Video: FAQ Cyber Security #6: Cara Kerja Anti Virus? (Desember 2024)
Konferensi Black Hat menarik lebih dari 7.000 peserta musim panas ini, dan 25.000 menghadiri Konferensi RSA di musim semi. Kehadiran Konferensi Internasional ke-8 tentang Perangkat Lunak Berbahaya dan Tidak Diinginkan, sebaliknya, diukur dalam lusinan, bukan ribuan. Ini bertujuan untuk memajukan penelitian ilmiah terbaru dalam keamanan, dalam suasana yang memungkinkan interaksi langsung dan jujur antara semua peserta. Konferensi tahun ini (singkatnya Malware 2013) diluncurkan dengan keynote oleh Dennis Batchelder, direktur Microsoft Malware Protection Center, menunjukkan masalah-masalah sulit yang dihadapi industri antimalware.
Selama presentasi, saya bertanya kepada Batchelder apakah dia memiliki pemikiran tentang mengapa Microsoft Security Essentials mendapat skor di atau dekat bagian bawah dalam banyak tes independen, cukup rendah sehingga banyak laboratorium sekarang memperlakukannya hanya sebagai dasar untuk membandingkan dengan produk lain. Dalam foto di bagian atas artikel ini dia meniru bagaimana anggota tim antivirus Microsoft tidak merasa tentang pertanyaan itu.
Batchelder menjelaskan itulah yang diinginkan Microsoft. Tidak apa-apa bagi vendor keamanan untuk menunjukkan nilai apa yang dapat mereka tambahkan di atas apa yang ada di dalamnya. Dia juga mencatat bahwa data Microsoft menunjukkan hanya 21 persen pengguna Windows yang tidak terlindungi, berkat MSE dan Windows Defender, turun dari lebih dari 40 persen. Dan tentu saja kapan saja Microsoft dapat meningkatkan garis dasar itu, vendor pihak ketiga harus mencocokkan atau melampauinya.
Orang-Orang Jahat Tidak Lari
Batchelder menunjukkan tantangan signifikan dalam tiga bidang utama: masalah bagi industri secara keseluruhan, masalah skala, dan masalah untuk pengujian. Dari pembicaraan yang menarik ini, satu hal yang benar-benar mengejutkan saya adalah deskripsinya tentang bagaimana sindikat kejahatan dapat menipu alat antivirus untuk melakukan pekerjaan kotor bagi mereka.
Batchelder menjelaskan bahwa model antivirus standar mengasumsikan bahwa orang jahat melarikan diri dan bersembunyi. "Kami berusaha menemukan mereka dengan cara yang lebih baik dan lebih baik, " katanya. "Klien lokal atau cloud mengatakan 'blokir!' atau kami mendeteksi ancaman dan mencoba remediasi. " Tapi mereka tidak melarikan diri lagi; mereka sedang menyerang.
Vendor antivirus membagikan sampel dan menggunakan telemetri dari basis mereka yang terinstal dan analisis reputasi untuk mendeteksi ancaman. Namun belakangan ini, model ini tidak selalu berhasil. "Bagaimana jika Anda tidak bisa mempercayai data itu, " tanya Batchelder. "Bagaimana jika orang jahat menyerang sistemmu secara langsung?"
Dia melaporkan bahwa Microsoft telah mendeteksi "file buatan yang menargetkan sistem kami, file buatan yang terlihat seperti deteksi beberapa vendor lainnya." Setelah satu vendor mengambilnya sebagai ancaman yang diketahui, mereka meneruskannya kepada yang lain, yang secara artifisial meningkatkan nilai file yang dibuat. "Mereka menemukan lubang, membuat sampel, dan menyebabkan masalah. Mereka dapat menyuntikkan telemetri untuk memalsukan prevalensi dan usia juga, " catat Batchelder.
Tidak bisakah kita semua hanya bekerja bersama?
Jadi, mengapa sindikat kejahatan mengganggu pemberian informasi palsu kepada perusahaan antivirus? Tujuannya adalah untuk memperkenalkan tanda tangan antivirus yang lemah, yang juga akan cocok dengan file yang valid yang dibutuhkan oleh sistem operasi target. Jika serangan berhasil, satu atau lebih vendor antivirus akan mengkarantina file tidak bersalah pada PC korban, mungkin menonaktifkan sistem operasi host mereka.
Jenis serangan ini berbahaya. Dengan memasukkan deteksi palsu ke dalam datastream yang dibagikan oleh vendor antivirus, para penjahat dapat merusak sistem yang mereka tidak pernah pandangi (atau tangani). Sebagai manfaat tambahan, hal ini dapat memperlambat pembagian sampel antar vendor. Jika Anda tidak dapat menganggap deteksi yang diloloskan oleh vendor lain valid, Anda harus meluangkan waktu untuk memeriksanya kembali dengan peneliti Anda sendiri.
Besar, Masalah Baru
Batchelder melaporkan bahwa mereka mendapatkan sekitar 10.000 file "beracun" ini per bulan melalui pembagian sampel. Sekitar sepersepuluh dari satu persen telemetri mereka sendiri (dari pengguna produk antivirus Microsoft) terdiri dari file-file seperti itu, dan itu banyak.
Yang ini baru bagi saya, tetapi tidak mengejutkan. Sindikat kejahatan malware memiliki banyak sumber daya, dan mereka dapat mencurahkan sebagian dari sumber daya tersebut untuk merongrong deteksi oleh musuh-musuh mereka. Saya akan menanyai vendor lain tentang "antivirus yang dipersenjatai" jenis ini saat saya mendapat kesempatan.