This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Bit9 взломали, используемые для введения в сеть вредоносного клиентов

Filed Under: Featured, Malware, Security threats, Vulnerability

Безопасность поставщика Bit9 пострадал неловко SNAFU в своей сети.

Злоумышленники ворвались в основную часть службы компании и использовал свои надежные цифровые сертификаты для создания предварительно авторизованный вредоносных программ.

В результате, по-видимому, было то, что небольшое количество клиентов оказался заражен вредоносными программами, которые были не просто пропустил алгоритмы Bit9 по обнаружению, но активно поддержали ее системы защиты.

Ой!

Это всегда сложно писать о компромиссах и проблемы с продуктами конкурентов, но, пожалуйста, медведь со мной здесь. Я постараюсь быть максимально сбалансированным, как могу.

Как коллега сухо и компактно указал на другой день, когда Kaspersky попал в новости , сокращая клиентов с из интернета с ненадежной обновление ", Иоанна 8:7 ".

Bit9 случае является немного по-другому, потому что компания воздерживается от традиционных систем безопасности и защиты от вредоносных программ и методов, а не благоприятствует белые списки.

→ Я не поклонник этого имени, потому что по крайней мере некоторые люди находят это оскорбительным, и потому, что есть гораздо яснее, самоописательный альтернатива: allowlisting. Кроме того, в черный список гораздо более непосредственно отображаются как blocklisting. Проще говоря, blocklisting целью признать известно плохие вещи, и, чтобы остановить его. Allowlisting целью признать известно хорошие вещи и прекратить все остальное.

Для чего это стоит, Bit9 сделали право и почетная вещь, и "fessed на своем веб-сайте .

Компания до сих пор хранит точные детали близко к своей груди, как это право, но предложил общее представление, что это довольно ясно. Зовите меня старомодным, но это имеет большое значение.

Я не совсем уверен на все объяснения, однако.

Наблюдение Bit9, что "этот инцидент не был результатом проблема с нашим продуктом", например, это мелочь неудачно.

Я думаю, я знаю, что они означают, и почему они это сказал, но истина проста: сервис Bit9 сделал неправильный вызов.

Это misrecognised вредоносных программ, как хорошее программное обеспечение (ложный отрицательный, в промышленности жаргоне), и пусть инфекции через.

Концептуально, это ничем не отличается (в промышленности жаргоне, она была подобная отказов ) к тому, что происходит, когда традиционные антивирусные удается обнаружить вредоносных программ, вредоносных программ.

Правда в том, что любые программные средства анализа другую программу и прогнозирования его поведения должны быть несовершенным.

Постоянные читатели Naked Security слышали меня, произнося по этому вопросу раньше. Это потому, что я большой поклонник Алана Тьюринга , который изучал этот вопрос очень еще в 1930 году, до цифровых вычислительных машин еще не существовало.

Он известен как Entsheidungsproblem (обычно переводится на английский язык как проблемы остановки), и он очень много говорит, что любой программы обеспечения безопасности должны, по крайней мере иногда, делают ошибки.

Это стало модным в последнее время, чтобы колотить антивирусное программное обеспечение труднее, чем когда-либо, осуждая его как реактивной, за-раз, и даже как " цифровая гомеопатии ". (Даже мне пришлось улыбнуться, что птичий щебет.)

Allowlisting часто трубил в качестве предпочтительного, научных, проще, чище, зеленее подход.

Там очень много можно сказать о том, что если можно надежно предсказать заранее полный список файлов программного обеспечения вам необходимо на компьютерах, и если вы не сделаете ошибки в обеспечении того, чтобы все на список действительно хорошо.

Конечно, темпы изменения достаточно быстрыми эти дни, что вам нужно постоянно обновлять список известных хороший материал, а вот где ошибки могут ползать дюйма

На практике современные антивирусные программы не полагаются на (действительно, не полагается примерно на два десятилетия раньше) чисто реактивным, списка из известных зло-подход.

Защиты от вредоносного сегодня решений являются не только списки блоков, и если вы покупаете одну и заниматься только своей чистой игры частях blocklisting, вы теряете свое дело.

Несколько трюков, на самом деле.

Кроме того, любой приличный продукт, который утверждает, что работает, позволяя только известным, хорошие вещи не полагаться исключительно на allowlisting.

Если файл уже известно, что плохо, вы бы глупо не использовать эту информацию, чтобы запретить файл из когда-либо получить на свой allowlist по ошибке!

Нет решения безопасности не может быть совершенным, потому что нет решения может решить все вопросы.

Вот почему глубоко эшелонированную оборону, что действительно важно, и почему вы должны пробежать милю от любого поставщика безопасности, которые все еще предъявляет претензии, как "никогда нуждается в обновлении" или "все остальные самозванцы".

Для Bit9 экипажа: когда я читал ту часть, где вы писали, что "угроза от вредоносного актеры очень реально, очень сложные, и что мы все должны быть бдительными», я чувствовал боль, братья и сестры.

Мы можем иметь различные подходы и различные мнения, но мы на одной стороне здесь.

Я надеюсь, что вы поймете злодеев за этим, или по крайней мере узнать больше о кто, что и почему ...

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog