Video: Malware Analysis - Malicious Office Document Metadata (Oktober 2024)
Ada banyak produk antivirus yang bagus di luar sana, tetapi kadang-kadang mereka meleset. Melihat seberapa banyak malware yang ditangkap oleh program keamanan adalah salah satu cara untuk mengevaluasinya, tetapi demikian juga mencatat jumlah positif palsunya. Salah positif adalah ketika antivirus keliru melaporkan program yang aman dan sah sebagai malware berbahaya. Itu menjengkelkan bagi pengguna yang mencoba mengakses program tepercaya tetapi lebih buruk lagi bagi pencipta peranti lunak yang di-iblis secara tidak adil. Institute of Electrical and Electronics Engineers (IEEE) ingin menghentikan ini, dan petugas keamanan PCMag, Neil Rubenking, telah memberi kami rincian rencananya.
Positif palsu sering kali merupakan hasil dari peranti lunak antivirus yang menemukan program aman yang terlalu baru untuk dikenali. Solusi IEEE bergantung pada layanan Clean File Metadata Exchange (CMX). Dengan CMX, pembuat perangkat lunak dapat mengirimkan metadata untuk file baru seperti program baru atau pembaruan ke program yang sudah ada bahkan sebelum dirilis. Vendor keamanan kemudian dapat mengakses data ini secara real-time agar tetap terkini dengan file terbaru yang sah dan mencegah program mereka menandai mereka sebagai malware. CMX bukan database. Itu memegang data selama satu atau dua minggu karena memvalidasi dan mengirimkannya kepada pelanggan. Siapa pun yang memeriksa lebih jarang dan mencari data yang lebih lama harus menarik arsip.
"Sistem dari pihak kami lebih diarahkan pada rumah-rumah perangkat lunak besar, " kata Profesor Igor Muttik, Arsitek Senior Kepala Riset di McAfee, dalam sebuah wawancara dengan Rubenking. Vendor dapat mengirimkan jika mereka memiliki Tanda Tangan Digital Kelas 3. "Jika mereka ingin membangun reputasi, sekarang mereka memiliki cara untuk melakukannya." Awalnya, Microsoft adalah satu-satunya perusahaan besar yang berkomitmen untuk CMX. Tetapi karena layanan ini berlanjut ke mitra pengadilan, sekarang berisi jutaan catatan EXE dari kelompok-kelompok seperti perusahaan keamanan besar, OEM PC, dan bahkan Steam.
Itu tidak berarti pihak ketiga yang lebih kecil tidak beruntung. Mark Kennedy, Insinyur Teknologi Keamanan dan Respon Terhormat di Symantec, menjelaskan bagaimana perusahaan seperti Symantec dapat mendukung perangkat lunak yang dianggap bersih. Konsumen kemudian melihat pendapat itu dan memilih untuk percaya atau tidak. CMX juga menggunakan tag Identifikasi Perangkat Lunak (SWID) untuk menambahkan lebih banyak informasi ke layanan. Pemerintah AS mewajibkan perangkat lunak apa pun yang digunakannya untuk menampilkan tag SWID, memberikan CMX lebih banyak data untuk diambil sebagai bonus.
CMX adalah bagian dari inisiatif Layanan Dukungan Malware (AMSS) yang lebih besar. Komponen lain, sistem pengidentifikasi malware Taggant System, diusulkan oleh Kennedy dan Muttik lima tahun lalu pada konferensi Black Hat. Beberapa mengkritik kolaborasi ini sebagai anti persaingan, tetapi James Wendorf, Direktur Cross-Industry dan Multi-Stakeholder Collaborations di IEEE, melihatnya dengan cara yang berbeda.
"Standar adalah tentang menyatukan pihak-pihak yang berkepentingan, seringkali pesaing, untuk memerangi masalah. Orang jahat berkolaborasi dan berbagi, jadi kita perlu cara bagi orang baik untuk berkolaborasi semampu mereka, " kata Wendorf. "Tanpa menjadi antikompetitif, kami tidak menginginkan masalah itu. Ini sesuai dengan tujuan dan tujuan keseluruhan IEEE, yaitu memajukan teknologi untuk kepentingan umat manusia."
