Video: 𝐖𝐈𝐍𝐃𝐎𝐖𝐒 𝐃𝐄𝐅𝐄𝐍𝐃𝐄𝐑 cómo desactivar - el MEJOR ANTIVIRUS 𝐆𝐑𝐀𝐓𝐈𝐒 actualizado (Noviembre 2024)
La conferencia Black Hat atrajo a más de 7, 000 asistentes este verano, y 25, 000 asistieron a la Conferencia RSA en la primavera. La asistencia a la 8ª Conferencia Internacional sobre software malicioso y no deseado, por el contrario, se mide en docenas, no en miles. Su objetivo es presentar las últimas investigaciones académicas en seguridad, en una atmósfera que permita la interacción directa y sincera entre todos los asistentes. La conferencia de este año (Malware 2013 para abreviar) se lanzó con una nota clave de Dennis Batchelder, director del Centro de Protección contra Malware de Microsoft, señalando los problemas difíciles que enfrenta la industria antimalware.
Durante la presentación, le pregunté al Sr. Batchelder si tenía alguna idea sobre por qué Microsoft Security Essentials obtiene puntajes en la parte inferior o en la parte inferior en muchas pruebas independientes, lo suficientemente bajo como para que muchos de los laboratorios ahora lo traten como una línea de base para comparar con otros productos. En la foto en la parte superior de este artículo, está imitando cómo los miembros del equipo antivirus de Microsoft no se sienten acerca de esa pregunta.
Batchelder explicó que así es como Microsoft lo quiere. Está bien que los proveedores de seguridad demuestren qué valor pueden agregar sobre lo que está integrado. También señaló que los datos de Microsoft muestran que solo el 21 por ciento de los usuarios de Windows están desprotegidos, gracias a MSE y Windows Defender, por debajo del 40 por ciento. Y, por supuesto, cada vez que Microsoft pueda elevar esa línea de base, los proveedores externos necesariamente tendrán que igualarla o superarla.
Los chicos malos no se están escapando
Batchelder señaló desafíos importantes en tres áreas principales: problemas para la industria en su conjunto, problemas de escala y problemas para las pruebas. De esta charla fascinante, un punto que realmente me llamó la atención fue su descripción de la forma en que los sindicatos del crimen pueden engañar a las herramientas antivirus para que hagan un trabajo sucio por ellos.
Batchelder explicó que el modelo de antivirus estándar supone que los malos se escapan y se esconden. "Tratamos de encontrarlos de mejores y mejores maneras", dijo. "El cliente local o la nube dice '¡Bloquéalo!' o detectamos una amenaza e intentamos remediarla ". Pero ya no huyen; Están atacando.
Los proveedores de antivirus comparten muestras y utilizan la telemetría de su base instalada y análisis de reputación para detectar amenazas. Últimamente, sin embargo, este modelo no siempre funciona. "¿Qué pasa si no puede confiar en esos datos", preguntó Batchelder. "¿Qué pasa si los malos atacan sus sistemas directamente?"
Informó que Microsoft ha detectado "archivos diseñados dirigidos a nuestros sistemas, archivos diseñados que se parecen a la detección de algún otro proveedor". Una vez que un proveedor lo toma como una amenaza conocida, lo pasa a otros, lo que aumenta artificialmente el valor del archivo creado. "Encuentran un agujero, crean una muestra y causan problemas. Pueden inyectarse telemetría para falsificar la prevalencia y la edad también", señaló Batchelder.
¿No podemos todos simplemente trabajar juntos?
Entonces, ¿por qué un sindicato del crimen se molesta en proporcionar información falsa a las compañías de antivirus? El propósito es introducir una firma antivirus débil, una que también coincida con un archivo válido que necesita un sistema operativo de destino. Si el ataque tiene éxito, uno o más proveedores de antivirus pondrán en cuarentena el archivo inocente en las PC víctimas, posiblemente deshabilitando su sistema operativo host.
Este tipo de ataque es insidioso. Al introducir detecciones falsas en el flujo de datos compartido por los proveedores de antivirus, los delincuentes pueden dañar los sistemas en los que nunca han puesto sus ojos (o manos). Como beneficio adicional, hacerlo puede retrasar el intercambio de muestras entre proveedores. Si no puede suponer que una detección aprobada por otro proveedor es válida, deberá pasar un tiempo volviendo a verificarla con sus propios investigadores.
Gran problema nuevo
Batchelder informa que reciben alrededor de 10, 000 de estos archivos "envenenados" por mes a través del intercambio de muestras. Alrededor de una décima parte del uno por ciento de su propia telemetría (de los usuarios de los productos antivirus de Microsoft) consiste en dichos archivos, y eso es mucho.
Este es nuevo para mí, pero no es sorprendente. Los sindicatos de delitos de malware tienen toneladas de recursos, y pueden dedicar algunos de esos recursos a subvertir la detección por parte de sus enemigos. Preguntaré a otros proveedores sobre este tipo de "antivirus armado" a medida que tenga la oportunidad.
