A Hacktivity előadásom témája röviden összefoglalva a különböző antivírus termékekhez kapcsolódó állítások és a valóság ütköztetése volt - nem feltétlenül kellett ott lenni a MOM-ban ahhoz, hogy az ember kitalálja a konklúziót. Az előadás előtt és után is alkalmam volt beszélni néhány emberrel mind az offenzív, mind a defenzív oldalról, és elmondhatom, hogy a szakmán belül a tényeket illetően végül is nagy az egyetértés, a tények értelmezésekor viszont sokszor külön dimenziókban mozgunk.
Mivel amúgy is hiányolom a blogról a régről megszokott, konstruktív hozzászólásokat, az alábbiakban a Hacktivity előadásom followup-ját vegyítettem egy kis flamebait-tel, hátha kaput tudunk nyitni a Vendor Világba!
0. Aranypecsét, tízcsillag, 100%
Ahogy azt az előadásomban is említettem, a kártevőkkel vívott küzdelem szélmalomharc, erre hozhatunk utazó ügynökös, megállási problémás, és egyéb matematikai analógiákat, de a legjobb, ha elkezdünk malware elemzéssel foglalkozni, hogy belássuk: rendkívül nehéz megállapítani tetszőleges adatállomány célját vagy előrejelezni a viselkedését egy adott rendszerben.
Ennek ellenére minden egyes antivírus termékhez jár egy plecsni, amivel X "független" "szakértő" tanúsítja, hogy az adott termék tökéletes védelmet nyújt az ismert kártevőkkel szemben, és manapság már az sem ritka, hogy az ismeretlen támadásokkal szemben is szinte 100%-os védelmet ígérnek.
Ezen állítások abszurditásának belátásához elég becsomagolnunk tetszőleges őskövületet valamilyen egyedi packerrel (vagy még ennyire sincs szükség), vagy vetni egy pillantást a Matousec eredményeire (akik - mint utólag kiderült - pár évvel megelőztek az általam bemutatott kutatással...).
Amíg az ilyen félrevezető eredményeket produkáló tesztlaborok általános elismertségnek örvendenek, esély sincs arra, hogy érdemi változás történjen ezen a fronton.
1. "Security"
Ma már nem "Antivirus"-okkal (meg "vírusölőkkel") dolgozunk, hanem minden féle "Internet Security", "Client Security", "Endpoint Security" és még ki tudja milyen csomagokkal, melyek nevükben és sales kommunikációjukban is teljeskörű védelmet ígérnek, miközben számtalan alkalommal megmutatták, hogy nem csak, hogy nem teljeskörű ez a védelem, de adott esetben éppen a tartományban korlátlan hatalommal felruházott biztonsági szoftver jelentheti a támadók legvonzóbb belépési pontját.
2. "Telepíted, működik"
Nincs pofám ezerháromszázharminchetedszerre is idézni ezt az esszét, de felhívnám a figyelmet, hogy a biztonságot nem csak makro, de mikro szinten sem szabad önjáró termékként kezelni. Az elmúlt hónapokban kezem közé akadt több tucat termék jelentős részben ugyanakkor nagyjából akkora mozgásteret adott az adminisztrátornak, mint egy egybillentyűs írógép - nehogy szegény júzer összezavarodjon. Ez egy otthoni felhasználásra szánt terméknél még csak-csak elfogadható lehet (bár a gondolkodásról lenevelést soha sem tartottam jó stratégiának), de vállalati kategóriában ez a megközelítés szerény véleményem szerint elfogadhatatlan.
3. "Nekünk arra kell koncentrálni, hogy a kártevő be se jusson a rendszerbe, ha bent van, már úgyis mindegy"
A fenti érvet, amit egy vodkagőzös estén szegezett nekem egy vírusipari munkás, mint a termékpolicyjük sarokkövét sokszor szoktam emlegetni a szemellenzős gondolkodás ékes példájaként. Az elmút évek számtalan példát hoztak arra, hogy mindig lesznek olyan fenyegetések, melyekre nem vagyunk felkészülve, és amelyek a legnagyobb igyekezet mellett is át fognak hatolni az elsődleges védelmi vonalainkon. Ha nem cselekszünk proaktívan, csak a szerencsén fog múlni, hogy átvészeljük-e a következő támadási hullámot.
4. "Az AV még mindig jobb mint a semmi"
Ezzel az állítással nagyon nehéz vitatkozni, és általában ez a konklúzió szokott a nyugvó pontja lenni az éjszakába nyúló vitáknak is. Valójában azonban ez a kijelentés éppen hogy a probléma lényegéről tereli el a figyelmet:
A piacon lévő megoldásokat kritizálóknak általában nem az a baja, hogy a rendelkezésre álló termékek nem nyújtanak tökéletes védelmet, hiszen tudjuk, hogy ilyen védelem nem létezik, és jelen állás szerint nem is létezhet. A kritikusok problémája az, hogy úgy tűnik, az AV ipar meg sem próbál tenni azért, hogy ez a helyzet változzon. Ahogy többen megfogalmazták: amíg el lehet adni a havi szignatúra feliratkozást, mi a francért kéne többet költeni az alapvető újításokra?
Laca@blog 2013.10.19. 20:48:49
azon felül, hogy 3 cm-es darabokra vágja fel az UTP kábelt, égesse el, sózza be a hamuját :)
buherator · http://buhera.blog.hu 2013.10.20. 11:16:03
MGS 2013.10.21. 22:28:27
www.fireeye.com/oculus/why-dont-traditional-defenses-work.html
www.bromium.com/products.html
Ha nem tévedek, itt a blogon még említés szintjén sem kerültek képbe, de más magyar fórumon sem nagyon olvashattunk róluk (viszont úgy láttam a Fireeye idén már nálunk a hacktivityn is nyomult). Amennyiben hinni lehet a saját állításaiknak és a róluk szóló függetlennek véleményeknek (sajnos nem túl sok ilyen van, köszönhető valószínűleg annak, hogy viszonylag fiatal cégek és vállalati szférában tevékenyek) ők más oldalról és új szögből közelítik meg a malware problémát.
buherator · http://buhera.blog.hu 2013.10.21. 22:33:33
Egy gyors példa egy harmadik termékről: a napokban az El Jefe-t teszteltem, és kiderült, hogy nem látja a hálózati share-ről indított binárisokat :P
A felvetés remek, igyekszem összeszedni egy posztra való anyagot a témában!
iQwerty 2013.10.21. 22:59:09
Nem értek egyet a vírusirtók fikázásával, mert ezzel azt a pici renomét is elkaszálják, márpedig igen is szükség van rájuk. Kritizálni természetesen kell, de egyenlőre nincs jobb. (most hajuk a linux, osx, stb vonalat) Sajnos a tudatosság még így sincs meg az átlag emberekben. Ha azt mantárzzuk, hogy ilyan-olyan szar az összes, ennek csak az lesz a következménye, hogy még aki esetleg hajlandó lenne AV telepítésére, az sem fog, mert minek. Úgy sem ér semmit Nah ez egy valóban olyan téma, ami nem is ide tartozik, inkább valami tudatosságra neveleő portálra. Jah, hogy ilyen nincs? Tán kéne egy. Amit hasonlóan authentikus jó szakemberek csinálnak.
MGS 2013.10.21. 23:21:15
buherator · http://buhera.blog.hu 2013.10.21. 23:25:52
Nem azt akarom mondani, hogy kevés, mert ez evidencia (kéne hogy legyen). Arra próbálom rávezetni a kedves olvasókat, hogy legyenek szkeptikusak ezekkel a termékekkel kapcsolatban, és lehetőleg olyan megoldást válasszanak, ami releváns szempontok alapján többet nyújt mint a vetélytársak - ezzel talán egy egészen kicsit lehet formálni a piacot.
Az a baj, hogy sokan sok ideje próbálnak építő kritikával élni, de a vendorok _szóba sem állnak_ ezekkel a szakemberekkel (ha nem világsztár itsec guru az illető a Google-nél...), jelenleg az egyetlen járható útnak emiatt a provokációt látom, ami eddig bizonyos szinten be is jött.
És lehet, hogy igazad van abban, hogy nincs jobb (erről lehet vitatkozni), de abban biztos vagyok, hogy lehetne mindezt jobban csinálni, ha meg lenne rá az akarat.
|Z| 2013.10.22. 10:09:26
Azért egy jobb endpoint protection rendszert ma már elég jól be lehet konfigolni, ami szignatúra nélkül is megfoghatja a common malware-ek döntő többségét. Aki meg azt állítja hogy eddig ismeretlen technológián alapuló, jövőbeli támadás ellen tuti védelme van, az hazudik... Azt hogy észrevegye, arra még van esélye - és ez is az a terület amire arányosan keveset költenek a cégek.