Дарвинизм в IT-безопасности: кое-что из жизни паразитов.
Продолжаем проводить параллели между развитием секюрити индустрии и эволюционной теорией. Сегодня подробнее про паразитов, но не тех, с которыми мы боремся, а тех, кто делает вид, что борется.
Современная индустрия IT-безопасности развивается стремительно, аж дух захватывает. Ещё совсем недавно, лет 10-15 назад, основной темой были "настольные антивирусы", файрволлы и бэкапы - сейчас же не протолкнуться от самых разных решений, направлений и идей. Иногда нам удаётся быть "впереди планеты всей", иногда приходится догонять, а иногда... от удивления случается ступор. Причём не от новых технологий, инноваций, свежих идей, а от наглости и беспринципности некоторых "коллег по цеху".
Но сначала надо немного пояснить технику развития событий.
Есть такой очень ценный и полезный ресурс - мультисканер VirusTotal. Там крутятся около 60 антивирусных движков, которые "натравливают" на входящие файлы и URLы и показывают результат. Например, кто-то нашёл на диске/флешке/Интернете подозрительное приложение или офисный документ. Свой "боевой" антивирус никак на этот файл не реагирует, но паранойя не дремлет... и хочется узнать, а вдруг файл таки заражён? Что делать? Для этого и есть этот самый бесплатный VirusTotal. Туда можно закинуть подозрительное и посмотреть какие антивирусы как на это реагируют. Вот так, например:
Сразу проясню ситуацию: ни люди работающие в VirusTotal, ни владеющий им Google к паразитам отношения не имеют. Проект ведёт очень профессиональная команда, которая очень давно и очень хорошо выполняет свою задачу. Обладатели награды MVP на Security Analyst Summit (SAS) просто не могут быть иными. Сегодня VirusTotal - один из важнейших источников новых образцов малвары и вредоносных URL, а также офигенный археологический инструмент.
Проблема в некоторых нечистоплотных пользователях мультисканера, которых, увы, становится всё больше и ведут они себя всё наглее.
Помимо бесплатной публичной версии у VirusTotal есть платная подписка на API, который позволяет автоматически, в режиме реального времени проверять неограниченное количество файлов. А вот тут и начинается самое интересное - раздолье для IT-security-паразитов. Они подсматривают чужие вердикты проверки объектов и выдают их за свои, порой не стесняясь копировать даже уникальные имена вердиктов. Одни компании работают, а вторые живут за их счёт - берут плоды трудов, накручивают на них развесистую маркетинговую мотню под своим брендом и стригут купоны.
Заимствование детекта - это старая проблема. Ещё в 2009 г. мы провели открытый эксперимент, который показал масштаб катастрофы. За последние несколько лет ситуация сильно ухудшилась. Если раньше требовалось инвестировать хотя бы в построение собственного мультисканера, то сейчас даже этого не надо! Плати и получай всё готовое в виде сервиса. Действительно, зачем развивать технологии, инфраструктуру, платить зарплату экспертам? Вот оно, удобно лежит, есть не просит - взял, прикрутил и продал. Попахивает тухлятиной, но легально.
Порой наглость паразитов зашкаливает, некоторые из них не стесняются открыто признаваться в использовании мультисканера. Вот, например, феерический маркетинговый булщит (копия документа на всякий случай) от одной американской компании:
Здесь за каждым предложением отчаянный фейспалм, иногда по несколько раз. Но главное - в подчёркнутом предложении: продукт обращается в VirusTotal, проверяет там репутацию файла/URL у других сканеров и возвращает вердикт пользователю.
А вот ещё пример (копия документа на всякий случай) от корейской компании:
Та же ситуация: сначала продукт типа проводит какой-то мутный анализ (для пущей убедительности анализ "обматывается" модными словцами вроде "поведенческий анализ" или "искусственный интеллект"), а потом обращается в VirusTotal и возвращает вердикт пользователю. Иными словами, каким бы ни был результат супер-пупер интеллектуального анализа, решающую роль играет мнение других сканеров. Чтож, с точки зрения заботы о клиенте это правильно - нефиг ему выдавать откровенное фуфло и создавать ложное чувство защищённости.
"Явка с повинной смягчает наказание, но делает его неотвратимым" (с)
И таких примеров много. Признáем: заимствование детекта стало новой нормой в секюрити-индустрии и вокруг этой возможности сформировалась экосистема паразитов, которая успешно кормит своим булщитом пользователей и инвесторов.
Черта, которая объединяет всех паразитов - противопоставление "традиционным методам" (тем самым сканерам, у которых они заимствуют детект через VirusTotal) и маркетинговые пляски вокруг термина "Next-gen" (типа "новое поколение защиты"; что значит "новое" уже не понимается так однозначно).
Вывод: если к вам пришли продавцы из неизвестной компании, жонглирующие словами "next-gen", "behavioral analysis", "artificial intelligence" и т.п. без подтверждения результатами независимых тестов - это верный сигнал напрячься. Маркетинговые материалы таких компаний показывают, что единственное для чего у таких разработчиков используется искусственный интеллект - это для подглядывания за другими секюрити-компаниями через облако.
VirusTotal о проблеме знает и по мере сил пытается её решить. 4 мая были опубликованы новые правила пользования сервисом: все пользователи API системы, которые являются anti-malware компаниями должны внедрить свой движок в обойму мультисканера и подтвердить чистоплотность и компетентность независимой экспертизой в соответствии со стандартами AMTSO. Эксперты предположили (не забудьте прочитать комменты), что эти правила оздоровят обстановку в VirusTotal и прижмут к стенке паразитов.
Это правильный, хотя и запоздалый шаг и сейчас самое время продолжить реформирование, потому что для паразитов остаются варианты обойти новые требования и продолжить высасывать из мультисканера экспертизу.
Первоочередные действия:
На самом деле, мы не единственные, кто недоволен злоупотреблениями VirusTotal. Я уверен, что дальнейшее реформирование сервиса поддержат многие наши коллеги, прежде всего из числа тех, кто вносит реальный вклад в развитие VirusTotal. Никто не хочет, чтобы его трудами пользовались паразиты, но все готовы делиться экспертизой с порядочными коллегами, CERT'ами, полицейскими и другими антикриминальными организациями. Любыми компаниями, которые сотрудничают, а не подглядывают. Заимствование детекта убивает секюрити-индустрию и косвенно пособничает кибер-криминалу.
PS: VirusTotal - самый известный, популярный и продвинутый, но не единственный мультисканер. У Jotti, VirSCAN, Metadefender и других также есть недостатки. И каждому из них также надо совершенствоваться, чтобы исключить возможность злоупотребления. И да будет VirusTotal им примером.
Современная индустрия IT-безопасности развивается стремительно, аж дух захватывает. Ещё совсем недавно, лет 10-15 назад, основной темой были "настольные антивирусы", файрволлы и бэкапы - сейчас же не протолкнуться от самых разных решений, направлений и идей. Иногда нам удаётся быть "впереди планеты всей", иногда приходится догонять, а иногда... от удивления случается ступор. Причём не от новых технологий, инноваций, свежих идей, а от наглости и беспринципности некоторых "коллег по цеху".
Но сначала надо немного пояснить технику развития событий.
Есть такой очень ценный и полезный ресурс - мультисканер VirusTotal. Там крутятся около 60 антивирусных движков, которые "натравливают" на входящие файлы и URLы и показывают результат. Например, кто-то нашёл на диске/флешке/Интернете подозрительное приложение или офисный документ. Свой "боевой" антивирус никак на этот файл не реагирует, но паранойя не дремлет... и хочется узнать, а вдруг файл таки заражён? Что делать? Для этого и есть этот самый бесплатный VirusTotal. Туда можно закинуть подозрительное и посмотреть какие антивирусы как на это реагируют. Вот так, например:
Сразу проясню ситуацию: ни люди работающие в VirusTotal, ни владеющий им Google к паразитам отношения не имеют. Проект ведёт очень профессиональная команда, которая очень давно и очень хорошо выполняет свою задачу. Обладатели награды MVP на Security Analyst Summit (SAS) просто не могут быть иными. Сегодня VirusTotal - один из важнейших источников новых образцов малвары и вредоносных URL, а также офигенный археологический инструмент.
Проблема в некоторых нечистоплотных пользователях мультисканера, которых, увы, становится всё больше и ведут они себя всё наглее.
Помимо бесплатной публичной версии у VirusTotal есть платная подписка на API, который позволяет автоматически, в режиме реального времени проверять неограниченное количество файлов. А вот тут и начинается самое интересное - раздолье для IT-security-паразитов. Они подсматривают чужие вердикты проверки объектов и выдают их за свои, порой не стесняясь копировать даже уникальные имена вердиктов. Одни компании работают, а вторые живут за их счёт - берут плоды трудов, накручивают на них развесистую маркетинговую мотню под своим брендом и стригут купоны.
Заимствование детекта - это старая проблема. Ещё в 2009 г. мы провели открытый эксперимент, который показал масштаб катастрофы. За последние несколько лет ситуация сильно ухудшилась. Если раньше требовалось инвестировать хотя бы в построение собственного мультисканера, то сейчас даже этого не надо! Плати и получай всё готовое в виде сервиса. Действительно, зачем развивать технологии, инфраструктуру, платить зарплату экспертам? Вот оно, удобно лежит, есть не просит - взял, прикрутил и продал. Попахивает тухлятиной, но легально.
Порой наглость паразитов зашкаливает, некоторые из них не стесняются открыто признаваться в использовании мультисканера. Вот, например, феерический маркетинговый булщит (копия документа на всякий случай) от одной американской компании:
Здесь за каждым предложением отчаянный фейспалм, иногда по несколько раз. Но главное - в подчёркнутом предложении: продукт обращается в VirusTotal, проверяет там репутацию файла/URL у других сканеров и возвращает вердикт пользователю.
А вот ещё пример (копия документа на всякий случай) от корейской компании:
Та же ситуация: сначала продукт типа проводит какой-то мутный анализ (для пущей убедительности анализ "обматывается" модными словцами вроде "поведенческий анализ" или "искусственный интеллект"), а потом обращается в VirusTotal и возвращает вердикт пользователю. Иными словами, каким бы ни был результат супер-пупер интеллектуального анализа, решающую роль играет мнение других сканеров. Чтож, с точки зрения заботы о клиенте это правильно - нефиг ему выдавать откровенное фуфло и создавать ложное чувство защищённости.
"Явка с повинной смягчает наказание, но делает его неотвратимым" (с)
И таких примеров много. Признáем: заимствование детекта стало новой нормой в секюрити-индустрии и вокруг этой возможности сформировалась экосистема паразитов, которая успешно кормит своим булщитом пользователей и инвесторов.
Черта, которая объединяет всех паразитов - противопоставление "традиционным методам" (тем самым сканерам, у которых они заимствуют детект через VirusTotal) и маркетинговые пляски вокруг термина "Next-gen" (типа "новое поколение защиты"; что значит "новое" уже не понимается так однозначно).
Вывод: если к вам пришли продавцы из неизвестной компании, жонглирующие словами "next-gen", "behavioral analysis", "artificial intelligence" и т.п. без подтверждения результатами независимых тестов - это верный сигнал напрячься. Маркетинговые материалы таких компаний показывают, что единственное для чего у таких разработчиков используется искусственный интеллект - это для подглядывания за другими секюрити-компаниями через облако.
VirusTotal о проблеме знает и по мере сил пытается её решить. 4 мая были опубликованы новые правила пользования сервисом: все пользователи API системы, которые являются anti-malware компаниями должны внедрить свой движок в обойму мультисканера и подтвердить чистоплотность и компетентность независимой экспертизой в соответствии со стандартами AMTSO. Эксперты предположили (не забудьте прочитать комменты), что эти правила оздоровят обстановку в VirusTotal и прижмут к стенке паразитов.
Это правильный, хотя и запоздалый шаг и сейчас самое время продолжить реформирование, потому что для паразитов остаются варианты обойти новые требования и продолжить высасывать из мультисканера экспертизу.
Первоочередные действия:
- необходимо допилить публичную версию, чтобы максимально усложнить автоматические запросы через анонимайзеры,
- участники должны сами определять кто получает доступ к результатам работы их сканера.
На самом деле, мы не единственные, кто недоволен злоупотреблениями VirusTotal. Я уверен, что дальнейшее реформирование сервиса поддержат многие наши коллеги, прежде всего из числа тех, кто вносит реальный вклад в развитие VirusTotal. Никто не хочет, чтобы его трудами пользовались паразиты, но все готовы делиться экспертизой с порядочными коллегами, CERT'ами, полицейскими и другими антикриминальными организациями. Любыми компаниями, которые сотрудничают, а не подглядывают. Заимствование детекта убивает секюрити-индустрию и косвенно пособничает кибер-криминалу.
PS: VirusTotal - самый известный, популярный и продвинутый, но не единственный мультисканер. У Jotti, VirSCAN, Metadefender и других также есть недостатки. И каждому из них также надо совершенствоваться, чтобы исключить возможность злоупотребления. И да будет VirusTotal им примером.