Am 10. Januar 2010 Keine Anmerkung 10 January 2010 No Comment

… würde das, was wir conficker durch jeden anderen Namen nennen, als sauer schmecken.…that which we call conficker by any other name would taste as sour.

david harley, tom kelchner, und mary landesman haben alle ihre Antworten auf einen infosecurity Artikel angeschlagen, der den offenbaren Mangel an der Konsistenz im Malware-Namengeben infrage stellt.david harley, tom kelchner, and mary landesman have all posted their responses to an infosecurity article questioning the apparent lack of consistency in malware naming.

sie alle sagen mehr oder weniger dasselbe Ding über den Platzregen von modernem malware das Bilden der Harmonisierung von unmöglichen Namen, und bis zu einem gewissen Grad haben sie Recht, aber bis zu einem gewissen Grad irren sie sich auch - nicht so viel in den technischen Details ihrer Antwort, aber mehr im Weg, wie sie das Problem einrahmen, das der infosecurity Artikel unterstrich.they all say more or less the same thing about the deluge of modern malware making harmonization of names impossible and to a certain extent they’re right, but to a certain extent they’re also wrong - not so much in the technical details of their answer but more in the way they’re framing the problem that the infosecurity article was underlining.

jetzt ist die Wahrheit ich hatte wirklich beim Schreiben über malware geplant, der vor einiger Zeit als Antwort auf einen anderen der Artikel von david harley nennt, in denen er grundsätzlich sagt, dass Malware-Namen irrelevant sind. ich kann sehen, wo er damit herkommt, und wahrscheinlich Sie auch können. ein malware Entdecker sorgt sich nicht, wie der Name des malware nur ist, ob es dort ist oder nicht - und sich der Verbraucher des malware Entdeckers allgemein so viel über den Namen keiner sorgen wird (sicher nicht, ob es derselbe Name ist, den alle anderen Verkäufer verwenden). im größten anzunehmenden Unfall des Verbrauchers ist alles, was sie wirklich brauchen, eine Art einzigartiger Bezeichner, es eine Zahl, ein GUID sein, oder einige setzten Quatsch-Wort zusammen (oh, warten Sie, es ist, was sie jetzt bekommen), falls sie den Verkäufer für die Unterstützung aufrufen müssen.now the truth is i had actually planned on writing about malware naming some time ago in response to another of david harley’s articles in which he basically says malware names are irrelevant. i can see where he’s coming from with that, and probably you can too. a malware detector doesn’t care what the name of the malware is, only whether it’s there or not - and the consumer of the malware detector generally won’t care that much about the name either (certainly not whether it’s the same name that all the other vendors use). in the consumer’s worst case scenario all they really need is some sort of unique identifier, be it a number, a GUID, or some made up nonsense word (oh, wait, that’s what they get now) in the event that they need to call up the vendor for support.

aber es gibt ein Problem mit dieser Linie des Denkens, und ich werde es mit ein wenig Gedanke-Experiment demonstrieren. wollen wir alle Knochen im menschlichen Körper nehmen und ihre gegenwärtigen Bezeichner (wie Schulterblatt, Elle, Radius, usw.) mit Zahlen, oder GUIDs ersetzen, oder setzte Quatsch-Wörter zusammen. jetzt Versuch, der eine verständliche Diskussion über Knochen hat, haben Sie über Ihre Lebenszeit mit jemandem gebrochen. können Sie sich vorstellen, wie viel schwieriger der würde sein? offensichtlich würde das Ersetzen ihrer gegenwärtigen Namen mit den zusammengesetzten Quatsch-Wörtern gerade Schwierigkeit aufstellen, sich an neue Namen anzupassen, aber GUIDs würde für Leute zu unhandlich sein, um zu verwenden, und Zahlen würden numerisches Beziehungsgepäck haben, das die Probleme verwechseln würde. wollen wir einen mehr Schritt in diesem Gedanke-Experiment jedoch machen. wollen wir sagen, dass es 50 verschiedene Menschen, jeden mit ihrem eigenen verschiedenen Satz von Ersatzbezeichnern für die Knochen im menschlichen Körper gibt, und wollen wir sagen, dass sie insgesamt versuchen, Leuten in der Knochen-Gesundheit zu beraten. wie gut der geht wirklich zur Arbeit? nicht sehr gut, offensichtlich.but there’s a problem with this line of thinking and i’ll demonstrate it with a little thought experiment. let’s take all the bones in the human body and replace their current identifiers (such as scapula, ulna, radius, etc) with numbers, or GUIDs, or made up nonsense words. now try having an intelligible discussion about bones you’ve broken over your lifetime with someone. can you imagine how much more difficult that would be? obviously replacing their current names with the made up nonsense words would just pose difficulty in adjusting to new names but GUIDs would be far too unwieldy for people to use, and numbers would have numerical relationship baggage that would confuse the issues. let’s take one more step in this thought experiment, however. let’s say there are 50 different people, each with their own different set of replacement identifiers for the bones in the human body, and let’s say that they collectively are trying to advise people on bone health. how well is that really going to work? not very well, obviously.

während es wahr ist, dass malware heute zu zahlreich ist, um das Namengeben für all und jeden Beispiel zu harmonisieren, können wir nicht das Große der Feind des Nutzens werden lassen. wenn die anti-malware Welt exklusiv um die Produktion kreisen würde und der Verbrauch von malware Entdeckern dann nennt, wirklich würde unwichtig und irrelevant sein, aber die Tatsache ist in solch einem Weltleuten wie david harley und tom kelchner, und mary würde landesman nicht blogging über solche Dinge sein, weil jene blogs auch irrelevant sein würden. while it is true that malware today is far too numerous to harmonize the naming for each and every instance, we can’t let the great become the enemy of the good. if the anti-malware world revolved exclusively around the production and consumption of malware detectors then names really would be unimportant and irrelevant, but the fact is in such a world people like david harley and tom kelchner and mary landesman wouldn’t be blogging about such things because those blogs would also be irrelevant.

das Gedanke-Experiment demonstriert oben, wenn Namen wichtig sind, und warum konsequente Namen wichtig sind. Namen sind wichtig, wenn Sie sich mit Leuten aber nicht gerade Technologie befassen. sie sind wichtig, wenn Sie versuchen, Information über Drohungen, Tendenzen usw. Leuten mitzuteilen. Leute brauchen Namen für Dinge, und offen gesagt müssen sie ziemlich einfache Namen sein - deshalb, stürmen loveletter, und Code Red findet Anklang, während sich waledac, virut, und sality in der Zweideutigkeit wälzen, und warum Leute fortsetzen, conficker. verflixt falsch zu buchstabieren, ist es, warum bedeutende Wetterbildungen des Namens von Meteorologen wie Orkane, menschliche Vornamen verwendend, mögen, verwüsten, oder katrina. Leute brauchen auch für vielfache Behörden, sich über die Namen für Dinge zu einigen, oder sie Daten von vielfachen Quellen nicht integrieren können und desorientiert und verwirrt verlassen werden.the thought experiment above demonstrates when names are important and why consistent names are important. names are important when you’re dealing with people rather than just technology. they are important when you are trying to communicate information about threats, trends, etc. to people. people need names for things, and frankly they need to be fairly simple names - that’s why storm, loveletter, and code red catch on while waledac, virut, and sality wallow in obscurity, and why people keep misspelling conficker. heck, it’s why meteorologists name significant weather formations like hurricanes using human given names like harry or katrina. people also need for multiple authorities to agree on the names for things or else they can’t integrate data from multiple sources and are left disoriented and confused.

wieder können wir nicht das Große lassen (das Harmonisieren des Namengebens aller malware Beispiele) wird der Feind des Nutzens (das Harmonisieren des Namengebens der relativen Hand voll malware Beispiele, die die Industrie als bedeutend genug betrachtet, um über in Dingen wie Jahresabschlussdrohungsberichte zu schreiben). es kann unmöglich sein, Namen für jeden malware Beispiel in der Existenz und völlig sinnlos zu koordinieren, selbst wenn es möglich war, aber dasselbe hält für den kleinen Satz von malware nicht für wahr, über den Verkäufer namentlich schreiben. gerade so sind wir klar, schlage ich nicht vor, dass solche Koordination vor der Ausgabe der Entdeckung für den oben erwähnten malware. stattfinden muss, was ich im Sinn habe, ist etwas nicht verschieden von der jetzt verstorbenen allgemeinen malware Enumeration mit Ausnahme vom Verwenden von Namen statt Zahlen - ein Posten hoc harmonisierter Nachname (eine gemeinsame Bezeichnung oder der Name des Laien) für jene wenigen Stücke von malware, dass die Industrie findet, dass sie zu den Massen darüber kommunizieren müssen.again, we can’t let the great (harmonizing the naming of all malware instances) become the enemy of the good (harmonizing the naming of the relative handful of malware instances the industry considers significant enough to write about in things like year-end threat reports). it may be impossible to coordinate names for each malware instance in existence and entirely pointless even if it were possible, but the same does not hold true for the small set of malware that vendors write about by name. just so we’re clear, i’m not suggesting that such coordination need take place before releasing detection for the aforementioned malware. what i have in mind is something not unlike the now defunct common malware enumeration with the exception of using names instead of numbers - a post hoc harmonized second name (a common name or layman’s name) for those few pieces of malware that the industry feels they need to communicate to the masses about.

natürlich schließlich wird das gesagt und getan, selbst wenn das Namengeben entsprach, begreife ich völlig, dass verschiedene Verkäufer-Berichte verschiedene Sätze von malware verzeichnen würden und zu diesem Ende Leute noch verstehen müssen, dass solche Berichte nicht die wirkliche Drohungslandschaft widerspiegeln, aber was der Verkäufer von der Drohungslandschaft gesehen hat. zu diesem Ende sollte es noch Übergreifen zwischen den Sätzen von malware geben, der von verschiedenen Verkäufern in ihren Berichten verwendet ist, und wenn es nicht gibt, der andeutet auszufallen, sprach sich Neigung genug aus, um jene Modelle der irrelevanten Drohungslandschaft zu machen. of course, after all that is said and done, even if naming were consistent i fully realize that different vendors reports would list different sets of malware and to that end people still need to understand that such reports reflect not the actual threat landscape but what the vendor has seen of the threat landscape. to that end there should still be overlap between the sets of malware used by different vendors in their reports, and if there isn’t that suggests sampling bias pronounced enough to render those models of the threat landscape irrelevant.