CrowdStrike, Symantec, ESET i organizacja AMTSO pozwane do sądu przez NSS Labs
#1
Sprawa dotyczy testów i zarzutów dla kilku producentów wobec metodologii, jakie postawiło laboratorium NSS Lab...sprawę potraktowano na tyle  poważnie, że mamy finał w postaci pozwu sądowego. Temat jest także o tyle ciekawy, że odbiegający od zwyczajowych spraw, jakie w sądach lądują, a przy tym wygląda na to, że każda ze stron ma coś za uszami i trudno komuś przyznać teraz rację jednoznacznie. Niemniej NSS Lab wchodziło już w konflikty z dostawcami rozwiązań zabezpieczających czego przykład mamy opisany choćby tu.

Do rzeczy jednak...temat został szeroko omówiony na łamach AVLab i bardzo dobrze, że pokazano tło zagadnienia oraz niejako dwie strony medalu, nie starając się wyrokować, kto w sporze ma rację...to miejmy nadzieję ustali sąd. Poniżej wybrane fragmenty 
Cytat:Jak czytamy na blogu NSS Labs, w dniu 19 września 2018 roku Vikram Phatak, dyrektor generalny NSS Labs, złożył w sądzie pozew antymonopolowy (oficjalny wniosek) przeciwko firmom CrowdStrike, Symantec, ESET oraz tak zwanej organizacji Anti-Malware Testing Standards Organization (AMTSO), której zadaniem jest opracowanie międzynarodowych schematów przeprowadzania testów.
(...)
NSS Labs złożyło pozew przeciwko CrowdStrike, Symantec i ESET, ponieważ firmy te nie tylko ograniczały dostęp do testowania produktów, ale nawet mogło dojść do spisku kilku dostawców, którzy ukrywali wady swoich rozwiązań przed konsumentami, nie pozwalając na niezależne testy.
(...)
Działania firm wymienionych zostały wzmocnione uczestnictwem w organizacji AMTSO, której celem jest ustanowienie standardów „sprawiedliwego testowania”. Niestety metodologia AMTSO nie jest neutralna, ponieważ zapobiega niezależnym i autorskim testom. Co więcej, niektórzy producenci otwarcie bojkotują te laboratoria testujące, które nie spełniają standardów AMTSO — przyczyniają się do blokowania niezależnych testów, które są przeprowadzane w oparciu o inną metodologię niż ta, na którą producenci nie są przygotowani. Ponadto pewni dostawcy, jak na przykład Crowdstrike, podjęli działania mające na celu zapobieżenie weryfikowaniu bezpieczeństwa swoich produktów poprzez umieszczanie klauzul w umowach licencyjnych (EULA). Umowy te pozwalają na testowanie wyłącznie za zgodą producenta. NSS Labs twierdzi, że to nieetyczne zachowanie, które ogranicza przejrzystość i ukrywa wady produktu, o których klient końcowy nigdy się nie dowie. 

A tu komentarz AVLab (spory fragment, ale też nie w całości) Smile
Cytat:W komentarzach pod testami, które przeprowadzamy, często pojawiają się pytania, dlaczego produkt X lub Y nie został przetestowany. Otóż tak naprawdę z kilku powodów, które zawsze są takie same:

Po pierwsze producent może nie wyrazić zgody na testy. Bo nie i już. Odmowa nie zawsze jest uwarunkowana ograniczonym budżetem na takie działa. Przede wszystkim to od nas zależy jakie produkty dobieramy do testów — głównie kierujemy się popularnością rozwiązań w naszym kraju. Nie możemy przetestować wszystkim rozwiązań dostępnych w danym momencie, ponieważ ograniczają nas zasoby serwera dedykowanego, który na raz może obsłużyć około 20-30 uruchomionych stacji roboczych.

Po drugie przyłączamy się do krytyki NSS Labs, argumentując to w następujący sposób:

Najmniej istotnym argumentem jest fakt, że przyłączenie się do organizacji AMTSO nie jest bezpłatne dla firm testujących. Opłata w wysokości 3000 dolarów jest do zaakceptowania, pod warunkiem, że obie strony na tym skorzystają. My takich korzyści nie dostrzegamy, które mogłyby bezpośrednio przełożyć się na niezależne i autorskie testy.

Niektórzy producenci nie zgadzają się na udział w testach i to nie względu na opłatę, którą traktujemy jako wynagrodzenie za pracę, koszty utrzymania serwera i programowania narzędzi testujących, ale właśnie ze względu na metodologię, która nie będzie faworyzowała ich produktu. W naszej opinii organizacja AMTSO i kilku producentów, których nie wymienimy z nazwy, to kółko wzajemnej adoracji, które uważa, że wspólnie wypracowało „międzynarodowe standardy” przeprowadzania testów.

Jeżeli interesujecie się testami i znacie laboratoria takie jak AV-Comparatives i AV-Test, to musicie wiedzieć, że AMTSO w swoich standardach wymusza stosowanie próbek szkodliwego oprogramowania, które wcześniej zostały skompletowane w bazie pod nazwą Real Time Threat List (RTTL). W tym przypadku dostawcami malware są niezależni eksperci i członkowie AMTSO, przeciwko którym nic nie mamy — ale co bardzo istotne — w bazie wirusów RTTL znajdują się też próbki, które zostały dostarczone przez samych dostawców rozwiązań zabezpieczających. Producenci w ramach partnerskich umów lub licencji na technologie zabezpieczające wymieniają się pomiędzy sobą bazami wirusów, dlatego weryfikowanie bezpieczeństwa na podstawie znanych próbek szkodliwego oprogramowania nie ma najmniejszego sensu.

Analogicznie przełóżmy to na wyścigi samochodów Formuły 1. Organizacja AMTSO jest szefem Formuły 1 i w swoim kalendarzu posiada jeden belgijski tor Circuit de Spa-Francorchamps. Z kolei kierowcami są producenci rozwiązań ochronnych. Z oczywistych powodów część kierowców w całej stawce będzie faworyzowała superszybkie zakręty i długie proste, a inni będą osiągać lepsze czasy okrążenia na wolniejszych i krętych torach. Organizacja AMTSO w swoich Mistrzostwach Świata Formuły 1 posiada tylko jeden tor wyścigowy. Niektórym kierowcom to nie przeszkadza, ponieważ chcą się ścigać tylko w Belgii, ale przy okazji zakazują testów na innych torach.  

Na koniec chcemy podziękować wszystkim tym producentom, którzy należą do organizacji AMTSO, ale mimo wszystko chętnie biorą udział w nieszablonowych badaniach, które sprawdzają nietypowe wektory ataków.

Jak więc widać mamy "plusy dodatnie i plusy ujemne"...nie siedzę w testach głęboko i trudno mi polemizować z opinią autora tekstu...wierzę jednak, że sporządzane i prezentowane przez niego testy są wiarygodne i rzetelne Tongue

No dobra...są  Cool
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
(21.09.2018, 17:59)ichito napisał(a): Ponadto pewni dostawcy, jak na przykład Crowdstrike, podjęli działania mające na celu zapobieżenie weryfikowaniu bezpieczeństwa swoich produktów poprzez umieszczanie klauzul w umowach licencyjnych (EULA).
A może by to rozszerzyć i np. na batonika dać zakaz krytykowania jego smaku i walorów zdrowotnych?
Zakaz narzekania na bóle pleców po siedzeniu na niewygodnym krześle?
Zakaz Podawania, do jakiej prędkości rozwija się Twój samochód?
...i tak dalej. Czyli, mówiąc ogólnie, czy to, co można legalnie wpisać do EULA i wyegzekwować, nie osiągnęło już absurdu? Tongue
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#3
Mamy ewidentny konflikt dwóch postaw...z jednej strony normalizacja i instytucjonalizacja pewnych działań, a z drugiej pewna oczywista swoboda decydowania o losie swoich produktów i sposobie ich oceniania. To oczywiście uproszczenie, bo w tym sporze nie ma niewiniątek, ale w jakiś naturalny sposób sympatyzuję z racją pozwanych Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości