Na konferencji DefCon odbył się bardzo interesujący konkurs. Race to zero to zawody polegające na takiej modyfikacji otrzymywanych próbek wirusów, aby po naprawieniu, wirus działał w taki sam sposób lecz przestał być wykrywany przez uprzednio wykrywane silniki antywirusowe. Cała zabawa polega na tym, aby w jak najkrótszym czasie przechytrzyć wszystkie programy antywirusowe i przejść do następnego etapu!
Każda z grup startujących w konkursie, otrzymała próbki wirusów oraz exploitów (wirusów było więcej z uwagi na fakt, że o wiele trudniej jest przerobić exploit). Pierwsza 3 osobowa grupa (firma Mandiant) przeszła pomyślnie przez poszczególne etapy i ukryła wszystkie wirusy w 6 godzin!!! Inna grupa, która niestety wystartowała o wiele za późno, pokonała trudności w czasie dwóch i pół godziny (firma Damballa)!!! Warto zdać sobie sprawę jak wielki ogrom wspaniałej pracy musieli włożyć w wykonanie tych zadań. Z drugiej strony jeśli wyobrazimy sobie, że przestępcy, którzy mogą mieć większą ilość ludzi specjalizujących się w podobnych zadaniach, mają taką samą możliwość – powinniśmy zdać sobie sprawę jak wielkim zagrożeniem jest opieranie się jedynie na systemach antywirusowych zaopatrzonych w rozpoznawanie sygnatur. Zasady konkursu obejmowały wyłącznie skanowanie tego typu.
Jeszcze przed rozpoczęciem konferencji osoby zajmujące się zarabianiem na tworzeniu produktów antywirusowych, podniosły (w moim mniemaniu) lament, że takie zawody są niepotrzebne, są złe, pomagają przestępcom, że branża antywirusowa boryka się z dziesiątkami nowych próbek wirusów każdego dnia i że cały konkurs nie powinien mieć miejsca.
Wielkie produkty wielkich firm AntyVirusowych, jak pokazuje rzeczywistość (bardzo krótki jej wycinek), mogą zostać oszukane na przeróżne sposoby. Oczywistym jest, że takie zawody, jawnie pokazujące owe słabości oprogramowania tego typu, nie będą podobały się firmom AV co jest zrozumiałe, ale w mojej ocenie próby podważania sensu organizowania takich zawodów, to dowód na niedojrzałość tych instytucji.
Jestem bardzo wdzięczny ludziom, którzy organizują takie zawody, ludziom którzy biorą w nich udział, a zwłaszcza tym, którzy je wygrywają. Mogę na własne oczy zobaczyć, przekonać się, że poleganie (jak to często jest wmawiane) jedynie na oprogramowaniu AntyVirusowym może być bardzo złudne i nie daje mi odpowiedniej ochrony. Oczywiście, że możemy (jeśli nasz program posiada taką opcję) uruchomić wykrywanie heurystyczne, behawioralne itp., ale im wcześniej uzmysłowimy sobie fakt, że broniąc się, musimy podobnie jak przestępcy stosować wiele technik, a nie ograniczać się do jednej – tym lepiej. Z takich zawodów jasno wynika, że potrzebujemy nowych technik, coraz bardziej zaawansowanych, wykrywających złośliwe oprogramowanie. Potrzebujemy jeszcze bardziej dbać o nasze systemy aktualizacji oprogramowania oraz o systemy chroniące nasze zasoby sieciowe. I takie według mnie przesłanie niosą te zawody. Od zawsze w każdej obronnej dziedzinie twierdziło się: chcesz złapać mordercę – wczuj się w niego; chcesz ochronić swoje dobra przed kradzieżą – zdobądź wiedzę, którą posiada złodziej; chcesz obronić się przed atakującym – poznaj techniki ataków. itd. Dlaczego więc podobne zastosowanie nie może mieć odzwierciedlenia w świecie wirusów i złośliwego oprogramowania. Według mnie może, a wręcz powinno…