma cepa. También es posible que la firma para obtener el código generado, si se encuentra en la naturaleza antes de su liberación, o si otro proveedor genera una firma.

¿Qué pasa con la heurística?

Heurística analiza el comportamiento sospechoso y luego las listas blanca conocida por estar buenas aplicaciones. Por ejemplo, podemos comprobar todos los intentos de crear una cuenta de usuario en el sistema y comprobar si la aplicación es una herramienta de administración conocidos. Esta tecnología tiene un potencial muy cool, pero también tiene una serie de defectos. El principal problema, y ​​la razón por la heurística ve poco o ningún uso, es el hecho de que su tendencia a falsos positivos. Trate de usar una herramienta de 3 ª parte para administrar sus cuentas de usuario y la A / V motor heurístico es, probablemente, va a bloquear.

El modelo de negocio de malware

Cuando el anti-virus fue desarrollado por primera vez, Malware tenía dos rasgos específicos:

  1. La distribución de malware ha sido más lento que la distribución de la firma.
  2. Los creadores de malware en su mayoría script kiddies intentar la propagación masiva.

Ninguno de estos artículos son aplicables en los ambientes de hoy. Symantec afirma que en 2009 se firma un promedio de un malware nuevos cada ocho segundos . De F-Secure, esta frecuencia está más cerca de una nueva firma cada cuatro segundos. ¿Es usted actualizar youy A / V cada 4-8 segundos? ¿Tiene su A / V vendedor incluso lanzar un nuevo archivo de firmas cada 4-8 segundos? Usted ve el problema. Incluso si usted diligencia de actualización A / V de todas las noches, 11,000-20,000 nuevas firmas y piezas de malware ha marcado por.

Pero vamos a hablar un poco más sobre el punto # 2, los script kiddies y la propagación masiva. Alrededor de 2001 o así he notado un cambio en el mundo de malware. La gente que realmente sabía lo que estaban haciendo dejó de hacer liberación masiva. Piense en ello, la mayoría de los creadores de malware suelen empezar cuando son muy jóvenes. Cuando usted está todavía en la escuela y viven en casa, su trivial para liberar su código de forma gratuita. En algún momento, sin embargo es necesario para conseguir un trabajo y empezar a ganar algún ingreso. Cuando usted personalmente llegó a ese lugar en la vida, ¿qué hiciste? Para la mayoría de nosotros, se trata de mirar lo que se nos da bien y tratando de que coincida con hasta un trabajo bien pagado.

Así que si usted es bueno en la escritura de malware, ¿dónde están los empleos bien remunerados? Algunas posibilidades son:

  • Extorsión - Robar información y venta de nuevo.
  • Espionaje - Robar información de una empresa de la competencia, gobierno, etc
  • Robar datos con el valor en la naturaleza - de inicio de sesión del banco, información de tarjetas de crédito, etc
  • Reventa botnet y servicios de Malware - Conviértete en un mercenario. Por lo general la distribución de spam de DDoS.

Aunque todavía tenemos un cierto número de script kiddies haciendo la propagación masiva (pensar en ellos como creadores de malware en la formación), los atacantes inteligentes lo han convertido en un modelo de negocio rentable. Cuando se trata de un modelo de negocio, el código del curso tiene un valor monetario. Esto significa que un atacante no correrá el riesgo de propagación masiva de código de alta Malware final. Ellos van a sentarse en él y sólo lo uso cuando existe la posibilidad de una alta tasa de rentabilidad financiera. Por lo tanto, no puede contar con el material realmente desagradable ser propagado masivamente a más. Las cosas que tiene que preocuparse más se utiliza en un objetivo de la moda.

¿Por qué mi A / V no con tanta frecuencia?

Un par de problemas debe ser evidente de inmediato con el modelo anterior. Para empezar, ya que son aplicaciones de negro listado de malo, el supuesto es todo lo demás está bien. Si no tenemos una firma que identifica la aplicación como maliciosos, damos por sentado que es seguro ejecutar. Esto significa que todo el malware sin la firma es libre para infectar el sistema. Este modelo también supone un cierto nivel de pérdidas aceptable. Normalmente hay un tiempo de retraso entre el momento en los sistemas de infectarse y cuando llegamos a una firma para protegernos. Esto podría ser horas, días o en algunos casos incluso meses .

Problemas bajo el capó

Uno de los mayores problemas con un software / V es la firma. La mayoría de nosotros ni siquiera considerar la compra de un NIDS o PELLIZCOS que no permite el acceso a las firmas, pero eso es exactamente lo que se obtiene con un sistema de A / V. Esto nos lleva a poco que ningún tipo de verificación de firmas de cordura dentro de la industria, así como la capacidad de adaptación limitada. Por ejemplo, yo todavía no he visto un vendedor de A / V me dan la posibilidad de que mi grupo de administrador de la red ejecutar una herramienta para descifrar contraseñas de las máquinas que se sabe seguro. Si tiene alguna capacidad de personalización en todo lo que es un proceso tedioso para obtener aplicaciones específicas aprobadas para su uso, e incluso entonces la aplicación es limitada.

Entonces, ¿dónde vamos desde aquí?

Con todos estos problemas, no es de extrañar que el control de la aplicación (a veces llamada lista blanca de aplicaciones) está empezando a sustituir a un software / V como la herramienta de elección para el control de Malware. Voy a entrar en el control de aplicaciones en la parte 2 de este post.

Puestos relacionados con:

  1. El ocuparse de malware en Windows (Parte 2) - Control a largo Live Application
  2. ¿Por qué anti-virus está muerto - vivo
  3. Aprovechando el Windows "runas" comando
  4. Acceso rápido a las herramientas de administración de Windows
  5. Cómo ganar dinero con su Botnet Propia

Publicado en 3-err , Malware , seguridad de Windows

Tags:

Puedes seguir cualquier respuesta a esta entrada a través del feed RSS 2.0 . Puede dejar una respuesta , o trackback desde tu propio sitio.

Anuncio

5 comentarios

Añade tu comentario
  1. Anthony Li dice:
    10 de septiembre 2009 a las 1:07 am

    Como un usuario individual de una HP con Windows Vista 64 melancólico acerca de si la molestia de comprar Norton 360 versión 3.0, me encontré con su mensaje y encontrar el argumento indiscutible. Pero obviamente estamos tratando con el software de la empresa lo que me pregunto si hay alguna aplicación de software listas blancas para el usuario medio? A google, pero creo que podría incluir un párrafo en el que apuntan a ayudar a las personas que vienen a través de su razonamiento irrefutable, y por lo tanto darse cuenta de que debe haber una mejor manera, si es posible, porque se podía hablar de lo que usted cree que es mejor, que sería muy pertinente. De todas formas gracias por lo que escribió.

    Respuesta
  2. Chris dice:
    11 de septiembre 2009 a las 6:25 am

    Hola Antonio,

    Usted está muerto en en que hoy en día sólo es una solución empresarial. Mientras que algunos fabricantes de soluciones antivirus están comenzando a añadir en la lista blanca de apoyo a sus suites de escritorio, que es bastante escaso.
    Actualmente estoy trabajando con unos pocos proveedores para tratar de hacer esta tecnología disponible para el usuario doméstico típico. Voy a publicar una actualización cuando una versión beta es la liberación (debe ser por el final del año).

    Gracias por el post,
    Chris

    Respuesta
  3. Anthony Li dice:
    30 de septiembre 2009 a las 5:50 pm

    Gracias, esperando que, y también, espero, a tu comentario sobre que los que dicen que es poco práctico listas blancas, o no funciona, o similar, que la opinión me di cuenta ya que leer sus mensajes, pero que debido a la eliminación del marcador de referencia por un fallo del sistema mayor que no puede apuntar a que específicamente.

    Respuesta
  4. Anthony Li dice:
    10 de octubre 2009 a las 2:02 am

    Si se me permite añadir, Zone Alarm extrema parece ser una solución de lista blanca ya está disponible para los consumidores, y bien diseñado. ¿No es así? Lo compré de todos modos.

    Respuesta
    • Chris dice:
      10 de octubre 2009 a las 10:04 am

      Hola Antonio,

      Gracias por la punta. Voy a tener que echar un vistazo a él. Los pocos productos que estoy examinado hasta ahora (McAfee y Kaspersky) afirman la capacidad de listas blancas, pero no va lo suficientemente lejos en la verificación de archivos (fecha / hora, el lugar, a veces un hash de una sola vez). Estaría bien para encontrar algo que se opone a la tendencia.

      Respuesta

Deja un comentario