Подведем черту

Конкурс «обфускации» вредоносного кода под названием Race to Zero, который должен пройти на хакерской конференции Defcon в августе этого года, уже вызвал жаркие споры.

Как мне кажется, любое действие либо этично, либо неэтично… и я убежден, что «ради удовольствия» создавать новый вредоносный код, способный обойти антивирусную защиту, неэтично.

Мы — антивирусные эксперты — всегда против создания вредоносного кода по каким бы то ни было причинам. Единственным разумным оправданием создания вредоносного ПО в тестовых целях когда-то можно было считать следующий аргумент: «нам надо создать новые варианты кода, чтобы подробно изучить способы атаки».

Но ребята, давайте смотреть правде в глаза: сегодня мы сталкиваемся с тысячами новых вариантов вредоносных программ. У нас более чем достаточно «живого» вредоносного кода, пригодного для анализа и изучения с целью улучшения технологий защиты от вредоносного ПО. Поэтому, даже если этот аргумент когда-то можно было принять: «ну, может быть, только один раз, ничего страшного, если уж так надо», то в 2008 году он уже НЕ может быть оправдан.

Утверждение, что «сигнатурный антивирус умер, надо искать эвристические, статистические и поведенческие методы обнаружения новых угроз» — это просто дешевый пропагандистский трюк. Уже несколько лет никто — вообще никто — в антивирусной индустрии не рассчитывает только на сигнатурные методы. А звучит заявление авторов «конкурса» так, словно большинство антивирусных сканеров провалят их «тесты», потому что обойти сигнатурные сканеры и статические эвристики не проблема.

Для тысяч электронных мошенников посыл ясен: «даёшь обфускацию кода!» Этот «конкурс» стимулирует их к поиску и разработке новых технологий обфускации. А поскольку они и так этим занимаются, то они просто еще поднажмут. Благодарности за это от нас вы не услышите: антивирусным лабораториям такой стимул не нужен, им и так есть чем заняться.

Наиболее позитивно настроенные граждане называют этот «конкурс» формой тестирования продуктов. Неверно!

Тестирование антивирусных продуктов, как и любое другое тестирование ПО, осуществляется профессионалами, такими как, например, Андреас Клементи, Андреас Маркс или редакция Virus Bulletin на основе справедливых, этичных и научно-обоснованных правил. Вот так всё делается в приличных антивирусных кругах.

«Конкурс» Race to Zero/DefCon:

• Проводится НЕ профессиональными тестерами — без комментария
• НЕ основан на справедливых правилах — до сих пор никаких публичных контактов с производителями антивирусного ПО не наблюдалось
• НЕ имеет научной основы — описание тестового стенда отсутствует как таковое
• И последнее — по порядку, но не по значению. Это НЕЭТИЧНО на все 100%. Писать вредоносное ПО — преступление. Вот и все.

Наконец, как насчет Федерального закона США о компьютерных преступлениях? И других законодательных актов? Этот «конкурс» вообще законно проводить на территории США? Агентство, отвечающее за борьбу с электронной преступностью, в курсе?

В общем, всё сводится к следующему: нужны ли публичные и неструктурированные «конкурсы тестирования» преступных технологий, проводимые людьми без соответствующей квалификации и репутации? Может быть, стоит провести «конкурс» ограбления банка в реальной среде для проверки банковских систем безопасности? Или «пробную» раздачу наркотиков в школах, чтобы проверить работу наркополиции?

До абсурда можно довести что угодно — в том числе анализ кода. Давайте вздохнем поглубже и займемся разработкой технологий защиты, а не «модификацией вредоносного кода ради удовольствия»!