Pull to refresh

Comments 28

UFO landed and left these words here
Эта платформа и есть типичный пример того, что написано в пятой части. 100% защита, основа которой- невогодность массового взлома, невозможность сделать надёжный бизнес на зловредах под никсы, хотя пробой модели защиты и возможен, дырки в ядре находятся достаточно регулярно.
UFO landed and left these words here
Элементарно, Ватсон. Потому что эта статья- не для развлекательного чтения, а есть отправная точка для того, чтобы самостоятельно думать, искать и находить.
UFO landed and left these words here
Мне одному показалось что весь цикл был задуман ради рекламы одного единственного продукта — DefenseWall HIPS?
*Смотрит на Comodo Internet Security, у которого есть и песочница, и белые списки, и бесплатность.
Чем ваш продукт лучше, и почему я должен покупать именно его?
Не. ну в целом цикл статей очень интересный, хотя откровений я там и не нашел.
Спасибо аффтору. Плюсанул )
Илья Рабинович, честно говоря ваш цикл статей мне не слишком понравился, много воды, очевидных вещей на мой взгляд, но вот за вашим продуктом слежу давно и с интересом, до сих пор не попробовал лично только по причине отсутствия 64-битной версии, надеюсь в будущем вы найдете способ решить проблему с PatchGuard. Радует присутствие вас как разработчика на портале anti-malware.ru, на мой взгляд самый стоящий ресурс в рунете, посвященный безопасности, именно там я и услышал впервые про ваш DefenseWall. Желаю вам и дальше продвигать и развивать свой продукт. Я считаю будущее решений безопасности за совмещением всех подходов одновременно, когда все приложения работают внутри песочницы, скачиваемые файлы проверяются антивирусом, сетевая активность контролируется брандмауэром.
1. Вы как-то забыли основной не чёрносписочный метод — эмулятор, который позволяет антивирусу самому решать, опасна эта программа или нет. Хорошо сделанный эмуль может показать высокую эффективность. Другое дело, что таких ещё не написали, но, согласитесь, песочницы пока тоже не идеальны в силу своей молодости.

2. Песочница, конечно, хорошо, но знаете, люди отключают сам антивирус, потому что «ой, он мешал мне поставить ферму, какие-то фигнечки рисовал» (ну тут, правда, пароль на антивирь — наше всё), так вот большинство людей тоже никогда не запустят программу в песочнице. Почему:
— сферические блондинки в вакууме не знают, что это такое
— адекватные юзеры подозрительные вещи запускать не будут
— профи, за исключением тех, что сидят на лине, тоже не будут пользоваться, потому что они профи :)

потом, хорошие виртуальные машины — это сложный продукт, зачастую дорогой (вмваря дофигища стоит), но и её многие вирусы палят, потому что полностью сэмулировать windows невозможно.
а маленькая примочка к антивирусу будет на самом деле подчас не такой сложной преградой, как грамотная эвристика и поведенческий анализатор.

поэтому, я с вами поспорю — песочницы не станут панацеей.
1. Эмуляторы есть основа чёрносписочного метода, называемого «эвристиком». И их обходят на раз. Сам буквально неделю или две назад дал челу инфайт за статью в хабра-песочнице об обходе эмулятора KIS/KAV.

2. Вы явно не понимаете, что есть антивирусная песочница. Подсказка: к виртуальным машинам она вообще не имеет никакого отношения. Так что, мой хороший совет- хорошенько подучите матчасть.

Песочницы не есть панацея. Вообще, панацеи не существует. Но вот сделать массовый бизнес на зловредах невыгодным (или, по крайней мере, низкорентабельным) они могут.
1. при массовом внедрении песочниц их также будут обходить на раз, как и всё остальное, почему нет?
2. ээээ, вы меня очень удивили, я действительно пошёл изучить матчасть, но, слава богу, всё оказалось верно:
ru.wikipedia.org/wiki/Песочница_(безопасность)
> Песочницы представляют собой пример виртуализации.
>
> Песочницы часто встречаются в следующих видах:
> Виртуальные машины, полностью эмулирующие «стандартный» компьютер (например, VirtualBox).
я представил свой аргумент, что песочница сродни виртуальным машинам. разубедите меня :)

опаньки, так песочница не панацея?
> «100% защита от вирусов и прочих зловредных приложений?»
это не вы ли писали в этом посте?
вы как-то определитесь с позицией.
> при массовом внедрении песочниц их также будут обходить на раз, как и всё остальное, почему нет?
Потому что читать надо внимательно статью.

>ээээ, вы меня очень удивили, я действительно пошёл изучить матчасть, но, слава богу, всё оказалось верно:
То, что написано в Вики, есть бред. В DefenseWall, например, нет виртуализации, между тем она является песочницей. Диагноз- учить матчасть. И точка.

>опаньки, так песочница не панацея?
Конечно, не панацея. Социальную инженерию (т.е. глупость человеческую) ещё никто не отменял.
> Потому что читать надо внимательно статью.
я прочёл, там написано, что песочницы есть хорошо для защиты, потому писать вирусы для её обхода дорого.
получается, что песочницы — технология будущего, наше всё, и вендоры будут их внедрять, они станут популярными, и как сейчас вирусы обходят сигнатуры/эвристик/эмулятор/поведенческий анализ и кучу всего прочего, они будут обходить песочницы. где я не прав?

> То, что написано в Вики, есть бред. В DefenseWall, например, нет виртуализации, между тем она является песочницей.
дайте угадать, она является песочницей, потому что вы её так назвали? а аргументы, что песочница — это устоявшийся термин, который применяют к системам виртуализации вы не принимаете, своих не даёте?

это наиэпичнейше :D

> Конечно, не панацея. Социальную инженерию (т.е. глупость человеческую) ещё никто не отменял.
оставим человеческий фактор, интересно именно панацейность песочницы относительно других антивирусных модулей в условиях идеального пользователя.
>они будут обходить песочницы. где я не прав?
Будут. И дальше что?

>а аргументы, что песочница — это устоявшийся термин, который применяют к системам виртуализации вы не принимаете, своих не даёте?
1. Это не устоявшееся определение. Это определение из Вики, не являющейся достоверным источником инфлрмации.
2. Свои всегда даю. Песочница- это изолированная среда исполнения с пониженными привилегиями. Изоляция достигается в том числе и за счёт виртуализации, но это лишь самый простой в исполнении вариант и, потому, наиболее распространённый. В общем, учите матчасть и не приводите прувы из недостоверных источников.

>интересно именно панацейность песочницы относительно других антивирусных модулей в условиях идеального пользователя.

www.anti-malware.ru/antivirus_test_zero-day_protection
извините, что долго не отвечал

>Будут. И дальше что?
дальше значит, что ваш аргумент «Эмуляторы есть основа чёрносписочного метода, называемого «эвристиком». И их обходят на раз.» не выделяет значимых преимуществ песочницы относительно эмуляторов — песочницы тоже научаться обходить.

>В общем, учите матчасть и не приводите прувы из недостоверных источников.
повторяйте себе это каждый день — от вас я не видел вообще ни одного пруфа, кроме собственных мыслей.
по поводу матчасти — могу подсказать источник: статья специалиста ЛК Алисы Шевченко:
www.securelist.com/ru/analysis/204007574/Tekhnologii_obnaruzheniya_vredonosnogo_koda_Evolyutsiya#sandbox
>>3. Виртуализация: «песочница»
>>может быть запрет на модификацию реестра ОС, ограничение работы с файловой системой посредством ее частичной эмуляции. Например, программе, запущенной в «песочнице», может быть «подсунута» виртуальная копия системного реестра — для того, чтобы изменения, вносимые программой в реестр, не могли повлиять на работу операционной системы. Таким образом могут виртуализироваться любые точки соприкосновения программы со средой: файловая система, реестр.
>песочницы тоже научаться обходить.
Когда же вы читать научитесь, интересно? В статье чётко написано- стоимость обходя песочницы на порядки выше стоимости обхода эмуляторов. И цена обхода с каждой новой итерацией лишь возрастает.

>от вас я не видел вообще ни одного пруфа
Мой пруф- DefenseWall. Ждём вашего.

>статья специалиста ЛК Алисы Шевченко
Да ну? Неужела? А я-то всё это время полагал, что она уже давно там не работает…

Алиса написала этот маркетинговый текст с привязкой к тем технологиям, что использовались в самой ЛК. Или вы всерьёз полагаете, что на ресурсах ЛК будут продвигать подходы, которые ЛК не реализовала?

Короче- вместо того, чтобы пытаться доказать всему миру собственную некомпетентность, лучше бы учили тихо матчасть. И до тех пор, пока не напишете что-нибудь даже отдалённо напоминающее песочницу, я не буду воспринимать ваши вопли на данную тему сколь-нибудь серьёзно. И никто не будет.
>В статье чётко написано- стоимость обходя песочницы на порядки выше стоимости обхода эмуляторов.
ну так я всё пытаюсь понять — почему? потому что явных причин я не вижу.

>Мой пруф- DefenseWall. Ждём вашего.
безопасная среда в KIS подойдёт?

>Да ну? Неужела? А я-то всё это время полагал, что она уже давно там не работает…
на момент написания работала…

>И до тех пор, пока не напишете что-нибудь даже отдалённо напоминающее песочницу, я не буду воспринимать ваши вопли на данную тему сколь-нибудь серьёзно
lurkmore.ru/Сперва_добейся?

Короче, вы не воспринимаете никаких аргументов, и вообще выглядите довольно странно, посылая всех учить матчасть. Я хотел обсудить статью и поспорить с вами, как с человеком, разбирающемся в данной теме, но почему-то наткнулся на стену «я есть истина во всех инстанциях, а вы все нубы необразованные».

за сим позвольте откланяться, потому что я не вижу дальнейших перспектив с общением с вами.
>ну так я всё пытаюсь понять — почему? потому что явных причин я не вижу
Потому что количество дыр всегда ограничено. Чем больше затыкается, тем меньше остаётся и тем сложнее те, что остались, эксплуатировать.

>безопасная среда в KIS подойдёт?
И вы её сами, в одиночку придумали, спроектировали и реализовали в программном коде?

>Короче, вы не воспринимаете никаких аргументов
Скорее, это вы их не воспринимаете. Всё, что выбивается за узкие рамки вашего понимания мироустройства, загоняется в его прокрустово ложе. Любой ценой, при том. Все ваши так называемые «доказательства» яйца выеденного не стоят.

Просто ответьте на элементарный вопрос. DefenseWall- это песочница? Да или нет? И если нет, то что это тогда?
Кстати.

security-advisory.ru/EBook30.htm

«Системы предотвращения вторжений»

«HIPS типа Sandbox («песочница»)»

Где там есть ключевое слово «виртуализация»? И если его нет, то почему?
Вообще определить engine песочницы (а их не так много) довольно тривиальная задача для хорошего хакера. А в песочнице не надо ничего изобретать — просто прикинуться «честным» и всё. Engine переводит soft в «доверие» и что называется вперед. «Песочница» как правильно заметил автор выше не виртуальная машина.
Вот вы всем кричите про «учите матчасть», а не проще ли вместо этих пропагандистских статей, которые оформились в целый цикл, написать подробно про технологию защиты с использованием подхода «Песочница», чтобы расписать все преимущества не просто с потолка, а на примерах, а то действительно остаются вопросы в отношении преимуществ этого подхода.
Да, могу. И, видимо, стоит это сделать. Ибо мракобесие велико даже в головах людей, которые эти самые песочницы кодируют. Замётано. На этой или следующей неделе будет готово.

И цикл статей был вовсе не пропагандистский. Просто немного провоцирующим людей думать. Но многим это так и не суждено. :)
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
Sign up to leave a comment.

Articles