Bisakah pengembang belajar sesuatu dari mempelajari malware? [Tutup]

10

Malware menggunakan teknik menarik untuk menyembunyikan diri dari perangkat lunak anti-malware dan banyak lagi. Mereka dapat "polymorph" sendiri: praktis mengubah kode sambil terus berarti hampir sama dengan mesin pelaksana, membuat definisi antivirus tidak valid dll.

Saya bertanya-tanya apakah ada sesuatu (non-jahat) pengembang dapat belajar dari mempelajari sumber seperti itu, atau membalikkannya dan mempelajari apa pun yang Anda dapatkan dari proses itu jika sumber tidak tersedia, yang dapat berguna di luar ini (gelap?) dunia.

Saya tidak tertarik menulis malware. (setidaknya bukan untuk tujuan non-pendidikan) Pertanyaan ini tidak dimaksudkan untuk menjadi pertanyaan tentang cara menulis malware atau semacamnya, tetapi apa yang dapat Anda pelajari dari malware yang sudah ditulis.

Juga, mungkin agak tidak etis (saya harap tidak), apakah akan ada keuntungan dari menulis malware Anda sendiri, hanya untuk pemahaman yang lebih baik tentang kerentanan / eksploitasi / keamanan, atau sistem operasi yang mendasarinya?

learning security Anto
sumber
11
Tidak ada yang tidak etis tentang menulis malware jika Anda tidak menggunakannya pada orang lain, sama seperti tidak ada yang tidak etis tentang belajar seni bela diri atau cara menembak pistol jika Anda tidak menggunakan keterampilan seperti itu pada orang asing acak yang Anda temukan di lorong-lorong.
FrustratedWithFormsDesigner
2
@FrustratedWithFormsDesigner Saya setuju bahwa tidak ada yang tidak etis tentang mengetahui cara menulis malware, atau menulis sendiri sebagai eksperimen pikiran, tetapi begitu Anda benar - benar telah menulisnya mungkin tidak etis jika Anda tidak mengamankan eksperimen dengan benar. Lagi pula, jika seseorang yang kurang etis daripada Anda masuk ke sistem Anda, mereka akan memiliki akses ke trik kotor Anda. Saya tidak akan membuat proklamasi moral tentang apakah ini membuat Anda bersalah atas apa pun yang mereka lakukan dengan itu, tetapi itu adalah sesuatu yang perlu dipertimbangkan.
scriptocalypse
5
@scriptocalypse: Memang. Demikian pula, seseorang dapat masuk ke rumah Anda, mencuri pistol / panah / pedang, dan melakukan kejahatan mengerikan dengannya. Jika Anda akan memiliki mainan berbahaya di sekitar, pastikan Anda mengamankannya!
FrustratedWithFormsDesigner
hmm apakah Anda memiliki tautan ke teknik ini, karena ini adalah yang pertama kali saya dengar. Sebagian besar analisis didasarkan pada pendekatan Heuristik, yaitu terlepas dari apa yang dilakukan program, tindakan "Akhir" akhir adalah apa yang Anda cari, misalnya menghapus file, mengirim surat SMTP dll. Saya pernah mendengar tentang Stubs, RootKit OS hooks, tetapi semua ini dapat dideteksi.
Darknight
1
@Darknight: Apa pun bisa rusak. Antivirus atau malware. Lihat en.wikipedia.org/wiki/Polymorphic_code#Malicious_code untuk hal polymorphim.
Anto

Jawaban:

7

Benar.

Tentu saja, efek sife yang bodoh dari DMCA adalah bahwa karena Anda harus merekayasa balik malware, Anda tidak dapat secara legal membagikan apa yang Anda pelajari.

Hal terpenting yang akan Anda pelajari adalah:

  • Apa bug eksploitasi malware, sehingga Anda akan tahu apa yang harus Anda lindungi.
  • Seberapa besar kepercayaan yang harus Anda berikan pada OS / aplikasi / API tertentu
  • API tidak berdokumen

Dan tentu saja, itu semua tergantung apa yang sudah Anda ketahui. Jika Anda tidak pernah mengotak-atik tumpukan secara langsung, maka saya berharap ini akan muncul

Phil Lello
sumber
Jika saya di Finlandia, saya tidak di bawah DMCA, kan? Meskipun mungkin ada beberapa hukum yang setara di sini.
Anto
Saya menggunakan DMCA sebagai istilah selimut, karena sebagian besar penandatangan WIPO memiliki undang-undang yang secara samar-samar setara. IANAL
Phil Lello
Di bawah DCMA, apakah tindakan diambil terhadap Anda oleh pemerintah, atau oleh pembuat malware?
Andrew Grimm
Sekali lagi IANAL, tetapi umumnya varian DMCA menjadikannya tindak pidana, jadi secara teknis itu polisi. Tentu saja, peluangnya untuk pergi ke pengadilan jauh - dengan cara yang sama seperti jika A mencuri dari B apa yang dicuri B dari C, B tidak mungkin melaporkan pencurian tersebut. Tapi sudut DMCA sedikit keluar dari topik.
Phil Lello
7

Pelanggaran dan pertahanan adalah dua sisi dari mata uang yang sama - Saya pikir mempelajari malware akan membantu siapa saja yang mencoba bertahan melawan serangan.

Loren Pechtel
sumber
4

Menulis komponen lisensi tidak jauh dari studi tersebut. Upaya yang harus dilakukan penulis malware, untuk menghindari analisis dan dekompilasi adalah upaya yang sama yang harus dilakukan oleh komponen lisensi untuk menghindari bajak laut dan memecahkan cincin. Sementara sebagian besar pengguna perangkat lunak jujur ​​(dan akan membayar perangkat lunak mereka), ada banyak orang lain yang tidak berpikir untuk menggunakan perangkat lunak Anda tanpa pembayaran. Ada juga beberapa orang yang merasakan nilai mereka sendiri berdasarkan berapa banyak "celah" yang mereka buat - apakah mereka menggunakan perangkat lunak Anda atau tidak. Ketersediaan crack dan generator kunci semacam itu dapat menggoda orang-orang yang biasanya jujur.

Tangurena
sumber
1

Sebagian besar programmer IMO tidak memerlukan bantuan / dorongan untuk menghasilkan "teknik baru dan menarik". Ya, ada banyak yang bisa Anda pelajari, tetapi itu tidak akan sama berharganya dengan, misalnya, pengetahuan tentang domain bisnis tempat Anda bekerja ... kecuali jika Anda bekerja pada keamanan, tentu saja.

JeffSahol
sumber