A volte una tecnologia sopravvive la sua utilità. Un buon esempio è il carburatore automobilistico. Anche se abbiamo conosciuto il miglioramento delle prestazioni e risparmio di carburante multi-port dell'iniezione diretta di benzina da decenni, alcuni (NASCAR!) ancora si aggrappano per l'utilizzo del obsoleti, carburatore ancora familiare. Lo stesso è avvenuto con la tecnologia per combattere il malware. Anti-virus è diventato il "carburatore" di tenere codice dannoso fuori dei nostri sistemi.
Che cosa è un software / V?
Anti-virus è ancora in primo luogo un sistema di firma basato. In altre parole, si definisce uno schema di codice che vogliamo rilevare e quindi cercare di memoria o il disco rigido per quel modello. Questo è denominato "lista nera applicazione", perché stiamo definendo le applicazioni male che vogliamo tenere fuori del sistema.
Dove A / V firme vengono?
Tipicamente un cliente A / V diventerà infetto e segnalare il problema a loro fornitore. A / V fornitore può quindi generare un modello, che permette loro altri clienti di essere protetti da questo stesso ceppo. E 'anche possibile che la firma per avere generato se il codice si trova in natura prima del rilascio, o se un altro fornitore genera una firma.
Che dire euristica?
Euristica analizza il comportamento sospetto e quindi elenca bianco noto per essere buone candidature. Per esempio possiamo controllare tutti i tentativi di creare un account utente sul sistema e quindi verificare per vedere se l'applicazione è uno strumento di amministratore conosciuto. Questa tecnologia ha un potenziale davvero cool, ma ha anche un certo numero di difetti. Il problema principale, e la ragione euristica vede poco o nessun uso, è il fatto che i suoi soggetti a falsi positivi. Provare a utilizzare un partito 3 ° strumento per gestire gli account utente e l'A / V motore euristico è destinata probabilmente a bloccarlo.
Il modello di business del malware
Quando anti-virus è stato sviluppato, Malware aveva due tratti specifici:
- Distribuzione di malware è stato più lento di distribuzione firma.
- Gli autori di malware sono state per lo più gli script kiddie di tentare di propagazione di massa.
Nessuno di questi elementi sono applicabili negli ambienti di oggi. Symantec afferma che nel 2009 sono in media una firma Malware nuovo ogni otto secondi . Per F-Secure, questa frequenza è più vicina a una nuova firma ogni quattro secondi. Si aggiorna youy A / V, ogni 4-8 secondi? Il vostro A / V anche fornitore rilasciare un nuovo file di firma ogni 4-8 secondi? Vedete il problema. Anche se diligentemente aggiornamento A / V, ogni notte, 11,000-20,000 nuove firme e pezzi di malware hanno spuntato da.
Ma parliamo un po 'di più sul punto # 2; script kiddies e la propagazione di massa. Intorno al 2001 o giù di lì ho notato un cambiamento nel mondo del malware. La gente che sapeva quello che stavano facendo smesso di fare rilascio di massa. Pensateci, la maggior parte autori di malware di solito iniziano quando sono molto giovani. Quando si è ancora a scuola e vivere a casa, la sua banale per rilasciare il codice gratuitamente. Ad un certo punto però è necessario per ottenere un lavoro e iniziare a guadagnare un certo reddito. Quando lei personalmente ha raggiunto quel posto nella vita, cosa hai fatto? Per la maggior parte di noi, si tratta di guardare a ciò che siamo bravi a e cercando di match che fino a un lavoro di alto pagamento.
Quindi, se sei bravo a scrivere malware, dove sono i posti di lavoro ad alta paga? Alcune possibilità:
- Estorsione - Ruba informazioni e vendere di nuovo.
- Spionaggio - Ruba informazioni per una società concorrente, del governo, ecc
- Rubare dati con un valore in natura - di accesso bancario, carta di credito informazioni, ecc
- Rivendere servizi di malware e botnet - Diventa un mercenario. Tipicamente la distribuzione di spam di DDoS.
Anche se abbiamo ancora un certo numero di script kiddies fare propagazione di massa (si pensi a loro come autori di malware in formazione), gli attaccanti intelligenti hanno trasformato in un modello di business redditizio. Quando si tratta di un modello di business, il codice del corso ha valore monetario. Ciò significa che un attaccante non rischio di propagazione di massa di codice malware alto fine. Stanno andando a sedersi su di esso e utilizzarla solo quando c'è il potenziale per un alto tasso di ritorno finanziario. Quindi non possiamo contare sulle cose veramente brutte sono propagazione di massa più. Ciò di cui hai bisogno di preoccuparsi per la maggior parte viene utilizzata in un mirato moda.
Perché il mio A / V non così spesso?
Un paio di problemi dovrebbero essere immediatamente evidente con il modello di cui sopra. Per iniziare, perché ci sono delle applicazioni lista nera cattiva, il presupposto è tutto il resto è OK. Se non abbiamo una firma che identifica l'applicazione come maligno, assumiamo è sicuro per l'esecuzione. Ciò significa che tutti i malware senza una firma è libero di infettare il sistema. Questo modello presuppone anche un certo livello di perdite accettabili. Di solito c'è un intervallo di tempo tra quando i sistemi si infettano e quando otteniamo una firma per proteggere noi stessi. Questo potrebbe essere ore, giorni o, in alcuni casi anche mesi .
Problemi sotto il cofano
Uno dei maggiori problemi con A / V software è la firma. La maggior parte di noi non sarebbe nemmeno in considerazione l'acquisto di un NIDS o NIPS che non prevede l'accesso alle firme, ma questo è esattamente quello che si ottiene con un sistema A / V. Questo porta a poco a non controllare la sanità mentale di firme all'interno del settore, così come la capacità di personalizzazione limitata. Per esempio devo ancora vedere un fornitore A / V mi danno la possibilità di lasciare che il mio gruppo amministratore di rete eseguire uno strumento password cracking da noti per essere macchine sicure. Se ho qualche possibilità di personalizzazione a tutti, è un processo noioso per applicazioni specifiche approvato per l'uso, e anche allora di applicazione è limitato.
Allora, dove andiamo da qui?
Con tutti questi problemi, non c'è da meravigliarsi che il controllo delle applicazioni (a volte chiamata lista applicazione bianco) sta iniziando a sostituire A / V software come strumento di scelta per il controllo malware. Prendo in controllo delle applicazioni nella parte 2 di questo post.
Related posts:
Come un singolo utente di un HP con Vista 64 rimuginare sul fatto di preoccuparsi per l'acquisto di Norton 360 versione 3.0, mi sono imbattuto il tuo post e trovare l'argomento indiscutibile. Ma tu ovviamente che fare con il software aziendale quindi mi chiedo se c'è qualche software applicativo lista bianca per l'utente medio? E andare su Google, ma penso che potrebbe includere un paragrafo su questo punto per aiutare le persone che arrivano attraverso il vostro ragionamento inconfutabile, e quindi rendersi conto ci deve essere un modo migliore, se disponibile, perché si poteva parlare che si crede di essere il migliore, che sarebbe di grande rilevanza. Grazie comunque per quello che hai scritto.
Ciao Antonio,
Sei morti in quella di oggi è solo una soluzione aziendale. Mentre alcuni produttori di antivirus stanno iniziando ad aggiungere nella lista bianca di supporto alle loro suite desktop, è abbastanza minimale.
Attualmente sto lavorando con un paio di fornitori per cercare di rendere questa tecnologia disponibile per l'utente domestico tipico. Io dopo un aggiornamento quando una beta release (dovrebbe essere entro la fine dell'anno).
Grazie per il posto,
Chris
Grazie, in attesa di questo, e anche, spero, al tuo commento a coloro che dicono che la lista bianca non è praticabile, o non funziona, o simili, che opinione ho notato da quando ho letto i tuoi post, ma che a causa della obliterazione del segnalibro di riferimento da un errore del sistema all'ingrosso non riesco a punto specificamente.
Se posso aggiungere, Zone Alarm estrema sembra essere una soluzione whitelisting ora disponibile per i consumatori, e ben progettato. Non è così? L'ho comprato comunque.
Ciao Antonio,
Grazie per il suggerimento. Avrò bisogno di dare un'occhiata a questo. I prodotti sono pochi recensione ho finora (McAfee e Kaspersky) sostengono capacità lista bianca, ma non vanno abbastanza lontano nel file di verifica (data / ora, luogo, a volte un hash sola). Sarebbe bello trovare qualcosa che va controcorrente.