Video: Antivirus 2010 - An incredibly rare fake antivirus (November 2024)
Dennis Batchelder, directeur van het Microsoft Malware Protection Center (MMPC), presenteerde de keynote speech voor de 8e Internationale Conferentie over schadelijke en ongewenste software (afgekort tot Malware 2013). Nadat de hoofdconferentie was afgelopen, ontmoette hij een selecte groep voor een presentatie na de conferentie over hoe Microsoft hun eigen antimalware-succes evalueert. Ik kan niet tot in detail ingaan, omdat delen van de presentatie beschikbaar zijn gesteld onder voorwaarden van niet-openbaarmaking, maar ik kan u zeggen dat wat ze doen vrij verbazingwekkend is.
De hoofdrolspeler in de zelfcontrole van Microsoft is iets dat je elke patch dinsdag hebt gezien, het hulpprogramma voor het verwijderen van schadelijke software. De MSRT wordt kort uitgevoerd tijdens Windows Update en verdwijnt vervolgens tot de volgende maand. Als onderdeel van zijn taak rapporteert het een verzameling volledig niet-persoonlijke systeeminformatie aan Microsoft. Door de vele miljoenen gegenereerde rapporten te verzamelen, kan Microsoft veel leren. Je kunt een beperkt overzicht van hun resultaten bekijken op de MMPC-website, maar intern hebben ze veel, veel meer informatie.
Wie is onbeschermd?
Het is voor elk programma in een handomdraai de exacte Windows-versie waar het onder draait. Een eenvoudige berekening die mogelijk wordt gemaakt door het MSRT-rapport is een uitsplitsing van de prevalentie van Windows-versies. Dit is vooral belangrijk met de komende officiële ondergang van Windows XP. Wat nog belangrijker is, Windows zal ook over beveiliging rapporteren aan elk programma dat daarom vraagt. In het bijzonder zal het het geregistreerde antivirusprogramma identificeren, indien aanwezig, en aangeven of dat programma up-to-date is.
Batchelder meldde dat ongeveer 21 procent van de onderzochte systemen onbeschermd was door antivirus, tegen 40 procent vóór de komst van Windows 8. Dat betekent echter niet dat er geen antivirus is geïnstalleerd. Onder deze 21 procent bevinden zich systemen waarvan de antivirus niet up-to-date is of aanwezig is maar is verlopen. Dit omvat ook systemen waarbij de gebruiker de beveiliging heeft uitgeschakeld. Het werkelijke aantal zonder bescherming is een minuscule fractie van degenen die niet worden beschermd.
Wat hebben we gemist?
Het hele doel van het hulpprogramma voor het verwijderen van schadelijke software is het detecteren en wegvagen van een kleine maar actieve verzameling van gangbare malware - nasties die door Microsoft-onderzoek als de belangrijkste zijn aangemerkt. Als de MSRT een van deze bedreigingen wegvaagt op een systeem waarop antivirusbescherming is geïnstalleerd, betekent dit dat de antivirus de infectie niet heeft kunnen voorkomen.
Ja, dat betekent dat Microsoft heel duidelijk fouten kan identificeren door specifieke antivirusproducten, inclusief die van zichzelf. Dit is natuurlijk zeer gevoelige informatie en… maar ik kan niets meer zeggen. Wat het wel betekent, is dat de bende van het Microsoft Malware Protection Center elke maand extreem nauwkeurige feedback krijgt over Microsoft-antimalware-installaties. Hierdoor kunnen ze precies zien hoe ze het doen, zonder laboratoriumtests.
Natuurlijk, telkens wanneer een slecht testresultaat wordt gepubliceerd, vragen de Krachten die bij Microsoft zijn om te weten waarom. Batchelder vertelde me dat ze hem een team aanboden dat hij kon toewijzen aan de taak om betere scores te krijgen in onafhankelijke laboratoriumtests. "Ik zei dat ze door moesten gaan, " zei hij. "Geef me dat team. Maar ik zal ze niet gebruiken voor tests. Ik zal ze toewijzen om onze klanten beter te beschermen."
Nu snap ik het…
Eerder dit jaar rapporteerde ik over het feit dat Microsoft een test van Dennis Technology Labs had uitgevoerd, een score van onder de nul had behaald en ook de certificering door AV-Test niet had doorstaan. Microsoft schoot terug met een verklaring dat de test in kwestie niet real-world was, dat "99.997 procent van onze klanten met een 0-daagse hit de in deze test geteste malwarevoorbeelden niet tegenkwam."
Destijds voelde ik dat deze verklaring op zijn best hyperbool moest zijn. Hoe konden ze dat nou weten? Ik heb gezien wat Microsoft ontvangt in telemetrie van zijn producten en ik moet zeggen dat ik het geloof.
Maar gezien de immense bronnen van Microsoft, waarom niet beide uiteinden van de vergelijking? Waarom maakt u geen product dat goed werk levert en ook alle tests doorstaat? Batchelder legde uit dat het doel van Microsoft is om Windows-klanten te beschermen en niet de grootste, slechtste antivirus die er is. Vanuit zijn oogpunt, hoe diverser de geïnstalleerde beveiligingssoftware, hoe meer informatie Microsoft krijgt en hoe beter ze hun klanten kunnen beschermen.
Tijdens de presentatie wees hij op een grafiek met een lichte daling van de actieve installaties van de antivirusproducten van Microsoft. "Dat is wat we willen, " zei hij, tot de zichtbare ontsteltenis van sommige aanwezigen. "We hebben een gevarieerde verzameling beschermingsmethoden nodig, zodat we allemaal beter kunnen werken." Hij eindigde ons te herinneren aan een belangrijk punt uit zijn keynote. Er is een enorm malware-ecosysteem van criminelen en ondersteunende acteurs die tegen ieders veiligheid werken. Als de antimalware-industrie niet op dezelfde manier werkt als een ecosysteem, als elk bedrijf aandringt op individueel succes ten koste van de concurrentie, zijn we gedoemd.
In de toekomst hoopt Batchelder zoveel mogelijk verzamelde gegevens van Microsoft te delen met geïnteresseerde onderzoekers. Dit kan mogelijk leiden tot enkele zeer interessante artikelen op de Malware 2014-conferentie. We zullen zien!
