This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Bit9 cortado, usado para injetar malware em redes de clientes

Filed Under: Featured, Malware, Security threats, Vulnerability

A fornecedora de segurança Bit9 sofreu uma SNAFU embaraçoso em sua rede.

Intrusos invadiram uma parte essencial do serviço da empresa e usado seus próprios certificados digitais confiáveis ​​para criar pré-autorizado malware.

O resultado, aparentemente, foi a de que um pequeno número de clientes foi infectado com malware que não foi apenas perdeu por algoritmos de detecção de Bit9, mas estava ativamente endossado por seu sistema de proteção.

Ouch!

É sempre complicado para escrever sobre compromissos e problemas com os produtos dos concorrentes, mas por favor, tenha paciência comigo aqui. Vou tentar ser o mais equilibrada possível.

Como um colega com ironia e compacta apontou o outro dia, quando o Kaspersky virou notícia pelo corte clientes fora da internet com uma atualização de desonesto, " João 8:07 ".

Bit9 caso é um pouco diferente, porque a empresa evita tradicionais de segurança e anti-malware técnicas e, em vez favorece whitelisting.

→ Eu não sou um fã desse nome porque pelo menos algumas pessoas acham ofensivo, e porque há uma muito mais clara, alternativa auto-descritivo: allowlisting. Da mesma forma, na lista negra está muito mais diretamente processado como blocklisting. Simplificando, blocklisting visa reconhecer conhecida coisas ruins e para pará-lo. Allowlisting visa reconhecer conhecida coisas boas e parar tudo.

Por que vale a pena, Bit9 fez a coisa certa e honrosa, e "confessou-se em seu site .

A empresa ainda está mantendo os detalhes precisos perto de seu peito, como é direito, mas ofereceu uma visão geral que é bastante claro. Chame-me antiquado, mas que conta para muito.

Eu não estou totalmente convencido com a explicação completa, no entanto.

Bit9 observação de que "este incidente não foi o resultado de um problema com o nosso produto", por exemplo, é um pouco infeliz.

Eu acho que sei o que dizer, e por que disse isso, mas a verdade é simples: serviço Bit9 fez a chamada errada.

É desreconhecido malware como software bom (um falso negativo, no jargão da indústria) e deixe uma infecção completamente.

Conceitualmente, isso não é diferente (no jargão da indústria, que teve um semelhante modo de falha ) para o que acontece quando um tradicional anti-vírus não consegue detectar malware como malware.

A verdade é que qualquer meio de análise programática outro programa e prever o seu comportamento deve ser imperfeita.

Os leitores regulares de Segurança Nu terá ouvido me pronunciar sobre este assunto. Isso é porque eu sou um grande fã de Alan Turing , que estudou esta questão muito nos idos de 1930, antes dos computadores digitais ainda existia.

É conhecido como o Entsheidungsproblem (geralmente traduzido para o Inglês como o problema da parada), e praticamente diz que qualquer software de segurança deve, pelo menos ocasionalmente, cometer erros.

Tem se tornado moda recentemente para bater software anti-vírus mais do que nunca, condenando-o como reativas, por trás das vezes, e até mesmo como " a homeopatia digitais ". (Até eu tive que sorrir para que tweet.)

Allowlisting é muitas vezes anunciado como o preferido, científica, mais simples, mais limpa abordagem, mais verde.

Há muito a ser dito para que, se puder prever com antecedência a lista completa de arquivos de software você terá em seus computadores, e se você não cometer erros para garantir que tudo na lista realmente é bom.

Claro, o ritmo de mudança é rápido o bastante esses dias que você precisa para manter a actualização da lista de coisas boas conhecida, e é aí que os erros podem rastejar em

Na prática, o software anti-vírus moderna não depende (de fato, não contou com cerca de duas décadas já) puramente reativa, a abordagem de lista-de-maldade conhecido.

Hoje, soluções anti-malware não são apenas listas de blocos, e se você comprar um e envolver apenas suas partes blocklisting pure-play, você está perdendo um truque.

Vários truques, na verdade.

Da mesma forma, qualquer produto decente que pretende trabalhar, permitindo apenas o material em bom não confiar inteiramente em allowlisting.

Se um arquivo já é conhecido por ser ruim, você seria tolo não usar essa informação para proibir o arquivo de nunca ficar em seu allowlist por engano!

Nenhuma solução de segurança pode ser perfeito, porque nenhuma solução pode decidir todas as respostas.

É por isso que a defesa em profundidade é muito importante, e por isso você deve correr uma milha a partir de qualquer fornecedor de segurança que ainda faz afirmações como "nunca precisa de atualizar" ou "todos os outros são impostores".

Para a tripulação Bit9: quando eu li a parte onde você escreveu que "a ameaça de atores maliciosos é muito real, extremamente sofisticado, e que todos nós devemos ser vigilantes", eu senti sua dor, irmãos e irmãs.

Podemos ter diferentes abordagens e opiniões diferentes, mas estamos do mesmo lado aqui.

Eu espero que você pegar os vilões por trás disso, ou pelo menos saber mais sobre quem, o quê e porquê ...

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog