Comments 17
Наконец-то «антипрививочники» добрались и до IT
Честно говоря все новое, это хорошо забытое старое, вспомните ADinf который был под dos, знаю что были версии под windows, но я их не видел и не знаю их функционал.
adinf.com/ru. согласно sdelano-u-nas.livejournal.com/7707707.html считается живым до сих пор :-)
Если серьезно, то что умерло, то умерло. Ревизор дисков потом был и у Касперского. Да и сейчас решения на основе контрольных сумм предлагаются частенько (особенно в банкоматы). У решений на основе контрольных сумм много недостатков:
— путем модификации системных переменных (того же path) можно запустить иной файл вместо контролируемого. Прецедент как минимум один был
— контроль программы не означает ее незараженности. Заражение могло произойти пока неизвестным антивирусу вирусом. Соответственно по приходу каждого обновления контролируемую программу нужно перепроверять. А тогда какой смысл?
По сути современные облачные антивирусы — наследники adinf. Но там свои большие засады
Если серьезно, то что умерло, то умерло. Ревизор дисков потом был и у Касперского. Да и сейчас решения на основе контрольных сумм предлагаются частенько (особенно в банкоматы). У решений на основе контрольных сумм много недостатков:
— путем модификации системных переменных (того же path) можно запустить иной файл вместо контролируемого. Прецедент как минимум один был
— контроль программы не означает ее незараженности. Заражение могло произойти пока неизвестным антивирусу вирусом. Соответственно по приходу каждого обновления контролируемую программу нужно перепроверять. А тогда какой смысл?
По сути современные облачные антивирусы — наследники adinf. Но там свои большие засады
Если уж быть точным там еще аппаратная часть была, правда в глаза ее не видел и даже не интересовался, что именно она делала и давала. Модификации системных переменных так же можно контролировать, как и то что запускается до запуска проверять на основе тех же контрольных сумм и запускать только разрешенные файлы из разрешенных мест, поэтому как часть комплекса это вполне неплохой компонент. По мне так он больше умер из-за того, что сейчас в системах очень много файлов их обсчитывать и контролировать очень ресурсоемко, а эффективности получаешь довольно мало.
Про аппаратную часть я вспоминаю как-то смутно. Умерли они по причине:
— неэффективности — нужно контролировать целостность всей системы, а не только файлов
— включения в антивирусы системы подсчета контрольных сумм — достаточно часто быстрее проверить сумму, чем проверить файл. И на тот момент, когда обновления антивирусов можно было получать раз в неделю — это было выгодно. Сейчас, когда обновления нужно получать в момент их выхода — это имеет смысл, но гораздо меньше. Пожалуй только в момент загрузки, когда обновления недоступны, а дергаются одни и те же файлы, а также в изолированных сетях, куда перенос обновлений антивирусов затруднен
Тем не менее количество проектов/продуктов, направленных на контроль целостности для банкоматов, достаточно велико. И самое неприятное, когда они заказчикам пишут о своем соответствии PCI-DSS/382-П, где антивирус прописан достаточно отчетливо
— неэффективности — нужно контролировать целостность всей системы, а не только файлов
— включения в антивирусы системы подсчета контрольных сумм — достаточно часто быстрее проверить сумму, чем проверить файл. И на тот момент, когда обновления антивирусов можно было получать раз в неделю — это было выгодно. Сейчас, когда обновления нужно получать в момент их выхода — это имеет смысл, но гораздо меньше. Пожалуй только в момент загрузки, когда обновления недоступны, а дергаются одни и те же файлы, а также в изолированных сетях, куда перенос обновлений антивирусов затруднен
Тем не менее количество проектов/продуктов, направленных на контроль целостности для банкоматов, достаточно велико. И самое неприятное, когда они заказчикам пишут о своем соответствии PCI-DSS/382-П, где антивирус прописан достаточно отчетливо
Сейчас проверка целостности осуществляется для ускорения работы, файл проверяется различными методами. если все хорошо. то считается контрольная сумма из записывается в базу и в следующий раз проверяется сначала контрольная сумма, если ничего не изменилось — файл пропускается, если изменилось — проверяется заново, впрочем технология эта отключаемая(для параноиков)
Именно это я и написал. Но одна поправка — по приходу очередного обновления все файлы с контрольными суммами должны быть перепроверены — ибо могут быть неизвестные вирусы. Поскольку у ведущих вендоров обновления раз в час, то раз в час нагрузка на систему растет. Получается раз в час три операции для всех используемых файлов — подсчет суммы, проверка антивирусом, запись суммы в хранилище
Да, забыл в качестве недостатков. Подсчет контрольных сумм выгоден, если мы опасаемся заражения. Но сейчас бал правят трояны, вероятность заражения есть, но достаточно низка. Я бы вместо этой технологии (на всякий случай — она у нас так же есть) шире применял расширенный офисный контроль — ограничение прав на изменение системы/запуск неизвестных программ
Да, забыл в качестве недостатков. Подсчет контрольных сумм выгоден, если мы опасаемся заражения. Но сейчас бал правят трояны, вероятность заражения есть, но достаточно низка. Я бы вместо этой технологии (на всякий случай — она у нас так же есть) шире применял расширенный офисный контроль — ограничение прав на изменение системы/запуск неизвестных программ
Тут может спасти облако, по крайне мере для системных файлов — достаточно, чтобы какой-нибудь файл был хотя бы раз полностью проверен со свежими базами в любом месте, чтобы не было необходимости проверять его везде.
этот плюс есть, но по сути только для локального облака. Более того с безопасностью у облака все еще хуже. По сути облачные антивирусы сделали для того, чтобы снять деньги с моды, не проработав все возможные проблемы, но давайте это отложим. Я планирую примерно через три статьи пройтись по некоторым модным технологиям с указанием их плюсов и минусов. Если я сейчас укажу все дыры в облаках, не очень интересно будет. Обещаю, что анализ будет максимально беспристрастный. К сожалению именно по облакам открытой информации мало, так что заранее приглашаю к дискуссии
Что-то вы тут демагогию разводите. У вас и у гипотетических пользователей слово «антивирус» ассоциируется с совершенно разными программами — для пользователей они должны удалить все, что ему мешает и не позволять этому появиться снова, а в вашем понимании вы все довольно четко расписали в статьях. Я одного не пойму: зачем то, что вы описываете, называть антивирусом, еще больше заводя всех в заблуждение? Почему не взять собственное название для такого класса продуктов? Тогда и все эти бессмысленные дискуссии пропадут сами собой.
придумать можно все, что угодно, но пользователи все равно будут ожидать то, что они ждут сейчас. и потом мы не Майкрософт — как на внедрить новое понимание в мозги пользователей — мы не монополисты. Задача сравнима по сложности с задачей перебороть миф о том, что вендоры пишут вирусы
Пользователи потому и ожидают того, что ожидают, что все антивирусы решают совсем не те задачи, на которые намекает их название. А вот назывались бы они более соответственно своему поведению — тогда и вопросов бы не было. правда, наверное, и продажи бы упали, ведь тогда многие поняли бы, что им, мягко говоря, толкают то, что есть, а не то, что им надо.
Вас и не просят внедрять новое понимание — наоборот, я говорю, что не стоит слово «антивирус» наелять тем смыслом, который вы в своих статьях описываете — пользователи все рано не поймут, потому что для них антивирус должен ловить вирусы. И, черт возьми, из самого названия это ясно следует, так почему должно быть иначе!?
Сейчас просто мода или тенденция в мире такая, печальная: знакомые слова наделять новым смыслом и потом спорить до усрачки с теми, кто описывает этими же словами старый смысл. Нафига?
Вас и не просят внедрять новое понимание — наоборот, я говорю, что не стоит слово «антивирус» наелять тем смыслом, который вы в своих статьях описываете — пользователи все рано не поймут, потому что для них антивирус должен ловить вирусы. И, черт возьми, из самого названия это ясно следует, так почему должно быть иначе!?
Сейчас просто мода или тенденция в мире такая, печальная: знакомые слова наделять новым смыслом и потом спорить до усрачки с теми, кто описывает этими же словами старый смысл. Нафига?
Антивирусы никогда не ловили всего, что есть вредоносного. Поэтому никакого нового смысла они не несут. Другой вопрос, что антивирус ловит не только вирусы, но и прочее вредоносное ПО — на факте незнания чего паразитируют разные антируткиты и антиспуваре
Теоретически можно было бы провести ребрендинг, назвав каким антизаразом, но сто пудов сразу появятся фейковые антивирусы — и пользователи будут покупать именно их
Теоретически можно было бы провести ребрендинг, назвав каким антизаразом, но сто пудов сразу появятся фейковые антивирусы — и пользователи будут покупать именно их
Sign up to leave a comment.
Как поймать то, чего нет. Часть печальная: что такое антивирус?