Дарвинизм в IT-безопасности: кое-что из жизни паразитов.

Продолжаем проводить параллели между развитием секюрити индустрии и эволюционной теорией. Сегодня подробнее про паразитов, но не тех, с которыми мы боремся, а тех, кто делает вид, что борется.

Современная индустрия IT-безопасности развивается стремительно, аж дух захватывает. Ещё совсем недавно, лет 10-15 назад, основной темой были «настольные антивирусы», файрволлы и бэкапы – сейчас же не протолкнуться от самых разных решений, направлений и идей. Иногда нам удаётся быть «впереди планеты всей», иногда приходится догонять, а иногда… от удивления случается ступор. Причём не от новых технологий, инноваций, свежих идей, а от наглости и беспринципности некоторых «коллег по цеху».

Но сначала надо немного пояснить технику развития событий.

Есть такой очень ценный и полезный ресурс – мультисканер VirusTotal. Там крутятся около 60 антивирусных движков, которые «натравливают» на входящие файлы и URLы и показывают результат. Например, кто-то нашёл на диске/флешке/Интернете подозрительное приложение или офисный документ. Свой «боевой» антивирус никак на этот файл не реагирует, но паранойя не дремлет… и хочется узнать, а вдруг файл таки заражён? Что делать? Для этого и есть этот самый бесплатный VirusTotal. Туда можно закинуть подозрительное и посмотреть какие антивирусы как на это реагируют. Вот так, например:

Сразу проясню ситуацию: ни люди работающие в VirusTotal, ни владеющий им Google к паразитам отношения не имеют. Проект ведёт очень профессиональная команда, которая очень давно и очень хорошо выполняет свою задачу. Обладатели награды MVP на Security Analyst Summit (SAS) просто не могут быть иными. Сегодня VirusTotal — один из важнейших источников новых образцов малвары и вредоносных URL, а также офигенный археологический инструмент.

Recognizing VirusTotal for enduring contribution to security research #SaveTheWorldMVP #TheSAS2015 pic.twitter.com/lZTjN30Xwg

— J. A. Guerrero-Saade (@juanandres_gs) February 16, 2015

Проблема в некоторых нечистоплотных пользователях мультисканера, которых, увы, становится всё больше и ведут они себя всё наглее.

Помимо бесплатной публичной версии у VirusTotal есть платная подписка на API, который позволяет автоматически, в режиме реального времени проверять неограниченное количество файлов. А вот тут и начинается самое интересное — раздолье для IT-security-паразитов. Они подсматривают чужие вердикты проверки объектов и выдают их за свои, порой не стесняясь копировать даже уникальные имена вердиктов. Одни компании работают, а вторые живут за их счёт – берут плоды трудов, накручивают на них развесистую маркетинговую мотню под своим брендом и стригут купоны.

Заимствование детекта — это старая проблема. Ещё в 2009 г. мы провели открытый эксперимент, который показал масштаб катастрофы. За последние несколько лет ситуация сильно ухудшилась. Если раньше требовалось инвестировать хотя бы в построение собственного мультисканера, то сейчас даже этого не надо! Плати и получай всё готовое в виде сервиса. Действительно, зачем развивать технологии, инфраструктуру, платить зарплату экспертам? Вот оно, удобно лежит, есть не просит – взял, прикрутил и продал. Попахивает тухлятиной, но легально.

Порой наглость паразитов зашкаливает, некоторые из них не стесняются открыто признаваться в использовании мультисканера. Вот, например, феерический маркетинговый булщит (копия документа на всякий случай) от одной американской компании:

Здесь за каждым предложением отчаянный фейспалм, иногда по несколько раз. Но главное – в подчёркнутом предложении: продукт обращается в VirusTotal, проверяет там репутацию файла/URL у других сканеров и возвращает вердикт пользователю.

А вот ещё пример (копия документа на всякий случай) от корейской компании:

Та же ситуация: сначала продукт типа проводит какой-то мутный анализ (для пущей убедительности анализ «обматывается» модными словцами вроде «поведенческий анализ» или «искусственный интеллект»), а потом обращается в VirusTotal и возвращает вердикт пользователю. Иными словами, каким бы ни был результат супер-пупер интеллектуального анализа, решающую роль играет мнение других сканеров. Чтож, с точки зрения заботы о клиенте это правильно – нефиг ему выдавать откровенное фуфло и создавать ложное чувство защищённости.

И таких примеров много. Признáем: заимствование детекта стало новой нормой в секюрити-индустрии и вокруг этой возможности сформировалась экосистема паразитов, которая успешно кормит своим булщитом пользователей и инвесторов.

Черта, которая объединяет всех паразитов – противопоставление «традиционным методам» (тем самым сканерам, у которых они заимствуют детект через VirusTotal) и маркетинговые пляски вокруг термина «Next-gen» (типа «новое поколение защиты»; что значит «новое» уже не понимается так однозначно).

Вывод: если к вам пришли продавцы из неизвестной компании, жонглирующие словами «next-gen», «behavioral analysis», «artificial intelligence» и т.п. без подтверждения результатами независимых тестов — это верный сигнал напрячься. Маркетинговые материалы таких компаний показывают, что единственное для чего у таких разработчиков используется искусственный интеллект – это для подглядывания за другими секюрити-компаниями через облако.

VirusTotal о проблеме знает и по мере сил пытается её решить. 4 мая были опубликованы новые правила пользования сервисом: все пользователи API системы, которые являются anti-malware компаниями должны внедрить свой движок в обойму мультисканера и подтвердить чистоплотность и компетентность независимой экспертизой в соответствии со стандартами AMTSO. Эксперты предположили (не забудьте прочитать комменты), что эти правила оздоровят обстановку в VirusTotal и прижмут к стенке паразитов.

"Cylance, Palo Alto Networks, Crowdstrike, Carbon Black and Sentinel One are the ones I might be concerned about" https://t.co/6SXTbXIrzQ

— codelancer (@codelancer) May 6, 2016

Это правильный, хотя и запоздалый шаг и сейчас самое время продолжить реформирование, потому что для паразитов остаются варианты обойти новые требования и продолжить высасывать из мультисканера экспертизу.

Первоочередные действия:

• необходимо допилить публичную версию, чтобы максимально усложнить автоматические запросы через анонимайзеры,
• участники должны сами определять кто получает доступ к результатам работы их сканера.

That's one small step for @virustotal, one giant leap for security industry https://t.co/rMKH0LgS7T by @alexeck

— Eugene Kaspersky (@e_kaspersky) May 6, 2016

На самом деле, мы не единственные, кто недоволен злоупотреблениями VirusTotal. Я уверен, что дальнейшее реформирование сервиса поддержат многие наши коллеги, прежде всего из числа тех, кто вносит реальный вклад в развитие VirusTotal. Никто не хочет, чтобы его трудами пользовались паразиты, но все готовы делиться экспертизой с порядочными коллегами, CERT’ами, полицейскими и другими антикриминальными организациями. Любыми компаниями, которые сотрудничают, а не подглядывают. Заимствование детекта убивает секюрити-индустрию и косвенно пособничает кибер-криминалу.

PS: VirusTotal – самый известный, популярный и продвинутый, но не единственный мультисканер. У Jotti, VirSCAN, Metadefender и других также есть недостатки. И каждому из них также надо совершенствоваться, чтобы исключить возможность злоупотребления. И да будет VirusTotal им примером.

Пламенный пост @e_kaspersky_ru о паразитах #ai_oil и воровстве экспертизы в IT-безопасностиTweet