През миналата седмица ви предадохме за открита в програма за антивирусна защита критична слабост. Ставаше дума за Cylance Protect. Това, което е характерно за компанията, чиито собственик е BlackBerry, е че тя доставя продукт за сигурност от ново поколение, който използва изкуствен интелект. Основният модул на програмата се възползва от силата на машинното обучение, достиженията в областта на Big Data и облачните технологии. За разлика от традиционните антивирусни програми, изчисленията на програми, като Protect биват извършвани не локално, а в облака, което прави софтуера лек и по-лесен за използване от традиционните сигнатурно-базирани решения за сигурност.

Двама разработчици от Skylight Cyber обаче успяват да подлъжат Protect да счита над 80% от зловредните файлове, подавани към нея за безопасни. В изявлението си от миналата седмица разработчиците от Skylight заявиха, че са създали универсален метод, с който могат да подлъжат Protect да обърка почти всеки зловреден файл за безобиден.

Изглежда, че от Cylance имат афинитет към една определена видеоигра. Вероятно при обучението на енджина на програмата те използват стрингове от кодовата ѝ база, за да я „обучат“ да разграничава зловредни от безопасни файлове. От Skylight използват това и добавяйки тези точно определени стрингове към кода в зловредни файлове, те объркват програмата. Това, което беше притеснително в случая обаче, извън новината за самия метод е, че Skylight не уведомяват предварително Cylance за своя експеримент и публикуват доклада без тяхно знание. За щастие, от компанията за защита реагират своевременно и тази седмица те съобщиха, че въпросната слабост вече е поправена. От Cylance отричат това да е „универсален“ метод за компрометиране на софтуера им, а слабостта е просто техника за преодоляване на защитата и се крие само в един от компонентите на Protect.

„Анализът на файл с помощта на машинно обучение е многоетапен процес. По време на този процес файлът бива обработен първо през парсър, който извлича артифакти от файла, които са известни като характеристики. Те могат да са всеки един аспект на файла, които биха могли да бъдат интерпретирани или измерени. Тези характеристики биват след това обработени през математически алгоритъм за анализ. Тази уязвимост позволява манипулацията на специфичен тип характеристика, анализирана от алгоритъма, което в ограничени случаи и при определени обстоятелства ще накара модела да достигне до грешно заключение“, обясняват от Cylance. Компанията е решила да направят съответните промени по ядрото на програмата, което да позволи споменатата манипулация на характеристиката и опити за подправяне на файловете. Cylance вече са публикували и съответното обновление към облачните системи, които обслужват клиентската база на компанията и се очаква в следващите дни те да получат нов клиент на програмата.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за