27 maio 2016

Darwinismo em Segurança da Informação- Parte 3: hora de lidar com os parasitas

Olá pessoal!

Vamos mais uma vez falar sobre o tema da sobrevivência do mais apto em Segurança da Informação. O plano não era ser uma trilogia… Apenas aconteceu. Mais ou menos…

O problema dos parasitas em Segurança da Informação que tratarei consiste de uma ideia antiga que estava em minha mente faz tempo. Esse papo de Darwinismo me pareceu a chance perfeita para finalmente falar disso. Tudo vai ficar mais claro mais tarde…

Hoje, temos: parasitas. A surpresa é que não estamos falando dos caras malvados contra quem lutamos, refiro-me a outros que alegam estar contra esses mesmos bandidos. Quem é pior?

A indústria de TI está se desenvolvendo rapidamente. Há 10-15 anos, ela orbitava em volta de antivírus para desktops, firewalls e backups; hoje, temos uma gama de diferentes soluções de segurança, abordagens e ideias. Às vezes, conseguimos nos manter um passo à frente. Em outras situações, temos que correr atrás do prejuízo. E até mesmo, somos completamente pegos de surpresa, não por novas tecnologias ou ideias inovadoras, mas pela falta de escrúpulos dos nossos colegas da indústria de Segurança da Informação.

Mas primeiro, vamos explicar como esses eventos foram acontecendo…

Existe um serviço muito útil chamado VirusTotal multiscanner. Ele agrega mais de 60 mecanismos de antivírus usados para verificar arquivos e URLs selecionados pelos usuários, a partir daí ele emite um veredito.

Exemplo: Joe Bloggs encontra um aplicativo ou documento em um disco rígido/Pendrive/ou na internet. O antivírus do Joe não avisa sobre qualquer malware, mas sendo um pouco paranoico, ele quer ter certeza que o arquivo não está infectado. Ele vai ao site do VirusTotal, que não tem apenas uma solução de antivírus como Joe, possui quase 60. É de graça e simples. Joe envia o arquivo para o ViruTotal e recebe informações a respeito do que cada antivírus “pensa” do arquivo.

  1. 1
  2. 2

Antes de mais nada, vamos deixar algo claro: tanto o pessoal do VirusTotal quanto seus donos no Google dizem estar do lado dos caras bonzinhos. Não possuem qualquer conexão com os parasitas. O VirusTotal é administrado por um time bem profissional que vem cumprindo a tarefa eficientemente. (Ainda precisa de mais para se convencer? Que tal o fato do VirusTotal ter ganhado o MVP award ano passado no Security Analyst Summit (SAS)?) Hoje, o VirusTotal é uma das fontes mais importantes de novas amostras de malware e URLs maliciosas; e é uma ferramenta arqueológica ótima contra ataques direcionados.

O problema está em alguns usuários do multiscanner que infelizmente têm se mostrado cada vez mais sem vergonha na forma de agir.

Além do serviço público, aberto e gratuito, o VirusTotal possui licenças pagas para um serviço de API turbinado, que permite a verificação em tempo de real de arquivos ilimitados. E aí que as coisas ficam interessantes – por todas as razões erradas, é aí que os parasitas de TI tendem a aparecer.

Depois de dar uma olhada no veredito de todas as fontes, eles reproduzem como deles – copiam – chegando ao ponto de copiar o nome do diagnóstico em si! No final o que temos é que algumas empresas fazem todo o trabalho, enquanto esses parasitas se aproveitam dos resultados, maquiando-o com estratégias de propaganda exaltando a alta tecnologia de suas soluções e marcas, e por isso, conseguem vender.

Roubo adoção de detecção” não é coisa nova. Já em 2009, conduzimos um experimento que mostrou a escala da questão catástrofe. Desde então, a situação só piorou: startups inteiramente baseadas no uso pouco ético do VirusTotal começaram a surgir. Investir em infraestrutura e pagar bons profissionais? Não. Vamos reciclar o trabalho de outros profissionais, colocar nossa marca e revender. Apesar de claramente antiético, não é ilegal.

virustotal_nextgen_snakeoil_EN

Às vezes, a audácia desses parasitas não conhece limites: alguns admitem usar o VirusTotal multiscanner como base de “sua” detecção. Aqui temos um completo disparate em forma de propaganda (aqui a cópia do documento) como prova:

vt_nextget_snake_oil1

Cada frase no parágrafo acima faz com que seu queixo caia um pouco mais. E toque o chão, a frase basicamente diz “nós usamos o Virus Total para nossa detecção”.

Outro exemplo aqui (cópia do documento):

vt_nextget_snake_oil2

Aqui temos algo parecido com o primeiro exemplo. O produto conduz algumas análises pouco claras enfeitadas com palavras bonitas como análise comportamental, dizendo que o VirusTotal API é uma forma de “internetworking”. Em outras palavras, não importa o resultado incrível da análise inteligente, o diagnóstico sempre será o mesmo na opinião de outros scanners. Então, para que servem essas análises inteligentes no fim das contas?

Existem diversos exemplos como o acima, e todos eles atestam o fato de que adoção de detecção se tornou comum na indústria de segurança da informação, baseado nisso, um ecossistema inteiro de parasitas está enganando o público. E não, isso não é invenção da minha cabeça.

O ponto em comum entre os parasitas é seu repúdio por “métodos tradicionais” (os mesmos métodos adotados pelo VirusTotal) e idolatram acima de tudo, qualquer coisa que seja “da próxima geração” (mesmo que nenhum deles consiga dizer o que há de novo na cópia de diagnósticos de detecção e IA),

Conclusão: se você der de cara com uma empresa desconhecida, fazendo propaganda com as palavras “próxima geração”, “análise comportamental”, “inteligência artificial”, entre outras, sem apresentar qualquer resultado de testes independeste para provar o que dizem, tenha cuidado. Os materiais de marketing dessas empresas mostram que eles apenas utilizam inteligência artificial para copiar análises de outras corporações de segurança da informação pela nuvem.

O VirusTotal sabe do problema e está fazendo seu melhor para resolvê-lo. No dia 4 de maio, novas regras de uso do sistema foram publicadas; o principal: todos os usuários da versão paga precisam integrar seu scanner na interface do VT. E novas soluções que queiram fazer parte do VT terão de apresentar certificados e/ou avaliações de testes independentes que sigam as determinações da Organização de Padrões para Testes Anti-Malware (AMTSO, na sigla em inglês). Especialistas reconhecem (não deixe de ler os comentários) que essas regras vão melhorar a situação do VirusTotal com relação aos parasitas.

Essas novas regras, por mais que tardias, são a atitude certa. Contudo, não acho que o VirusTotal devia parar por aí. Agora é o momento perfeito para promover mais reformas no VirusTotal. Por quê? Porque parasitas ainda possuem alguns truques na manga – formas de contornar os requisitos e continuar a se aproveitar da expertise do multiscanner.

Ao meu ver, eis o que deve ser feito primeiro:

  • A versão gratuita do multiscanner precisa ser melhorada para tornar técnicas de consulta automática e anonimato as mais complicadas possíveis.
  • Os participantes em si devem decidir quem possui acesso aos resultados de seus diagnósticos.

Não somos os únicos chateados com o abuso do VirusTotal, tenho certeza que mudanças futuras no serviço receberão apoio de diversos colegas – em particular daqueles que contribuem de fato para a comunidade do VirusTotal. Ninguém quer parasitas se aproveitando dos frutos de seu trabalho árduo, mas todo mundo está mais do que pronto para compartilhar sua expertise com colegas respeitáveis, CERTs, agências reguladoras, e outras organizações anticrime, ou seja, qualquer outra corporação que coopere no lugar de copiar. Adoção de detecção está matando a indústria de segurança da informação e auxiliando os criminosos indiretamente.

PS: O VirusTotal é o mais conhecido, popular e avançado – mas não é o único multiscanner. Também temos o Jotti, VirSCAN, Metadefender e outros serviços similares, sendo que cada um possui suas imperfeições. Cada um precisa fazer sua parte para eliminar esse tipo de abuso. Espero que o VirusTotal se torne um exemplo a ser seguido por todos os outros.

@e_kaspersky ataca os parasitas que abusam do virustotal ao copiar diagnósticos de detecção de outros fabricantesRetweet
LEIA COMENTÁRIOS 0
Deixe um comentário.
Facebook

27 fevereiro 2024

Prêmios nunca são demais

Fala pessoal! Hoje, estou escrevendo direto da Áustria!… Mas eu não fiz essa viagem apenas para ver pelas janelas o clima sombrio da Europa. Eu fui a negócios – vários; em primeiro lugar – receber isso aqui pessoalmente! -> …Quando a sua empresa é premiada com nada menos do que “Produto do Ano”, por ninguém […]

27 junho 2023

Alto escalão da Infosec: de volta – pessoalmente – à SAS!

Preparem as trombetas, ouça o rufar de tambores, aplausos, vivas e  assobios! Eis duas novidades para você: uma é boa, a outra é… ainda melhor! Primeiro: este ano teremos nossa 15ª conferência anual de cibersegurança – a Security Analyst Summit (SAS). Décima quinta?! Gente… o tempo voa! Segundo: finalmente estamos de volta ao formato offline, […]

19 janeiro 2023

Retrospectiva 2022: patentes chegando com tudo!

Inventar novas tecnologias de ponta é apenas a metade do caminho. Espere – na verdade. não: não sejamos tão categóricos… Uma nova tecnologia de ponta que seja de fato inovadora tem um movimento de ciclo de vida muito mais complexo e longo do que pode ser inicialmente imaginado por muitos. Claro, sem a invenção em […]

11 novembro 2022

11.11: Celebração de 20 anos!

Saudações meninos e meninas! Do nada, chegamos a outro marco histórico. Viva! Nosso sistema operacional ciberimune – KasperskyOS – faz hoje… não, espera aí. Não é exatamente isso… Há exatos 20 anos – em 11 de novembro de 2002 – iniciamos uma longa e sinuosa jornada; uma trajetória que, de fato, ainda se encontra em […]

21 julho 2022

Cibercontos do lado sombrio (e luminoso): hack criptográfico audacioso, K fica neuromórfico e como entrar em um data center pelo… banheiro!

Fala pessoal! Para aqueles que ainda estão suando no escritório, não tiveram a sorte de ter saído para algumas férias de desintoxicação digital de verdade, para manter sua mente fora do calor, algumas iNews deliciosas, também conhecidas como Contos obscuros (e claros) do cibermundo – histórias ainda mais extraordinárias e difíceis de acreditar do mundo […]

5 julho 2022

Um “Kuarto” de século? Parece que passou voando, não?

Fala galera! Há 25 anos e 9 dias – em 26 de junho de 1997 – a empresa que, por acaso, tem o mesmo nome que o meu foi registrada. E foi um “início humilde” no sentido mais verdadeiro: cerca de uma dúzia de pessoas com rotatividade zero – mas com algum conhecimento técnico especial […]

Mais

Vlog de Viagens