Darwinismus in der IT-Sicherheit – Teil 3 – Es ist an der Zeit mit diesen bösartigen Parasiten abzuschließen

Hallo an alle!

Ich bin voll und ganz in das Thema Survival of the Fittest im IT-Sektor eingetaucht. Ich hatte eigentlich keine Trilogie geplant … aber es ist dann doch irgendwie darauf hinausgelaufen …

… Nun ja, irgendwie hatte ich das Problem der Parasiten in der Welt der IT-Sicherheit, über das ich heute schreibe, schon lange im Hinterkopf. Das Thema des Darwinismus scheint die perfekte Gelegenheit zu sein, um das schließlich abzuhandeln. Sie werden gleich verstehen, was ich damit meine …

Heute Freunde: Parasiten. Aber nicht diejenigen, die wir bekämpfen (die „sehr bösen“ Jungs), sondern die, die behaupten, dass sie auch gegen die „bösen Jungs“ kämpfen (eine philosophische Frage: Wer ist schlimmer? 😉 ).

Parasiten der IT-Sicherheitsindustrie, die sich Überprüfungsmechanismen anderer zu eigen machen, schaden der Branche und unterstützen indirekt die Cyberkriminalität

Die IT-Branche entwickelt sich heutzutage in rasender Geschwindigkeit. Vor nur 10 bis 15 Jahren waren deren Hauptthemen Desktop-Antivirussoftware, Firewalls und Sicherheitskopien. Heutzutage gibt es massenhaft verschiedene Sicherheitslösungen, Herangehensweisen und Ideen. Manchmal schaffen wir es Vorreiter zu sein, und manchmal haben wir Nachholbedarf. Und gibt es Momente, in denen wir schier nicht aus dem Staunen herauskommen – nicht aufgrund neuer Technologien, Innovationen oder frischer Ideen, sondern wegen der unverschämten Dreistigkeit und absoluten Skrupellosigkeit unserer Kollegen aus der Sicherheitsbranche.

Aber lassen Sie mich erst erklären, wie sich die Dinge entwickelt haben.

Es gibt einen sehr nützlichen Service, der sich VirusTotal Multiscanner nennt. Sie besteht aus ca. 60 Antivirusprogrammen, die dazu genutzt werden, um Dateien und URLs von Nutzern auf Malware zu überprüfen und im Anschluss werden die Prüfungsergebnisse zurück an den User gesendet.

Beispiel: Max Mustermann findet eine verdächtige Applikation oder ein Office-Dokument auf einer Festplatte / einem USB-Stick / im Internet. Seine Antivirussoftware zeigt keine Malware an, aber Max ist ein paranoider Mensch und will wirklich sichergehen, dass sein Gerät nicht infiziert wird. Er öffnet also die VirusTotal-Seite, die nicht wie er nur eine Antiviruslösung hat, sondern ungefähr 60. Außerdem ist sie kostenlos, also ist das keine Frage. Max lädt also das Dokument auf der Seite VirusTotal hoch und bekommt sofortige Informationen darüber, welche verschiedenen Antivirenprogramme das Dokument überprüfen.

Erst einmal möchte ich etwas klarstellen: Sowohl das Team von VirusTotal als auch das von Google, zudem der Service gehört, sind auf der der Seite der „guten Jungs“. Sie haben keine Verbindung zu Parasiten. VirusTotal wird von einem professionellen Team geführt, dass seit Jahren dieser Tätigkeit nachgeht und sehr effektiv ist. (Sind Sie immer noch nicht überzeugt? Was ist, wenn ich Ihnen sage, dass VirusTotal letztes Jahr beim Security Analyst Summit (SAS) die MVP-Auszeichnung gewonnen hat?) Heute ist VirusTotal eine der wichtigsten Quellen, um neue Malwarearten und bösartige URLs zu finden und auch ein sehr pfiffiges archäologisches Tool, um Forschung zu gezielten Angriffen zu betreiben.

Das Problem besteht darin, dass einige unseriöse Nutzer des Multiscanners immer mutiger und unverschämter in ihrem Verhalten werden.

Neben dem öffentlichen und kostenlosen Service hat VirusTotal einen kosten- und registrierungspflichtigen Service, der mit einer privaten API funktioniert. Dieser ermöglicht es, automatische Überprüfungen von unbegrenzten Datenmengen in Echtzeit durchzuführen. An dieser Stelle wird es interessant – aber aus einem falschen Grund: an diesem Ort, halten sich üblicherweise die IT-Sicherheitsparasiten auf.

Die Aneignung von Überprüfungsmechanismen ist nichts Neues. Aber die Situation hat sich verschlimmert: ein ganzes Ökosystem von Parasiten basiert einzig und allein auf VirusTotal

Sie können alle Prüfungsergebnisse einsehen und diese dann für ihre eigenen Zwecke anwenden – das ist auch als kopieren bekannt – und gehen mitunter sogar so weit, dass sie die einzigartigen Bezeichnungen für Malware aus den Ergebnissen übernehmen! Das Resultat ist, dass einige Unternehmen die ganze Arbeit machen, während andere die Früchte dieser Arbeit ernten und sie mit beeindruckenden wissenschaftlich-klingenden Marketingfachbegriffen verschönern, sie mit ihrer Marke versehen und sie dann verkaufen.

Der Diebstahl Die Aneignung von Überprüfungsmechanismen ist nichts Neues. Bereits im Jahr 2009 führten wir ein offenes Experiment durch, das das Ausmaß des Problems der Katastrophe zeigte. Seitdem hat sich die Situation nur verschlechtert: es sind Start-ups entstanden, deren Geschäftsmodell vollständig auf den kostenlosen Informationen basiert, die sie über VirusTotal erhalten. Nach dem Motto: In die Entwicklung neuer Technologien und Infrastrukturen investieren und Topgehälter für Spitzenexperten zahlen? Ohne uns. Wir recyceln einfach die professionelle Arbeit von Anderen, benennen die Marke neu und verkaufen sie, vielen Dank. Natürlich ist das unehrenhaft, aber es ist legal.

virustotal_nextgen_snakeoil_ENIn einigen Fällen ist die Dreistigkeit der Parasiten schier grenzenlos: einige geben sogar offen zu, dass sie den Multiscanner von VirusTotal als Basis für „ihre“ Überprüfungsarbeit nutzen. Hier ist zum Beispiel eine atemberaubende und schamlose Marketingfaselei (und hier ist eine Kopie des Dokuments), um dies zu veranschaulichen:

vt_nextget_snake_oil1

Bei fast allen Sätzen des obenstehenden Absatzes vergräbt man das Gesicht in den Händen – manchmal sogar zweimal. Aber am schlimmsten sind die unterstrichenen Sätze, die sinngemäß sagen „wir nutzen VirusTotal für unsere Überprüfung“.

Hier ist noch ein Beispiel (und hier eine Kopie des Dokuments, nur für alle Fälle):

vt_nextget_snake_oil2

Hier haben wir etwas Ähnliches wie beim ersten Beispiel. Zuerst führt das Produkt eine undurchsichtige Analyse durch, die mit dem passenden und modernen Fachbegriff Verhaltensanalyse verpackt wird, dann wendet es sich an die API von VirusTotal – zur „Zusammenarbeit“ – um dann dem Nutzer das Analyseergebnis zu senden. Mit anderen Worten, egal wie spitzenmäßig das Ergebnis der intelligenten Analyse ist, hängt das Ergebnis nichtsdestoweniger von den Meinungen der anderen Scanner ab. Was ist dann an deren intelligenter Analyse so besonders? Das ist eine gute Frage.

Es gibt viele weitere Beispiele wie die oben genannten, aber alle belegen die Tatsache, dass die Aneignung von Überprüfungssoftware im Bereich der IT-Sicherheitsbranche zur Norm geworden ist. Darauf basierend ist ein komplettes Parasitenökosystem entstanden, dass nun erfolgreich (erfolgreich – sie kommen damit davon!) die Öffentlichkeit verquacksalbert. Nein, ich denke mir das nicht aus.

Was alle Parasiten gemeinsam haben, ist ihre Abneigung gegenüber „herkömmlichen Methoden“ (ganz genau denselben Überprüfungsmethoden, die sie sich über VirusTotal zu eigen machen)

Was alle Parasiten gemeinsam haben, ist ihre Abneigung gegenüber „herkömmlichen Methoden“ (ganz genau denselben Überprüfungsmethoden, die sie sich über VirusTotal zu eigen machen) und die Liebe zu Dingen der „nächsten Generation“ (was so neu am Kopieren und Einfügen von Überprüfungen – und an künstlicher Intelligenz ist – das zeigen sie allerdings nicht auf).

Schlussfolgerung: Wenn Vertreter unbekannter Unternehmen an Sie herantreten und Stichworte wie „nächste Generation“, „Verhaltensanalyse“ und „künstliche Intelligenz“ verwenden, ohne dass deren Richtigkeit durch unabhängige Tests bestätigt wurde, seien Sie auf der Hut. Das Marketingmaterial dieser Unternehmen zeigt, dass die einzige künstliche Intelligenz, die sie benutzen, diejenige ist, die ihnen dabei hilft, andere IT-Sicherheitsunternehmen online zu übertrumpfen.

VirusTotal ist darüber informiert und tut sein Bestes, um dieses Problem zu beheben. Am 4. Mai wurden neue Nutzungsbestimmungen für das System veröffentlicht. Die Hauptpunkte sind: alle Nutzer der privaten API müssen „ihren Überprüfungsscanner in das öffentliche VirusTotal-Interface integrieren“ und „neue Scanner, die in die Gemeinschaft eintreten, müssen eine Zertifizierung und/oder unabhängige Studien von Fachzeitschriften vorweisen, die durch Sicherheitstester gemäß der besten Vorgehensweisen der Anti-Malware Testing Standard Organization (AMTSO) durchgeführt werden„. Experten sind der Meinung (vergessen Sie nicht die Kommentare zu lesen), dass diese Regeln die Situation von VirusTotal klären wird und sie dadurch die Parasiten loswerden.

Die Einführung dieser Regeln ist der richtige Weg und es war auch höchste Zeit dafür. Aber ich bin der Meinung, dass VirusTotal nicht an dieser Stelle aufhören sollte. Es ist der richtige Zeitpunkt, um ähnliche Reformen bei VirusTotal durchzuführen. Warum? Weil die Parasiten immer noch ein paar Asse im Ärmel haben – um die neuen Nutzungsbedingungen zu umgehen und weiterhin Fachwissen aus dem Multiscanner zu saugen.

Meiner bescheidenen Meinung nach, ist Folgendes zuerst zu tun:

  • Die öffentliche Version des Multiscanners muss verbessert werden, um automatisierte Anfragen mit Anonymisierungstechniken so schwer wie möglich zu machen.
  • Die Teilnehmer sollten selbst entscheiden, wer Zugang zu den Ergebnissen ihrer Scanner erhält.

Wir sind nicht die Einzigen, die unzufrieden mit dem Missbrauch von VirusTotal sind und sicherlich werden weitere Änderungen des Services von vielen unserer Kollegen befürwortet – insbesondere von denen, die ebenfalls wichtige Beiträge zu VirusTotal-Gemeinschaft leisten. Niemand will, dass Parasiten die Früchte der eigenen mühevollen Arbeit ernten, aber jeder ist bereit, sein Expertenwissen mit respektvollen Kollegen, CERTs, Strafvollzugsbehörden und anderen antikriminellen Organisationen zu teilen – oder anders ausgedrückt: mit jeder Organisation, die kooperiert anstatt zu kopieren. Die Aneignung von Überprüfungssoftware zerstört die IT-Sicherheitsbranche und trägt indirekt zu Cyberverbrechen bei.

P.S.: VirusTotal ist der bekannteste, gängigste und fortgeschrittenste – aber nicht der einzige verfügbare Multiscanner. Außerdem gibt es Jotti, VirSCAN, Metadefender und ähnliche Services die allerdings auch Nachteile haben. Jeder Service muss ein bisschen … Hausarbeit machen, um kontinuierlichen Missbrauch zu unterbinden. Und ja, ich hoffe, dass alle Anderen dem Beispiel von VirusTotal folgen.

@e_kaspersky nimmt den Kampf auf gegen #Parasiten die VirusTotal kopierenTweet
Kommentare lesen 0
Hinterlassen Sie eine Nachricht.