Artykuły dotyczące tematu: VirusTotal

dodany: 31.01.2013 | tagi: , , , ,

Instalować – nie instalować? Czy faktycznie nie potrzebujemy antywirusów?

3
antivirus_flag

Zarzut, że instalowanie oprogramowania antywirusowego to zbędny wysiłek powraca pod różnymi postaciami niczym bumerang. Od testów poszczególnych produktów, przez rządowy malware, po samozwańczych “ekspertów”, którzy upodobali sobie wygłaszanie opinii na wszelkich forach internetowych. Zwłaszcza ci ostatni posługują się zwykle takimi samymi argumentami w kwestii krytyki poszczególnych produktów, próbując powoływać się na swoje doświadczenie. Z powyższych powodów pragnę odnieść się do części argumentów-mitów – tych spotykanych w prawie każdej dyskusji , a zwykle błędnie obieranych jako prawdę.

 

Argument pierwszy: wynik skanowania VirusTotal

VirusTotal to bardzo użyteczne narzędzie do zdobycia wstępnych informacji o danej próbce, ale nie jest on żadnym wyznacznikiem wydajności produktów antywirusowych. Co najważniejsze, jest to opinia samych autorów, którzy nie lubią nadużywania ich usługi w bezsensownym celu. Od lat na ich stronie można znaleźć informacje na ów temat:

 

VirusTotal: druga opinia, nie zamiennik

VirusTotal nie jest zamiennikiem oprogramowania antywirusowego zainstalowanego na komputerze, jedynie skanuje poszczególne pliki/linki na życzenie. Nie zapewnia również stałej opieki systemowej. O naszej usłudze myślimy jako o drugiej opinii dotyczącej szkodliwości plików/linków.

Chociaż współczynnik wykrywania osiągany dzięki użyciu wielu silników antywirusowych jest znacznie wyższy od tego oferowanego przez jeden produkt, otrzymane wyniki NIE GWARANTUJĄ nieszkodliwości pliku/URL-a. Ponadto, wyniki fałszywie pozytywne otrzymane w ten sposób są liczniejsze od pojedynczego skanera. (…)

ZŁY POMYSŁ: VirusTotal jako test antywirusów

Jesteśmy już zmęczeni powtarzaniem, że nasza usługa nie jest zaprojektowana jako narzędzie do przeprowadzania testów i analizy antywirusów, lecz do sprawdzania podejrzanych próbek i wspomagania laboratoriów antywirusowych poprzez informowanie ich o malware, którego ich produkty nie wykrywają. Te osoby, które używają VirusTotal do testowania antywirusów, powinny wiedzieć o wielu błędach w takiej metodologii:

VirusTotal korzysta z konsolowych wersji silników antywirusowych, zatem w zależności od produktu, nie będą one zachowywać się tak samo, jak ich graficzne odpowiedniki. (…)

 

To nie wszystkie błędy w takiej metodologii testów. Oczywistym jest, że silniki używane przez VirusTotal nie są skonfigurowane w identyczny sposób, jak ich odpowiedniki dostępne na rynku. Jeżeli dana próbka nie została wykryta przez VirusTotal, autorzy antywirusa przejmują się tym znacznie mniej niż gdyby prawdziwy, płatny produkt zawiódł.

Po drugie, żadna firma nie dostarcza swoich najbardziej zaawansowanych rozwiązań do systemu, w którym atakujący mogą przetestować swoje nowe dzieło i poprawić je tak, aby było niewykrywalne przez wystarczającą liczbę skanerów.

Po trzecie, VirusTotal nie ma uruchomionych antywirusów w tle, tylko przeprowadza skanowanie na konkretnej próbce. Tym samym nie jest testowana ochrona proaktywna, śledzenie zachowań, skanowanie pamięci i heurystyka. Dlatego wyniki VirusTotal mogą odbiegać od wyników prawdziwych antywirusów.

 

Argument drugi: skanowanie wirusów dostępnych w różnych kolekcjach i narzekanie, że antywirus nie wykrył wszystkiego

Nawet podczas skanowania takiego zbioru za pomocą pełnoprawnego antywirusa, nie używa się go tak, jak zakładają autorzy. Przemysł antywirusowy już dawno zdał sobie sprawę z tego, że nie da się zagwarantować wystarczającej ochrony skanując wyłącznie pliki. W myśl “lepiej zapobiegać niż leczyć”, programiści skupili się na zapobieganiu zainfekowaniu maszyny poprzez uniemożliwianie kontaktu, zamiast wykrywaniu już istniejącej infekcji.

Typowy produkt antywirusowy, a raczej pakiet, zawiera wiele poziomów zabezpieczeń, a skanowanie plików jest ich niewielką częścią. Oferowane funkcje różnią się od produktu, ale najczęściej spotyka się:

  1. Filtrowanie linków i przeglądanych stron, używane, aby zapobiec natknięciu się na podejrzane strony.
  2. Skanowanie HTTP i innych protokołów, aby wyłapać szkodliwą treść zanim trafi do przeglądarki internetowej/odpowiedniego programu.
  3. Wykrywanie exploitów, aby zablokować je zanim będą mogły przejąć kontrolę nad systemem. Nawet jeżeli nie zostanie wykryta konkretna luka, antywirusy często podejmują podstawowe kroki bezpieczeństwa w celu ochrony.
  4. Sieciowe skanowanie na podstawie “reputacji” pliku dostępnej w bazie na serwerze producenta. Wielu użytkowników twierdziło, że taki rodzaj ochrony powinien zastąpić klasyczne antywirusy. Tak naprawdę, współczesne produkty wykorzystują go jako jedną z broni w swym arsenale.
  5. Uruchamianie w wirtualnym środowisku (tzw. piaskownica, z ang. sandbox) i heurystyka, aby wyłapać podejrzane pliki przed ich wykonaniem.
  6. Tradycyjne skanowanie plików – to, co większość osób rozumie przez pojęcie programu antywirusowego. Dostarcza jedynie 15-20% ochrony przed zagrożeniami.
  7. Oddzielne skanowanie pamięci wykrywające malware, które nie trafia na dysk albo nie udało się go sprawdzić w wirtualnym środowisku.
  8. Proaktywna heurystyka i skanowanie pamięci jest ostatnią linią obrony, która znajduje pliki zachowujące się szkodliwie lub podejrzanie.

Nie zagłębiałem się w szczegóły z prostej przyczyny: żeby wytłumaczyć dlaczego każda z powyższych funkcji jest potrzebna oraz w jaki sposób ona działa, zajęłoby zbyt wiele czasu i miejsca. Chodzi mi o to, że nawet jeśli antywirus nie wykrył szkodnika podczas skanowania, nie znaczy to, że zagrożenie nie zostałoby zablokowane w przypadku prawdziwego ataku.

Skuteczna ochrona opiera się na wielu zabezpieczeniach. Co najzabawniejsze, wielu forumowych ekspertów poleca któreś z wyżej opisanych funkcji jako nowość. Cóż – większość pakietów antywirusów i tak oferuje owe “nowości”, bo są niezwykle niezbędne.

 

Argument trzeci: czarne listy to głupstwo – ludzie powinni korzystać z białych list

Gdyby białe listy były rozsądnym rozwiązaniem, to czy nie byłyby praktykowane? Tak naprawdę są one wykorzystywane w innych celach, takich jak poprawa wydajności i unikanie fałszywych alarmów.

Białe listy rozwiązują tylko problem plików wykonywalnych, zatem nie chronią systemu przed zagrożeniami wynikającymi z wirusów rezydujących w pamięci, exploitów lub szkodliwych stron.

 

Argument czwarty: antywirus powinien być po stronie serwera, nie komputerów biurkowych

Przerzucenie ciężaru ochrony antywirusowej na serwery biurowe oraz zapomnienie o obciążeniu wynikającym z ochrony proaktywnej byłoby bardzo miłe. Niestety nie jest to wykonalne, ponieważ w dzisiejszych czasach używamy coraz więcej komputerów mobilnych.

Ze stacjonarnym komputerem podłączonym wyłącznie do lokalnej sieci w biurze, administrator teoretycznie mógłby zajmować się bezpieczeństwem na poziomie sieci. W rzeczywistości większość komputerów to laptopy, które podłączają się z jednej sieci do drugiej i jedyne, co pozostaje stałe, to oprogramowanie na nim dostępne. Ponadto takie rozwiązanie nie chroniłoby przed wirusami na nośnikach wymiennych.

Antywirus w chmurze mógłby odciążyć pojedyncze maszyny, ale chroniłby gorzej z powodu zrezygnowania z niektórych zabezpieczeń, w efekcie byłby mniej przydatny.

 

Argument piąty: “aktualizujemy firmowego antywirusa, ale duża część malware i tak się przedostaje”

Wyjaśnienie tego jest dwojakie.

Po pierwsze, żaden produkt nie oferuje 100% ochrony; może co najwyżej powstrzymać większość ataków. Na stronie AV-Comparatives można sprawdzić jak skuteczny jest dany produkt (pisaliśmy już kiedyś o tym,  jak działa ośrodek: W jaki sposób AV-Comparatives testuje oprogramowanie antywirusowe?). Zawsze znajdzie się atak, który przedostanie się przez zabezpieczenia.

Po drugie, wiele korporacji okalecza swojego antywirusa przez blokowanie połączeń z serwerem danego producenta. W efekcie antywirus opiera się wyłącznie na lokalnej bazie (nie może jej zaktualizować) i skanerze, co znaczy, że pozbawia się większości rodzajów ochrony i zabezpiecza się mniej, niż gdyby wszystkie techniki zostały użyte.

 

Argument szósty: “antywirus nie wykrywa 98-100% malware, które widzę”

Jeden z najbardziej niedorzecznych argumentów. To logiczne, że użytkownik widzi tylko te wirusy, które przedostały się przez zabezpieczenia.

Ponadto twórcy antywirusów byliby niezwykle wdzięczni, gdyby każdy skontaktował się z nimi i podzielił wszelkimi informacjami o ataku. Sam szkodliwy plik rzadko dostarcza wystarczającej ilości informacji, aby zapobiec kolejnym atakom.

 

Lepiej pomyśleć samemu

Nie ufaj ludziom, którzy sugerują Ci rezygnację z antywirusa tylko dlatego, że nie jest on doskonały. Wbrew temu co propagują forumowi “eksperci”, oprogramowanie antywirusowe tworzone jest przez prawdziwych ekspertów, którzy dokładają wszelkich starań, aby Twój komputer pozostał bezpieczny.

dodany: 10.09.2012 | tagi: , ,

Google przejmuje VirusTotal

0
google

Google wzmacnia swoje portfolio rozwiązań bezpieczeństwa w związku z niedawno ogłoszonym nabyciem VirusTotal.

VirusTotal zapewnia bezpłatną usługę ochrony, który analizuje podejrzane pliki i adresy URL, a następnie szybko rozpoznaje wirusy, robaki, trojany i wszelkiego rodzaju złośliwe oprogramowanie. Użytkownicy muszą jedynie trafić do narzędzia online, wybrać plik z komputera, a narzędzie zajmie się resztą. Maksymalny rozmiar pliku obecnie obsługiwany przez usługę wynosi 32 MB.

W piątek na blogu przedstawiciele VirusTotal podali, że fuzja jest dobrą wiadomością dla konsumentów, ale złą dla generatorów malware z dwóch powodów:

Jakość i moc naszych narzędzi badających złośliwe oprogramowanie będzie się rozwijać, teraz zapewne znacznie szybciej, a infrastruktura Google zapewni gotowość naszych narzędzi zawsze wtedy, gdy ich potrzebujesz”.

VirusTotal będzie nadal działał niezależnie i utrzyma istniejące partnerstwa z firmami antywirusowymi i ekspertami ds. bezpieczeństwa. Ani Google, ani VirusTotal nie wykazały żadnych dalszych planów na temat wpływu rozwiązań VirusTotal na usługi Google, ale bardzo możliwe, że rozwiązania VirusTotal mogą być włączone do Google Apps, aby chronić użytkowników przed złośliwym oprogramowaniem udostępnionym w ramach produktów Gmail i innych.

Warunki finansowe transakcji nie zostały ujawnione.

Źródło: ZDNet