I’m David Harley. I’m an independent consultant and author, now working with ESET’s Cyber Threat Analysis Center. And this is a presentation built around a paper I put in for the EICAR 2011 Conference in Krems, Austria. The paper Security Software & Rogue Economics: New Technology or New Marketing? is itself available from  http://smallbluegreenblog.wordpress.com/2011/05/15/eicar‐2011‐paper/. 

1

Free antivirus is not automatically considered a Bad Thing by the security industry, even though those of us that work in or around it need a revenue stream to pay the rent. There are, of course, many essentially non‐commercial products that are totally free to the end user. (And some of those are worth rather less than that, but that’s another discussion.)

Free versions of commercial products, however, not only have much of the functionality of the for‐fee product, but also have a significant marketing function, as well as benefiting the user community: they are what other areas of retail refer to as a loss leader. They’re often a stepping stone to a for‐fee product.

This is the case whether they’re free‐for‐personal‐use scanners with limited functionality and support, or online scanners that give instant access to an up‐to‐date engine (again, with limited functionality and support), or fully‐featured but time‐limited evaluation copies. 

*9‐12 Project (2009). TANSTAAFL: The FIRST (and most important) Rule of Economics. Retrieved 1st February, 2011, from http://www.educatetheelectorate.com/index.php?option=com_content&view=article&id=110:tanstaafl&catid=44:basics&Itemid=114. 

2

The use of free‐for‐personal use scanners doesmean that people who wouldn’t pay out for commercial grade AV have some protection, even though functionality and/or support are normally limited. The cost of producing mainstream AV has to be offset somewhere, and it’s usually underwritten by income from a for‐fee, expanded‐functionality version. 

Even open‐source apps have to go this route eventually (or at least charge for documentation and support). Consumer magazines that review security software in much the same way that they review the latest game or video card cater for an audience that:•doesn’t always understand the need for AV•doesn’t want to pay for it if it can be helped•and is, like the business sector, far more forgiving towards what it doesn’t pay for.

Consequently, a review may award points for “value for money” (and so on) in comparative reviews in ways that sometimes confuse the issue. For instance, by skating over problems with a free product that would be flagged more dramatically with a for‐fee product, or by failing to explain the restrictions that govern the use of a free product outside the home (i.e. in a commercial environment). 

3

According to a number of sources (Townsend, 2010; Retterbush, 2010; Morgan Stanley, 2010) 46% of consumers are reliant on free security software and that number is accelerating, while one report (OESIS 2010) suggests that “Though it might not be expected, companies that offer free products represent a majority of the market.” (Harley, 2010a)

Townsend, K. (2010). Anti‐Virus and Anti‐Spam: a Technology Update. Retrieved 1st

February, 2011, from https://kevtownsend.wordpress.com/2010/12/07/anti‐virus‐and‐anti‐spam‐a‐technology‐update‐2/.Retterbush, T. (2010). Free vs. Paid Anti‐Virus Protection. Retrieved 1st February, 2011, from http://tomretterbush.posterous.com/free‐vs‐paid‐anti‐virus‐protection.Morgan Stanley (2010). Changing Consumer Security Economics: the Rise of Free. Retrieved 1st February, 2011, from http://www.pandainsight.com/es/wp‐content/uploads/2010/06/The‐Rise‐of‐Free‐MS‐17‐May‐10.pdf. OESIS (2010) Worldwide Antivirus Market Share. Retrieved 1st February, 2011, from http://www.oesisok.com/news‐resources/reports/worldwide‐antivirus‐market‐share‐report%202010.Harley, D. (2010a). Fake AV, Fake Support. Security Week. Retrieved 1st February, 2011, from http://www.securityweek.com/fake‐av‐fake‐support. 

4

I should apologise to this elephant for suggesting that it’s a rogue male. It was probably just stood there wondering what aperture settings I was using.  

Why, you may wonder, do people find it so hard to distinguish between real and fake AV? Are criminals really that clever?

Diabolical criminal masterminds, like computer superbugs, are as scarce in real life as they’re common in popular culture, but there are multitudes of workaday criminals who make a living by using their practical knowledge of what makes a victim tick to effect good old malicious social engineering. Or by optimising their ability to produce malicious code which is good enough to survive long enough to ensnare some victims before detection. And lower on the food chain, there are even more skiddies (Wikipedia, 2011a) and wannabe hackers who may get lucky. So is it that people are as stupid as the security industry tends to assume they are?

The psychology of victimology and social engineering is, perhaps, rather too broad and too far out of scope for a short presentation, but the mechanisms exploited by cybercriminals owe more to the “madness of crowds” (Mackay, 1841) than the “wisdom of crowds” (Surowiecki, 2004). Rather, they illustrate a failure of crowd intelligence (Wikipedia, 2011b). 

Wikipedia (2011a). Script Kiddie. Retrieved 1st February, 2011, from http://en.wikipedia.org/wiki/Script_kiddie. Mackay, C. (1841). Extraordinary Popular Delusions and the Madness of Crowds, Richard Bentley.Surowiecki, J. (2004). The Wisdom of Crowds: Why the Many Are Smarter Than the Few and How Collective Wisdom Shapes Business, Economies, Societies and Nations: Doubleday; Anchor. Wikipedia (2011e). The Wisdom of Crowds. Retrieved 1st February, 2011, from http://en.wikipedia.org/wiki/The_Wisdom_of_Crowds. 

Photograph used by permission of Small Blue‐Green World

5

However, this is probably because susceptibility to malicious social engineering, especially in a poorly understood field like malware and anti‐malware, is a likely consequence of a problem with one or more of the key criteria that characterize a “wise crowd”:•Diversity of opinion. Well, look at practically any well‐populated AV discussion thread. 

“ “AV only detects known viruses: use whitelisting.”“You don’t need AV if you don’t open strange emails.”“I don’t use AV because there aren’t any Mac viruses.” (Or Linux, or CP/M, or whatever. PrimOS – anyone remember that?)

Lots of opinions, not much value.•Independence of opinion. I’ve been tracking a thread on a LinkedIn group  “Can anyone recommend a good AV?”

Use product X.” Use product Y”“Product Z is rubbish.”“Use our product.”

Ok. Everybody’s marketing team is on there. Lots of special pleading for a particular product. What might have been useful was a guide on how to evaluate products, which would be a good AMTSO project.•Specialization, access to local knowledge. Well, fortunately, everyone knows everything there is to know about anti‐malware. (I don’t know why I’m here, really...)•A mechanism for aggregating independent opinion into a collective decision. 

In other words, a large enough group where all these criteria apply may well make the “right” decisions, but that is easily derailed by insufficient understanding, or by manipulation by a vested interest either side of the malware/anti‐malware divide. 

6

Security software may not always be marketed by appealing to the FUD factor, but it’s mostly bought on that basis. In fact, though I’ve been criticized for saying so, mostmarketing is based on the “fear” of the consequences of not buying the item being marketed. So we buy: •iGadgets in order to avoid appearing “uncool” •The most expensive lager, jewellery, even toilet paper, for fear of appearing mean or cheap•Medical insurance, in order to avoid unnecessary pain or death (or, literally, the cost of living in a medical free market)

We can’t buy anti‐lion software, but if we could, we probably would, so that we could get out of our 4x4s in the middle of a game park whenever we felt like it, and if we still got eaten, it would be someone else’s fault.

We buy security software so as to escape the impact of destructive malware, or leakage of our sensitive personal or financial data. And because we care about its effectiveness (not unreasonably) there’s a whole industry founded on finding and magnifying differences in AV performance according to context. 

Photo used by permission of Small Blue‐Green World.

7

...such as those identified by fake or rogue anti‐lion software.

Photograph used by permission of Small Blue‐Green World

8

I can vouch that these were real... The photo was taken through the car windshield just a few seconds before my wife said “Should I be worried about this?” and slammed into reverse without waiting for an answer. 

Advertising is essentially social engineering, psychological manipulation if you like. As researchers (meaning that we’re in the privileged position of not having to do the direct marketing that puts food on our tables), we probably pride ourselves on giving accurate answers to questions about risks, but we probably don’t tell people they don’t need AV or an adequate alternative, because those risks are real. 

Photograph used by permission of Small Blue‐Green World.

9

Does this mean, then, that the AV marketing model is fundamentally flawed in that no‐one would buy it if they weren’t frightened of the consequences of infection by malware? In some markets, AV marketing is simply dismissed as fear‐mongering, on the assumption that all lions are fake lions in those markets. Clearly though, that’s a fallacy unless there really is no malware but Windows malware.

How is the security industry to explain its business models in a way that clarifies the differences between real and fake anti‐malware, and the marketing models that each uses? 

10

A security solution is far more than a scanner: it’s a whole process that ranges from technical research and development, maintenance (definitions, engine updates etc.) through marketing and sales, to post‐sales support. But the same is true of security threats.  

Rogue applications involve a wide range of skills: not necessarily the technical range associated with a Stuxnet‐like, multi‐disciplinary tiger team, but the broad skills ranging from development to search engine optimization, to the psychologies of evaluation and ergonomics, to identity and brand theft, to call centre operations the technically unsophisticated customer can’t tell apart from the real thing. 

However, the economics of the marketplace dictate that the consumer market isn’t particularly profitable. It generally costs more than companies can afford to support non‐paying customers, measured against the profit margin that keeps them afloat. (That, of course, is why some companies make single‐user licences so expensive compared to their corporate deals.) So for many years, the deal with free AV has been a trade‐off: fewer bells and whistles and in some cases less comprehensive detection and disinfection, and restricted support (for example, there may be support forums, but no one‐to‐one telephone support). (Townsend, 2010; Harley, 2009)

Townsend, K. (2010). Anti‐Virus and Anti‐Spam: a Technology Update. Retrieved 1stFebruary, 2011, from https://kevtownsend.wordpress.com/2010/12/07/anti‐virus‐and‐anti‐spam‐a‐technology‐update‐2/.Harley, D. (2009). Microsoft AV Revisited. Retrieved 1st February, 2011, from http://blog.eset.com/2009/06/23/microsoft‐av‐revisited. 

11

These bullet points may sound like the AV industry we all know and love, but purveyors of rogue AV and fake support services understand these economic models and competitive tools very well. They are pretty good at counterfeiting them, and not hampered by stroppy over‐ethical researchers and legal restraints. They’ve even been known to borrow such principles as trial versions and offer support centre facilities (which may, admittedly, largely focus on sales issues and answering questions like “how do I uninstall an AV product that keeps flagging your product as malware?” (Harley, 2010b) •Others claim (falsely) to have industry standard certifications (or imaginary certifications) for their “products.” •They introduce rudimentary “real” detection into the product.•They slander vendor reputations in public security forums and even the vendor’s own support forums.•And they threaten legal action against real security vendors as an anti‐detection measure. Others sponsor links to what appear to be versions of legitimate software, but are actually cracked versions, malware, fake security software or utilities, “possibly unwanted” or greyware. Somewhat unusually, we’ve seen sites passed off as vendor sites offering downloads that appear to be security programs, but which are actually NSIS scripts sending short codes to premium‐rate texting services. And more recently, “rogueware” programs that actually borrow the identity of a genuine AV program, though not its “look and feel” (Response, 2011). 

Response (2011). With great name comes great liability? Retrieved 1st February, 2011, from http://www.f‐secure.com/weblog/archives/00002090.html. 

12

One of the main drivers here is obviously profit: after all, that’s true of nearly all malware authoring nowadays. But this isn’t just an attack on the credit cards of the consumers who are directly targeted. It’s also an attack on the credibility and effectiveness of the security industry. There may be many who don’t believe that the security industry has too much of either, but let’s at least consider the possibility that overall, we do more good than harm. 

It’s not a coincidence that rogue products sometimes impersonate real products and services (Patanwala, 2010; Harley, 2011). We see legitimate brands, web sites and even malware descriptions misappropriated by fake AV companies. 

From time to time I see spam linking to sites claiming to be offering new versions of free competitor products (yes, I do pass on the info...) It might even be true, up to a point: some sites specialize in charging customers for access to software that’s available free from other sources, and the competitor in question may indeed offer a free version of its scanner. However, the same groups may also offer access to known rogue products, so the quality and legitimacy of the products promoted is clearly not critical to the “service”. 

Patanwala, T. (2010). Imitation is not always the sincerest form of flattery. Retrieved 1st

February, 2011, from http://blog.eset.com/2010/10/07/imitation‐is‐not‐always‐the‐sincerest‐form‐of‐flattery. Harley, D. (2011). AV Company, Heal Thyself. Retrieved 25th March, 2011, from http://www.scmagazineus.com/av‐company‐heal‐thyself/article/199043/. 

13

Rogue products sometimes look more professional than the real thing. You probably know how “blackhat SEO” (Search Engine Optimization) is used to poison Google searches, driving potential victims to a malicious site where pop‐ups flag “viruses” and demand money. You may be less aware that they can incorporate  “online support” to escalate the victim’s engagement from free product, to free (but very short term) trial product to remove the “infections”, to customer satisfaction survey. The fact that Innovative Marketing’s support staff were mostly dealing with enquiries such as: “I’m trying to install your product, but my antivirus keeps blocking it: how can I get it installed?” probably tells us something about the communication problem we face with consumers. 

In 2010 I became aware of a “service” whereby people are cold‐called to let them know that they “have a problem” with malware infection, and were being offered a “better” replacement for their current “inadequate“ anti‐virus. (Harley, 2010)The details vary, but typically, the victim is asked to open up an Event Viewer to see the “evidence” of infection, before being asked to download remote desktop software in order for the technician to rectify the problem. Being guided in this way to the Event Viewer is how most people are persuaded that something is wrong with their machine, but in actual fact, this utility simply reports information, warnings and errors regarding programs and Windows services, and it’s easy to persuade the IT‐challenged that small transient errors indicate the presence of malware or serious system problems. 

Harley, D. (2010). Fake AV, Fake Support. Security Week. Retrieved 1st February, 2011, from http://www.securityweek.com/fake‐av‐fake‐support. 

14

I’ve had a number of interesting conversations with these guys: it doesn’t seem to have occurred to them yet to blacklist me, even though I’m useless at scammer‐baiting and intelligence gathering because as my blood pressure soars, I find myself telling them what I think of them. There was the guy who claimed to be broken‐hearted at my telling him he was participating in a well‐known scam, and asked me what he should do to get an honest job. Unfortunately, IT recruitment isn’t in my skillset.

Another told me my name and address as proof that there was something nasty leaking from my computer into the online world. I guess he thought I’d never heard of a telephone directory used for cold‐calling, using my address as corroboration. Of course, that sort of misdirection is very common in other scams: 419s, for instance, frequently direct the prospective victim to a vaguely‐related news item on a legitimate web site as "proof" of their story.

So I asked him how he knew that my system was infected. He explained that my IP address was flashing red on his screen. I asked him what my IP address was, and he explained that he couldn't tell me that for security reasons, but he'd put me through to his supervisor.

His supervisor claimed to be a highly qualified tech support specialist, or some somewhat similar job title. And he was quite ready to tell me what my IP address was, though not how he knew it was mine.

Well, whatever kind of tech support he did, I guess it wasn't network support. He started off well with what could have been the first two bytes of a class B address (though it didn't remotely resemble the address of my provider's gateway). However, he was either unfamiliar with the fine detail of dotted quad notation, or he changed numerical bases in midstream. Or he was using a form of IPv6 notation that I'm not familiar with.

I guess I'm not cut out for undercover work: at any rate, he clearly realized I wasn't taking this nonsense as seriously as he felt I should.] He told me that they were working very hard at protecting people, that they took it very seriously, and that I didn't have to do the test of my system he was offering to help me with if I didn't want to. Anxious not to offend him, I explained that I also take computer security very seriously and that's why I work in that field. I was about to offer to explain subnet masking to him, but for some reason the line went dead just then.

This type of scam is not only ongoing, but developing new twists. On this occasion neither miscreant knew enough to supply a convincing fake IP address (not that most people would recognize a fake like the one quoted to me, I suppose), but it wouldn't take much reading up for a scammer to repair that deficiency. It's not impossible that a scammer might actually give you your actual address, if you happen to know it. It would be child’s play for him to capture your IP address by directing you to a poisoned web site, for example.

15

Support scams are very common in the UK, Ireland and Australia but increasingly common in the US. Since they mostly seem to originate in or around Kolkata, they probably don't care much about national Do Not Call lists. :) 

Over time, they’ve diversified into other techniques and topics: not just “malware” alerts but “system errors” and utilities, offers to “fix” files that are only broken because the scammer encrypted them, even fake surveys so that they can ring back later and use a sales pitch tailored to your system. And from the antiphishing working group lists, I came across a reference to a “spike in calls from Indian call centers demanding repayment for non‐existent loans and threatening legal action and even physical harm.” Well, neither a lender nor a borrower be...

“In most cases the thieves have the target's name, physical address, and Social Security number. One of the theories is that the callers are getting the information from outsourced call centers used by financial institutions.” Which supports a feeling I’ve had for some time that some of these centres aren’t really distinguishing between legit and less legit contracts, but are simply cold‐calling with semi‐standardized scripts.

[In many cases the target of the call had a prior relationship with a payday loan company, or at least applied for a loan. But many have not. ]

As more ISPs start to consider the walled garden approach, by which a customer’s access to the Internet is conditional on the clean state of their machine, more of those customers will be conditioned into finding credibility in phone calls from remote call centres advising them of malware problems. While this aspect of the problem has particular local significance in Australia as regards malware, the legal ramifications in other jurisdictions have been remarked elsewhere and will get more complicated as the scammer’s scope continues to expand.

16

Rob Rosenberger has long suggested that the AV industry has groomed the customer to accept the improbabilities of fake security marketing with its own marketing models (Harley, 2010f)). He’s not altogether right, but fake AV has borrowed extensively from the marketing of real AV, learning to parody legitimate techniques along with out‐and‐out fraud. Recently we’ve seen escalating hype and fear‐mongering in some corners of the real security industry, modelled on rogue AV marketing. Well, you know who you are...And maybe that’s why some call this rogue AV: the same old inability to discriminate between the bad end of good and the totally malicious. (Harley, 2010b)]While they do a good enough job of impersonating the AV industry to fool their victims, these aren’t rogue AV developers with a real product but a poor ethical sense: they’re criminals, trying to confuse their victims by making it more difficult to distinguish between the disease and the cure. Some rogue AV may be have no direct destructive impact “worse” than the useless tonics and placebos of an old‐time medicine show – a minor hit on the victim’s bank book and a potentially dangerous sense of false security – but it can be worse. When a victim is tricked into giving out sensitive information, there are many ways in which it may be misused, apart from the original “sting” (Harley, 2010g).

Harley, D. (2010b). Security Zone: Faking IT Support. Retrieved 1st February, 2011, from http://www.computerweekly.com/Articles/2010/10/04/243165/Security‐Zone‐Faking‐IT‐support.htmHarley, D. (2010g). Anti‐Antimalware: Faking It, Not Really Making It. Retrieved 1st February, 2011, from http://blog.eset.com/2009/02/20/anti‐antimalware‐faking‐it‐not‐really‐making‐it. 

17

Let me introduce you to the 11th law of data smog: “Distrust solutions that dissolve all complexity” (Shenk, 1997). The glut has increased exponentially, and the problem has not, of course, gone away.Even a simple security problem requires a comprehensive solution, so may be much more complex than the statement of the problem. A complex security problem requires a complex and comprehensive solution, incorporating techniques and technologies that take into account the vulnerabilities inherent in the behaviour of criminals, end‐users and even prospective customers, rather than focusing entirely on technologies for the detection of malicious binaries. I’ve been told over and over again by people who understand marketing and PR much better than I do that accuracy in explanation is counterproductive because users don’t understand the problem. And that’s true, of course, though I’m not convinced that there isn’t a place for accuracy somewhere in the equation. Great technology is not enough. (And most AV is better than you probably think it is, but the problem is too big for a single layer of protection.) 1) It’s easier to improve software than it is to fix people. You can make software more secure. You 

can make security software more efficient and more user‐friendly, and sometimes both. But making people more security‐friendly is much harder, and you can’t fix all of the people, all of the time.

2) In a practical sense, the bad guys understand users as well as or better than we do, even if they don’t go to security conferences and exchanged academic research information. And all they have to do is find and exploit vulnerabilities. We (and I don’t just mean AV, or even the security industry) have to find vulnerabilities, second‐guess the exploits and the social engineering, produce detection and blocking, generate patches, and then get people to take at least one countermeasure. Sorry, but it’s going to be even harder to patch people than software... 

David Shenk: “Data Smog: surviving the information glut”, Abacus 1997. 

18

...because I added some notes for the previous slide and I wanted to keep the font visible. ☺

Security companies have to explain their business models better, to make clearer the difference between the rogue and legitimate approaches to marketing and provision. And that means a lot more than mimicking or not mimicking rogue AV’s FUD marketing: it involves educating the business user, the end‐user, and the people who market and sell products. Every time someone tries to sell a product using quasi‐rogue, essentially dishonest approaches, they trade a short‐term possible economic advantage for a long‐term drop in the industry’s credibility.  Hype is bad PR when someone calls you on it, of course, but it’s also bad for the consumer. It exposes him to further confusion between rogue and legitimate, and he’ll tend to go for what sounds like the better (something for nothing) deal. 

19

The Common Computing Security Standards Consortium has a list of “trusted vendors”, but it’s incomplete and as far as I can tell, unmaintained. It is an approach that could, nevertheless, be tried again on the basis of a web of trust, and could perhaps be extended, for instance to develop a joint code of conduct for marketing security products. [http://www.ccssforum.org/trusted‐vendors.php]

Vendor‐specific approaches have already included access to educational material built into a whole scanner package, such as access to a “tips” web site, informational newsletters and so on. These can bring customers to resources that they would not have accessed otherwise, as long as those resources are security‐centred rather than marketing‐focused. Naturally, they’ll be product focused, but shouldn’t suggest that the customer doesn’t need to take commonsense measures because the product will protect them from themselves.

One possible approach Jeff Debrosse and I suggested a couple of years ago involved using the behaviour of the user as well as that of malware to train both the software and the user to be more effective at defending a system (Debrosse & Harley, 2009). Of course, behavioural analysis is a standard tool for today’s anti‐malware, but analysing the behaviour of the user as well as (if not instead of) that of the program is a dramatically different approach to incorporating education into marketing. 

However, these approaches have one major flaw : they’re preaching to the choir. They are most likely to benefit someone who has already bought a legitimate product, and is therefore less likely to fall for a fake alert. There’s no 100% solution to that objection, but individual vendors and the industry as a whole need to think more holistically about their position as suppliers not only of products and services, but also of education, through blogs, papers, articles and the media, and by participating in multi‐disciplinary forums and informational initiatives in the public interest. Well, I would say that: that’s as near as dammit my job description...

Debrosse, J. & Harley, D. (2009). Malice Through the Looking Glass: Behaviour Analysis for the Next Decade. Virus Bulletin Conference Proceedings. Retrieved 1st February, 2011, from http://www.eset.com/resources/white‐papers/Harley‐Debrosse‐VB2009.pdf. 

20

So here’s my final message to the AV industry....

Photograph used by permission of Small Blue‐Green World

21

Photograph used by permission of Small Blue‐Green World

22

What, you were expecting a complete answer? I’m good, but I’m not that good...

Photograph used by permission of Small Blue‐Green World

23

Though the right track may not always be the safest... [but that might be for another paper] 

Yes, the pigeons flew off when the trains arrived!

Photograph used by permission of Small Blue‐Green World

24

25