Trend Micro: Nền công nghiệp chống virus đã lừa dối 20 năm nay

Tom EspinerZDNet.co.uk

Published: 30Jun 200811:31 BST

Theo:http://resources.zdnet.co.uk/articles/features/0,1000002000,39440184,00.htm

Bài được đưa lênInternet ngày: 30/06/2008

Lờingười dịch: “Trong 20 năm qua, chúng ta đã và đang môtả sai cho chính chúng ta. Không ai có khả năng bảo vệcho 5,5 triệu virus được. Ngày nay chưa có sự bột phátvirus hàng loạt, [phần mềm độc hại] là mục tiêu.Nhưng, nếu không có các ví dụ mẫu về virus được đềxuất, thì sẽ không có cách nào để dò tìm ra chúng”.Đó là phát biểu của Trend Micro, một hãng chuyên vềphần mềm chống virus nổi tiếng của Mỹ. Bạn hãy nhớcon số 5,5 triệu virus này nhé!

EvaChen, giám đốc điều hành của Trend Micro, có quan điểmmạnh về nền công nghiệp chống virus hiệu quả như thếnào trong vòng 20 năm qua.

Theo Chen, nền côngnghiệp an ninh đã cường điệu quá đáng các sản phẩmcủa mình có hiệu quả như thế nào – và vì thế đãvà đang làm lạc lối những người sử dụng – nhiềunăm.

Chen tin tưởng rằngkhông một công ty duy nhất nào có thể đưa ra sự bảovệ phù hợp chống lại số lượng tuyệt đối lớn cácvirus mà chúng đang được khuấy tung lên bởi bọn tộiphạm không gian mạng. Theo nền công nghiệp an ninh này, 5triệu rưỡi ví dụ mới đã được tìm ra vào năm 2007.

Hỏi(Q): Trend Micro gần đây đã chyển sang một dịch vụ'trong đám mây'. Chắn chắn các phương pháp an ninh truyềnthống vẫn còn đủ hiệu quả chứ?

Trả lời (A): Trongcông việc chống virus, chúng ta đã từng lừa dối cáckhách hàng 20 năm nay. Mọi người đã nghĩ rằng sự bảovệ khỏi virus đã bảo vệ họ, nhưng chúng ta không baogiờ có thể khoá tất cả các virus được. Sự làm tươimới cho việc chống virus được sử dụng cho mỗi 24 giờđồng hồ. Mọi người thường có thể bị lây nhiễmtrong thời gian đó và nền công nghiệp này có thể làmsạch chúng với một tệp mẫu mới.

Trong20 năm qua, chúng ta đã và đang mô tả sai cho chính chúngta. Không ai có khả năng bảo vệ cho 5,5 triệu virus được.Ngày nay chưa có sự bột phát virus hàng loạt, [phần mềmđộc hại] là mục tiêu. Nhưng, nếu sẽ không có các vídụ mẫu về virus được đề xuất, thì sẽ không cócách nào để dò tìm ra chúng.

Nhưngcòn về các nhà phân tích sử dụng các phương pháp khácthì sao? Bạn không cần dựa chỉ vào việc chống virus.

EvaChen, chief executive of Trend Micro, has strong views about howeffective the antivirus industry has been over the past 20 years.

Accordingto Chen, the security industry has over-hyped how effective itsproducts are — and so has been misleading customers — for years.

Chenbelieves that no single company can offer adequateprotection against the sheer volume of new viruses that are beingchurned out by cybercriminals. According to the security industry,five and a half million new samples were detected in 2007.

Q:Trend Micro has recently movedto an 'in-the-cloud' service. Surely traditional security methodsare still effective enough?

A:In the antivirus business, we have been lying to customers for 20years. People thought that virus protection protected them, but wecan never block all viruses. Antivirus refresh used to be every 24hours. People would usually get infected in that time and theindustry would clean them up with a new pattern file.

Inthe last 20 years, we have been misrepresenting ourselves. No-one isable to detect five and a half million viruses. Nowadays there are nomass virus outbreaks; [malware] is targeted. But, if there are novirus samples submitted, there's no way to detect them.

Buthow about analysis using other methods? You don't need to rely solelyon antivirus.
Mỗi năm có một từ thôngdụng mới về nền công nghiệp này, nhưng chúng luôn thấtbại. Phương pháp giải quyết vấn đề bằng cách đánhgiá kinh nghiệm sử dụng một qui định để điều tratệp này, nhưng những người viết virus biết điều này.Họ chia chương trình độc hại đầy đủ thành các tệpkhác nhau, và tải mỗi tệp về đẻ kiểm thử nó chốnglại qui định của phương pháp này. Mỗi tệp nhìn có vẻngây thơ, nhưng khi kết hợp lại, chúng trở thành mộtvirus.

Ba năm trước, từthông dụng này từng là “các tường lửa cá nhân”,nhưng bạn không thể khoá được mọi thứ. Để có mộttường lửa cá nhân có hiệu quả, bạn có thể phảikhoá cổng 80, nhưng siêu tài liệu HTTP sử dụng cổng 80.Nếu bạn khoá nó, thì không ai có thể sử dụng Internet.

Các hệ thống phòngngừa truy cập trái phép dựa trên máy chủ (HIPS) có nhiềuqui định để nói nếu ứng dụng này đang cố gắng độngchạm tới ứng dụng khác. Việc theo dõi hành vi của HIPS đòi hỏi các tệp phải được chạy, nên những ngườiviết virus chắc chắn họ tránh được các qui định.

Nên liệu máy tính'trong đám mây' cũng sẽ từ sự cường điệu y hệt thếnày chăng?

Trend Micro đã đi sangmáy tính đám mây vì điều này là cần thiết. Thườngthì, các tin tặc bây giờ thâm nhập các website. Khi mộtngười sử dụng nháy vào một URL thì họ được địnhtuyến lại tới một site chứa phần mềm độc hại. Họtải về những thành phần đầu tiên, thường một ngườitải về, mà người này tải về nhiều hơn nữa cácthành phần và một trình biên dịch lại.

Everyyear there's a new industry buzzword, but they always fail.Heuristics use a rule to inspect the file, but virus writers knowthis. They split the complete malicious program into different files,and download each file to test it against the heuristic rule. Eachfile looks innocent but, when combined, they become a virus.

Threeyears ago, the buzzword was 'personal firewalls', but you can't blockeverything. To have an effective personal firewall, you'd have toblock port 80, but HTTP uses port 80. If you blocked that, no-onecould use [the internet].

HIPS[host-based intrusion-prevention systems] have a lot of rules to tellif this application is trying to touch another application. HIPSbehavioural monitoring requires files to be executed, so viruswriters make sure they evade the rules.

Soisn't 'in-the-cloud' computing suffering f-rom the same hype?

TrendMicro has gone to cloud computing because it's a necessity. Usually,hackers now infiltrate websites. When a user clicks on a URL they areredirected to a malware-hosting site. They download the firstcomponents, usually a downloader, which downloads more components anda recompiler.

2site của Trend Micro đã bị thâm nhập hồi tháng 3, đúngkhông?

Điều đó chỉ rarằng vấn đề này là của mọi người. Các website củachúng tôi được thuê làm gia công và, trong mã nguồn củawebsite có nhiều lệnh mà có thể bị tổn thương. Mộtkẻ tấn công có thể chèn một khung điện tử (Iframe)thông qua sự ánh xạ SQL. Đây từng là một cuộc tấncông ánh xạ Iframe lên trang mà chúng tôi thuê gia côngngoài cho một lập trình viên. Tôi không biết công ty nàophát triển nó.

Ôngcó biết ai đã tấn công các site của Trend Micro không?

Chúng tôi không biếtai đã làm. Đây từng là một cuộc tấn công số lượnglớn – 20,000 site – nên rất khó để theo dõi.

TrendMicro đang trong quá trình của một vụ kiện chống lạiBarracuda Network vè một tranh cãi bằng sáng chế. VìBarracuda sử dụng máy ClamAV nguồn mở, từng có sự khôngan tâm trong cộng đồng nguồn mở rằng bất kỳ công tynào mà kết hợp ClamAV vào trong một sản phẩm cổng-anninh sẽ bị kiện bởi Trend Micro, trường hợp này cóđúng thế không?

Tôi đang kiệnBarracuda, chứ không kiện ClamAV. Bằng sáng chế này lf vềcách để dừng các virus trong truyền dẫn. Chúng tôi buônbán các bằng sáng chế với IBM và Symantec, và thiết lậpvới McAfee khi chúng có liên quan tới mạng. Chúng tôithắng vụ kiện với Fortinet. Chúng tôi tôn trọng sở hữutrí tuệ của những người khác. Chúng tôi chỉ muốn mọingười cũng tôn trọng của chúng tôi. Điều này chẳngcó gì phải làm với phần mềm tự do cả. Nó là về sựtriển khai cài đặt.

TwoTrend Micro sites were infiltratedin March, weren't they?

Thatshows that it's everybody's problem. Our websites were outsourcedand, in [website code], there are a lot of commands that can becompromised. An attacker can in-sert an Iframe through SQL injection.It was an Iframe-injection attack on the page we outsourced to adeveloper. I don't know which development company it was.

Doyou know who attacked the Trend Micro sites?

Wedon't know who did it. It was a mass attack — 20,000 sites — sovery hard to trace.

TrendMicro is in the process of a lawsuitagainst Barracuda Networks over a patent dispute. As Barracudauses the open-source ClamAV engine, there has been disquiet in theopen-source community that any company that incorporates ClamAV intoa gateway-security product will be sued by Trend Micro. Is this thecase?

I'msuing Barracuda, not ClamAV. The patent is about how to stop virusesin transmission. We've traded patents with IBM and Symantec, andsettled with McAfee when they were Network Associates. We won thelitigation with Fortinet. We respect other people's intellectualproperty; we just want people to respect ours. This has nothing to dowith free software. It's about the implementation.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com