Virusbulletin PUA – een liefdesbrief

Digitale beveiliging

Op de late avonden bij VB2023 waren er intrigerende interacties tussen beveiligingsexperts en de ietwat raadselachtige wereld van Grayware-leveranciers

Cameron Kamp

Oktober 10 2023  •  , 3 minuut. lezen

Laat op de avond bij VB2023 komen de goblins naar buiten – vervaardigde gezichten van zorgvuldig bespeelde fans en kunstaas opgedrongen door de industrie van mogelijk ongewenste applicatie (PUA) leveranciers, gesponsorde en pay-per-click applicatie-installatieprogramma's en andere download-inkomsten genererende middelen die een ecosysteem van miljarden dollars vormen. En voor het geval je je afvraagt ​​wat ze willen: het is het verleiden tot het deblokkeren van borderline – echt borderline – griezelige software waarvan ze willen dat gerenommeerde leveranciers van beveiligingssoftware deze negeren en stoppen met blokkeren. Wij weten het, want wij worden vaak door hen gevraagd dit te doen.

Maar klanten hadden dat liever gehad minder PUA's dan meer. ESET-producten hebben de mogelijkheid om PUA niet toestaan software. Klanten hebben een keuze, en het is aan hen om te beslissen.

Maar terug naar de nachtelijke Novotel-lobby – uiteindelijk verandert de liefde in haat in een bipolaire tentoonstelling; blijkbaar slaan we soms deuken in hun bedrijfsplannen.

Rondom de VB2023-conferentie zijn een paar ad hoc (of meer georganiseerde) bijeenkomsten gericht op het legitimeren van de groep pseudo-duistere (maar altijd naar verluidt hervormende) softwareleveranciers, die wanhopig proberen leveranciers van beveiligingssoftware hier zacht te verkopen dat ze echt hervormd zijn, en zijn daarom op de een of andere manier de moeite waard om te deblokkeren.

Om het te verkopen, hebben ze ‘compliance’-personeel in dienst, meestal aardige, spraakzame mensen die graag tijd doorbrengen onder de pulserende lichten in de bar totdat weg te laat terwijl we eigenlijk zouden moeten slapen. Het doordrenken van verkopers met drank kan enige aantrekkingskracht hebben op de meer fermentatiegemotiveerde onder ons, maar niet zozeer dat het onze hersenen verwijdert; maar we zijn hier al een tijdje mee bezig, en het waarschuwen van nieuwe medewerkers voor deze pogingen tot social engineering is een aloude traditie.

ESET staat in dit opzicht niet alleen; er zijn veel andere leveranciers van beveiligingssoftware die dezelfde speciale behandeling krijgen: niemand beweert dat vleierij (en voor sommigen fermentatie) een leuke bijkomstigheid is, maar uiteindelijk werken we voor onze klanten, niet voor onze klanten. deze PUA-leveranciers of hun aandeelhouders. Het zijn onze klanten die ons betalen, en zij doen dit om steeds minder witte ruis op hun computerapparatuur te ontvangen, en niet meer.

Meer recentelijk hebben de leveranciers van PUA's en hun vrienden die geld verdienen in dit ecosysteem zich verzameld om certificeringsinstanties te vormen die gericht zijn op het nauwkeuriger bepalen van hoe ver te ver is om nog steeds als schoon te worden geclassificeerd. Ze zijn van mening dat ze door het creëren van certificeringen de goodwill voor het opbouwen van cv's kunnen vergroten en dat hun teken van vertrouwen (hopelijk) aan derden hun betrouwbaarheid goed van pas zal komen. Maar die organisaties zijn het meestal niet lang met elkaar eens, laat staan ​​met buitenstaanders, en de bindende lijm heeft de neiging op te lossen, waardoor ze tot versplintering worden gedwongen. Het hoeden van katten kan zowel moeilijk als onbelonend zijn.

Vertrouwen in de beveiligingsindustrie is een spel van lange adem, en een spel dat maar heel weinig op PUA gerichte leveranciers lang genoeg hebben geleefd om goed te kunnen spelen. Het kost tijd en veel geld om de beveiliging goed te doen, en er is geen klein beetje technisch talent dat bereid is zich te verdiepen in de dagelijkse sleur van het ondankbaar onbezongen deel van het werkend houden van software, laat staan ​​beveiligen.

Naarmate de inzet bij het beschermen van de gegevens van mensen groter wordt – in het licht van het groeiende aantal medische dossiers, financiële transacties en eigenlijk het grootste deel van wat ons dagelijkse digitale en fysieke leven laat werken – neemt ook het belang toe van het verkrijgen van de juiste beveiligingssoftware, waarbij fouten worden gemaakt op het gebied van veiligheid. kant van voorzichtigheid. PUA's en voorzichtigheid worden niet vaak in dezelfde zin aangetroffen.

Het is nu erg laat in de avond (ik schreef dit donderdagavond) en de bar heeft eindelijk het omgevingspulsen van gedempte technomelodieën zachter gezet (of is dat mijn hoofd?) terwijl mensen de hotelgangen in beginnen te verdwijnen om even uit te rusten ter voorbereiding op weer een (mooie) congresdag. Hier op de VB2023 in Londen was het prachtig om de mensen te zien die het harde werk doen om te beschermen wat iedereen waardeert, inclusief onszelf. Ik krijg nog een laatste golf van het compliancepersoneel terwijl ze door de gangen vervagen. Ik zie ze waarschijnlijk weer op de volgende conferentie.

We zullen altijd goede en slechte technologie hebben, en veel grijstinten. Het grijze is het moeilijkste deel.