Malware vrijwilligers gezocht
Het team achter het Phishing Incident Reporting and Termination Squad (PIRT) is een nieuw initiatief gestart, genaamd het Malware Incident Reporting and Termination Squad (MIRT). MIRT werkt op dezelfde manier als PIRT, het anti-phishing project dat in maart van dit jaar werd gelanceerd.
Vrijwilligers wordt gevraagd om verdachte bestanden en code naar een grote database te sturen, waar ze dan door andere vrijwilligers geanalyseerd worden. De gevonden gegevens worden dan gepubliceerd en aan beveiligingsbedrijven en de autoriteiten bekend gemaakt.
De aanpak werkt goed voor PIRT, dat al 80.000 phishing meldingen heeft ontvangen. Paul Laudanski, leider van het project, denkt dat MIRT informatie kan verzamelen die de grote virusbestrijders misschien missen. "Er zijn veel plekken waar we informatie over malware kunnen verzamelen, die de anti-virusaanbieders ontgaat".
aanbieden met meerdere scanners. Die bestanden worden ook naar anti-
virus leveranciers gezonden.
De meeste anti-virus bedrijven gebruiken honey pots om malware te
verzamelen.
Het grootste probleem met malware verwerking is de prioriteitstelling.
Input van scan services levert een hoop rommel op en zegt niets over de
context waarin de malware is aangetroffen.
Antivirusbedrijven zitten waarschijnlijk ook niet te wachten op analyses van
vrijwilligers van PIRT.
Aangezien de informatie naar bedrijven wordt doorgesluisd
zou ik graag wat in return willen ontvangen.
bezigen ze deze uitdrukking voor "hoeveel eurootjes mag ik
ontvangen, voordat ik ga werken?"
anti-virus scan service aanbieden met meerdere scanners. Die
bestanden worden ook naar anti-virus leveranciers
gezonden.
PIRT en MIRT zijn onvergelijkbaar met Jotti en VirusTotal.
om malware te
verzamelen.
Zonder twijfel. De grootste bron is echter een goed
georganiseerd onderling uitwisselingsprogramma tussen
anti-virus companies. Dat gaat al jaren zo.
prioriteitstelling.
Input van scan services levert een hoop rommel op en zegt
niets over de
context waarin de malware is aangetroffen.
Mee eens. Maar zoals gezegd: dat heeft totaal niets te maken
met PIRT en MIRT.
wachten op analyses van vrijwilligers van PIRT.
Mis. Symantec, Kaspersky, ESET, Avira, G-Data, Alwil/Avast
en nog een hele rij zijn content met de aangeleverde
informatie en gebruiken deze ook.
en nog een hele rij zijn content met de aangeleverde
informatie en gebruiken deze ook.
Je bedoeld informatie van PIRT? Daar gaat het niet over.
Natuurlijk zijn anti-virus bedrijven "content" met toegezonden malware.
Maar aan analyses heb je voor detectiedoeleinden niets. Anti-virus
bedrijven nemen vooral niet elkaars gegevens over, ze zorgen zelf voor
analyses en gegevens. Het zou nogal een blamage zijn als er foute
gegevens worden verwerkt in een groot deel van de virus info databases
van de anti-virus bedrijven. Alleen maar omdat een amateur
wat "geanalyseerd" heeft.
Daarom heeft MIRT geen bestaansrecht als analyseleverancier. Het voegt
niets fundamenteels toe aan de bestaande scan diensten en de vele
malware mailing lists. Als je graag malware wil analyseren kun je dat ook
op de bestaande malware mailing lists kwijt.
Voor nieuwe virussen is de snelste bron een honeypot. Dat is bijvoorbeeld
bij Stration belangrijk. Er is inderdaad malware uitwisseling tussen anti-
virus researchers, die vormen inderdaad de grootste bron, maar niet de
snelste.
gegevens over...
anti-virusbedrijven klagen daar zelf ook over. En nergens
staat dat de MIRT-database niet door die bedrijven aangevuld
en uitgelezen mag worden!?
overleg-structuur ontbreekt dus nog teveel. Echt onderzoek
blijft nodig en Anti-virusbedrijven kunnen daar gewoon mee
doorgaan.
gegevens worden verwerkt in een groot deel van de virus info
databases van de anti-virus bedrijven.
onder controle van MIRT zelf en de anti-virusbedrijven, dat
het een goed centraal systeem kan zijn. En de samenwerking,
kan de kwaliteit van de gegevens verhogen.
En het anti-virusbedrijf dat jaarlijks de meeste nieuwe
vindt, of de beste scanner levert, krijgt (naast omzet) een
prijs in de vorm van een gouden insecticidenspray!
Alleen maar omdat een amateur wat "geanalyseerd" heeft.
'deskundig panel' ;) bestaande uit diverse experts. Of ook
door onderzoek in de labs van de anti-virusbedrijven. Als
het niks is en de amateur zou de amateur zelfs een antwoord
krijgen, waarin wordt uitgelegd waarom zijn vondst niet in
de database komt. Leert hij er weer van, zo worden de
amateurs weer professioneler!
zo worden amateurs weer professioneler!
Ik denk dat je een veel te eenvoudig beeld van malware analyse hebt. Het
is geen onschadelijke hobby. Het vergt gedegen kennis en ervaring en je
hebt voor onderzoek een veilig lab nodig met voldoende middelen.
Een deskundig panel is niet in staat alle fouten uit een analyse te halen
zonder de hele analyse over te doen. Anti-virus bedrijven hebben het al
druk genoeg, die gaan geen tijd verspillen aan controle van analyses van
amateurs.
Wiki's staan bekend om de vele manipulaties en fouten. Je kunt klanten
niet opzadelen met informatie die "misschien wel correct is, dat weten we
niet zeker".
Er bestaat een malware catalogus, naar analogie van de catalogus voor
vulnerabilities CVE (Common Vulnerability Enumeration): CME, de
Common Malware Enumeration - http://cme.mitre.org/ Er zijn al vele
pogingen geweest om tot een gezamelijk naamgeving te komen en dit
initatief lijkt ook te weinig te bieden om echt bruikbaar te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.