This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

اخترق Bit9، وتستخدم لحقن البرمجيات الخبيثة في شبكات العملاء

Filed Under: Featured, Malware, Security threats, Vulnerability

عانت الأمن بائع Bit9 على اللخبطة محرجة في شبكتها.

اندلعت المتسللين إلى جزء أساسي من خدمة الشركة واستخدام الشهادات الرقمية الخاصة بها لإنشاء موثوق معتمد قبل البرمجيات الخبيثة.

ونتيجة لذلك، على ما يبدو، هو أن حصلت على إصابة عدد قليل من الزبائن مع البرمجيات الخبيثة التي لم غاب بمجرد خوارزميات الكشف Bit9، ولكن وأيد بنشاط من قبل نظام حمايتها.

أوتش!

انها دائما صعبة للكتابة عن حلول وسط والمشاكل مع منتجات المنافسين، ولكن يرجى تتحمل معي هنا. سأحاول أن يكون متوازنا ما أستطيع.

كزميل أشار بامتعاض ومضغوط من ذلك اليوم عندما ضرب كاسبيرسكي الأخبار عن طريق خفض الزبائن الخروج من الانترنت مع التحديث المراوغة، " جون 08:07 ".

حالة Bit9 هو مختلف قليلا لأن الشركة يتجنب الأمنية التقليدية وتقنيات مكافحة البرامج الضارة وتفضل بدلا من ذلك هيتليستينغ.

→ أنا لست من المعجبين بهذا الاسم لأنه على الأقل بعض الناس تجد أنه من الهجوم، وبسبب وجود الكثير أكثر وضوحا، وصفية بديلة الذاتي: allowlisting. وبالمثل، فإن أكثر مباشرة كما أصدرت القائمة السوداء blocklisting. ببساطة، blocklisting يهدف إلى التعرف الاشياء السيئة المعروفة ووضع حد لها. Allowlisting يهدف إلى التعرف الأشياء الجيدة المعروفة، ووقف كل شيء آخر.

لما يستحق، وقد فعلت الشيء الصحيح Bit9 ومشرفة، و 'fessed حتى على موقعها على شبكة الانترنت .

الشركة لا تزال تحتفظ بالتفاصيل الدقيقة بالقرب من صدره، كما انها يحق لها، لكنها لم تقدم لمحة عامة هذا واضح جدا. اتصل بي من الطراز القديم، ولكن الذي يؤثر على الكثير.

لست مقتنعا تماما من تفسير كامل، ولكن.

الملاحظة Bit9 أن "هذا الحادث لم يكن نتيجة لوجود مشكلة مع منتجاتنا،" على سبيل المثال، هو مؤسف تافه.

أعتقد أنني أعرف ما تعنيه، ولماذا قالوا ذلك، ولكن الحقيقة هي بسيطة: الخدمة Bit9 لإجراء المكالمة خطأ.

كما أنه misrecognised البرمجيات الخبيثة برامج جيدة (أ سلبية كاذبة، في المصطلحات الصناعة) والسماح لعدوى عن طريق.

من الناحية النظرية، هذا لا يختلف (في المصطلحات والصناعة، وكان لديها مماثلة وضع الفشل ) لماذا يحدث عندما التقليدية المضادة للفيروسات على الفور فشل البرمجيات الخبيثة والبرمجيات الخبيثة.

الحقيقة هي أن أي وسيلة البرنامجي للتحليل والتنبؤ برنامج آخر سلوكها يجب أن تكون كاملة.

ولقد سمعت القراء العادية للنطق لي عارية الأمن في هذا الشأن قبل. هذا لأنني من أشد المعجبين تورينج ألان ، الذي درس هذه المسألة بالذات العودة في 1930s، قبل الحواسيب الرقمية حتى موجودة.

ومن المعروف بأنها Entsheidungsproblem (المقدمة عادة في اللغة الإنجليزية لمشكلة الإيقاف)، وذلك الى حد كبير يقول ان أي برنامج يجب الأمن، على الأقل في بعض الأحيان، يخطئ.

أصبح من المألوف لسحق مؤخرا برنامج مكافحة الفيروسات أكثر صعوبة من أي وقت مضى، على أنها شجب رد الفعل، وراء مرات وحتى مع " المثلية الرقمية ". (حتى كان لي أن تبتسم في ذلك سقسقة.)

وهلل كثير من الأحيان كما Allowlisting والعلمية المفضل أبسط، والنهج، ونظافة خضرة.

هناك الكثير مما يمكن قوله عن ذلك، إذا كنت تستطيع التنبؤ بشكل موثوق مسبقا على قائمة كاملة من الملفات البرامج التي سوف تحتاج على أجهزة الكمبيوتر الخاص بك، وإذا كنت لا تجعل أي أخطاء في ضمان أن كل شيء على القائمة هو حقا جيدة.

بالطبع، فإن وتيرة التغيير السريع بما فيه الكفاية في هذه الأيام التي تحتاج إلى الحفاظ على تحديث قائمة الأشياء الجيدة المعروفة، وذلك حيث يمكن أخطاء زحف فيها

في الممارسة العملية، الحديث البرمجيات المضادة للفيروسات لا تعتمد على (في الواقع، لم تعتمد على على مدى نحو عقدين بالفعل) على نهج رد الفعل بحتة من بين قائمة المعروفة السوء.

اليوم حلول مكافحة البرمجيات الخبيثة ليست مجرد blocklists، وإذا كنت تشتري واحدة والدخول فقط أجزائه blocklisting نقية اللعب، كنت في عداد المفقودين خدعة.

العديد من الحيل، في الواقع.

وبالمثل، فإن أي منتج اللائق الذي يدعي العمل من خلال السماح الوحيد المعروف حسن الاشياء لا تعتمد كليا على allowlisting.

إذا كان من المعروف بالفعل ملف لتكون سيئة، وكنت لا تكون سخيفة لاستخدام تلك المعلومات لحظر الملف من أي وقت مضى الحصول على allowlist على الخاص عن طريق الخطأ!

لا يمكن حل أمني أن يكون مثاليا، لأنه لا يوجد حل يمكن أن تقرر كل الإجابات.

هذا هو السبب في عمق الدفاع هو المهم حقا، ولماذا يجب تشغيل ميل من أي بائع الأمن الذين لا يزال يجعل المطالبات مثل "لا يحتاج تحديث" أو "كل الآخرين الدجالين".

لطاقم Bit9: عندما قرأت الجزء حيث أنك كتبت ان "التهديد من الجهات الفاعلة الخبيثة هو حقيقي جدا ومتطورة للغاية، وأنه يجب علينا جميعا يقظة،" شعرت بك الألم، والإخوة والأخوات.

قد يكون لدينا متفاوتة النهج والآراء المختلفة، ولكن نحن على نفس الجانب هنا.

وآمل أن قبض على الأشرار وراء ذلك، أو على الأقل معرفة المزيد عن من وماذا ولماذا ...

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog