Ciekawy eksperyment firmy Kaspersky
- Dodano: 12 February 2010
- Wprowadził: hcsl.pl
- Komentarze: 39
Znany producent oprogramowania antywirusowego, rosyjski Kaspersky, przeprowadził ostatnio bardzo interesujący eksperyment. Firma ta dopuściła się bowiem prowokacji, wprowadzając pośrednio do baz antywirusowych konkurencyjnych firm sygnatury powodujące fałszywe wykrycia wirusów. Tym samym Kaspersky obnażył słabości stosowanych obecnie mechanizmów antywirusowych oraz zakwestionował sens korzystania z wielu silników antywirusowych jednocześnie.
Eksperyment polegał na utworzeniu 20 zupełnie niegroźnych plików wykonywalnych oraz dodaniu do własnej bazy antywirusowej sygnatur wykrywających 10 z nich jako zagrożenie. Następnie wszystkie spreparowane pliki zostały sprawdzone na obecność wirusów za pomocą dostępnej online usługi VirusTotal. Ta popularna usługa pozwala każdemu na przeskanowanie dowolnego pliku za pomocą kilkudziesięciu najpopularniejszych i na bieżąco aktualizowanych silników antywirusowych.
Jak można się łatwo domyślić, dostępny w ramach VirusTotal mechanizm skanowania firmy Kasperky, jako jedyny oznaczył 10 plików jako zainfekowane. Co ciekawe, powtórzenie testu po 10 dniach pokazało, że już 14 innych producentów wykrywa rzekome zagrożenie obecne w specjalnie spreparowanych plikach!
Stało się tak dzięki temu, że VirusTotal przekazuje wszystkim udzielającym się w ramach tej usługi producentom rozwiązań antywirusowych informacje na temat wszystkich nieznanych do tej pory zagrożeń. Oczywiście zarówno VirusTotal, jak i pozostali producenci antywirusów skrytykowali działania firmy Kaspersky jako ich zdaniem nieetyczną manipulację samą usługą oraz pośrednie oskarżenie innych producentów o bezprawne kopiowanie sygnatury.
Abstrahując jednak od kwestii etycznych, trzeba przyznać, że eksperyment ten skłania do kilku refleksji. Przede wszystkim okazało się, że wielu producentów antywirusów po prostu kopiuje wszystkie znane sygnatury zagrożeń, bez przeprowadzenia jakiejkolwiek analizy mającej na celu potwierdzenie istnienia zagrożenia! Taki statyczny sposób budowania bazy antywirusowej jest z pewnością stosunkowo tani, jednak powoduje, że końcowi użytkownicy są narażeni na zwiększoną liczbę fałszywych alarmów. Teraz wiemy już więc, z jakiego powodu coraz częściej jesteśmy świadkami wybuchów groźnych epidemii fałszywych alarmów antywirusowych.
W całej sprawie wypowiedział się również Eset:
Where tests are carried out with huge sample sets and minimal time and financial resources, it’s inevitable that some testers will rely on “source reputation and multi-scanning” rather than manual validation.
Widać więc wyraźnie, że na chwilę obecną nie mamy co liczyć na ręczne testowanie każdej próbki przez każdego z producentów. Wraz z coraz większą liczbą odkrywanych codziennie nowych złośliwych programów, możemy się więc spodziewać ciągłego nasilania się problemu fałszywych alarmów antywirusowych…
Materiał pochodzi z serwisu HARD CORE SECURITY LAB.
Więcej informacji: http://www.theregister.co.uk/2010/02/10/...xperiment/
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
39 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
kto zakwestionuje sens korzystania z oprogramowania anty wirusowego ?
Ja.
Kto mnie posłucha ?
Ja. Na swoim linuchu nie posadowiłem żadnego antywira.
A ja na swoim owszem, clama. Od czasu do czasu warto przeskanować pendrive'a, który lata po znajomych, kserach i innych Windowsach, żeby nie roznosić radośnie zarazków.
To, że Tobie wirusy nie rozwalą kompa nie znaczy, że musi innym.
Ja tam "pendrajwy" w Linuksie czyszczę ręcznie
Nie ufam temu automatycznemu badziewiu…
A ja używam DOSa z win3.11 i problem mnie nie dotyczy
Ja nie miałem antywira również na Windows, kiedy jeszcze go używałem. Dobre cztery lata bez żadnego wirusa – używałem wyłącznie firewalla i zdrowego rozsądku.
Dokładnie! Mogę "poszczycić się" podobnym doświadczeniem
To że go nie znalazłeś, nie znaczy że go nie miałeś.
Do botnetu dołączają jedynie świadomi użytkownicy…
Prawidłowo obsługiwany system Windows też – wbrew propagandzie wszelkiego rodzaju kasperskich – nie jest w istotny sposób zagrożony wirusami i nie wymaga stosowania antywirusa. Ale no cóż: nowoczesny marketing (nie tylko w IT) polega na wciskaniu ludziom za ciężkie pieniądze produktów, których do niczego nie potrzebują.
W zasadzie masz rację, ale co rozumiesz przez "prawidłowo obsługiwany Windows"? Windows obsługiwany na ograniczonym koncie, z włączonym Windows Update, ale np. bez Flash Playera i Javy?
PS.
Żeby było śmieszniej, obecnie za pokaźną część zagrożeń odpowiedzialne jest otwarte oprogramowanie, czyli Apache, MySQL, WordPress itp. – zainstalowane i nieprawidłowo obsługiwane przez administratorów serwerów. Mam na myśli podmienianie np. plików .htaccess, wstrzykiwanie iframe do kodu html…
Tak, mniędzy innymi chodzi o ograniczone konto, windows update czy o minimum ostrożności w otwieraniu załączników do poczty E-mail.
Nie przypominam sobie istotnych zagrożeń wynikających z użycia Javy: applety są w sandbox, a sam HotSpot odpalający je jest identyczny ze stosowanym na poważnych serwerach, więc to raczej platforma dojrzała i bezpieczna (choć rzecz jasna wszystko może zawierać błędy).
To otwarte oprogramowanie stanowi zagrożenie dla serwera. Czy dla klientów również?
Bardzo łatwo można zakwestionować sens używania jakiegokolwiek oprogramowania antywirusowego. Wystarczy mieć bierzące kopie zapasowe danych, sumy kontrolne co ważniejszych plików i kopię partycji systemowej. Jak tak robię (i polecam innym) – 10 minut i nie jest ważne czy był wirus czy nie był. W dodatku jak znalazł, kiedy sprzęt się popsuje (co też się zdarza). Oczywiście używanie Linuksa "nie przeszkadza".
"Oczywiście używanie Linuksa “nie przeszkadza”.
"
Zdecydowanie nie, zwłaszcza jeżeli te kopie systemu robione były pod Linuxem (np. przy pomocy partimage'a).
A co z plikami rejestru? Malware może go dowolnie edytować, podobnie jak system podczas zwyczajnej pracy. Backupy na pewno nie zaszkodzą, ale sumy kontrolne raczej nie mają racji bytu. Poza tym dzisiejsze złośliwe oprogramowanie rzadko dołącza się do innych plików (czyli wirusy są rzadkością), ale takie keyloggery czy spam boty mogą się uruchamiać i beztrosko działać, bo żadnego pliku systemowego nie psują.
Dodam, że:
1. "Bardzo łatwo można zakwestionować sens używania jakiegokolwiek oprogramowania" [świadome ciach]. Przy pewnej dozie wyszkolenia i biegłości przy pomocy urządzenia – niezasilanego jakimkolwiek źródłem prądu – można liczyć nawet całki
Tylko kto i ile czasu w dzisiejszych czasach będzie tak szkolił?
2.Bezpieczny seks bez wspomagania też istnieje. Tylko dlaczego tyle się sprzedaje prezerwatyw i innych środków antykoncepcyjnych?
Swoją drogą chciałbym zwrócić uwagę na marketingowy efekt: Kaspersky "jako pierwszy" publikuje sygnaturę — Kaspersky jest superszybki; od Kaspersky'ego wszyscy kopiują — Kaspersky musi być superważny.
Równie dobrze to oni mogliby skopiować ileś sygnatur, ale akurat przy tej niejako "wydać" środowisko. Ot, takie "kto pierwszy ten lepszy".
Ciekawe dane o antywirusach – “32% of computers with AV protection are infected”:
http://www.net-security.org/malware_news.php?id=1224
Stado lemingów ogłupione przez wszelkiego rodzaju kasperskich nie posłucha. Oni wierzą, że dzięki instalowaniu "antywirusów" są w istotny sposób bezpieczniejsi
AV są praktycznie bezobsługowe (w kwestii aktualizacji bezpieczeństwa). Reszta softu nie.
Spora część AV jest niektualizowana – przypadki 60-dniowych Nortonów preinstalowanych na laptopach czy zainstalowanych przez pana informatyka avastów nie odnowionych przez usera po wygaśnięciu subskrypcji.
AV jest bezpobsługowe? Możliwe, ale cena (płacona w wydajności komputera i w czasie pracy na baterii) jest ogromna. Taki antywirus skanuje każdy kopiowany z pendrive dokument, czyta dyski itd…
"ale cena (płacona w wydajności komputera"
To jest jeden z bardziej istotnych czynników praktycznie wymuszający częstą wymianę sprzętu komputerowego i dlatego niestety "silne maszynki" są dzisiaj potrzebny nie tylko zapalonym graczom, ale coraz częściej tzw. zwykłym użytkownikom, którzy chcą w miarę komfortowo pracować.
Alternatywą jest odłączenie (czy nawet w ogóle niepodłączanie komputera do Internetu), co tak naprawdę nie jest żadną alternatywą.
W takiej sytuacji można rzeczywiście zacząć doceniać Linuxa.
Bez AV można przeważnie wyżyć – wystarczy odpalać przeglądarkę z prawami usera, i nadać prawa zapisu tylko dla katalogu z tymczasowymi plikami przeglądarki. W tej sytuacji jeśli nawet uda się jakiejś stronie przez przeglądarkę odpalić kod, nie będzie w stanie zrobić żadnego bałaganu, poza katalogiem z tymczasowymi plikami przeglądarki. Analogicznie można postępować uruchamiając nieznane aplikacje.
Inaczej się ma sprawa, gdy instalator/aplikacja wymaga uprawnień admina.. Bywa przecież tak, że mamy niby grę, niby toola, a podczas instalacji AV krzyczy, że w środku ukryta jest dodatkowa niespodzianka w postaci np. adware'u.
To ja nie wiem skąd bierzesz te gry i programy, chyba nie ze sklepu?
A co, Ty chodzisz do sklepu? I co jeszcze? Nie masz karty i wszystkie operacje w banku załatwiasz ,,przy okienku''? A może bank też jest zbyt nowoczesny dla pana ,,nie kupuję gier w Sieci''?
Nie wspominając już od tym, że ad-ware to głównie freeware…
Panie bies, troche mnie jadu by sie przydalo. W internecie tez sa sklepy…
A co do adware, to chyba tez sciaga sie z (w miare) zaufanych zrodel?
jeśli chodzi o "jad" to pierwszy był Najek
@najek – rozruszaj wyobraźnię – gry to nie tylko pudełkowe produkcje AAA – może być choćby np. online'owy multiplayerowy bilard z lokalną instalką z pewnego dużego portalu żyjącego z reklam.
Wystarczy posiadać osobny system w wirtualnej maszynie dla każdej aplikacji i problem wirusów mamy z głowy.
Co to za moda na fragmenty tekstu po angielsku? Czy ci co nie władają biegle językiem Szekspira mają się domyślać o co w nich chodzi, czy ślęczeć ze słownikiem?
Bardzo, BARDZO swobodne tłumaczenie (ale sens przynajmniej częściowo zachowany
):
Ja byłbym wdzięczny za przetłumaczenie (i wytłumaczenie, bardziej) terminu "multi-scanning".
Obstawiałbym za tłumaczeniem "wielokrotnie przeskanowane" (w domyśle przyjmuje się fakt, iż dana próbka jest sprawdzana więcej niż raz, nawet w obrębie jednego tylko źródła)
Nie dziwne że po 14 dniach wykryli inni, laboratoria antywirusowe wymieniają się próbkami, to jest największa wiedza o nowych zagrożeniach.
Jeszcze co do tematu kopiowania sygnatur, każda firma inaczej liczy sobie sygnatury. Musiała pliki które zostały zagrożone dostać z wymiany między firmami albo VirusTotal. Sprawdzanie wszystkiego z wymiany niema sensu gdyż jest tego zbyt dużo. Jedyne co to skanuje się czyste system z najbardziej popularnymi aplikacjami.
to jakis idiotyzm. Pare lat temu pracowalem w firmie "antywirusowej". Wymienialismy sie probkami z masa innych firm i raczej nikt tego specjalnie nie analizowal – do tego potrzeba cala mase urzednikow, a na to przecietna firma nie moze sobie pozwolic. Najwyrazniej kasperskiemu poprzewracalo sie w glowie, skoro zastosowal taka prowokacje i wyniki upublicznil. Sam nie korzystam z antywirusa, ale bede odradzal innym tego kasperskiego – eksperymentuja na uzytkownikach. Przestali byc wiarygodni.
Eksperyment był pożyteczny i NIE ZASZKODZIŁ użytkownikom. Osobiście bardzo polecam KIS (darmowy z iPlusem) – z uwagi na wbudowane blokowanie bannerów, działające niezależnie od przeglądarki i przed pobraniem banneru
"Eksperyment był pożyteczny"
Nie dla firmy Kaspersky, której produktów po takiej wpadce już na pewno nawet rozważać nie będę.
"Osobiście bardzo polecam KIS (darmowy z iPlusem)"
czyli jedna PRAWIE darmowy (robi wielką różnicę).
Ja polecam do domu bezpłatną wersję Aviry.
A co w tym eksperymencie bylo wpadka? Przeciez wszystko przebieglo zgodnie z planem zdaje sie…
A ja polecam instalację "Returnil virtual system 2010 home free". Odpalasz system w sandboxie i testujesz nowy soft. Jeśli wszystko jest OK zapisujesz zmiany do systemu "matki". Jeśli nie, zamykasz wirtualny system bez najmniejszej szkody dla "matki".