Ibland kan en teknik som överlever dess användbarhet. Ett bra exempel är bilen förgasaren. Även om vi har känt prestandavinster och en bränslebesparing på flera portar direkt bränsleinsprutning i flera decennier, en del (NASCAR!) hänger fortfarande fast vid användning av föråldrade, men ändå välbekanta förgasaren. Mycket samma har skett med tekniken för att bekämpa skadlig kod. Anti-virus har blivit "förgasaren" att hålla skadlig kod ut i våra system.
Vad är A / V-programvara?
Anti-virus är fortfarande främst en signatur baserat system. Med andra ord definierar vi en kod mönster som vi vill upptäcka och sedan söka minne eller på hårddisken för det mönstret. Detta kallas "ansökan svartlistning", eftersom vi definierar de dåliga program vi vill hålla bort av systemet.
Var A / V-signaturer ifrån?
Typiskt en A / V-kund kommer att bli infekterade och rapportera problemet till sin leverantör. A / V säljaren kan sedan generera ett mönster som tillåter att andra kunder ska skyddas från samma stam. Det är också möjligt för undertecknande för att få genereras om koden finns i vilt tillstånd innan de släpps eller om någon annan leverantör genererar en signatur.
Vad sägs om heuristik?
Heuristik tittar på misstänkt beteende och sedan vita listor kända för att vara bra ansökningar. Till exempel kan vi kontrollera alla försök att skapa ett användarkonto på systemet och sedan kontrollera om ansökan är en känd administratör verktyg. Denna teknik har några riktigt coola potential, men det har också ett antal brister. Det primära problemet, och orsaken heuristik ser lite till ingen användning, är det faktum att dess utsatta för falska positiva. Försök att använda en 3: e parts verktyg för att hantera dina användarkonton och A / V heuristiska motorn förmodligen kommer att blockera det.
Affärsmodellen av Malware
När anti-virus först utvecklades, hade Malware två specifika egenskaper:
- Malware fördelningen var långsammare än signatur distribution.
- Malware författare var mestadels script kiddies försöker massa förökning.
Ingen av dessa objekt är tillämpliga i dagens miljöer. Symantec uppger att det i 2009 de är i genomsnitt en ny Malware signatur var åtta sekunder . För F-Secure, är denna frekvens närmare en ny signatur var fjärde sekund. Har du uppdaterar youy A / V var 4-8 sekunder? Har din A / V-leverantör även släppa en ny signatur fil varje 4-8 sekunder? Du ser problemet. Även om du flitigt uppdaterar A / V varje natt, har 11,000-20,000 nya signaturer och bitar av Malware tickade förbi.
Men låt oss tala lite mer om objektet # 2, script kiddies och massa förökning. Runt 2001 eller så märkte jag en förändring i Malware världen. De folk som verkligen visste vad de gjorde slutat massa release. Tänk på det, de flesta Malware författare brukar börja när de är mycket unga. När du är fortfarande i skolan och bor hemma, det trivialt att släppa din kod gratis. Vid något tillfälle men du behöver för att få ett jobb och börja tjäna en viss inkomst. När du personligen nått den platsen i livet, vad gjorde du? För de flesta av oss innebär det att titta på vad vi är bra på och försöker matcha det upp till ett högt betalande jobb.
Så om du är bra på att skriva skadlig kod, var är de välbetalda jobb? Några möjligheter:
- Utpressning - Stjäl info och sälja tillbaka den.
- Spionage - Stjäl info för ett konkurrerande företag, myndigheter, etc.
- Stjäla data med värde i det vilda - banken inloggning info om kreditkort etc.
- Återförsälja botnät och tjänster Malware - Bli en pistol att hyra. Typiskt spam distribution av DDoS.
Medan vi fortfarande har ett visst antal script kiddies att göra massa utbredning (tänk på dem som Malware författare under utbildning), har den smarta angriparna gjort det till en lönsam affärsmodell. När det är en affärsmodell, har koden naturligtvis penningvärde. Detta innebär att en angripare inte riskera massa spridning av avancerade Malware kod. De kommer att sitta på den och bara använda den när det finns potential för en hög ekonomisk avkastning. Så vi kan inte räkna med riktigt otäcka saker som massförökats längre. De saker du behöver oroa dig mest används på ett målinriktat sätt.
Varför har min A / V misslyckas så ofta?
Ett par problem bör omedelbart uppenbart med ovan nämnda modell. För att starta, eftersom vi är svartlistning dåligt program, är antagandet allt annat är OK. Om vi inte har en signatur som identifierar programmet som skadlig, antar vi att det är säkert att köra. Detta innebär att alla skadliga program utan att en signatur är fri att infektera systemet. Denna modell förutsätter också en viss nivå av godtagbar förluster. Vanligtvis finns det en fördröjning mellan när systemen blir smittad och när vi får en signatur för att skydda oss. Detta kan vara timmar, dagar eller i vissa fall även månader .
Problem under huven
En av de största problem med A / V-programvara är det signaturer. De flesta av oss skulle inte ens överväga att köpa en NIDS eller nationella vägledande program som inte ger tillgång till underskrifter, men det är precis vad du får med en A / V-system. Detta leder till lite att inget förstånd kontroll av signaturer inom industrin, samt begränsad anpassning kapacitet. Jag har till exempel ännu inte sett en A / V-leverantör ger mig möjligheten att låta min nätverksadministratör grupp köra ett lösenord knakande verktyg från kända för att vara säkra maskiner. Om jag har någon anpassning möjlighet alls att det är en mödosam process att få specifika program godkänts för användning, och även då verkställighet är begränsad.
Så där går vi härifrån?
Med alla dessa problem, dess inte konstigt att ansökan kontroll (kallas ibland ansökan vita lista) börjar att ersätta A / V-programvara som det bästa sättet för att kontrollera Malware. Jag ska komma in ansökan kontrollera i del 2 av detta inlägg.
Relaterade inlägg:
Som enskild användare av en HP med Vista 64 grubblande om huruvida man skulle bry sig om att köpa Norton 360 version 3.0, jag kom över ditt inlägg och hitta argument obestridliga. Men du är uppenbarligen att göra med affärssystem så jag undrar om det finns något program vita lista mjukvara för den genomsnittlige användaren? På Google, men jag tror att du införa en punkt på den punkten för att hjälpa människor som kommer över ditt ovedersägliga resonemang, och därför inser att det måste finnas ett bättre sätt, om det finns, eftersom du kan nämna som du tror är bäst, vilket skulle vara mycket relevant. Hur som helst tack för vad du skrev.
Hey Anthony,
Du är död i att det idag bara är en företagslösning. Medan vissa AV-leverantörer har börjat lägga i vita lista stöd till sina skrivbord sviter, det är ganska minimalt.
Just nu jobbar jag med ett par leverantörer för att försöka göra denna teknik tillgänglig för vanliga hemanvändare. Jag kommer lägga upp en uppdatering när en beta release (ska vara i slutet av året).
Tack för inlägg,
Chris
Tack, ser fram emot det, och även, hoppas jag, att din kommentar till de som säger att vita listan är opraktiskt, eller inte fungerar, eller liknande, som anser jag märkte sedan att läsa dina inlägg, men som på grund av utplåning av hänvisningen bokmärket genom en grossist systemfel Jag kan inte peka dig specifikt.
Om jag får tillägga, verkar Zone Alarm Extreme vara en vitlistning lösning nu tillgängliga för konsumenter, och väl utformade. Är det inte så? Jag köpte den ändå.
Hey Anthony,
Tack för tipset. Jag behöver ta en titt på det. De få som jag är över så långt (McAfee och Kaspersky) hävdar vita lista kapacitet, men att de inte går tillräckligt långt i kontrollen av filer (datum / tid, plats, ibland en enda hash bara). Skulle vara coolt att hitta något som bucks trenden.