Page 1 of 2

false positive in aplicatii legitime

Posted: 03 Jan 2012, 10:17
by viorel2005
Salut!

De ce programul KeyScrambler (http://www.qfxsoftware.com/) nu este detectat false positive, dar acest program
care foloseste WinAPI este detectat false positive(http://www.codeproject.com/KB/cpp/raw_keylogger.aspx),
tinand cont ca este o aplicatie WinAPI. Am ramsa surprins sa vad ca Bitdefender(dar e posibili si alti antivirusi de top) sa
fie suspiciosi la aplicatii simple folosind WinAPI, iar aplicatii avansate care ar putea fi Key loggere foarte bune(aplicarea tehnicilor aplicatiei KeyScrambler)
sa treaca neobservate. Nu este corect sa creezi pentru unele aplicatii exceptii, iar altele sa treaca neobservate si care fac acelasi lucru.

Re: false positive in aplicatii legitime

Posted: 03 Jan 2012, 10:26
by tudor_t
Nu e de mirare - cel mai probabil cei de la KeyScrambler fiind o aplicatie comerciala au avut grija sa contacteze principalii producatori de antivirusi pentru a adauga aplicatia la lista celor safe, in timp ce cineva ce scrie un articol pe Codeproject normal ca nu o sa faca asta, si orice program gen keylogger va fi detectat cu usurinta..

Re: false positive in aplicatii legitime

Posted: 03 Jan 2012, 12:28
by Ovidiu Cucu
Aha, deci se poate face un keylogger si mai simplu decat cu un low level keyboard hook! :)
Asta e... problema nu e daca poti sa-l faci, ci cum il faci ca sa nu-i dea de cap orice antivirus.

Re: false positive in aplicatii legitime

Posted: 03 Jan 2012, 13:59
by bu7ch3r
tudor_t wrote:Nu e de mirare - cel mai probabil cei de la KeyScrambler fiind o aplicatie comerciala au avut grija sa contacteze principalii producatori de antivirusi pentru a adauga aplicatia la lista celor safe, in timp ce cineva ce scrie un articol pe Codeproject normal ca nu o sa faca asta, si orice program gen keylogger va fi detectat cu usurinta..
Cei de la QFX cred ca nu si-au batut capul sa-i anunte pe toti producatorii de antivirus ci doar pe GlobalSign, autoritatea care a semnat/emis semnaturile digitale. Asta-i smecharia defapt: digital signature :)

Re: false positive in aplicatii legitime

Posted: 03 Jan 2012, 15:47
by viorel2005
Vrei sa spui ca o aplicatie semnata digital nu va fi vazuta ca virus de antivirus?
Ar fi cea mai mare greseala, deoarece o aplicatie spyware/malware se poate ascunde intr-o aplicatie legitima.
Pe de alta parte, ar insemna ca pe viitor numarul de alarme false positive se va inmulti. De ce trebuie fiecare
sa cumparam un certificat pentru fiecare aplicatie?
Probabil este un bussiness intre companiile antivirus si GlobalSign, ca tot mai multe firme sa cumpere certificate digitale.
Nu este moral ceea ce fac.

Ovidiu, multumesc pentru link.
Totusi, intrebarea ramane: cum reuseste KeyScrambler sa functioneze tinand cont ca o aplicatie Key Logger nu poate anula
protectia. Aplicatia Keyscrambler nu ofera facilitatea ca atunci cand sunt mai multe Key Logger intr-o companie, cel oficial
sa poata inregistra angajatul, celalalte sa inregistreze ceea ce ofera Key Scrambler.

Re: false positive in aplicatii legitime

Posted: 03 Jan 2012, 16:54
by bu7ch3r
Vrei sa spui ca o aplicatie semnata digital nu va fi vazuta ca virus de antivirus?
Da, chiar asta vreau sa spun. Daca semnezi esti Dumnezeu, dar ca sa semnezi chiar trebuie sa fii Dumnezeu;) Nici macar DEP-ul de la Windows nu mai reactioneaza.
Ar fi cea mai mare greseala, deoarece o aplicatie spyware/malware se poate ascunde intr-o aplicatie legitima.
Cum se poate ascunde? Daca alterezi executabilul dupa semnare antivirusul tipa pentru ca exe-ul nu mai are acelasi hash,size,... ca inainte.
Pai este un bussiness, dar nu o conspiratie :)
Aplicatia Keyscrambler nu ofera facilitatea ca atunci cand sunt mai multe Key Logger intr-o companie, cel oficial
sa poata inregistra angajatul, celalalte sa inregistreze ceea ce ofera Key Scrambler.
Nu e chiar util sa urmaresti angajatul cu keylogger-ul decat daca vrei neaparat sa vezi ce vrobeste cu sotia/iubita/iubitu/copilu... Mai degraba ii faci captura la ecran din 5 in 5 minute:-??

Re: false positive in aplicatii legitime

Posted: 03 Jan 2012, 20:04
by Ovidiu Cucu
bu7ch3r wrote: Daca semnezi esti Dumnezeu, dar ca sa semnezi chiar trebuie sa fii Dumnezeu;)
Probabil de aceea antivirusii nu prea se tolereaza unul pe celalalt. Fiecare e Dumnezeu, iar Dumnezeu este numai Unul. :biggrin:

Re: false positive in aplicatii legitime

Posted: 03 Jan 2012, 20:39
by bu7ch3r
Mai este o solutie, chiar e plin net-ul de retete... Plecand de la principiul ca "virusii n-au facut facultatea de electronica", luam un EPROM, un micut microcontroler, un quarz, un condensator doi pe acolo, o rezistenta, maxim 200 de linii de cod(cu tot cu aplicatia care sa interpeteze datele) si gata treaba, toata lumea o sa fie fericitita, detectie... 0(zero)( asta daca pui ansamblul direct in interiorul tastaturii:p ) :))

Re: false positive in aplicatii legitime

Posted: 03 Jan 2012, 20:58
by Ovidiu Cucu
Mai Claudiu, nici asta nu-i 100% safe.
Cine-a facut facultatea de electronica, stie ca oricand poate veni un virusaki cu lampa de ultraviolete, sa stearga EPROM-urile. :biggrin:

Re: false positive in aplicatii legitime

Posted: 03 Jan 2012, 22:16
by Silviu Ardelean
bu7ch3r wrote:
Vrei sa spui ca o aplicatie semnata digital nu va fi vazuta ca virus de antivirus?
Ar fi cea mai mare greseala, deoarece o aplicatie spyware/malware se poate ascunde intr-o aplicatie legitima.
Cum se poate ascunde? Daca alterezi executabilul dupa semnare antivirusul tipa pentru ca exe-ul nu mai are acelasi hash,size,... ca inainte.
Pai este un bussiness, dar nu o conspiratie :)
Si totusi, scapari exista. :)
A se vedea povestea viermelui Stuxnet pentru care s-au folosit doua semnaturi digitale furate de la JMicron si Realtek, iar toata "protectia de business" a fost depasita fiind nevoie de anularea lor de catre VeriSign (nu inainte ca viermele sa-si faca de cap).

Re: false positive in aplicatii legitime

Posted: 04 Jan 2012, 10:17
by viorel2005
Am vazut ca puterea virusului Duqu rezida in usurinta cu care aplicatiile certificate isi pot face de cap in sistem.
Practic, daca o aplicatie este certificata atunci ea isi poate face de cap in sistemul tau.
Platesti o suita de securitate pentru a detecta aplicatii necertificate. Si nu spune acest lucru nici un producator de antivirusi.
Toti se lauda ca ofera o protectie si o scanare rapida. E mai usor sa vezi daca o aplicatie este certificata(timp de executie)
decat sa vezi daca este un virus. Si uite asa iau fata concurentei cu timp de scanare foarte rapid. E incredibil cat de mult poate varia timpul
de scanare intre diferite versiuni/suite.
Aplicatia KeyScrambler ar fi trebuit detectata ca un Key logger si utilizatorul sa dea o exceptie.
Din pacate, vad ca producatorii de antivirusi sunt mai interesati sa isi vanda produsul si sa ocupe un loc
cu false positive cat mai mici. Mai mult, protectia corporate este diferita de cea a utilizatorului(vezi Symantec vs Norton),
avand engine-uri diferite.

Re: false positive in aplicatii legitime

Posted: 04 Jan 2012, 10:37
by viorel2005
Si se poate merge mai departe. De pe wikipedia(http://en.wikipedia.org/wiki/Norton_AntiVirus):
PIFTS.exe
On March 9, 2009, some users of Norton AntiVirus 2006 and 2007 experienced a firewall warning stating a Norton-associated file, "PIFTS.exe", was trying to connect to the Internet.[62] Although this file was revealed to be a harmless diagnostic patch, the program gained attention in the media when Symantec removed posts from their forum concerning PIFTS. With no information available about the purpose of the program there was speculation that the program was malware or a backdoor.[63]
The SANS Internet Storm Center claimed to have spoken to a Symantec employee who has confirmed that "the program is theirs, part of the update process and not intended to do harm."[64] Graham Cluley, a consultant from antivirus vendor Sophos found PIFTS connected to a Symantec server, forwarding product and computer information.[65]
On March 10, Symantec made an official response to the PIFTS program, claiming posts in the support forum were deleted due to forum spam rules; however the deletion of PIFTS-related posts began before the spam attacks.[66] Symantec stated PIFTS itself was a diagnostic patch.[63] Cole stated the purpose of the update was to help determine how many customers would need to be migrated to Windows 7-compatible versions of Norton AntiVirus. PIFTS apparently was released without a digital signature to verify its identity, causing firewalls to prompt for permission when it attempted to connect to the Internet.[67]
Consumer complaints
Symantec has been criticized by some consumers for perceived ethical violations, including allegations that support technicians would tell customers that their systems were infected and needed a technician to resolve it remotely for an extra fee, then refuse to refund when the customers alleged their systems had not actually been infected
http://www.consumeraffairs.com/computers/norton.html

Re: false positive in aplicatii legitime

Posted: 04 Jan 2012, 10:44
by Silviu Ardelean
viorel2005 wrote:Aplicatia KeyScrambler ar fi trebuit detectata ca un Key logger si utilizatorul sa dea o exceptie.
De ce?
KeyScrambler
Protects your secrets from keyloggers & keylogging malware attacking your computer.
The advanced key-encryption method keeps your keystrokes scrambled and indecipherable while they travel from your keyboard to the destination app.
The encryption of your keystroke stream is displayed realtime in the unobtrusive user interface so you know how and when KeyScrambler is working.

Re: false positive in aplicatii legitime

Posted: 04 Jan 2012, 23:03
by viorel2005
Silviu Ardelean wrote:
viorel2005 wrote:Aplicatia KeyScrambler ar fi trebuit detectata ca un Key logger si utilizatorul sa dea o exceptie.
De ce?
KeyScrambler
Protects your secrets from keyloggers & keylogging malware attacking your computer.
The advanced key-encryption method keeps your keystrokes scrambled and indecipherable while they travel from your keyboard to the destination app.
The encryption of your keystroke stream is displayed realtime in the unobtrusive user interface so you know how and when KeyScrambler is working.

Simplu. Aplicatia Keyscrambler nu detecteaza un key logger si te protejeaza de efectul lui. Nici macar nu te anunta ca ai unul in sistem. Un antivirus te anunta
daca ai o aplicatie key logger si o elimina. Problema e ca o astfel de aplicatie poate fi usor transformata intr-un key logger si antivirusul nu o detecteaza
pentru ca e certificata.

Re: false positive in aplicatii legitime

Posted: 05 Jan 2012, 00:16
by 0ptr
viorel2005 wrote:
Silviu Ardelean wrote:
viorel2005 wrote:Aplicatia KeyScrambler ar fi trebuit detectata ca un Key logger si utilizatorul sa dea o exceptie.
De ce?
KeyScrambler
Protects your secrets from keyloggers & keylogging malware attacking your computer.
The advanced key-encryption method keeps your keystrokes scrambled and indecipherable while they travel from your keyboard to the destination app.
The encryption of your keystroke stream is displayed realtime in the unobtrusive user interface so you know how and when KeyScrambler is working.

Simplu. Aplicatia Keyscrambler nu detecteaza un key logger si te protejeaza de efectul lui. Nici macar nu te anunta ca ai unul in sistem. Un antivirus te anunta
daca ai o aplicatie key logger si o elimina. Problema e ca o astfel de aplicatie poate fi usor transformata intr-un key logger si antivirusul nu o detecteaza
pentru ca e certificata.
Cred ca Silviu a subliniat ce era de subliniat.
Aplicatia nu e un detector de key loggere... e un layer ce cripteaza informatia de la dispozitivele de input (tastatura, mouse, etc) pana la aplicatia destinatie, a.i. un eventual key logger sa se spele pe cap cu informatia criptata.
Problema e ca o astfel de aplicatie poate fi usor transformata intr-un key logger si antivirusul nu o detecteaza pentru ca e certificata.
Cum? Furi certificatul digital al celor de la QFX Software? :keeporder: