Ciekawy eksperyment firmy Kaspersky

Znany producent oprogramowania antywirusowego, rosyjski Kaspersky, przeprowadził ostatnio bardzo interesujący eksperyment. Firma ta dopuściła się bowiem prowokacji, wprowadzając pośrednio do baz antywirusowych konkurencyjnych firm sygnatury powodujące fałszywe wykrycia wirusów. Tym samym Kaspersky obnażył słabości stosowanych obecnie mechanizmów antywirusowych oraz zakwestionował sens korzystania z wielu silników antywirusowych jednocześnie.

Eksperyment polegał na utworzeniu 20 zupełnie niegroźnych plików wykonywalnych oraz dodaniu do własnej bazy antywirusowej sygnatur wykrywających 10 z nich jako zagrożenie. Następnie wszystkie spreparowane pliki zostały sprawdzone na obecność wirusów za pomocą dostępnej online usługi VirusTotal. Ta popularna usługa pozwala każdemu na przeskanowanie dowolnego pliku za pomocą kilkudziesięciu najpopularniejszych i na bieżąco aktualizowanych silników antywirusowych.

Jak można się łatwo domyślić, dostępny w ramach VirusTotal mechanizm skanowania firmy Kasperky, jako jedyny oznaczył 10 plików jako zainfekowane. Co ciekawe, powtórzenie testu po 10 dniach pokazało, że już 14 innych producentów wykrywa rzekome zagrożenie obecne w specjalnie spreparowanych plikach!

Stało się tak dzięki temu, że VirusTotal przekazuje wszystkim udzielającym się w ramach tej usługi producentom rozwiązań antywirusowych informacje na temat wszystkich nieznanych do tej pory zagrożeń. Oczywiście zarówno VirusTotal, jak i pozostali producenci antywirusów skrytykowali działania firmy Kaspersky jako ich zdaniem nieetyczną manipulację samą usługą oraz pośrednie oskarżenie innych producentów o bezprawne kopiowanie sygnatury.

Abstrahując jednak od kwestii etycznych, trzeba przyznać, że eksperyment ten skłania do kilku refleksji. Przede wszystkim okazało się, że wielu producentów antywirusów po prostu kopiuje wszystkie znane sygnatury zagrożeń, bez przeprowadzenia jakiejkolwiek analizy mającej na celu potwierdzenie istnienia zagrożenia! Taki statyczny sposób budowania bazy antywirusowej jest z pewnością stosunkowo tani, jednak powoduje, że końcowi użytkownicy są narażeni na zwiększoną liczbę fałszywych alarmów. Teraz wiemy już więc, z jakiego powodu coraz częściej jesteśmy świadkami wybuchów groźnych epidemii fałszywych alarmów antywirusowych.

W całej sprawie wypowiedział się również Eset:

Where tests are carried out with huge sample sets and minimal time and financial resources, it’s inevitable that some testers will rely on “source reputation and multi-scanning” rather than manual validation.

Widać więc wyraźnie, że na chwilę obecną nie mamy co liczyć na ręczne testowanie każdej próbki przez każdego z producentów. Wraz z coraz większą liczbą odkrywanych codziennie nowych złośliwych programów, możemy się więc spodziewać ciągłego nasilania się problemu fałszywych alarmów antywirusowych…

Materiał pochodzi z serwisu HARD CORE SECURITY LAB.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar maciek
    maciek

    kto zakwestionuje sens korzystania z oprogramowania anty wirusowego ?

    1. Awatar Arkadiusz
      Arkadiusz

      Ja.
      Kto mnie posłucha ? 🙂

    2. Awatar abcman
      abcman

      Ja. Na swoim linuchu nie posadowiłem żadnego antywira.

      1. Awatar conv
        conv

        A ja na swoim owszem, clama. Od czasu do czasu warto przeskanować pendrive'a, który lata po znajomych, kserach i innych Windowsach, żeby nie roznosić radośnie zarazków.
        To, że Tobie wirusy nie rozwalą kompa nie znaczy, że musi innym.

        1. Awatar rad
          rad

          Ja tam "pendrajwy" w Linuksie czyszczę ręcznie 😛 Nie ufam temu automatycznemu badziewiu…

        2. Awatar siwy21
          siwy21

          A ja używam DOSa z win3.11 i problem mnie nie dotyczy 😛

      2. Awatar aaa
        aaa

        Ja nie miałem antywira również na Windows, kiedy jeszcze go używałem. Dobre cztery lata bez żadnego wirusa – używałem wyłącznie firewalla i zdrowego rozsądku.

        1. Awatar piterarts
          piterarts

          Dokładnie! Mogę "poszczycić się" podobnym doświadczeniem 🙂

        2. Awatar Husio
          Husio

          To że go nie znalazłeś, nie znaczy że go nie miałeś.

          Do botnetu dołączają jedynie świadomi użytkownicy…

      3. Awatar maciek
        maciek

        Prawidłowo obsługiwany system Windows też – wbrew propagandzie wszelkiego rodzaju kasperskich – nie jest w istotny sposób zagrożony wirusami i nie wymaga stosowania antywirusa. Ale no cóż: nowoczesny marketing (nie tylko w IT) polega na wciskaniu ludziom za ciężkie pieniądze produktów, których do niczego nie potrzebują.

        1. Awatar tolep
          tolep

          W zasadzie masz rację, ale co rozumiesz przez "prawidłowo obsługiwany Windows"? Windows obsługiwany na ograniczonym koncie, z włączonym Windows Update, ale np. bez Flash Playera i Javy?

          PS.
          Żeby było śmieszniej, obecnie za pokaźną część zagrożeń odpowiedzialne jest otwarte oprogramowanie, czyli Apache, MySQL, WordPress itp. – zainstalowane i nieprawidłowo obsługiwane przez administratorów serwerów. Mam na myśli podmienianie np. plików .htaccess, wstrzykiwanie iframe do kodu html…

        2. Awatar maciek
          maciek

          Tak, mniędzy innymi chodzi o ograniczone konto, windows update czy o minimum ostrożności w otwieraniu załączników do poczty E-mail.

          Nie przypominam sobie istotnych zagrożeń wynikających z użycia Javy: applety są w sandbox, a sam HotSpot odpalający je jest identyczny ze stosowanym na poważnych serwerach, więc to raczej platforma dojrzała i bezpieczna (choć rzecz jasna wszystko może zawierać błędy).

          To otwarte oprogramowanie stanowi zagrożenie dla serwera. Czy dla klientów również?

    3. Awatar bixbite
      bixbite

      Bardzo łatwo można zakwestionować sens używania jakiegokolwiek oprogramowania antywirusowego. Wystarczy mieć bierzące kopie zapasowe danych, sumy kontrolne co ważniejszych plików i kopię partycji systemowej. Jak tak robię (i polecam innym) – 10 minut i nie jest ważne czy był wirus czy nie był. W dodatku jak znalazł, kiedy sprzęt się popsuje (co też się zdarza). Oczywiście używanie Linuksa "nie przeszkadza". 🙂

      1. Awatar mby7930
        mby7930

        "Oczywiście używanie Linuksa “nie przeszkadza”. :)"

        Zdecydowanie nie, zwłaszcza jeżeli te kopie systemu robione były pod Linuxem (np. przy pomocy partimage'a). 😉

      2. Awatar WadosM
        WadosM

        A co z plikami rejestru? Malware może go dowolnie edytować, podobnie jak system podczas zwyczajnej pracy. Backupy na pewno nie zaszkodzą, ale sumy kontrolne raczej nie mają racji bytu. Poza tym dzisiejsze złośliwe oprogramowanie rzadko dołącza się do innych plików (czyli wirusy są rzadkością), ale takie keyloggery czy spam boty mogą się uruchamiać i beztrosko działać, bo żadnego pliku systemowego nie psują.

      3. Awatar jacek2v
        jacek2v

        Dodam, że:
        1. "Bardzo łatwo można zakwestionować sens używania jakiegokolwiek oprogramowania" [świadome ciach]. Przy pewnej dozie wyszkolenia i biegłości przy pomocy urządzenia – niezasilanego jakimkolwiek źródłem prądu – można liczyć nawet całki 🙂
        Tylko kto i ile czasu w dzisiejszych czasach będzie tak szkolił?
        2.Bezpieczny seks bez wspomagania też istnieje. Tylko dlaczego tyle się sprzedaje prezerwatyw i innych środków antykoncepcyjnych? 🙂

  2. Awatar conv
    conv

    Swoją drogą chciałbym zwrócić uwagę na marketingowy efekt: Kaspersky "jako pierwszy" publikuje sygnaturę — Kaspersky jest superszybki; od Kaspersky'ego wszyscy kopiują — Kaspersky musi być superważny.
    Równie dobrze to oni mogliby skopiować ileś sygnatur, ale akurat przy tej niejako "wydać" środowisko. Ot, takie "kto pierwszy ten lepszy". 🙂

  3. Awatar kocio
    kocio

    Ciekawe dane o antywirusach – „32% of computers with AV protection are infected”:

    http://www.net-security.org/malware_news.php?id=1224

    1. Awatar maciek
      maciek

      Stado lemingów ogłupione przez wszelkiego rodzaju kasperskich nie posłucha. Oni wierzą, że dzięki instalowaniu "antywirusów" są w istotny sposób bezpieczniejsi 😀

      1. Awatar tolep
        tolep

        AV są praktycznie bezobsługowe (w kwestii aktualizacji bezpieczeństwa). Reszta softu nie.

        Spora część AV jest niektualizowana – przypadki 60-dniowych Nortonów preinstalowanych na laptopach czy zainstalowanych przez pana informatyka avastów nie odnowionych przez usera po wygaśnięciu subskrypcji.

        1. Awatar maciek
          maciek

          AV jest bezpobsługowe? Możliwe, ale cena (płacona w wydajności komputera i w czasie pracy na baterii) jest ogromna. Taki antywirus skanuje każdy kopiowany z pendrive dokument, czyta dyski itd…

        2. Awatar mby7930
          mby7930

          "ale cena (płacona w wydajności komputera"

          To jest jeden z bardziej istotnych czynników praktycznie wymuszający częstą wymianę sprzętu komputerowego i dlatego niestety "silne maszynki" są dzisiaj potrzebny nie tylko zapalonym graczom, ale coraz częściej tzw. zwykłym użytkownikom, którzy chcą w miarę komfortowo pracować.
          Alternatywą jest odłączenie (czy nawet w ogóle niepodłączanie komputera do Internetu), co tak naprawdę nie jest żadną alternatywą.
          W takiej sytuacji można rzeczywiście zacząć doceniać Linuxa.

  4. Awatar _qaz7
    _qaz7

    Bez AV można przeważnie wyżyć – wystarczy odpalać przeglądarkę z prawami usera, i nadać prawa zapisu tylko dla katalogu z tymczasowymi plikami przeglądarki. W tej sytuacji jeśli nawet uda się jakiejś stronie przez przeglądarkę odpalić kod, nie będzie w stanie zrobić żadnego bałaganu, poza katalogiem z tymczasowymi plikami przeglądarki. Analogicznie można postępować uruchamiając nieznane aplikacje.

    Inaczej się ma sprawa, gdy instalator/aplikacja wymaga uprawnień admina.. Bywa przecież tak, że mamy niby grę, niby toola, a podczas instalacji AV krzyczy, że w środku ukryta jest dodatkowa niespodzianka w postaci np. adware'u.

    1. Awatar Najek
      Najek

      To ja nie wiem skąd bierzesz te gry i programy, chyba nie ze sklepu?

      1. Awatar bies
        bies

        A co, Ty chodzisz do sklepu? I co jeszcze? Nie masz karty i wszystkie operacje w banku załatwiasz ,,przy okienku''? A może bank też jest zbyt nowoczesny dla pana ,,nie kupuję gier w Sieci''?

        Nie wspominając już od tym, że ad-ware to głównie freeware…

        1. Awatar mini
          mini

          Panie bies, troche mnie jadu by sie przydalo. W internecie tez sa sklepy…

          A co do adware, to chyba tez sciaga sie z (w miare) zaufanych zrodel?

        2. Awatar iron_irony
          iron_irony

          jeśli chodzi o "jad" to pierwszy był Najek

      2. Awatar _qaz7
        _qaz7

        @najek – rozruszaj wyobraźnię – gry to nie tylko pudełkowe produkcje AAA – może być choćby np. online'owy multiplayerowy bilard z lokalną instalką z pewnego dużego portalu żyjącego z reklam.

    2. Awatar b.YISK
      b.YISK

      Wystarczy posiadać osobny system w wirtualnej maszynie dla każdej aplikacji i problem wirusów mamy z głowy.

  5. Awatar mic
    mic

    Co to za moda na fragmenty tekstu po angielsku? Czy ci co nie władają biegle językiem Szekspira mają się domyślać o co w nich chodzi, czy ślęczeć ze słownikiem?

    1. Awatar conv
      conv

      Bardzo, BARDZO swobodne tłumaczenie (ale sens przynajmniej częściowo zachowany ;)):

      Przy prowadzeniu testów na ogromnych zbiorach próbek, przy minimalnym czasie i zasobach, nie da się uniknąć tego, że testerzy będą opierać się na "reputacji źródła i multi-skanowaniu (?)", zamiast na osobistej kontroli (walidacji).

      Ja byłbym wdzięczny za przetłumaczenie (i wytłumaczenie, bardziej) terminu "multi-scanning". 😉

      1. Awatar fidodido
        fidodido

        Ja byłbym wdzięczny za przetłumaczenie (i wytłumaczenie, bardziej) terminu “multi-scanning”.

        Obstawiałbym za tłumaczeniem "wielokrotnie przeskanowane" (w domyśle przyjmuje się fakt, iż dana próbka jest sprawdzana więcej niż raz, nawet w obrębie jednego tylko źródła)

  6. Awatar Nastach
    Nastach

    Nie dziwne że po 14 dniach wykryli inni, laboratoria antywirusowe wymieniają się próbkami, to jest największa wiedza o nowych zagrożeniach.

  7. Awatar Nastach
    Nastach

    Jeszcze co do tematu kopiowania sygnatur, każda firma inaczej liczy sobie sygnatury. Musiała pliki które zostały zagrożone dostać z wymiany między firmami albo VirusTotal. Sprawdzanie wszystkiego z wymiany niema sensu gdyż jest tego zbyt dużo. Jedyne co to skanuje się czyste system z najbardziej popularnymi aplikacjami.

  8. Awatar stos
    stos

    to jakis idiotyzm. Pare lat temu pracowalem w firmie "antywirusowej". Wymienialismy sie probkami z masa innych firm i raczej nikt tego specjalnie nie analizowal – do tego potrzeba cala mase urzednikow, a na to przecietna firma nie moze sobie pozwolic. Najwyrazniej kasperskiemu poprzewracalo sie w glowie, skoro zastosowal taka prowokacje i wyniki upublicznil. Sam nie korzystam z antywirusa, ale bede odradzal innym tego kasperskiego – eksperymentuja na uzytkownikach. Przestali byc wiarygodni.

    1. Awatar tolep
      tolep

      Eksperyment był pożyteczny i NIE ZASZKODZIŁ użytkownikom. Osobiście bardzo polecam KIS (darmowy z iPlusem) – z uwagi na wbudowane blokowanie bannerów, działające niezależnie od przeglądarki i przed pobraniem banneru 🙂

      1. Awatar mby7930
        mby7930

        "Eksperyment był pożyteczny"

        Nie dla firmy Kaspersky, której produktów po takiej wpadce już na pewno nawet rozważać nie będę.

        "Osobiście bardzo polecam KIS (darmowy z iPlusem)"

        czyli jedna PRAWIE darmowy (robi wielką różnicę).
        Ja polecam do domu bezpłatną wersję Aviry.

        1. Awatar Kenji
          Kenji

          A co w tym eksperymencie bylo wpadka? Przeciez wszystko przebieglo zgodnie z planem zdaje sie…

  9. Awatar MareX
    MareX

    A ja polecam instalację "Returnil virtual system 2010 home free". Odpalasz system w sandboxie i testujesz nowy soft. Jeśli wszystko jest OK zapisujesz zmiany do systemu "matki". Jeśli nie, zamykasz wirtualny system bez najmniejszej szkody dla "matki".

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *