Terminologia univoca per diversi tipi di malware?

2

Ho notato nelle letterature che non esistono confini esatti per numerosi termini di sicurezza delle informazioni come malware, virus, ecc. Alcuni dicono che il malware è sotto l'ombrello in cui si trovano virus, worm, rootkit e ogni software dannoso. Altri li categorizza come concetti completamente diversi.

Innanzitutto, esiste uno standard che definisce questi termini in un modo non ambiguo?

In secondo luogo, se il malware è l'ombrello per tutti i software dannosi, sto pensando di categorizzarlo in una dicotomia di exploit ed eseguibili. Il primo ha bisogno di vulnerabilità per funzionare e non richiede all'utente di eseguirlo, e quest'ultimo è autonomo e richiede all'utente di eseguirlo. Pensi che questa sarebbe una buona tassonomia o è difettosa?

    
posta Sari 07.02.2018 - 06:00
fonte

2 risposte

7

Terminologia del malware

First, is there a standard defining these terms in an unambiguous way?

Il malware è un termine generico che include qualsiasi ware morbido che esegue azioni mal . Esistono diversi nomi comuni per varie classi di malware. Le definizioni specifiche cambiano spesso nel tempo, come nel caso del termine "virus". Le definizioni comuni per varie forme di malware sono:

  • I virus modificano i programmi esistenti, "infettandoli" in modo che la loro esecuzione inneschi anche la diffusione del virus, fino a quando il computer non viene completamente riempito con software mal intenzionalmente modificato. I veri virus sono abbastanza rari oggi, ma il termine continua ad essere usato come sinonimo di malware.
  • I Trojan si travestono da programmi innocui, come videogiochi o screen saver. Richiedono l'interazione dell'utente da eseguire. Questi sono comuni in torrent.
  • I Worm si diffondono da soli attraverso la rete, spesso sfruttando le vulnerabilità del software nei servizi di rete. Un worm che sfrutta il popolare software può diffondersi estremamente rapidamente. Uno dei primi worm, SQL Slammer, un programma da 376 byte, ha infettato 75.000 computer nei primi 10 minuti. Ha rallentato l'intero Internet proprio come risultato della replica aggressiva.
  • I rootkit sono strumenti per l'escalation dei privilegi di auto-nascondino. Sono progettati per incorporarsi in un sistema con un elevato livello di privilegio, garantendo che nulla che viene eseguito sul computer possa rilevarlo. I rootkit sono spesso in grado di eludere completamente il software antivirus. I rootkit che infettano il processo di avvio per dirottare il sistema all'inizio durante l'avvio del sistema sono spesso chiamati bootkits.
  • Ransomware è vecchio, ma recentemente ha guadagnato popolarità. Il semplice ransomware blocca semplicemente il computer della vittima fino a quando non viene pagato un riscatto. Un ransomware più moderno e sofisticato in realtà crittografa i file e si rifiuta di decodificare fino al pagamento di un riscatto. Spesso questi programmi fanno uno sforzo minimo per evitare la rimozione, poiché il loro lavoro viene eseguito non appena vengono eseguiti per la prima volta.
  • Spyware è una classe di software dannoso che monitora le attività private di un utente e ne riferisce al proprietario dello spyware. Può essere usato da chiunque, dagli stalker ai ladri di identità.
  • L'adware è tra le forme meno dannose di malware. L'adware include qualsiasi software che visualizza o inietta annunci pubblicitari su un computer. È considerato dannoso quando viene installato senza consenso o tenta di evitare la rimozione. È comunemente implementato come barra degli strumenti del browser.

Il malware può appartenere a più classi. Un programma che si diffonde sulla rete e si incorpora nel kernel per la persistenza sarebbe, ad esempio, sia un worm che un rootkit.

Exploits vs executables

Second, in case malware is the umbrella for all harmful softwares, I am thinking of categorizing it into a dichotomy of exploits and executables.

Gli exploit non sono malevoli. Un exploit è qualsiasi cosa tenti di utilizzare una vulnerabilità di sicurezza per violare la riservatezza, l'integrità o la disponibilità di un servizio o di un'attività. Il malware sofisticato, in particolare i worm, può contenere exploit per rompere le barriere di sicurezza da diffondere. Tuttavia, tutto il malware rientrerebbe nella classificazione degli eseguibili, poiché sono tutti ware (o almeno un codice eseguibile, come nel caso dello shellcode che non è un file eseguibile da solo, ma piuttosto è iniettato in un processo in esecuzione).

Ciò che sembra descrivere è la differenza tra un worm o un exploit del browser (in grado di diffondersi con poca o nessuna interazione) e un trojan (richiede l'interazione dell'utente per innescare l'infezione). Questa tassonomia non aggiunge nulla alla situazione esistente. Migliorare la terminologia non è particolarmente necessario, poiché questi termini tendono ad essere descrizioni casuali di comportamenti generalmente malevoli.

    
risposta data 07.02.2018 - 06:31
fonte
3

First, is there a standard defining these terms in an unambiguous way?

Non che io sappia. È semplicemente che i termini si sono evoluti nel tempo con l'emergere di nuovi tipi di malware e altri hanno perso importanza. E dato che i cambiamenti nel panorama delle minacce sono ancora in corso, questi termini probabilmente si evolveranno anche in futuro. Inoltre, i vari termini descrivono aspetti diversi: Ransomware, Adware o Spyware descrivono l'impatto, Trojan e Worm descrivono come viene consegnato, Rootkit descrive dove risiede nella vittima ecc.

Do you think this would be a good taxonomy or flawed?

Qualunque tassonomia tu usi probabilmente sarà influenzata da alcuni aspetti specifici o sarà eccessivamente complessa e inutilizzabile. La tassonomia che proponi si concentra su un singolo aspetto: l'esecuzione automatica e l'esecuzione guidata dall'utente. Potrebbe essere adatto al tuo scopo specifico, ma altri aspetti utili sono il modo in cui viene consegnato un malware, che tipo di impatto ha, se è mirato o meno, che tipo di sistemi prende di mira, se si auto-replica e come ecc.

Quindi, la domanda non è se una tassonomia è buona di per sé. Solo se si conosce il caso d'uso di una tassonomia, si può decidere se si adatta a questo caso d'uso o meno. Poiché il tuo caso d'uso è sconosciuto, non è chiaro se questa sia una buona tassonomia per il tuo caso di utilizzo o meno. Personalmente trovo la tua proposta priva dell'aspetto importante (per me) su come il software arriva all'utente, ma, ancora una volta, potrebbe adattarsi al tuo caso d'uso sconosciuto.

    
risposta data 07.02.2018 - 06:30
fonte

Leggi altre domande sui tag