CC BY
97
№ 4 (40) 2012
Д. С. Сильнов, канд. техн. наук, доцент Национального исследовательского ядерного университета «МИФИ», г. Москва
Проблемы ложных срабатываний антивирусных средств
Разработчики современных антивирусных средств не рассматривают ошибки первого и второго рода при определении вредоносных объектов как потенциальную угрозу стабильной работе. Отсутствие внимания к механизмам самозащиты в области ложных срабатываний создает брешь в безопасности, позволяющую манипулировать антивирусными средствами.
Введение
Современное антивирусное средство — это комплексный, сложный программный продукт, средство защиты информации (СЗИ), которое охраняет компьютер от разного рода информационных угроз (вирусы, черви, троянские программы). Выполняя важную роль обеспечения безопасности файловой системы от вирусов, антивирус имеет полный доступ к любому файлу. В случае возникновения ложного срабатывания, в зависимости от его типа, может быть удален легитимный файл либо пропущен и не вылечен зараженный или вредоносный файл. Разработчики СЗИ, предпринимая попытки решить проблему ложных срабатываний, не обеспечивают механизмы самоконтроля, которые отслеживали бы попытки манипуляций фактами ложных срабатываний, что дает возможность злоумышленнику воздействовать на антивирус специальным образом и манипулировать фактами ложных срабатываний. Это, в свою очередь, может приводить к различным негативным последствиям,таким как удаление критически важной информации, распространение вирусов бесконтрольно в рамках компьютера или компьютерной сети.
Виды ложных срабатываний
Ложные срабатывания могут быть двух типов (рис. 1): ложноположительные (ошибка первого рода) и ложноотрицательные
(ошибка второго рода). Критически важно не допускать наличия ложных срабатываний обоих типов.
Ошибка первого рода при определении вредоносного объекта приводит к тому, что легитимный, не вредоносный объект расценивается как вредоносный, и результатом является его блокировка, а затем либо карантин данного объекта, либо удаление.
Ошибка второго рода заключается в том, что действительно вредоносный объект расценивается как легитимный и не вредоносный, что приводит к его дальнейшему функционированию, и в зависимости от функционала объекта результатом может быть удаление критически важных данных, кража информации и пр.
Умышленная эксплуатация ошибок второго рода вполне объяснима, разработчики вредоносных программ заинтересованы в том, чтобы их программное обеспечение (ПО) не было обнаружено антивирусом. Ошибки первого рода на первый взгляд не являются эффективным инструментом в руках разработчиков вредоносного ПО, но дело обстоит иначе. Когда вирусу поставлена задача удалить критически важную информацию или нарушить стабильность работы компьютера с обязательным условием не обнаружить свое присутствие, эффективно и логично генерировать ошибки первого рода. Для пользователя ситуация выглядит так, что критически важный файл заражен вирусом, который в зависимости от подменной сигнатуры может быть изле-
№ 4 (40) 2012
Ложное срабатывание антивируса
Умышленное
3
Случайное
Генерация файлов с заданной сигнатурой
Модификация существующих^ файлов с занесением 1 заданной сигнатуры ^
(^По виду срабатывания^
Программный сбой^)
Некачественная сигнатура
Ложноположительное
5
—Гложноотрицательное^)
Рис. 1. Классификация ложных срабатываний антивируса
и
I
I
а
«о
1 ¡2
I
I
II §
о £
чимым или не излечимым, в результате чего файл может быть удален антивирусом. С точки зрения пользователя, причиной удаления будет некорректная работа антивируса, что в целом снижает доверие к установленному в системе антивирусу и вместе с тем не раскрывает наличие вируса в системе.
Анализ существующих фактов ложных срабатываний
Чаще всего ложные срабатывания имеют случайную природу. Это связано с ошибками в программном обеспечении антивирусных средств или в сигнатурных базах. В сигнатурном методе антивируса подобная проблема возникает наряду с эвристическим. Ложные срабатывания можно рассматривать без привязки к сигнатурному или эвристическому методу, так как ложные срабатывания по своей природе не зависят от метода обнаружения вредоносных объектов.
Рассмотрим существующие известные факты ложных срабатываний сигнатурного метода антивирусных средств и проанализируем причину их возникновения. Ложные срабатывания сигнатурного метода могут быть умышленными или случайными.
Случайные ложные срабатывания
В открытой печати проблема ложных срабатываний рассматривается только лишь с точки зрения ошибок и недоработок в сигнатурных базах или в алгоритме
работы антивирусного ПО. Сотрудник организации, отвечающий за выделение вирусной сигнатуры или разработку ПО антивирусной системы, не всегда выполняет свои обязанности в полном объеме и с надлежащим качеством, что приводит к ложным срабатываниям. Это предполагает разные последствия:
• удаление безвредного программного обеспечения. Из-за ложного срабатывания антивируса он расценивает легальное программное обеспечение как вредоносное. Дальнейшие действия — удалить обнаруженный объект или пропустить — зависят от пользователя, но, как показывает практика, чаще это приводит к выводу из строя безвредного ПО или полному его удалению [1], [2], [3], [4];
• нарушение работы операционной системы. Антивирусы ошибочно расценивают системные файлы операционной системы как вредоносные, опять же, как показывает практика, чаще всего файлы удаляются, что приводит к дестабилизации работы операционной системы и необходимости ее восстановления [5], [6], [7], [8];
• нарушение работы антивирусного средства вследствие удаления им собственных файлов. Антивирус из-за ложного срабатывания расценивает отдельные собственные элементы (чаще всего это файлы) как вредоносный элемент. Удаляя отдельные собственные файлы, антивирус в ряде случаев блокирует собственную работу и выводит себя из строя [8], [9], [10], [11].
64
№ 4 (40) 2012
Каждое из обозначенных последствий наносит вред либо отдельному ПО, либо операционной системе в целом.
Умышленные ложные срабатывания
Следует отметить, что не уделяется должное внимание тем ложным срабатываниям, которые вызваны умышленными действиями. С одной стороны, это связано с тем, что современные антивирусы контролируют дисковые операции в режиме реального времени, с другой — разработчики вирусов ставят задачу вывести из строя антивирусное средство в целом, а не исказить результаты его работы. Выведение из строя, безусловно, будет заметно пользователю, порой даже технически не образованному. Рассмотрим подходы, которые применялись ранее либо отчасти применяются сейчас как противодействие отдельным антивирусам, осуществляющим контроль дисковых операций в режиме реального времени.
Генерация файлов с заданной сигнатурой. Подход предполагает разовую или выполняющуюся с какой-то периодичностью генерацию файлов с вирусными сигнатурами в рамках существующей файловой системы. Как обозначено выше, данный подход может быть эффективен только при отсутствии контроля дисковых операций в режиме реального времени. В противном случае попытки записи файла в файловую систему с известной вирусной сигнатурой приведут к отказу в доступе и в результате не будут удачны. В то же время, если антивирус выполняет только лишь периодическое сканирование файловой системы на предмет вредоносных объектов, описываемый подход может быть успешен, так как антивирус каждый раз будет находить все новые и новые вирусы, что привлечет внимание пользователя и, вероятнее всего, источник появления файлов выявится — если не самим пользователем, то сторонним специалистом.
Модификация существующих файлов с занесением заданной сигнатуры. Этот подход используется различными файловыми ви-
русами, когда происходит встраивание их тела в легальные исполняемые файлы. В случае использования антивирусов с возможностью контроля дисковых операций в режиме реального времени этот тип вирусов не является эффективным, так как распространение, т. е. внедрение в новые файлы, будет заблокировано, если обозначенная сигнатура известна антивирусу. В случае использования антивирусов, осуществляющих только сканирование уже существующей файловой системы, данный подход приемлем.
Подходы к решению проблемы ложных срабатываний
СЗИ чаще всего являются коммерческими продуктами с закрытым исходным кодом, что усложняет возможность анализа механизмов защиты от ложных срабатываний. Тем не менее, для защиты интеллектуальной собственности некоторые разработчики антивирусов патентуют разработанные подходы к снижению количества ложных срабатываний, что позволяет изучить современные подходы к решению проблемы. В процессе патентного поиска в базах РосПатент, ВОИС, USPTO был проанализирован ряд патентов 07615, EP2278516, EP2441025, W02007087141, US8028338, US7757292), которые раскрывают суть современных подходов к уменьшению количества ложных срабатываний. Эти подходы сводятся к идентификации и обработке фактов ложных срабатываний постфактум, когда события уже
л со л ю
СЕ Л X
о >
^
со
Антивирус (СЗИ)
▲
У_
„I Средство обработки I ложных срабатываний
«
о
! со
Рис. 2. Схема функционирования СЗИ
65
№ 4 (40) 2012
случились, либо в специально созданных условиях, в рамках предварительного тестирования (например, на специализированном стенде для тестирования новых антивирусных баз), либо в условиях эксплуатации СЗИ на клиентском оборудовании.
Обобщая рассмотренные подходы, обозначенные в патентах, можно выделить надстройку (назовем ее средством обработки ложных срабатываний), которая является нововведением по сравнению с моделью СЗИ. Данная надстройка показана пунктиром (рис. 2), она взаимодействует с антивирусом и производит модификацию антивирусных баз.
Обозначенные подходы безусловно эффективны для группы случайных ложных срабатываний (рис. 1), но не столь эффективны для группы умышленных, потому что ложное срабатывание возникает не по причине ошибочного анализа объектов (ошибки первого и второго рода при идентификации объектов), а сами объекты формируются так, что расцениваются как вредоносные. В последнем случае можно говорить об умышленной эксплуатации недостатков алгоритма работы антивируса.
Таким образом, обозначенные подходы снижают количество ложных срабатываний, но не затрагивают вопросы модернизации СЗИ для исключения их появления.
й
| Заключение
§ Разработчики современных средств за-^ щиты информации не уделяют должного вни-§ мания проблеме ложных срабатываний, кото-«а рые происходят по ряду причин: недоработки =§ в алгоритмах антивирусов, умышленные на-| правленные воздействия и пр. СЗИ не имеют возможности отслеживать попытки умышленного направленного воздействия с целью § создания ложных срабатываний. Это создает Ц условия, когда антивирусными средствами 2 можно манипулировать путем генерации лож-| ных срабатываний. Результатом манипуляций является либо отказ в работе антивирусного § ПО, либо выполнение нештатных или некор-
ректных операций, которые могут привести, в том числе, к удалению важной информации. Проблеме ложных срабатываний подвержены все современные коммерческие антивирусы, в связи с чем необходимо разрабатывать принципиально новые подходы к решению проблемы самоконтроля их правильного функционирования.
Список литературы
1. Symantec записал в adware программу NASA [Электронный ресурс] URL: http://www.cnews.ru/ news/line/index.shtml?2007/07/17/259193.
2. AVG заблокировал iTunes, отметив его как вредоносное программное обеспечение [Электронный ресурс] URL: http://www.xakep.ru/post/48977/ default.asp.
3. Norton False Positive in WoW. [Электронный ресурс] URL: http://antivirus.about.eom/b/2010/05/17/258714. htm.
4. Антивирусное ПО Microsoft по ошибке заблокировало Skype [Электронный ресурс] URL: http://www.cybersecurity.ru/crypto/47043.html.
5. Symantec парализовал миллионы ПК [Электронный ресурс] URL: http://www.cnews.ru/news/top/ index.shtml?2007/05/25/252011.
6. «Антивирус Касперского» по ошибке удалил «Проводник» Windows [Электронный ресурс] URL: http://www.osblog.ru/2007/12/26/anti_kasper-sky_windows_del.html.
7. Users upset after CA anti-virus detects Windows system file as virus [Электронный ресурс] URL: http://news.cnet.com/8301-1009_3-10283199-83. html.
8. Обновление антивируса BitDefender привело к многочисленным сбоям в работе Windows [Электронный ресурс] URL: http://www.xakep.ru/ post/51544/default.asp.
9. Антивирус Avira принял себя за вирус [Электронный ресурс] URL: http://lenta.ru/news/2011/10/27/ avira/.
10. Ложное срабатывание антивируса McAfee вывело из строя компьютеры по всему миру [Электронный ресурс] URL: http://www.xakep.ru/ post/48757/default.asp.
11. Обновление антивируса от CA вывело систему из строя [Электронный ресурс] URL: http://www.xakep.ru/post/49184/default.asp.
66 у
