反病毒行业骗局

人们必须怀疑抗病毒行业如何在晚上睡得很好。一方面,它通过从任意数量的电子生物和恶意代码中捍卫我们的计算机和网络来提供世界服务。另一方面,有时它“cure”据称其公司和产品据称是糟糕的。增加了几十年来对商业,市场份额和宣传的关注,并且您拥有困惑的行业,产品和服务的所有成分。这种情况定期有利于防病毒软件行业并造成客户的损害。

让’■一般来说,开始恶意爆发。不像 飓风 和海啸,没有标准的命名恶意代码方式—因此,抗病毒行业面临的最大问题。简单的名字这样的日子已经过去了“Jerusalem”, “Michaelangelo” and “Stoned”所有防病毒供应商及其产品被接受和使用。今天,一家公司呼叫“Worm_Minmail.R” another calls “W32.Novarg” —别人打电话给它“[email protected]”而另一个人可以分类相同的东西“W32/MyDoom.”所有供应商在描述其产品和提出报告,分析和解决此类爆发的报告,分析和解决方案时,所有供应商都需要用于恶意代码的行业范围内的命令。

然后是’是营销和思维的问题。首先是杀毒供应商在企业中赚钱,并将他们利用尽可能多的自由宣传。因此,每次新疫情都会看到供应商磕磕绊绊的人是“首先要检测和捍卫”针对最新的恶意代码,可能会解释为什么’在近二十年后,不再是标准爆发命名方案。从新闻发布到电视,收音机和报纸上的采访,防病毒行业高管竞争,以建立他们的公司和产品,作为市场上最令人耳治最警的,一项活动经常在应答,如果没有制造,统计数据每次爆发预测损害评估(通常在数十亿美元中)—而且几乎总是随后是一个支持只有他们的产品提供的经济效益的安全性。

由于防病毒行业营销,客户无知,易于利用的操作系统和企业服务器’在他们的邮件服务器或公司网关上找到没有防病毒软件的有线组织难得。这些传感器是持续的徘徊,用于最新的恶意代码攻击,旨在根据现有攻击签名从未来的爆发中捍卫他们的主机网络。换句话说,这些产品只能捍卫他们知道如何捍卫的东西;意思是,除非网络管理员保持他的防病毒软件电流(有时每天)它’非常容易“next best”攻击在他据称保护的网络上造成破坏,这很满足于防病毒行业。然后游戏重新开始–虽然抗病毒软件供应商的客户和利润升起的费用升高。

更多的是—在电子邮件传播爆发的情况下,当这些传感器检测到一块恶意代码时,他们会生成错误消息回到任何服务器*思考*发送消息,显然忽略了大多数这些所谓的用户的事实与爆发完全无关,或者收获了他们的电子邮件地址(或 欺骗)来自别人’因为他们被感染了收件箱。因此,互联网的大片段接收自动生成的病毒警报消息,为他们可能没有的东西致力于它们’做;当从使用不同名称的不同产品接收不同的产品时,这种情况更糟糕了!

不仅有没有标准的命名法“virus detected”防病毒服务器的消息,但这些消息“virus detected”消息本身通常用作代理攻击机制。有时这条消息是纯文本中的清晰警告,以及其他次’满是隐秘的术语。令人难以置信的是,一些产品甚至返回仍然附加恶意代码的警告消息—意味着宣传爆发的可能性更大’试图减轻! (安全顾问Brian Martin提供了一个非常棒的 讨论 在Trattition.org这个问题。)

处理此类服务器生成的纯粹卷“virus detected”消息可以是令人生畏的任务。在最近的Novarg事件中,我在二十四小时内收到了319条消息,包括许多仍然感染蠕虫。现在想象一下的用户在Pokey拨号线或CIO上支持高速网络上有数千个用户的企业,以及永不睡眠的系统。当然,用户可能会被诱惑过滤所有服务器错误消息,但是’s不是一个可靠的解决方案,因为这样做也会阻止合法邮件服务器错误消息(例如,如果预期的收件人移动或有完整邮箱。)ERGO,我们’恢复大量不同的尚未相关的服务器错误消息,该消息堵塞带宽,并需要专用的时间来开发和测试自定义过滤器,同时允许其他合法的错误消息传递。

有多少这样的“virus detected”必须在恶意代码事件成为拒绝服务之后收到消息?杀毒软件发送时的发送方式“virus detected”包含检测到的恶意代码(并传播爆发)到第三方的消息?杀毒软件在什么时候互联网的问题比原来的爆发更多?防病毒服务器还应该在互联网社区展示责任,而不是在其他地方传播检测到的恶意代码?即使我们 ’没有直接攻击,恶意代码爆发的抵押品损坏为我们的时间和金钱来补救。 (防病毒供应商注意。)

如果杀毒产品牢记了客户,那么都会产生类似的信息,这些信息可以由客户系统管理员过滤,以帮助减少金额“noise”在恶意代码爆发期间经验丰富的抵押品损坏。马丁 讨论 fifteen different “virus detected”他在Novarg事件期间遇到的消息—如果有标准消息,用户和系统管理员将更易于解决爆发本身而不是处理大量的难以过滤的电子邮件DetRitus。如果有人想帮助起草RFC,请联系我—我们可以帮助为此供应商制定的混乱提供命令。 (就像它一样,一些权力用户编写了基于UNIX的PROCMAIL 规则 要解决这个问题,但它’S不是普通用户的简单解决方案。)

最后,那里 ’抗病毒行业的道德。马丁公然地显示了几家供应商 广告 他们的产品在他们的服务器生成中“virus detected”消息,以及使用恶意代码爆发通过携带主题行的未经请求的电子邮件(例如,垃圾邮件)来唤醒他们的整体产品线“Security Advisory”和最新爆发的名称。这是“advisory”真的为互联网社区或防病毒产品供应商的利益?它’s喜欢释放9月11日的广告的航空公司“安全警报:可以防止劫持—我们和我们一起飞翔,我们的驾驶舱门被加强,最好的行业!”

Novarg事件显然强调了抗病毒行业改革的必要性。一些行业范围的改革,如本文所述的那些,将使抗病毒行业更加信誉且对其客户有用,而在互联网上真正改善安全性的情况下,可以走向抗病毒业。这些变化不难实施,可以在便宜的情况下完成。不幸的是,由于最近的活动表明,杀毒行业将继续对互联网安全问题进行大量贡献,而不是帮助减少它们。

作者的版权(c)2004年。允许通过信用递发。

分享这个