Видео: Вот мы и дома (Ноември 2024)
Малко след публикуването на рецензията ми за Tiranium Premium Security 2014 получих съобщение от изследовател, използващ дръжката Malware1. Той твърди, че Tiranium злоупотребява с различни уебсайтове за проверка на зловреден софтуер, за да подобри степента на откриване. Бележката му включваше връзки към видеоклипове, показващи по-стара версия на софтуера, свързан с VirusTotal, по-специално (въпреки че той призна, че вече няма директна връзка). Той също така предостави това, което каза, че бяха редица имейли от VirusTotal до Tiranium с искане те да спрат да злоупотребяват с услугата.
Проверих с VirusTotal, но контактът ми отказа коментар за публикуване. Трябваше да определям дали това е вярно и дали представлява проблем, ако е така.
Какво е VirusTotal
За тези, които не са запознати с него, публичното лице на VirusTotal е уебсайт, на който можете да качите файл, за да видите дали е злонамерен. Сайтът първо генерира хеш за файла - уникален математически отпечатък. Ако хешът вече е в неговата база данни (и повечето са), той връща съхранените резултати. Ако не, той проверява файла с около 50 основни антивирусни двигателя, като отчита, че е маркирал файла като злонамерен. Google придоби VirusTotal преди около две години.
Услугата надхвърля просто проверката на файлове. Според уебсайта му „мисията на VirusTotal е да помогне за подобряване на антивирусната и защитната индустрия и да направи интернет по-безопасно място чрез разработването на безплатни инструменти и услуги“. На същата страница се посочва, че "Нито една от услугите или приложенията, публично предлагани на този сайт, не трябва да се използва в търговски продукти, търговски услуги или за каквато и да било бизнес цел. По същия начин никоя от услугите не трябва да се използва като заместител на продуктите за сигурност."
С други думи, продукт, който просто използва резултатите на VirusTotal, без да проверява независимо дали файлът е злонамерен, би нарушил условията за обслужване. И наистина противоречивият тест от Лаборатория Касперски преди няколко години показа, че сляпото използване на откриване от уебсайта е лоша идея.
Копае с WireShark
Според Malware1, Tiranium първо проверява заподозрян файл, използвайки локално инсталирания си клиент. Ако няма съвпадение, той проверява хеша на файла на VirusTotal. Само ако не получи никакви резултати от VirusTotal, той се позовава на собствения си поведенчески облачен скенер.
За да започна разследването си, създадох съвсем нови модифицирани версии на текущата ми колекция от зловреден софтуер, като променях имената на файловете, променях размера на файла и настройвах някои неизпълними байтове. Проверих хеша на всеки файл срещу VirusTotal, за да съм сигурен, че всички отсъстват от базата данни.
С работещата помощна програма за проследяване на мрежовия трафик WireShark стартирах сканиране на Tiranium на папката, съдържаща тези файлове. Колкото и да е странно, сканирането продължи с часове, но никога не завърши и броят на сканираните файлове никога не се промени от първоначалната нула. Разбрах по-късно, че това е така, защото поведенческият облачен сървър беше за няколко часа.
Всъщност, като разгледах журнала WireShark, можех да видя, че Tiranium се опитваше отново и отново да качва файлове в поведенческия облак, като всеки опит завършваше с грешка. Това, което не открих, е някакво доказателство за пряка връзка с VirusTotal или с някоя от другите услуги, за които се твърди, че са били използвани в миналото.
Обобщени доказателства
Преместих някои от моите тестови файлове в друга папка и ги изпратих на VirusTotal за проверка. Във всеки случай повечето от антивирусните двигатели ги откриват като злонамерени; някои получиха почти единодушно признаване като зловреден софтуер.
Щом всички файлове бяха обработени от VirusTotal, веднага сканирах папката с Tiranium. Този път разпозна тези файлове като злонамерен софтуер веднага. Когато сканирах останалите файлове, тези, които не бях качил, сканирането остана, както преди. Въпреки че все още нямаше пряка връзка от моя компютър към VirusTotal, изглежда, че бях установил ясна верига на причинно-следствената връзка.
Може би е ОК?
Посегнах към връзките си в антивирусната индустрия, за да видя какво мислят. Един изследовател посочи, че антивирусните компании могат да сключат договор с VirusTotal за автоматично получаване на всяка извадка, която други засекли, но продуктът им пропусна. Това обаче не изглежда да описва ситуацията, която наблюдавах.
По-важното е, че моят контакт с Tiranium потвърди използването на VirusTotal. "VirusTotal има специфични условия за употреба", каза той. "Изпращат проби до компании. Тираниум е една от компаниите, анализиращи това, като всички останали." Той отбеляза, че времето за анализ на нови проби може да варира. "Понякога това ще отнеме часове, някъде минути, някой ден", каза той.
Или може би не
Страницата за кредити на VirusTotal изброява всички доставчици, които са „интегрирали продукт, инструмент или ресурс в VirusTotal, или са допринесли по някакъв начин“. Тези доставчици са подписали споразумение, което включва набор от най-добри практики. Tiranium не е сред изброените компании. Не получава проби от VirusTotal, така че използването му не е „като всички останали“.
Реших, че съм убеден, че имейлите, предоставени от Malware1, казващи на Tiranium да спре да злоупотребява с VirusTotal, са истински. Виждах доказателства, че едно време самото приложение се свърза директно с VirusTotal за информация, което определено е злоупотреба. Но дали настоящото му въплъщение открадва работата на други доставчици, както твърди Malware1? Не мога да кажа окончателно, но доверието ми определено се разклати.
Потенциално нежелани?
Явно не съм сам. По време на дискусия на добре оценения форум за защита на Wilders няколко членове изразяват загриженост за продукта. Всъщност, по време на тази дискусия преди около осем месеца, редица добре известни антивирусни продукти откриха Tiranium като „потенциално нежелано приложение“, което трябва да бъде премахнато.
Дори сега Касперски открива един от двата основни файла на Tiranium като злонамерен софтуер, а ESET ги открива и двете. Fortinet определя уебсайта на Tiranium като злонамерен, както и услугата BrightCloud на Webroot.
Сенчести поведения
Посочих това откриване на моя контакт с Касперски и го попитах дали може да обясни защо Tiranium е бил маркиран като зловреден софтуер. Той се зае с въпроса със значително повече умения, отколкото бих могъл да събера, и излезе с много. "Те използват повече от пет различни обскускатори, за да обсебят кода си и няма цифров подпис", каза той "Малко е луд и изглежда далеч от законния." Тук няма пушек за пушене, но тези и други подобни на злонамерен софтуер поведения бяха достатъчни, за да поставят продукта под знака. Той също намери трафик от сървъра, препращащ VT (VirusTotal), Anubis и VirScan, което предполага някакво разчитане на източници на трети страни.
Хората от BrightCloud не можаха да посочат причината уебсайтът на Tiranium да бъде маркиран като рисков. Те обаче посочиха, че IP адресът на Tiranium се споделя с доста фишинг уебсайтове. Страницата за безопасно сърфиране на Google за домейна olympe.in, използван от Tiranium, имаше някои тревожни новини: „От 1341 страници, които тествахме на сайта през последните 90 дни, 13 страници (и) доведоха до изтегляне и инсталиране на злонамерен софтуер без съгласието на потребителя."
В ревюто си казах, че Tiranium е добро първо усилие, но не е готов да предизвика нашите няколко антивирусни продукта на редактора. Сега чувствам, че компанията трябва едновременно да подобри продукта и да си възвърне доверието с професионализъм и прозрачност. Поправете правописните и граматическите грешки, изкопайте подмятането, подпишете цифрово изпълнимите файлове и се уверете, че той се интегрира с Центъра за действие на Windows. Въздържайте се от всякаква употреба на продукти на трети страни, която не е напълно прозрачна. Отделно уеб хостинг от сървъри, които хостват зловреден софтуер. Засега препоръчвам да се придържате към нашите антивирусни продукти на Choice of Editors.