false positive in aplicatii legitime

Aici puteti sta la un pahar de vorba cu ceilalti membri despre orice subiect.
viorel2005
Membru
Membru
Posts: 208
Joined: 24 May 2008, 09:41

false positive in aplicatii legitime

Post by viorel2005 » 03 Jan 2012, 10:17

Salut!

De ce programul KeyScrambler (http://www.qfxsoftware.com/) nu este detectat false positive, dar acest program
care foloseste WinAPI este detectat false positive(http://www.codeproject.com/KB/cpp/raw_keylogger.aspx),
tinand cont ca este o aplicatie WinAPI. Am ramsa surprins sa vad ca Bitdefender(dar e posibili si alti antivirusi de top) sa
fie suspiciosi la aplicatii simple folosind WinAPI, iar aplicatii avansate care ar putea fi Key loggere foarte bune(aplicarea tehnicilor aplicatiei KeyScrambler)
sa treaca neobservate. Nu este corect sa creezi pentru unele aplicatii exceptii, iar altele sa treaca neobservate si care fac acelasi lucru.



tudor_t
Membru
Membru
Posts: 112
Joined: 26 Aug 2007, 15:11

Re: false positive in aplicatii legitime

Post by tudor_t » 03 Jan 2012, 10:26

Nu e de mirare - cel mai probabil cei de la KeyScrambler fiind o aplicatie comerciala au avut grija sa contacteze principalii producatori de antivirusi pentru a adauga aplicatia la lista celor safe, in timp ce cineva ce scrie un articol pe Codeproject normal ca nu o sa faca asta, si orice program gen keylogger va fi detectat cu usurinta..

User avatar
Ovidiu Cucu
Fondator
Fondator
Posts: 3778
Joined: 11 Jul 2007, 16:10
Judet: Iaşi
Location: Iasi
Contact:

Re: false positive in aplicatii legitime

Post by Ovidiu Cucu » 03 Jan 2012, 12:28

Aha, deci se poate face un keylogger si mai simplu decat cu un low level keyboard hook! :)
Asta e... problema nu e daca poti sa-l faci, ci cum il faci ca sa nu-i dea de cap orice antivirus.

User avatar
bu7ch3r
Membru++
Membru++
Posts: 326
Joined: 17 May 2011, 15:17
Judet: Iaşi
Location: Sofia
Contact:

Re: false positive in aplicatii legitime

Post by bu7ch3r » 03 Jan 2012, 13:59

tudor_t wrote:Nu e de mirare - cel mai probabil cei de la KeyScrambler fiind o aplicatie comerciala au avut grija sa contacteze principalii producatori de antivirusi pentru a adauga aplicatia la lista celor safe, in timp ce cineva ce scrie un articol pe Codeproject normal ca nu o sa faca asta, si orice program gen keylogger va fi detectat cu usurinta..
Cei de la QFX cred ca nu si-au batut capul sa-i anunte pe toti producatorii de antivirus ci doar pe GlobalSign, autoritatea care a semnat/emis semnaturile digitale. Asta-i smecharia defapt: digital signature :)
Cu stima,
Lupu Claudiu

viorel2005
Membru
Membru
Posts: 208
Joined: 24 May 2008, 09:41

Re: false positive in aplicatii legitime

Post by viorel2005 » 03 Jan 2012, 15:47

Vrei sa spui ca o aplicatie semnata digital nu va fi vazuta ca virus de antivirus?
Ar fi cea mai mare greseala, deoarece o aplicatie spyware/malware se poate ascunde intr-o aplicatie legitima.
Pe de alta parte, ar insemna ca pe viitor numarul de alarme false positive se va inmulti. De ce trebuie fiecare
sa cumparam un certificat pentru fiecare aplicatie?
Probabil este un bussiness intre companiile antivirus si GlobalSign, ca tot mai multe firme sa cumpere certificate digitale.
Nu este moral ceea ce fac.

Ovidiu, multumesc pentru link.
Totusi, intrebarea ramane: cum reuseste KeyScrambler sa functioneze tinand cont ca o aplicatie Key Logger nu poate anula
protectia. Aplicatia Keyscrambler nu ofera facilitatea ca atunci cand sunt mai multe Key Logger intr-o companie, cel oficial
sa poata inregistra angajatul, celalalte sa inregistreze ceea ce ofera Key Scrambler.

User avatar
bu7ch3r
Membru++
Membru++
Posts: 326
Joined: 17 May 2011, 15:17
Judet: Iaşi
Location: Sofia
Contact:

Re: false positive in aplicatii legitime

Post by bu7ch3r » 03 Jan 2012, 16:54

Vrei sa spui ca o aplicatie semnata digital nu va fi vazuta ca virus de antivirus?
Da, chiar asta vreau sa spun. Daca semnezi esti Dumnezeu, dar ca sa semnezi chiar trebuie sa fii Dumnezeu;) Nici macar DEP-ul de la Windows nu mai reactioneaza.
Ar fi cea mai mare greseala, deoarece o aplicatie spyware/malware se poate ascunde intr-o aplicatie legitima.
Cum se poate ascunde? Daca alterezi executabilul dupa semnare antivirusul tipa pentru ca exe-ul nu mai are acelasi hash,size,... ca inainte.
Pai este un bussiness, dar nu o conspiratie :)
Aplicatia Keyscrambler nu ofera facilitatea ca atunci cand sunt mai multe Key Logger intr-o companie, cel oficial
sa poata inregistra angajatul, celalalte sa inregistreze ceea ce ofera Key Scrambler.
Nu e chiar util sa urmaresti angajatul cu keylogger-ul decat daca vrei neaparat sa vezi ce vrobeste cu sotia/iubita/iubitu/copilu... Mai degraba ii faci captura la ecran din 5 in 5 minute:-??
Cu stima,
Lupu Claudiu

User avatar
Ovidiu Cucu
Fondator
Fondator
Posts: 3778
Joined: 11 Jul 2007, 16:10
Judet: Iaşi
Location: Iasi
Contact:

Re: false positive in aplicatii legitime

Post by Ovidiu Cucu » 03 Jan 2012, 20:04

bu7ch3r wrote: Daca semnezi esti Dumnezeu, dar ca sa semnezi chiar trebuie sa fii Dumnezeu;)
Probabil de aceea antivirusii nu prea se tolereaza unul pe celalalt. Fiecare e Dumnezeu, iar Dumnezeu este numai Unul. :biggrin:

User avatar
bu7ch3r
Membru++
Membru++
Posts: 326
Joined: 17 May 2011, 15:17
Judet: Iaşi
Location: Sofia
Contact:

Re: false positive in aplicatii legitime

Post by bu7ch3r » 03 Jan 2012, 20:39

Mai este o solutie, chiar e plin net-ul de retete... Plecand de la principiul ca "virusii n-au facut facultatea de electronica", luam un EPROM, un micut microcontroler, un quarz, un condensator doi pe acolo, o rezistenta, maxim 200 de linii de cod(cu tot cu aplicatia care sa interpeteze datele) si gata treaba, toata lumea o sa fie fericitita, detectie... 0(zero)( asta daca pui ansamblul direct in interiorul tastaturii:p ) :))
Cu stima,
Lupu Claudiu

User avatar
Ovidiu Cucu
Fondator
Fondator
Posts: 3778
Joined: 11 Jul 2007, 16:10
Judet: Iaşi
Location: Iasi
Contact:

Re: false positive in aplicatii legitime

Post by Ovidiu Cucu » 03 Jan 2012, 20:58

Mai Claudiu, nici asta nu-i 100% safe.
Cine-a facut facultatea de electronica, stie ca oricand poate veni un virusaki cu lampa de ultraviolete, sa stearga EPROM-urile. :biggrin:

User avatar
Silviu Ardelean
Senior
Senior
Posts: 1175
Joined: 12 Jul 2007, 09:22
Judet: Timiş
Location: Timisoara
Contact:

Re: false positive in aplicatii legitime

Post by Silviu Ardelean » 03 Jan 2012, 22:16

bu7ch3r wrote:
Vrei sa spui ca o aplicatie semnata digital nu va fi vazuta ca virus de antivirus?
Ar fi cea mai mare greseala, deoarece o aplicatie spyware/malware se poate ascunde intr-o aplicatie legitima.
Cum se poate ascunde? Daca alterezi executabilul dupa semnare antivirusul tipa pentru ca exe-ul nu mai are acelasi hash,size,... ca inainte.
Pai este un bussiness, dar nu o conspiratie :)
Si totusi, scapari exista. :)
A se vedea povestea viermelui Stuxnet pentru care s-au folosit doua semnaturi digitale furate de la JMicron si Realtek, iar toata "protectia de business" a fost depasita fiind nevoie de anularea lor de catre VeriSign (nu inainte ca viermele sa-si faca de cap).

viorel2005
Membru
Membru
Posts: 208
Joined: 24 May 2008, 09:41

Re: false positive in aplicatii legitime

Post by viorel2005 » 04 Jan 2012, 10:17

Am vazut ca puterea virusului Duqu rezida in usurinta cu care aplicatiile certificate isi pot face de cap in sistem.
Practic, daca o aplicatie este certificata atunci ea isi poate face de cap in sistemul tau.
Platesti o suita de securitate pentru a detecta aplicatii necertificate. Si nu spune acest lucru nici un producator de antivirusi.
Toti se lauda ca ofera o protectie si o scanare rapida. E mai usor sa vezi daca o aplicatie este certificata(timp de executie)
decat sa vezi daca este un virus. Si uite asa iau fata concurentei cu timp de scanare foarte rapid. E incredibil cat de mult poate varia timpul
de scanare intre diferite versiuni/suite.
Aplicatia KeyScrambler ar fi trebuit detectata ca un Key logger si utilizatorul sa dea o exceptie.
Din pacate, vad ca producatorii de antivirusi sunt mai interesati sa isi vanda produsul si sa ocupe un loc
cu false positive cat mai mici. Mai mult, protectia corporate este diferita de cea a utilizatorului(vezi Symantec vs Norton),
avand engine-uri diferite.

viorel2005
Membru
Membru
Posts: 208
Joined: 24 May 2008, 09:41

Re: false positive in aplicatii legitime

Post by viorel2005 » 04 Jan 2012, 10:37

Si se poate merge mai departe. De pe wikipedia(http://en.wikipedia.org/wiki/Norton_AntiVirus):
PIFTS.exe
On March 9, 2009, some users of Norton AntiVirus 2006 and 2007 experienced a firewall warning stating a Norton-associated file, "PIFTS.exe", was trying to connect to the Internet.[62] Although this file was revealed to be a harmless diagnostic patch, the program gained attention in the media when Symantec removed posts from their forum concerning PIFTS. With no information available about the purpose of the program there was speculation that the program was malware or a backdoor.[63]
The SANS Internet Storm Center claimed to have spoken to a Symantec employee who has confirmed that "the program is theirs, part of the update process and not intended to do harm."[64] Graham Cluley, a consultant from antivirus vendor Sophos found PIFTS connected to a Symantec server, forwarding product and computer information.[65]
On March 10, Symantec made an official response to the PIFTS program, claiming posts in the support forum were deleted due to forum spam rules; however the deletion of PIFTS-related posts began before the spam attacks.[66] Symantec stated PIFTS itself was a diagnostic patch.[63] Cole stated the purpose of the update was to help determine how many customers would need to be migrated to Windows 7-compatible versions of Norton AntiVirus. PIFTS apparently was released without a digital signature to verify its identity, causing firewalls to prompt for permission when it attempted to connect to the Internet.[67]
Consumer complaints
Symantec has been criticized by some consumers for perceived ethical violations, including allegations that support technicians would tell customers that their systems were infected and needed a technician to resolve it remotely for an extra fee, then refuse to refund when the customers alleged their systems had not actually been infected
http://www.consumeraffairs.com/computers/norton.html

User avatar
Silviu Ardelean
Senior
Senior
Posts: 1175
Joined: 12 Jul 2007, 09:22
Judet: Timiş
Location: Timisoara
Contact:

Re: false positive in aplicatii legitime

Post by Silviu Ardelean » 04 Jan 2012, 10:44

viorel2005 wrote:Aplicatia KeyScrambler ar fi trebuit detectata ca un Key logger si utilizatorul sa dea o exceptie.
De ce?
KeyScrambler
Protects your secrets from keyloggers & keylogging malware attacking your computer.
The advanced key-encryption method keeps your keystrokes scrambled and indecipherable while they travel from your keyboard to the destination app.
The encryption of your keystroke stream is displayed realtime in the unobtrusive user interface so you know how and when KeyScrambler is working.

viorel2005
Membru
Membru
Posts: 208
Joined: 24 May 2008, 09:41

Re: false positive in aplicatii legitime

Post by viorel2005 » 04 Jan 2012, 23:03

Silviu Ardelean wrote:
viorel2005 wrote:Aplicatia KeyScrambler ar fi trebuit detectata ca un Key logger si utilizatorul sa dea o exceptie.
De ce?
KeyScrambler
Protects your secrets from keyloggers & keylogging malware attacking your computer.
The advanced key-encryption method keeps your keystrokes scrambled and indecipherable while they travel from your keyboard to the destination app.
The encryption of your keystroke stream is displayed realtime in the unobtrusive user interface so you know how and when KeyScrambler is working.

Simplu. Aplicatia Keyscrambler nu detecteaza un key logger si te protejeaza de efectul lui. Nici macar nu te anunta ca ai unul in sistem. Un antivirus te anunta
daca ai o aplicatie key logger si o elimina. Problema e ca o astfel de aplicatie poate fi usor transformata intr-un key logger si antivirusul nu o detecteaza
pentru ca e certificata.

0ptr
Membru
Membru
Posts: 71
Joined: 01 Feb 2011, 23:27
Judet: Ilfov

Re: false positive in aplicatii legitime

Post by 0ptr » 05 Jan 2012, 00:16

viorel2005 wrote:
Silviu Ardelean wrote:
viorel2005 wrote:Aplicatia KeyScrambler ar fi trebuit detectata ca un Key logger si utilizatorul sa dea o exceptie.
De ce?
KeyScrambler
Protects your secrets from keyloggers & keylogging malware attacking your computer.
The advanced key-encryption method keeps your keystrokes scrambled and indecipherable while they travel from your keyboard to the destination app.
The encryption of your keystroke stream is displayed realtime in the unobtrusive user interface so you know how and when KeyScrambler is working.

Simplu. Aplicatia Keyscrambler nu detecteaza un key logger si te protejeaza de efectul lui. Nici macar nu te anunta ca ai unul in sistem. Un antivirus te anunta
daca ai o aplicatie key logger si o elimina. Problema e ca o astfel de aplicatie poate fi usor transformata intr-un key logger si antivirusul nu o detecteaza
pentru ca e certificata.
Cred ca Silviu a subliniat ce era de subliniat.
Aplicatia nu e un detector de key loggere... e un layer ce cripteaza informatia de la dispozitivele de input (tastatura, mouse, etc) pana la aplicatia destinatie, a.i. un eventual key logger sa se spele pe cap cu informatia criptata.
Problema e ca o astfel de aplicatie poate fi usor transformata intr-un key logger si antivirusul nu o detecteaza pentru ca e certificata.
Cum? Furi certificatul digital al celor de la QFX Software? :keeporder:

Post Reply