"Un eveniment care a atras atenţia în ultimele zile este competiţia "Race to Zero" ce va avea loc în cadrul conferinţei Defcon 16 programată în luna August în Las Vegas. Concurenţii vor primi probe de "viruşi sau malcode" şi vor încerca să le modifice până când o anumită selecţie de antiviruşi nu le va mai detecta. Prima persoană sau echipă care va face proba sa nedetectabilă va câştiga runda. Bineînţeles, această competiţie este o versiune "haioasă" a ceea ce "profesioniştii" malware fac în fiecare zi, pentru a depăşi programele antivirus. Aşa cum era de aşteptat, mulţi oameni din industria de securitate au condamnat acest exerciţiu. Suspectez că reacţia noastră a făcut probabil parte din idea concursului, şi într-un fel este păcat să-i oferim "oxigenul publicităţii", dar atât de mulţi au făcut acest lucru încât deja este inutil să ne prefacem că nu se întâmplă. Universul online este suprapopulat de amatori de securitate care presupun că toţi cercetătorii de securitate sunt idioţi şi că ei ştiu mai multe despre aria noastră de expertiză decât noi, şi aceasta pare a fi un alt exemplu al acestui mod de gândire. Din nefericire, va fi nevoie de mai mult decât fapte pentru a convinge acest grup că a înţeles totul complet greşit.
Organizatorii susţin că vor să arate că "ingineria inversă şi analiza codului sunt distractive." Poate pentru primele câteva sute de probe.... Dar modificarea probelor malware -cu siguranţă în aşa fel încât să le menţină natura distructivă, condiţie a concursului - implică crearea unor noi variante, şi niciun cercetător reputabil nu va accepta aceasta. Unii comentatori au susţinut că industria AV doreşte să profite de oportunitate neparticipând şi învăţând de la participanţi. De fapt, este foarte puţin probabil ca adevăratele "pălării negre" care fac acest lucru pe bani sau comunitatea de cercetătorii antivirus să înveţe ceva de la acest gen de copilaşi plini de sine atraşi de un astfel de exerciţiu. Acesta este în esenţă un test comparativ primitiv folosind malware modificat, văzut de nenumărate ori. Faptul că poţi trece peste un scanner bazat pe semnături prin modificarea repetată a codului nu reprezintă o noutate pentru noi. De aceea ESET alocă atât de mult timp pentru dezvoltarea şi îmbunătăţirea euristicii avansate. Dacă organizatorii Defcon vor cu adevărat să ne înveţe ceva, poate ar trebui să le propună celor implicaţi să găsească noi modalităţi de luptă împotriva codului periculos, nu să genereze şi mai mult...
Întorcându-ne în lumea reală, mulţi dintre noi am participat la o întâlnire foarte importantă a AMTSO (Anti-Malware Testing Standards Organization), unde am discutat despre metodele de ridicare a standardelor procedurilor de testare şi de ajutare a clienţilor şi a utilizatorilor finali să înţeleagă mai bine cum să facă diferenţa între o testare bună şi una greşită. Chiar în acest moment suntem la un workshop CARO, comparând note şi învăţând multe lucruri despre cum adevăraţii băieţi răi folosesc împachetarea şi disimularea pentru a ascunde codul periculos de scanner-ele antivirus. Acesta este un subiect la care foarte probabil vom reveni. În orice caz, lecţiile învăţate săptămâna aceasta ne vor ajuta să îmbunătăţim şi mai mult produsele noastre. "
Acoperire Mondială cu ESET ThreatSense.Net
Malware-ul (malicious software) care se răspândeşte nestingherit are o gamă largă de caracteristici şi capabilităţi, şi de cele mai multe ori există mai multe variante ale fiecărui tip de ameninţare, catalogată la rândul ei în cadrul familiilor malware. Pe lângă actualizarea frecventă a antivirusului, este important să deţii soluţii de detectare proactivă, precum detecţia euristică sofisticată integrată în ESET NOD32 şi ESET Smart Security, pentru a fi protejat de ameninţările noi şi necunoscute care apar în fiecare zi.
De fapt, chiar dacă în raport nu apar ca ameninţări diferite, detecţia euristică a reprezentat un procent însemnat în cadrul detecţiilor raportate de către ThreatSense.Net, şi multe dintre detecţiile listate mai sus sunt detecţii generice/euristice care cuprind o gamă largă de tipuri şi familii de malware, nefiind vorba doar de o singură variantă. ThreatSense.Net este un sistem avansat de depistare a ameninţărilor care raportează statistici de detecţie de la milioane de calculatoare ale clienţilor din întreaga lume, şi este considerat ca fiind cel mai comprehensiv sistem de raportare a ameninţărilor de tip malware existent.
ThreatSense.Net şi-a început activitatea ca o iniţiativă ESET, implementată ca VIRUS RADAR. Sistemul de raportare a evoluat, îmbunătăţind seminificativ calitatea datelor statistice adunate. În timp ce VIRUS RADAR urmăreşte ameninţările răspândite prin email, informaţiile ThreatSense.Net includ date despre toate tipurile de ameninţări. Această informaţie statistică (anonimă) este adunată de la acei utilizatori ai soft-ului de securitate ESET care aleg să activeze acest serviciu, şi oferă o privire de ansamblu asupra comportamentului şi a răspândirii ameninţărilor malware. Datele sunt colectate în acest moment de la mai mult de 10 milioane de sisteme, iar sistemul a depistat într-un timp redus mai mult de 10.000 de ameninţări diferite şi familii malware.