Vidéo: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)
Les virus informatiques existent depuis de très nombreuses années. Au début, la détection consistait simplement à faire correspondre des fichiers à un ensemble connu de signatures. Certains programmes antivirus incluaient même une liste de toutes les menaces qu’ils pouvaient détecter. La situation est tout à fait différente de nos jours, les auteurs de programmes malveillants travaillant dur pour créer des logiciels malveillants qui se transforment et évoluent de manière à ne pas être détectés par une détection basée sur la signature. J'ai discuté avec Roger Thompson, chercheur en chef sur les menaces émergentes chez ICSA Labs, de la façon dont les programmes anti-programmes malveillants doivent changer et de la façon dont les tests de ces produits doivent changer.
La façon dont les choses étaient
Rubenking: Pouvez-vous dire quelques mots sur ce qu'est exactement ICSA Labs et ce qu'il fait?
Thompson: Nous certifions les produits antivirus en fonction de critères historiques convenus. Dans les années 90, il était nécessaire de faire la distinction entre le battage médiatique des antivirus et les résultats réels obtenus dans le monde réel. Comme vous vous en souvenez, à l'époque, les gens pouvaient dire ce qu'ils préféraient à propos de leurs produits, et personne ne pouvait le prouver ou le réfuter. Il fallait que quelqu'un qui a un cerveau dise: "Cela fonctionne, cela ne fonctionne pas, cela ne fait pas ce qu'il dit".
Les vendeurs ont convenu qu'ils avaient besoin d'un tiers neutre pour le faire. Bien sûr, il est toujours plus important de tester contre les virus réellement présents dans la nature que contre un "zoo" connu. Ainsi, la liste sauvage est née de ce besoin - un composite indépendant des fournisseurs de logiciels malveillants connus.
Également dans les années 90, Alan Solomon a convaincu tout le monde que les méthodes de type générique de détection des logiciels malveillants étaient une mauvaise idée. Nous voulions plutôt un scanner capable de déterminer exactement quel virus est présent et comment l’éliminer. Le monde entier a accepté et a voté avec leurs portefeuilles pour soutenir ce type de scanner.
Le problème avec la détection générique, historiquement, est qu’elle provoque des appels de support. L'antivirus dit, nous constatons qu'un processus sur votre système modifie des exécutables ou qu'un fichier exécutable est modifié; l'avez-vous changé? Cela se traduit par un appel au support technique et le classement Fortune 500 n'approuve pas. Un antivirus basé sur les signatures dit "c'est un virus!" ou ne dit rien du tout.
Comment ça va être
Thompson: Il existe toujours un besoin fondamental de tester les scanners basés sur les signatures pour s'assurer qu'ils suivent le rythme. Peuvent-ils le détecter? C'est ce qui a été fait et il y a toujours un besoin. Cependant, les chiffres ont tellement changé qu'il y a chaque jour un grand nombre d'objets en peluche. Ce qui est maintenant requis, c'est aussi de tester la capacité des anti-malware à détecter des choses qu’ils n’ont jamais vues auparavant.
Rubenking: Fluff choses? Qu'entendez-vous par là?
Thompson: Vous savez, personne ne connaît les vrais chiffres. Les gars d'ESET m'ont dit autour d'une bière qu'ils voyaient 600 000 nouveaux échantillons de logiciels malveillants uniques chaque jour. Je me souviens d'un rapport de Symantec réclamant chaque jour un million d'articles nouveaux et uniques. Mais la vérité est que la majorité sont créées par algorithme. Les méchants ne font que changer du code sans importance, recompiler, remballer et rechiffrer. Ils vérifient ensuite si les scanners actuels détectent la nouvelle version. Sinon, ils le libèrent.
Il est très facile de détecter ce que vous connaissez déjà. C'est comme le marché boursier; "Juste" acheter bas et vendre haut. Le problème, c’est que, avec ces virus uniques, le comportement sous-jacent ne change pas, mais uniquement les éléments duveteux. L'activité, la modification du registre, la modification des fichiers… ce comportement ne change pas. Les tests doivent donc intégrer le blocage du comportement dans le contrat.
Rubenking: ajouterez -vous bientôt ces tests de nouvelle génération?
Thompson: Nous essayons de faire en sorte que les vendeurs s'accordent pour dire que c'est une bonne chose. Ils sont généralement d’accord, mais faire le test n’est pas si facile.
Rubenking: Quel est votre nouveau processus?
Thompson: C'est dur. c'est pourquoi les gens ne veulent pas le faire. Vous commencez avec un système propre, exécutez le logiciel malveillant et voyez s'il est installé. Vous devez pouvoir examiner le système de manière médico-légale par la suite. Le malware a-t-il infecté le système? At-il changé les clés de registre? Est-il devenu persistant pour survivre à un redémarrage? Ensuite, vous devez restaurer une ligne de base propre pour le refaire.
Rubenking: Cela ressemble beaucoup aux tests dynamiques effectués par AV-Comparatives.
Thompson: Oui, c'est très similaire.
Rubenking: Vous êtes prêt, mais les vendeurs ne le sont pas? Vous ne savez donc pas quand les nouveaux tests entreront en vigueur?
Thompson: Nous sommes prêts à partir. Je ne sais pas trop quel est le statut chez les vendeurs; nous reviendrons vers vous à ce sujet.] En outre, une partie du problème consiste à trouver nos propres sources de programmes malveillants, à collecter des flux de spam, etc. Nous devons savoir ce qui est vraiment là-bas.
Rendre la vie difficile pour les méchants
Thompson: C'est la bonne façon d'avancer. Nous ne pouvons pas arrêter de faire ce que nous avons toujours fait, mais lorsque les fournisseurs d’anti-programmes malveillants ajoutent le blocage basé sur le comportement, il devient beaucoup plus difficile pour les méchants de battre. Ils peuvent battre les signatures en modifiant des choses sans importance, mais pour vaincre le blocage de comportement, ils doivent réellement changer de comportement et gérer différentes définitions de comportement.
Rubenking: Donc, un ensemble diversifié de fournisseurs de logiciels anti-malware dotés de différents types de blocage du comportement rendront la vie difficile pour les méchants?
Thompson: Exactement. C'est comme l'analogie du fromage suisse. Un morceau de fromage a des trous, mais si vous en superposez un autre, il recouvre les trous. Mettez suffisamment de morceaux et il n'y a plus de trous.
Rubenking: Merci, Roger!
