Comments 27
"Все файлы и папки, найденные в этих списках, подвергаются тщательной проверке с помощью антивирусного ядра Dr.Web."
в остальных папках Dr Web уже проверят не очень тщательно
Вызванная "импортозамещением" миграция из Виндовс-экосистемы в сторону линуксов несет угрозу исчезновения жизненного пространства и для антивирусных компаний.
Кто-то возможно поменяет структуру бизнеса, вот например оценка и предотвращение сетевых угроз, удобные инструменты управления файрволом, может быть какие-нибудь дайджесты уязвимостей с практическими рекомендациями и инструментами проверки.
А кто-то будет кошмарить пользователей линукса, предлагая установить антивирус, чтобы "защитить от вирусов" АКА "защитный экран на монитор" из 90-х.
Закончится это там же, где сейчас защитные экраны.
Думаете, под Linux нет вирусов? Может быть их намного меньше, чем под Windows, но по мере пересаживания юзеров на "отечественные ОС" зоопарк заразы кратно умножится. Госучреждения - слишком ламкомый кусок, чтобы пройти мимо (а если учесть пакетную базу наших дистрибутивов...).
Думаю, что скажется иная организация работы системы в Линуксе.
Хотя, если сделать "как в Винде" - то будет как в Винде: и заражение исполняемых бинарников в рабочих каталогах, и макросы, запускаемые "по нажатию на файл".
Проблема в серверах и торчащих наружу веб и других сервисов. Это прямо боль. Народ даже не представляет какое количество серверов в гос или коммерческих учреждениях заражены. Причем это происходит автоматически. Просто за счет того, что настроенный много лет назад сервер никто никогда не обновляет. Как и выполненный по контракту сайт. И нет нормальных решений для этих проблем. Они просто не вписываются в текущую концепцию: сдал проект и забыл.
А какая там иная организация работы? Организация работы там от Windows XP – всем всё можно, только систему без пароля удалить нельзя.
Иная организация работы в Андроиде. У каждого приложения список прав, любые опасные права юзер выдаёт явно. Доступ к случайным файлам и профилю юзера считается опасными правами.
В Линуксе делают Флатпак, только его всё делают и делают, а он всё не готов и не готов. В куче пакетов по умолчанию выданы опасные права, начинаешь их ограничивать – ломается вообще всё. Хорошо хоть Wayland внедрили. При Иксах любое приложение, способное показать окно пользователю, по определению имело неограниченный доступ на запись ко всем файлам этого пользователя. Это шаг в правильном направлении, но он занял двадцать лет, и таких шагов нужно ещё несколько, прежде чем это всё начнёт работать, как Андроид.
Про неуловимого Джо слышал? (Количество личных пу на линуксе неуловимо ничтожно до сих пор, соответственно и усилия на заражение не выгодны)
А про суслика? (То что ты не видишь заражения на линуксе - не заслуга линукса, а лишь благое неведение твоё)
Ладно 99% софта из репозиториев официальных. Но 1% программ скачанных с непонятных источников, зато "точно исправим косяк из-за которого ваша программа не запускается под Линукс" - существует и их ставят пользователи которые уверены "на Линукс нет вирусов". (Проценты от балды в угоду линуксойдам, хотя считаю там больше доля вторых).
К слову о "проверенных официальных репозиториях с открытым кодом" - мало кто из разработчиков не вздрогнет при вспоминаний 22года и проблем после скачивания актуальных библиотек. Надписи в консолях и прочих местах корабле в продакшене сильно добавило седых волос многим. Хотя откуда бы в "проверяемых" источниках косяки - не понятно.
Они и про ИИ не слышали, а ИИ поможет написать малварь любому бабуину с 8ю классами образования и обидой в сердце. Так что количество усилий для этого всё снижается и снижается.
Под Линукс написать малварь в сто раз проще, чем на Винду. На Винде, если вы запустите код, который тупо начинает стирать все файлы подряд или искать заведомо важные файлы и отправлять их на неизвестный сервер, антивирус его прибъёт по эвристике. Не говоря уж про кейлоггеры с майнерами. Распространять малварь под Линукс тоже можно десятком способов. Первые два сайта, которые выдавал гугл по поиску "OrcaSlicer" были левые. Как сейчас – не знаю.
Вот-вот - о чем я и говорю: не понимают разницы между вирусом, заражающим файлы, и технически нормальным софтом, который просто делает нежелательные действия.
Вирус - технически нормальный софт. Он делает то, для чего написан.
Не надо выдумывать ничего. Всё придумано давно(в моём существовании, в твоём видимо отсутствии)
Вики:
Компью́терный ви́рус — вид вредоносных программ, способных внедряться в код других программ, системные области памяти, загрузочные секторы и распространять свои копии по разнообразным каналам связи.
Т.е любое по, которое делает что-то "вредоносное" и способное распространять(локально ли или по сети на другие системы) свои копии - вирус.
Сам ли человек его изначально установил и запустил или пришёл извне - не важно.
Формально это "нормальный софт", т.к выполняется на компьютере, используя его "нормальные" команды, для своих "нормальных" инструкций.
А уж запускать его под sudo - прям сам Линукс завещал иначе не получишь нормальной работы спокойной.
sudo xxxx - где под xxxx любая программа - прям классическая команда для запуска ПО в линуксе, иначе можешь словить непонятки в работе из-за малых привелегии и потому сам Линукс толкает пользователей запускать всё что не попадя с привелегиями админа. И привет "заражение" и "нормальное" выполнение.
Если что, то в винде тоже есть механизм контроля уровня доступа. Но её отрубают все. Она работает, но раздражает что "каждый" шаг надо подтверждать.
Странно. У меня в Linux sudo требуется только для адмнистративных действий, равно как и UAC в Windows. Более того, попытка запуска с полными привелегиями или требование root меня насторожит: лучше отказаться от такого софта, чем справляться с последствиями. Никакого дискомфорта я от этого не испытываю - пользовательскому софту это не нужно, всё работает как надо.
За все годы использования ПК проблемы были только один раз: когда деинсталлятор какой-то левой тулзы самовольно затёр диск D:\ cо всеми пользовательскими файлами.
Я эту байку читаю примерно с 1998 года...
Там еще призказка "а вот когда получит широкое распространение! "
При этом люди не понимают разницы между "файлами, зараженными вирусом" как в Винде, и системой, в которую встроили малварь (с точки зрения ОС - устновили совершенно легитимную программу)
Фаервол пусть нормальный допилят... Все какие-то странные плюшки пилятся, а базовый функционал в пролете...
Да тут уже по заголовку видно что это нейросетевой выхлоп. Чем дальше - тем хуже новости от denis :(
В Dr.Web обновили Dr.Web CureIt! проверкой файлов и папок
Проверили файлы и тем самым обновили утилиту. Ну кто так пишет?
Еще несколько лет назад делал репорт по уязвимостям у касперского через баг баунти, что через эти списки исключений даже без админских прав можно вредоносное по свободно запускать программно. На что они ответили, что так и задумано, и что это не уязвимость.
Поясните. Вы добавляете вредоносное ПО в список исключений у Касперского, и теперь он позволяет его запускать? Действительно, дыра...
Нет. Запускал обычную безвредную утилиту под пользователем. Она добавляла в реестр новое исключение (обычный путь с дефолтными настройками), после чего копировалась и запускалась уже оттуда, распаковывала вредоноса и запускала его (это если упрощенно) - и все это без какой-либо реакции со стороны антивируса.
Для пользователя это выглядело как запуск обычного по, ничего в самом касперском ему делать не надо было.
P.S. На самом деле там касперский поступил очень некрасиво и тупо молча пофиксил эти баги в следующих релизах, а награду отказался выдать, сославшись как раз на «не баг, а фича». Устраивать скандал тогда не стал, платформа HackerOne.
Запускал обычную безвредную утилиту под пользователем. Она добавляла в реестр
Именно от обычного пользователя без админправ?
Тогда, по уму, они должны держать настройки в HKLM, чтобы простой пользователь не мог туда писнуть (ну а если он выдал программе повышенные права, тут уже и похуже дел можно наворотить).
RDPWrapper например не вредоносный.
А антивирус так не думает.
Все файлы и папки, найденные в этих списках, подвергаются тщательной проверке с помощью антивирусного ядра Dr.Web."
Блэт, я специально пару папок в исключения добавляю чтоб родной антивирус мне мозги не любил возбуждаясь на что не требуется.
В Dr.Web обновили Dr.Web CureIt! проверкой файлов и папок, внесённых в исключения, и начали делать эту утилиту для Linux