Cybersecurity Uncategories

Product Testing: การจำลอง การปิดบัง และการหลอกลวง

การจำลองไวรัสหรือมัลแวร์ ทำกันอย่างไร? แล้วจะไม่ทำให้เกิดความผิดพลาด

จากที่ผมได้เป็นตัวแทนในงานของ Virus Bulletin เมื่อวันที่ 5 ตุลาคม ที่ผ่านมา ในหัวข้อ The (testing) world turned upside down is now available here

ผมมีเรื่องหนึ่งอยากจะพูดเกี่ยวกับ Product Testing ประเด็นนี้เป็นหนึ่งในประเด็นผมอยากพูด ผมอยากเน้นประเด็นของการจำลองมัลแวร์ หรือโปรแกรมอันตราย ถึงแม้มัลแวร์จะไม่ใช้โปรดักของเรา และจะไม่มีทางใช่

Bias Testing

มีประโยคเด็ดของบทความในข่าว Virus News International เมื่อปี 1993 ซึ่งยังคงใช้ได้จนถึงปี 2017 นี้

“Don’t use viruses at all. Use simulated viruses. Assume that the simulation is perfect and that therefore all products should detect them.”

ในบทความ well-known open letter จากปี 2000 ว่าด้วยเรื่องของการจำลองไวรัส โดยเน้นเกี่ยวกับ Rosenthal Utilities ชุดโปรแกรมที่ไม่ค่อยได้ใช้ในวงการความปลอดภัย เพราะอาจเป็นอันตรายได้ในบางกรณี:

เหตุผลที่การจำลองไวรัสทำให้ผลลัพธ์ที่ออกมาผิดเพี้ยน:

  • ผลิตภัณฑ์ที่ใช้จำลองอาจรายงานไฟล์ที่ไม่ได้เป็นไวรัสว่าเป็นไวรัส
  • บันทึกส่งผลกระทบต่อผลิตภัณฑ์ที่รายงานไวรัสถูกต้อง

Sims and Sinners

แน่นอนที่การจำลองการโจมตีไซเบอร์ไม่ใช่การโจมตีจริงๆ แม้จะเป็นการแสดงกระบวนการตัวอย่างที่ดีแค่ไหน การจำลองนี้ก็จะไม่ถือว่าเป็นอันตราย โดยทั่วไปในวงการความปลอดภัยจะหลีกเลี่ยงการตรวจจับการจำลองไวรัสหรือมัลแวร์ เพราะจะทำให้อัตราการตรวจจับนั้นผิดจากความจริง

องค์กรส่วนมากเลือกใช้การตรวจจับจำลองมาเป็นตัวอย่าง เพื่อหลีกเลี่ยงความเหลื่อมล้ำของเทคโนโลยี ดังนั้นการจำลองจึงไม่ใช่สิ่งที่ใช้เพื่อพิสูจน์ว่าผลิตภัณฑ์ไหนสามารถตรวจจับได้ดีกว่า หรือมีประสิทธิภาพสูงกว่ากัน

References

[1] Harley, D. The (Testing) World Turned Upside Down. Virus Bulletin International Conference 2017.
https://geekpeninsula.wordpress.com/2017/10/09/virus-bulletin-conference-paper-2017/

[2] Gordon, S. Are Good Virus Simulators Still A Bad Idea? 1996.
http://www.sciencedirect.com/science/article/pii/1353485896844047

[3] Virus News International, November 1993, pp.40-41, 48.
http://www.softpanorama.org/Malware/Reprints/virus_reviews.html

[4] Wells, J. et al. Open Letter. 2000: https://www.cybersoft.com/static/downloads/whitepapers/Open_Letter.pdf

[5] Ragan, S. Cylance accuses AV-Comparatives and MRG Effitas of fraud and software piracy. CSO Online. 2017.
http://www.csoonline.com/article/3167236/security/cylance-accuses-avcomparatives-and-mrg-effitas-of-fraud-and-softwarepiracy.html

[6] Harley, D. Untangling the Wheat from the Chaff in Comparative Anti-Virus Reviews. Small Blue-Green World. 2007.
https://geekpeninsula.files.wordpress.com/2013/09/av_comparative_guide.pdf

[7] Harley, D.; Myers, L.; Willems, E. Test Files and Product Evaluation: the Case for and against Malware Simulation. AVAR Conference 2010.
http://www.welivesecurity.com/media_files/white-papers/AVAR-EICAR-2010.pdf

Author: Graham Cluley
Source:
https://www.welivesecurity.com/2017/10/13/simulation-dissimulation-exasperation/
Translated by: Worapon H.

%d bloggers like this: