Сервис VirusTotal решил проблему с замедлением поиска угроз на своем сайте

Сервис VirusTotal решил проблему с замедлением поиска угроз на своем сайте

7 июля нынешнего года поиск на платформе с помощью движка сканера YARA существенно замедлился.

image

Сервис для сканирования вредоносного ПО и сбора данных о киберугрозах VirusTotal исправил уязвимость, замедлявшую операции по отслеживанию угроз на своем сайте.

Проблема затрагивала движок сканера YARA – компонент сайта VirusTotal, позволяющий исследователям безопасности с помощью текстовых правил осуществлять поиск в огромной базе данных сервиса.

По словам программного инженера VirusTotal и создателя YARA Виктора Мануэля Альвареса (Victor Manuel Alvarez), причиной проблемы являлся на первый взгляд «невинный» шаблон.

«Сам по себе шаблон не вызывал никаких подозрений и выглядел, как и другие шаблоны, не вызывающие никаких проблем, но дьявол прячется в мелочах. Причиной проблемы являлись множественные и сравнительно длинные переходы [0-60], разделенные короткими и частыми шаблонами 00», - сообщил Альварес.

Как пояснил специалист, для сопоставления шаблонов наподобие этих YARA использует два алгоритма. Первый является более сложным алгоритмом для полноценных регулярных выражений (regexp), а второй – более простым и примитивным алгоритмом для определенных шестнадцатеричных шаблонов, подобных приведенному выше.

Эти шестнадцатеричные шаблоны могут сопоставляться с помощью алгоритма полноценных регулярных выражений, но примитивный алгоритм как правило быстрее.

«Алгоритм полноценных регулярных выражений работает медленнее, чем примитивный в 99% случаев, но это хорошее свойство: его временная сложность линейна, и нет «плохих случаев», которые могут замедлить алгоритм экспоненциально. Примитивный алгоритм в большинстве случаев быстрее, но он имеет экспоненциальный рост во времени. Плохие случаи по-настоящему плохие. Правило, вызвавшее эту проблему, - один из таких по-настоящему плохих случаев», - пояснил Альварес.

Специалист охарактеризовал проблему как очень редкий случай, с которым компания не сталкивалась в течение долгих лет. Проблема затронула пользователей VirusTotal в среду, 7 июля, когда поиск на платформе с помощью правил YARA существенно замедлился. В настоящее время проблема исправлена, и VirusTotal работает в обычном режиме.


Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.