Virus Bulletin PUA – ein Liebesbrief

Digitale Sicherheit

Die späten Abende bei VB2023 boten faszinierende Interaktionen zwischen Sicherheitsexperten und der etwas rätselhaften Welt der Grayware-Anbieter

Cameron-Camp

Oktober 10 2023  •  , 3 Minute. lesen

Spät in der Nacht bei VB2023 kommen die Goblins zum Vorschein – handgefertigte Gesichter sorgfältig gespielter Fans mit Ködern, die von der Industrie aufgebauscht werden potenziell unerwünschte Anwendung (PUA) Anbieter, gesponserte und Pay-per-Click-Anwendungsinstallateure und andere Download-Monetarisierer, die ein Multimilliarden-Dollar-Ökosystem bilden. Und falls Sie sich fragen, was sie wollen: Sie möchten, dass seriöse Anbieter von Sicherheitssoftware die Blockierung grenzwertig – wirklich grenzwertig – gruseliger Software aufheben, die sie ignorieren und mit der Blockierung aufhören sollen. Wir wissen es, weil wir von ihnen häufig darum gebeten werden.

Aber die Kunden hätten es lieber getan weniger PUAs als mehr von ihnen. ESET-Produkte bieten die Möglichkeit dazu PUA nicht zulassen Software. Kunden haben die Wahl, und es liegt an ihnen, zu entscheiden.

Aber zurück zur nächtlichen Novotel-Lobby – schließlich verwandelt sich die Liebe in einer bipolaren Ausstellung in Hass; Anscheinend machen wir ihren Geschäftsplänen manchmal einen Strich durch die Rechnung.

Rund um die VB2023-Konferenz sind ein paar vereinzelte Ad-hoc-Treffen (oder organisiertere Zusammenkünfte), die darauf abzielen, die Gruppe pseudo-zwielichtiger (aber immer angeblich reformierender) Software-Anbieter zu legitimieren, die verzweifelt versuchen, den Anbietern von Sicherheitssoftware vorzugaukeln, dass sie wirklich reformiert sind, und Daher sind sie es irgendwie wert, entsperrt zu werden.

Um es zu verkaufen, beschäftigen sie „Compliance“-Mitarbeiter, normalerweise nette, gesprächige Leute, die gerne Zeit unter den pulsierenden Lichtern in der Bar verbringen Weg,  zu spät, wenn wir eigentlich schlafen sollten. Das Übergießen von Alkoholverkäufern mag für die Fermentationsmotivierten unter uns eine gewisse Verlockung haben, aber nicht so sehr, dass es uns den Verstand nimmt; Aber das ist schon eine Weile so und es hat eine altehrwürdige Tradition, neue Mitarbeiter vor diesen Social-Engineering-Versuchen zu warnen.

ESET ist in dieser Hinsicht nicht allein, es gibt viele andere Anbieter von Sicherheitssoftware, die die gleiche Sonderbehandlung erhalten: Niemand bestreitet, dass Schmeicheleien (und für manche Gärung) eine nette Geste sind, aber letztendlich arbeiten wir für unsere Kunden, nicht diese PUA-Anbieter oder deren Aktionäre. Es sind unsere Kunden, die uns bezahlen, und sie tun dies, um immer weniger weißes Rauschen auf ihren Computergeräten zu empfangen, nicht mehr.

In jüngerer Zeit haben sich die Anbieter von PUAs und ihre Freunde, die in diesem Ökosystem Geld verdienen, zusammengeschlossen, um Zertifizierungsstellen zu gründen, deren Ziel es ist, genauer zu bestimmen, wie weit es zu weit ist, um noch als sauber eingestuft zu werden. Sie glauben, dass sie durch die Erstellung von Zertifizierungen den guten Willen bei der Erstellung von Lebensläufen stärken können und dass ihr Vertrauenszeichen (hoffentlich) Dritten gegenüber ihre Vertrauenswürdigkeit signalisiert. Aber diese Organisationen sind sich untereinander meist nicht lange einig, geschweige denn mit Außenstehenden, und der Bindemittelklebstoff neigt dazu, sich aufzulösen, was sie zum Zersplittern zwingt. Das Hüten von Katzen kann ebenso schwierig wie lohnend sein.

Vertrauen in die Sicherheitsbranche ist ein langes Spiel, und nur sehr wenige PUA-orientierte Anbieter haben lange genug gelebt, um gut mitzuspielen. Es braucht Zeit und jede Menge Geld, um die Sicherheit richtig zu gewährleisten, und nicht wenige technische Talente sind bereit, sich in den Alltag zu stürzen und den undankbar unbesungenen Teil der Aufrechterhaltung der Software-Funktionsfähigkeit, geschweige denn der Sicherheit, zu übernehmen.

Da beim Schutz der Daten von Menschen immer mehr auf dem Spiel steht – angesichts der wachsenden Zahl von Gesundheitsakten, Finanztransaktionen und im Grunde genommen fast allem, was unser tägliches digitales und physisches Leben ausmacht –, steigt auch die Bedeutung der richtigen Sicherheitssoftware Seite der Vorsicht. PUAs und Vorsicht werden nicht oft im selben Satz gefunden.

Es ist jetzt sehr spät in der Nacht (ich habe das am Donnerstagabend geschrieben) und die Bar hat endlich das pulsierende Rauschen gedämpfter Technomusik (oder ist das mein Kopf?) leiser gestellt, während die Leute beginnen, in die Hotelflure zu verschwinden, um sich zur Vorbereitung kurz auszuruhen ein weiterer (schöner) Konferenztag. Hier beim VB2023 in London war es schön, die Menschen zu sehen, die sich die harte Arbeit leisten, das zu schützen, was allen, auch uns selbst, wichtig ist. Die Compliance-Mitarbeiter winken mir ein letztes Mal zu, während sie die Flure entlang verschwinden. Ich werde sie wahrscheinlich bei der nächsten Konferenz wiedersehen.

Wir werden immer gute und schlechte Technologie und viele Grautöne haben. Das Grau ist der schwierige Teil.