És már megint: Becsukhatjuk a boltot
2008/10/07 21:00 Filed in: Kritika
Az elmúlt néhány évben már jó néhányszor megjósolták
az anti-virus termékek végóráját. Ha már itt tartunk
szeretném eloszlatni az a tévhitet, hogy az AV cégek
vírusokkal foglalkoznak, mivel elnevezésükkel
ellentétben gyakorlatilag minden károkozó fajtával
meg kell küzdeniük. Teszik ezt már csak azért is
mivel napjainkban a felhasználókra leselkedő
kártékony programok egy igen kicsi szinte
elhanyagolható hányada a hagyományos értelemben vett
vírus. Na de ez mellékes mert amúgy ezen cégek a
szakmai dilettánsokat foglalkoztató rehabilitációs
központok legalább is Avishai Wool szerint akinek
állítása szerint sikerült megtalálnia a tuti
megoldást.
Persze az is lehet, hogy csak szimplán megint a
média szokásos túlkapásairól van
szó de azt hiszem, hogy elég erős túlzás az
AV cégek végnapjait jósolni ismételten. Hogy
mért is? Mert java részük rendelkezik viselkedés
alapú felismerési megoldással. Akinek meg nincs
az meg gondolom erősen dolgozik rajta. Ha nem
akkor meg valóban készüljön fel rá, hogy
előbb-utóbb becsukhat. Tehát megint belecsaptak
a lecsóba a nagyokosok (értsd akinek köszönhető
ez a felhang) mivel az egyszeri kétkezű júzernek
csak annyi fog lejönni, hogy valaki feltalálta a
spanyolviaszt a jelenlegi megoldások meg
fabatkát sem érnek.
Na ja csak ez egy elég erős csúsztatás ám! Átfutva az eredeti prezentációs anyagot „kimerítő” elemzést találunk arról, hogy miként is lehet / érdemes egy végrehajtható állományt analizálni, abból a releváns rendszer hívásokat kigyűjteni, majd ez alapján a káros programokat azonosítani. Alapvetően ez már régóta bevált módszer a komplikáltabb karokozók felismerésére azzal az apró különbséggel, hogy ezen utasítás sorozatokat egy emulációs környezetből kerülnek ki és nem szorítkoznak pusztán a rendszer hívásokra. Ennek azaz előnye is megvan a vázolt megoldással szemben, hogy egzaktabb felismerést tesz lehetővé (csökkenti a vakriasztás veszélyét), illetve a károkozó kódnak nem kell elindulnia az adott rendszeren. Ez persze azt is jelenti, hogy az adott védelmi megoldás más olyan rendszereken is felismeri a károkozót ahol az egyébként nem lenne működőképes (pl: egy Windows károkozó Linuxon), illetve adatátviteli csatornákban is lehetővé teszi a káros tartalom felismerését (pl: Levelező rendszerek, WEB szűrők, ... ), melyek a szóban forgó megoldással kivitelezhetetlenek. Egy apró hátránya azonban van mivel egy kicsit nagyobb az erőforrás szükséglete az emuláció következében. Ez igaz, ebben a Korset kétségtelenül jobb eredményeket tud felmutatni, mivel ő a natív végrehajtásra épít. Igen ám, de ez azt is jelenti, hogy a felismerés pillanatáig lezajlott műveletek végre lesznek hajtva csak úgy direktben, azaz a kártékony hatás egy része már lezajlik mire a beavatkozás feltétele teljesül. Ez persze kivédhető úgy, hogy adminisztrálásra kerülnek a műveletek (és mentésre a változtatott adatok), hogy szükség esetén azok visszavonhatóak legyenek, ami ugye könnyen belátható, hogy nem kis performancia veszteséghez vezet. Ráadásul ez a veszteség permanensen jelentkezik, mivel állandóan el kell végeznie a rendszernek, mert soha nem tudhatja, hogy mikor is következik be a káros tevékenység sorozat aminek felismerésére hivatott. Ha már a visszavonásnál tartunk, ne feledkezzünk meg arról sem, hogy akadnak nem visszavonható események is (pl: egy adatcsomag elküldése a hálózaton) mivel ilyen esetekben a döntésnek meg kell születnie annak végrehajtásáig ez viszont lehet, hogy esetenként egy kicsit karcsú lesz. És mennyire megbízható? Ezt a kérdést érintik a cikkben, de nagyvonalúan nem fektetnek rá jelentős hangsúlyt, pedig ez nagy hiba! Miért? Mert azzal, hogy csak a rendelkezésre álló információk egy kis szeletét vizsgálják, viszonylag egyszerűen félre vezethető az azonosítás. Itt-ott felcserélt funkciók, néhány beszúrt új funkció és borul is a felismerés azaz új utasítás szekvenciát kell létrehozni. Ha meg túl laza a szekvencia akkor vakriasztáshoz vezet… vagy csak gyanúsításként kezelhető, és akkor el is érkeztünk a bevezetőben felemlegetett viselkedés alapú felismeréshez, ami tulajdonképpen a jó öreg heurisztikának a jelentősen továbbfejlesztett utódja.
Azt hiszem jó lenne ha valaki felvilágosítana, hogy mi is ebben a megoldásban a korszakalkotó ami egy csapásra megoldja a kiberbűnözés problémáját és feleslegessé teszi a jelenlegi megoldásokat?
Minden esetre én és a kollegáim még nem kezdtünk el új állást keresni !
Na ja csak ez egy elég erős csúsztatás ám! Átfutva az eredeti prezentációs anyagot „kimerítő” elemzést találunk arról, hogy miként is lehet / érdemes egy végrehajtható állományt analizálni, abból a releváns rendszer hívásokat kigyűjteni, majd ez alapján a káros programokat azonosítani. Alapvetően ez már régóta bevált módszer a komplikáltabb karokozók felismerésére azzal az apró különbséggel, hogy ezen utasítás sorozatokat egy emulációs környezetből kerülnek ki és nem szorítkoznak pusztán a rendszer hívásokra. Ennek azaz előnye is megvan a vázolt megoldással szemben, hogy egzaktabb felismerést tesz lehetővé (csökkenti a vakriasztás veszélyét), illetve a károkozó kódnak nem kell elindulnia az adott rendszeren. Ez persze azt is jelenti, hogy az adott védelmi megoldás más olyan rendszereken is felismeri a károkozót ahol az egyébként nem lenne működőképes (pl: egy Windows károkozó Linuxon), illetve adatátviteli csatornákban is lehetővé teszi a káros tartalom felismerését (pl: Levelező rendszerek, WEB szűrők, ... ), melyek a szóban forgó megoldással kivitelezhetetlenek. Egy apró hátránya azonban van mivel egy kicsit nagyobb az erőforrás szükséglete az emuláció következében. Ez igaz, ebben a Korset kétségtelenül jobb eredményeket tud felmutatni, mivel ő a natív végrehajtásra épít. Igen ám, de ez azt is jelenti, hogy a felismerés pillanatáig lezajlott műveletek végre lesznek hajtva csak úgy direktben, azaz a kártékony hatás egy része már lezajlik mire a beavatkozás feltétele teljesül. Ez persze kivédhető úgy, hogy adminisztrálásra kerülnek a műveletek (és mentésre a változtatott adatok), hogy szükség esetén azok visszavonhatóak legyenek, ami ugye könnyen belátható, hogy nem kis performancia veszteséghez vezet. Ráadásul ez a veszteség permanensen jelentkezik, mivel állandóan el kell végeznie a rendszernek, mert soha nem tudhatja, hogy mikor is következik be a káros tevékenység sorozat aminek felismerésére hivatott. Ha már a visszavonásnál tartunk, ne feledkezzünk meg arról sem, hogy akadnak nem visszavonható események is (pl: egy adatcsomag elküldése a hálózaton) mivel ilyen esetekben a döntésnek meg kell születnie annak végrehajtásáig ez viszont lehet, hogy esetenként egy kicsit karcsú lesz. És mennyire megbízható? Ezt a kérdést érintik a cikkben, de nagyvonalúan nem fektetnek rá jelentős hangsúlyt, pedig ez nagy hiba! Miért? Mert azzal, hogy csak a rendelkezésre álló információk egy kis szeletét vizsgálják, viszonylag egyszerűen félre vezethető az azonosítás. Itt-ott felcserélt funkciók, néhány beszúrt új funkció és borul is a felismerés azaz új utasítás szekvenciát kell létrehozni. Ha meg túl laza a szekvencia akkor vakriasztáshoz vezet… vagy csak gyanúsításként kezelhető, és akkor el is érkeztünk a bevezetőben felemlegetett viselkedés alapú felismeréshez, ami tulajdonképpen a jó öreg heurisztikának a jelentősen továbbfejlesztett utódja.
Azt hiszem jó lenne ha valaki felvilágosítana, hogy mi is ebben a megoldásban a korszakalkotó ami egy csapásra megoldja a kiberbűnözés problémáját és feleslegessé teszi a jelenlegi megoldásokat?
Minden esetre én és a kollegáim még nem kezdtünk el új állást keresni !
|