falsificación de malware de Kaspersky Lab. ¿Qué tan preocupado debería estar? [cerrado]

Navega tus respuestas
6

Probablemente nunca sabremos la verdad, pero de todos modos:

  

Hace más de una década, una de las compañías de seguridad más grandes del mundo, Kaspersky Lab, con sede en Moscú, intentó dañar a sus rivales en el mercado al engañar a sus programas de software antivirus para que clasifiquen los archivos benignos como maliciosos, según dos de ellos. empleados ...

     

En una técnica, los ingenieros de Kaspersky tomarían un software importante que se encuentra comúnmente en las PC e inyectarían un código incorrecto en él para que pareciera que el archivo estaba infectado, dijeron los ex empleados. Enviarían el archivo documentado de forma anónima a VirusTotal.

Artículo completo

Como soy usuario de un AV no Kaspersky, me estoy preocupando un poco. ¿En qué casos un AV decide "limpiar" un archivo en lugar de borrarlo permanentemente? (Podríamos, por ejemplo, hablar de Avast). ¿Es esta "inyección" de código incorrecto en un archivo de "salud" como se describe en el artículo, es probable que se limpie en lugar de eliminarse?

    
pregunta 14.08.2015 - 18:27
fuente

1 respuesta

2

Como indica el artículo, este problema se observó entre 2009 y 2013, por lo que ya no está actualizado. Se basó principalmente en dos cosas:

  • Según los empleados anónimos de Kaspersky, porque supuestamente otro editor de software antivirus estaba copiando, "robando" la tecnología Kaspersky,
  • Y en todos los casos con más certeza porque hubo al menos durante este período una verdadera carrera de marketing en la que el editor fue el primero en detectar un archivo infectado y en detectar la mayor cantidad de ellos.

Por lo tanto, el truco fue relativamente simple: envíe una muestra de código a VirusTotal, que solo Kaspersky marcará como malicioso, y los demás editores pronto se pondrán al día al actualizar su base de firmas para incluir esta también. La parte más difícil desde el punto de vista técnico fue manipular el software de otro editor para producir una firma que coincida con los archivos legítimos.

En mi humilde opinión, esto mostró un enfoque muy deficiente donde el marketing tiene prioridad sobre la seguridad.

Este artículo también explica cómo las compañías antivirus descubrieron este tipo de engaño (por ejemplo, un aumento repentino de clientes que solicitan asistencia AV porque el controlador de su impresora ha sido puesto en cuarentena), y cómo vieron esto como una falla en su El software antivirus y los procesos de gestión de firmas deben solucionarse.

Por lo tanto, este software y estos procesos (¡al menos teóricamente!) son más difíciles de corromper hoy en día, tal falla ya no debería ocurrir y, por lo tanto, para responder a su pregunta, ya no debe preocuparse.

Sin embargo, cuando se observó dicha práctica, el antivirus no limpiaría el archivo, sino que lo pondría en cuarentena o lo eliminaría porque su código coincide con un patrón marcado incorrectamente como sospechoso. No hay nada que limpiar, ¡el archivo es legítimo! El "código incorrecto" solo se inyectó en la muestra inicial enviada a VirusTotal de manera que los competidores no agregarán el código incorrecto a su base de firmas, sino el legítimo ...

    
respondido por el WhiteWinterWolf 15.08.2015 - 15:56
fuente

Lea otras preguntas en las etiquetas

¿Pueden los puertos de host USB ser peligrosos en entornos no controlados? Virus etc ¿Dónde se debe almacenar un almacén de claves (.jks) en un repositorio?