Pull to refresh

Comments 150

UFO landed and left these words here
Ну так языком трепать — не мешки ворочать =) А если серьезно, я просто указываю на те недочеты, которые имеют место быть, и которые (как мне кажется), никто и не горит желанием пофиксить.
UFO landed and left these words here
Не все так просто, я не волшебник — я только учусь =) Ну и форумы читаю, да.
Присоединяйтесь к проекту ClamAV, я серьезно. Миру нужен хороший, опенсорсный антивирь.
так есть же уже! Антивирус Попова.
А что помешало вам придумать нормальный аргумент, а не «сперва добейся»?
Был старый анекдот — как два программиста могут заработать — один пишет вирусы, а другой антивирус.
Вы же сами ответили на этот вопрос — компаниям производящим антивирусы это не выгодно, а олпенсорсникам это не нужно, так как все вирусы там относятся к категории сам скомпиль
Ну я верю, что есть еще среди антивирусников адекватные люди =) Которые на голом энтузиазме запилят крутую проактивку, аккурат после моей гневной статьи =) Тут же все просто — делаеш обход своего антивируса, и сам фиксишь дырки (и так до нужного уровня вложенности, а то в бесконечный цикл можно зайти).
Ага. А конечный результат — система, на которой только антивирус работать и может.

Вы как бы неправы насчёт активных защит: работа ведётся. Не знаю как она там помогает насчёт вирусов, но нормальный софт уже не работает. Вот, недавно столкнулись, полюбуйтесь.
Лет несколько назад попался в винде зловред, мегабайт 20 размером и он что-то активно тянул из и-нета. Мы тогда с потсонами ржали, что он, наверное, SDK подтягивает.
Белый список софта — это не проблема антивируса, КМК.

Вроде бы двигались к Secure Boot, но рынок никто так и не порвал
Это понятно, однако анонсируется как очередная панацея от неизвестных вредоносов.
И потом Secure Boot призван защитить от буткитов, а их не так уж и много. Все что можно стырить — можно сделать в usermode, естественно с высоким риском быть обнаруженным. Но, как показывает практика, иногда не обнаруживается годами =)
Ну анонсируется и что можно 10 000р в день в интернете зарабатывать, но это не повод гневные письма писать.

Люди, которых нанимают в большие компании и которые руками вирусы находят должны обладать некоторой квалификацией, чтоб понимать, что дед мороз не настоящий.

И они же понимают, что метод «ограничить его и все тут» несёт в себе риск парализовать работу всего осмысленного персонала и ожидаемые убытки будут выше, чем от вирусов. Панацея даже им не очень и нужна, на самом деле.

На сколько я знаю (подробно я не интересовался) Secure Boot принципиально не ограничен в применении и для usermode. Просто не стали ограничивать.
Да они стандарные ключи автозапуска до сих пор мониторить нармально не научились…
А как их задетектишь, вдруг там — легитимное приложение?
при первом запуске у юзера спрашивать, и добавлять в белый список, если юзер такого знает, не?
В результате чего с вероятностью 90% в белом списке окажутся все известные в природе вирусы. Дальше что делать?
Ну как же: переустанавливать Windows же.
Переустановки одной кнопкой в 8-ке уже мало?
Какова вероятность что гететимное приложение назодится в каталоге SystemVolumeInformation, или Recycled, или в Temp? И вообще помоему как раз тот случай когда стоит спрашивать можно приложению это делать или нет.
Оно обычно в Application Data =) По большому счету, антивирусникам нужно проявить некоторую волю — заблокировать 99% подозрительных действий, и быть готовыми ответить за оставшийся 1%. А этого они как раз и боятся (пользователи завалят их меседжами, что у них keygen не запустился). С другой стороны, даже Microsoft пишет в своем соглашении, что за весь ущерб, приченненный за правильное или неправильное использование их софта, компания ответственности не несет. Что мешает сделать так же антивирусникам? Ответ, Microsoft — монополист, а антивирусов — много. В случае какого-либо косяка большинство пользователей мигрируют на другой антивирус.
Да можно хотя бы спросить, не так часто эти ключи в реестре правятся. Однако же, они лучше кейгенами займутся.
Дык, и антивирусники тоже ответственности не несут. Почитайте их лицензионное соглашение…
Они просто не делают этого…
Ой, хоть бы и не научились вовсе, или научились по-нормальному, но это же невозможно…

Например в DrWEB есть функция защиты файла hosts — можно настроить, чтобы попытка изменения отвергалась, проходила сразу, или же был запрос у пользователя на изменение файла (дефолтно все попытки отвергаются).
Казалось бы — сохранить при подтверждении пользователем хэш-сумму файла (как этот же самый DrWEB делает в фаерволе для файлов приложений), если файл поменялся — ругаться. Так нет же…
Понадобилось добавить в hosts запись… Изменил, подтвердил изменение, все ок. Теперь каждые полчаса мне выскакивает «обнаружена угроза» что DFH:Hosts File Corrupted и добавление его в исключение ничего не меняет. Что характерно, фокус сразу перекеидывается на уведомление, надо либо альт-табаться, либо мышкой закрывать уведомление. Задолбало.
Антируткит отключить попробуйте. У них сразу два (если не больше) разных модуля проверяют этот несчастный hosts, причём, антируткит любит ещё и чистить его без спроса.
Да не надо антируткит отрубать, достаточно добавить сам хостс файл в исключения к спайдеру. Не очевидная фигня, да.
По-моему, для всех этих проблем есть одно проверенное и на 100% работающее решение — использовать более надёжные и менее уязвимые операционные системы, которым не нужны эти костыли вроде антивирусов.
А разве на Linux мало малвари?
Если человек не может настроить политики безопасности на Win, почему Linux у него будет менее уязвим?
Была такая мысль, кинуть в заметке еще камень в огород линуксоидов. Но подумал, что пришьют очередное разжигание холивара. Вирусов и троянов для Linux (рабочих) действительно немного. А вот вредоносов уже достаточно, причем явно не на коленке написанных. Как всегда сказывается сегментация рынка ПК, на десктопах — винда, на серверах — Linux. Поэтому вредоносы там очень специфические — или редирект, или DDOS (и все крутиться на серверах).
Маленький дисклеймер: я линуксоид, но выступлю адвокатом дьявола.

Трояны есть, но, в силу того, что их пишут люди не очень знакомые с экосистемой, работают через одно место и далеко не всегда. Несмотря на все потуги к унификации (чего стоит FHS, например), дистрибутивы пока ещё ощутимо различаются. Поэтому прекрасно работают трояны, например, на java (стоит сказать, что точно также они работают и на win, и на osx), но только если установлена системная java.

Более-менее активно работают различные вредоносные программы заражающие некоторые типы стандартных установок (пример — недавняя «эпидемия», прокатившаяся по установкам wordpress, которые не обновляют годами). Но аналогичные проблемы есть и на других системах: необновленный флеш, ява, системные апдейты и т. д. и т. п. В общем, это не является чем-то необычным. А значительный масштаб (правда, сильно не дотягивающий до всяких Zeus) обеспечивается тем, что большое количество установок на серверах (перекос в эту сторону пока значительный) делаются дилетантами по какому-нибудь туториалу, применимому, в лучшем случае, для dev-окружения, где не надо думать о безопасности.

Ещё один вектор, обсуждаемый последнее время, — заражения через подбор словарных паролей рута (администратора). За примером далеко ходить не надо. В соседнем топике ValdikSS рассказывает про BillGates. Про то, что ставить на публичном хосте простой пароль администратора не стоит — знают все, но всё равно попадаются. Иншалла.

А по поводу того, что «не на коленке написанных» — выглядит ровно наоборот. Процессы, которые торчат под левыми именами, неиспользование руткитов (а при рутовом доступе поставить руткит — не проблема), отсутствие какой-либо защиты своих файлов и т. п. В общем пока всё в стиле «Я бедный олбанский вирус. Разошлите меня всем своим контактам и сделайте format /y X:dd if=/dev/urandom of=/dev/sdX».

Я считаю что это банально потому, что установок, сделанных дилетантами, пока выше крыши и тратить силы/время/деньги на сколь-нибудь серьезного зловреда пока не оправдано экономически.
Давайте начнем с того. что уровень вхождения в написание вредоносов под *nix системы выше, чем под Windows.
Весьма спорное утверждение.
Если сделать такое допущение, то автоматически следует, что вирусов в линуксе должно быть меньше, чем в виндовс, и в общем он менее уявзим. Тут импликация простая: менее уявзим — начит, сложнее написать вредонос (выше уровень вхождения).
Троянов под *nix меньше не потому что система лучше защищенна, а потому что меньше распространена.
Поставьте Gentoo Hardened + PaX + grsecurity и удивитесь.
Уважаемые товрищи комментаторы, когда вы, наконец, поймете, что безопасность нельзя просто повысить путем перехода на другую платформу. В смысле можно, только вот проблема, что софт который используют юзеры уже написан и работает (с глюками и ошибками) на платформах, содержащих уязвимости. А то действительно, всего делов — написать безопасную ОС (а еще безопасный фреймворк для web приложений) да и пересадить всех на нее, пойду идею запатентую и стану богатым.
Написал ответ, не дочитав комментарий до конца, простите.

Значит вы не в курсе, что такое PaX, MEM UDEREF, и кто такой spender. Это понятно, что безопасность это процесс и т.д., но смена базы поможет увеличить базовый уровень безопасности. Не на 100%, а, скажем, на 50 — разве это плохой результат!?
Постоянно приходится уточнять: в корпорации стоит софт, написанный для Windows, дома стоит игрушка, написанная для Windows. А вы предлагаете перейти на другую, более защищенную платформу. Зачем пользователю такая безопасность?
Проблема в том, что статья не об этом, и от того, что большинство пользователей используют Win, никуда не деться.
Есть проблема, нужно искать решение. Антивирусы эту проблему удачно маскируют, а других идей как в одночасье превратить миллионы юзеров в специалистов по безопасности вроде нет, может у Вас есть?

Кстати, а современные антивирусы умеют скачивать и устанавливать критические обновления безопасности системы?
А есть смысл все это городить на десктопе и как сильно оно понизит быстродействие системы?
я кстати на домашнюю Ubuntu этого Гейтса подцепил, выпилил по тихому, потом уже статью увидел.
Много нас таких ленивых, однако :)
Не считаю, но это ни сколь не умаляет моего тезиса. Очевидно, что есть какое-то распределение и, соответственно, более-менее серьезные системы. Но пока дешево (в деньгах, людях и времени) ломать десятки-сотни тысяч машин с устаревшим wordpress, cpanel/ispmanager, whatever — это будет более массово. Как и массовое заражение windows-десктопов в сравнении с linux и os x.

Кроме того, это не один зловред, а значительное их количество (в т. ч. под *BSD, Linux, OS X, Windows). Во-вторых, позволю себе процитировать один тезис из статьи, на которую вы ссылаетесь:
Для получения доступа к серверам злоумышленники использовали украденные учетные данные, а также backdoored-apps (изначально скомпрометированные приложения) вместо эксплуатации каких-либо уязвимостей.
Начальный вектор заражения — получение учетных данных пользователей (а бутстрап вполне мог использовать и тупой перебор) при работе на зараженном сервере. Т. е. безответственное отношение к безопасности и избыточное доверие к зараженным seed-серверам.
Ваш тезис, насколько я понял, под *nix платформу зловреды пишут дилетанты. Я утверждаю обратное — под *nix стали сразу писать нетривиальные вещи.
Вы неправильно меня поняли. Нет абсолютно черного и абсолютно белого. Пишут и дилетанты, и профессионалы.

Мой тезис в том, что пишут преимущественно дилетанты. Это не означает, что все кто пишет зловредов под *nix — дилетанты. Кстати, под win зловредов собирают (в готовых конструкторах, с готовыми c&c серверами) ещё менее компетентные в написании кода товарищи.

Но наличие более-менее тривиальных зловредов, условно, в пять строк на баше, которые работают при очень узких условиях, признак написания их какими-то криворукими макаками. Если люди не могут сделать замещение, скажем, нескольких бинарников в /usr/bin (напомню, имея рутовый доступ) на свои проксирующие, чтобы в системе не висели atkdddqwe, cupddk etc, которые видны даже дауну, — это признак дилетантизма. И так далее.
Убунта же по умолчанию не ставит openssh-server. И рут без пароля, т. е. под ним не залогинишься. Как? о_О

Если же вы ставите openssh-server и пароль руту — то тут уже надо думать об этом векторе атаки. Например, запретив рутовый вход по паролю.
Так домашний ноут, ничего важного, поставил openssh и забыл, с кем не бывает.
Кстати, давненько на хабре холиваров про OS не было :)
Холиварщики повзрослели или тема неактуальная?
Что характерно. вопрос был в том, что антивирусники недорабатывают некоторые моменты. А не про: «я сижу на *nix и у меня нет проблем».
Проактивный антивирус с 100% защитой от угроз и нулевым количеством ложных срабатываний — утопия.
А все и не нужно детектить, достаточно того, что сейчас используется. Или по простому, поведенческие правила (или движок), на сегоднешний день, не реализовывают защиту от методик обхода, применяемых в современных образцах малвари.
Может потому что, как только реализуют, методики изменятся, и так до бесконечности? Нужны масштабируемые решения.
Я думаю, что методов обхода — конечное количество (тех, которые известны). Нужно просто держать руку на пульсе (а не закрывать дырки сигнатурами).
Так это будет «закрывать дырки правилами взамен сигнатур», не?
Сигнатуры дают меньше ложных срабатываний.
Проактивный антивирус с 100% защитой от угроз и нулевым количеством ложных срабатываний — Unix.
Unix + бородатый админ, без бороды — 99.9%
Сколько обычных пользователей исользуют *nix системы?
14327 обычных пользователей…
К чему эти риторические вопросы?
Конкретизируйте, пожалуйста, Ваше представление об обычности.
Сколько пользователей (в процентах) используют Windows и *nix системы на десктопах?
Я несколькими комментариями выше написал по сути, что без грамотного админа безопасность на nixах ничем не гарантирована.
Вы хотите это оспорить?
К чему вопросы о статистике? Я такой статистикой не владею, а та, которую могу собрать, будет с перевесом в сторону nix'ов…
Ну, например, 100% пользователей в моей организации.
По моему миру, очень много ;) Зачем мне думать про надуманные проблемы, если я свои решил.

Рядовому офисному пользователю винду ставить нельзя, если у него нет специальных нужд. Вот и весь антивирус.
Вот и антивирусники свои проблемы так решают. На будующее — всем комментаторам стиля «а у меня Linux (MacOS). мне пофигу ваши виндотрояны»: кроме Вас существует огромное количество других пользователей, которые работают на Windows платформе, и их проблемы нельзя решить в лоб путем перехода на альтернативу.
Их проблемы можно решить ничуть не сложнее, чем на Linux.
Еще со времен NT4.0, если я не ошибаюсь, появилось такое понятие, как политики безопасности, и если их настраивать, и не запускать что ни попадя под «Администратором», то вероятность заражения минимальна. А если забивать, то и Linux не панацея, там точно так же можно скачать и под рутом запустить все, что угодно.

А любой антивирус, как ты его ни назови, всегда можно отключить, чтоб запустить программу «Как выигрывать в казино без затрат», странно вообще, чего он на нее ругается, полезная же программа.
Правило под админом ничего не запускать уже малоактуально, ZeroAccess, например, работает из usermode.Поэтому ограничивать нужно по другому, не на уровне прав системы, а более жестко.
Блин, ну что тут можно сказать… сочувствую, ОСь которая позволяет простому юзеру получить рута… Это уязвимость, которую нужно патчить… Или Вы думаете, что если ОСь не может совладать со зловредами, то монитор антивируса с этим справится?
Есть зловреды, которым рутовый доступ не очень-то и нужен. Например, зараженные расширения браузера, которые добавляют «друзей» в социальных сетях. Работают в рамках легитимной среды исполнения браузера и сказать, что их поведение некорректно может только человек. Или заменяющие картинки на что-либо (как adblock, например). Всякие спам-боты, работающие от имени пользователя (в т. ч. и в браузере).
Судя по всему, деньги за антивирус платятся за чувство ложной защищенности, а не за защиту компьютера от компьютерной заразы.

Один из посылов заметки следующий — доколе антивирусные конторы будут нас кормить маркетинговой лапшой? Может стоит взяться за работу (постоянно мониторить, что происходит в стане врага), а не строчить отчеты в стиле: мы тут такое нашли!

Вот это срыв покровов! Но может действительно стоит взяться за работу, а не писать сочинения на тему: «Как я провел лето».

Вы бы ещё написали, что некоторые люди, о господи, могут соврать, а в рекламе не всегда говорят правду.
...
Есть одна проблема — они за это деньги получают, а я — нет. К тому же интересные сочинения на тему «Как я провел лето», тоже нужно уметь писать, в любом случае — спасибо за содержательный коммент в стиле кг/ам.
Даже если обратиться к содержанию и объединить информацию, то тезисно всё сводится к:
1. Есть корпоративный сегмент
2. Фирмы закупают антивирусы
3. Антивирусы плохие, т.к. не обнаруживают даже старые известные техники распространения вредоносного ПО, чего уж говорить о новых.
4. Антивирусным компаниям платят деньги, а они см. пункт 3.
5. Где же опенсорсное или новое проприетарное решение, которое порвет рынок?!
6. Я надеюсь, что теперь антивирусные компании исправятся.

Если по тезисам нет противоречий, то я могу более развернуто пояснить, почему зарабатывание денег является приоритетом для тех, кто занимается закупками, что такое разработка со строгим согласованием (без ситуаций со стороны разработчиков вроде: о, я нашел на форуме продают зиродей обход, давайте купим его и пофиксим баг в нашел антивирусе), а также, почему опенсорные решения с меньшей вероятностью поставят в какой-либо компании и т.д.
Вы же не разрабочик антивируса, поэтому не сможете мне ответить на вопрос:
когда реализуют нормальный детект малвари по svchost.exe, запущенном от имени пользователя (на минутку, прием, который известен на протяжении последних пяти лет). И если серьезно, я действительно надеюсь, что какой нибудь разраб после этой статьи пойдет и допилит пару строк в антивирусном движке и жить станет чуть-чуть лучше.
А по тезисам — все верно изложили =)
Существенно сократить число угроз под Windows можно при помощи EMET (сейчас 5 версия в Tech Preview).
А если посмотреть на проблему глобально, то часть вирусов используют ошибки в коде (а значит борьба с ними косвенно влияет на улучшение качества кода, появление best practice и так далее), ещё часть вирусов использует ошибки в ДНК социальную инженерию (что косвенно заставляет обучать людей компьютерной грамотности, это в 21 веке-то!).
Ну скажем так, для распространения троянов ВСЕГДА (за некоторыми исключениями) используются ошибки в коде. Тут уместен еще один пример, запуск java аплетов только из белого списка. Но это уже вопрос не к антивирусникам, а к админам. И тут главная проблема, что обновление java может вызвать неработоспособность системы, написанной под конкретную версию.
Пользователи (которые платят деньги) не хотят ограничений, они хотят пур-пур-пур (что бы всё работало само) поэтому белые списки для энтузиастов и упорных контор.
Поэтому словянские пользователи в выигрыше, они получают базовый уровень защиты, ничего не заплатив (читай, пиратский антивирус), а остальные — платят за уверенность в своей защите.
Резюме (посыл номер два): хватит играть с пользователем в демократию, ограничить его и все тут. И тот производитель, который на это решится, порвет рынок.

Я, простите, не знаю, кто там что порвет. Просто лично я, как конечный пользователь, предпочту, скажем так, незащищенность супер-пупер антивиру, который будет мне указывать, что и как мне делать с моей машиной.
Вы — да (и я — да), а 99% пользователей нужно ограничить.
У меня линукс и мак, и я сильно ограничен, если не сделаю sudo, неужто я 99%
И для проформы — почитайте про flashback. Пользователи мака до него тоже кичились неуязвимостью своей платформы.
И не надо себя мнить 99%, смиритесь — вы 1% =)
Я бы акцентировал не на неуязвимости какой-либо ОС (ясно, что всё ломается), а на просто-таки легендарной уязвимости именно винды.

Мальваре для других платформ существует, но оно существует где-то на периферии сознания (моего уж точно), а на винде вона сколько копий ломается, лярдов тратится, и гневных филиппик на хабре пишется, любо-дорого взглянуть.

Глядя, как порочный дизайн любовно переносится из версии в версию на протяжении двадцати пяти лет, начинаешь задумываться об умысле, причём не со стороны антивирусников.
Тема про малварь скатилась к рассуждениям: «Я дартаньян — а вы все на винде» (уже в который раз). Давайте поговорим про легендарную неуязвимость *nix систем. Или вспомним, что корень проблем заключен в архитектуре x86_x64, а именно — в механизме разделяемой памяти. Поэтому все дружно переходим на ARM. И пихаем туда *nix. А потом через n-дцать лет читаем статистику на секлабе, что 99% троянов пишутся под *nix платформу.
просто-таки легендарной уязвимости именно винды

Просто это самый большой и самый вкусный сегмент десктопного рынка малвари. Декстопный Linux, например, здесь как неуловимый Джо. Взгляните, к примеру, на мобильные ОС. Там по количеству малвари уже здорово лидирует Android, хотя казалось бы — Linux-based ОС. Или вспомните, сколько уязвимостей находят и эксплутируют в открытых веб-фреймворках на, опять же, Linux-овых веб-серверах.
Распространенность платформы накладывается на человеческий фактор: невероятное количество пользователей работают с отключенными обновлениями ОС, с устаревшими браузерами, flash-плеером и прочим софтом.
Глядя, как порочный дизайн любовно переносится из версии в версию на протяжении двадцати пяти лет

Ну, во-первых, и дизайн меняется и совершенствуется, а, во-вторых, у MS есть тяжкое наследние в виде legacy-софта. Нельзя просто взять и полностью поломать обратную совместимость, как бы ни хотелось, за это ни обычные пользователи, ни корпоративщики спасибо не скажут.
На Андроиде, если не вру, вся малварь распространяется по принципу «скачай меня и запусти, я новый браузер!!!».
Да какая разница, как он распространяется! Главное, что распространяется, и с этим нужно что-то делать.
Там по количеству малвари уже здорово лидирует Android, хотя казалось бы — Linux-based ОС.

К уязвимости системы такое распространение отношения не имеет.

BTW, Avast! справляется на ура.
Иногда их нужно ограничить, скажем так административно. Проблема в их тотальной безграмотности. А зачастую им нужно объяснить что делать можно, а что нет. И на 99% они будуд защищены. У меня есть положительные примеры таких объяснений. С другой есть и примеры полной их бесполезности.
У обычных пользователей (домашних) нет администратора, как быть?
«их». Тут на хабре админы статьи пишут как сами подсаживают ботнеты друзьям и родственникам. Гордятся очень этим…
Если смысл подобного «ботнета» заключается в том, чтобы не идти к другу, когда у него очередной винлокер на весь экран, а решить проблему дистанционно, то почему бы и нет?
В таком же ключе думают и депутаты принимая законы о белых и черных списках сайтов. Хотелось бы узнать ваше мнение по этому вопросу. Ибо если блокировать сайты то многие двумя руками против (деспотизм, тотальный контроль), а как блокировать запуск приложений у ничего «не понимающих» пользователей, так сразу тремя руками за. Где грань?
Антивирус, вычищающий всю неугодную информацию (ну Навального хвалит или Путина ругает), база данных которого соответствует мнению госструктур — это нечто с чем-то.
Китайцы не додумались :) При стечении обстоятельств может оказаться востребован.
Китайцы додумались отгородиться великим китайским файрволом.Цензура у них в своем сегменте Интернета мощнейшая и реализуется не на конечных ПК, а на провайдерах. Кстати, отличная идея — поставить антивирусные фильтры на провайдере, и почему у нас так не делают?
Кстати это было бы шикарным решением.

Как в анекдоте
— Третий раз скачиваю уиндоус 95, а на выходе осьдва!
— Так модем же с коррекцией ошибок!

;-)
Удаление программ-патчеров, кейгенов и серийников — вполне соответствует. Только со стороны коммерции.
Хотелось бы узнать каков опыт автора в озвученной им области. А то такое письмо настрогал — а квалификация не ясна. Поймите правильно: я сейчас никого не упрекаю и не критикую. Просто хочется для себя прояснить: автором затронута очень многогранная тема, а озвучена только вершина айсберга. Вот, хотелось бы выявить причинно-следственную связь опыта автора и этого топика

Теперь по сути топика:

1.
конечный пользователь все равно отдаст свои деньги, либо злоумышленникам, либо за антивирус

А бесплатные антивирусы мы принципиально не рассматриваем? Почему? Если ответ в стиле: " раз бесплатный — значит какашка" — жду более аргументированных доказательств.
Рекомендую также погуглить на тему EMET. Вот, например, результаты поиска на хабре на эту тему. Надеюсь, это немного успокоит автора и в его мозгу появится мысль, что всё на этом свете не так плохо.

2.
CreateProcess… Кто мешал их выявить и закрыть — сие тайна, покрытая мраком

Вы правда хотите запретить CreateProcess? Либо тут не хватает конкретики, либо… как будет работать, например, Google Chrome? Как Вы думаете: что он использует при создании новой вкладки? Это самый элементарный пример. А их можно привести кучу.

3.
А известны они в узких кругах трояномейкеров с 2009 года (а то и раньше), между прочим. Кто мешал их выявить и закрыть — сие тайна, покрытая мраком.


Не буду говорить за всю антивирусную индустрию, но вот так это заявлять, не углубившись в суть вопроса — по меньшей мере некрасиво. Вот, например, доклад с конференции phdays 2013 Подпольный рынок 101: статистика цен и схемы ценообразования (Максим Гончаров) Есть и другие доклады и статьи, показывающие, что антивирусные лаборатории не спят (некоторые точно) и мониторят что происходит по ту сторону баррикад

4.
Складывается такое впечатление, что антивирусные аналитики только и заняты разбором очередной APT угрозы, с мыслями: «Блин, а чо — так можно было»?

А это и есть эволюция, которая рождается в конкурентной среде (коей является вирусы-антивирусы и системы на которых они работают). Атакующий всегда в выигрыше. Представьте. Вам поручено охранять некий объект. Вот расставили вы автоматчиков, камер понатыкали. А они взяли и подземный ход пробурили. Вот негодяи! Вы сделали ров, наполненный водой. Ну теперь-то точно не похакают, правда? Так нет же: подключились к системе вентиляции, пустили усыпляющий газ и опять Вас похакали. Нежданчик? Вот тут, я уверен, и у Вас появится желание сказать эту самую фразу: «Блин, а чо — так можно было». И этот процесс противостояния можно продолжать до бесконечности.

5.
Очень позабавила инициатива о ведении белых списков запускаемых приложений. То, что рядовые администраторы делали годами руками, облекли в GUI и выдали за новую супер-пупер инновацию (и еще запатентовали, небось)! А где вы были лет десять назад?

Резюме (посыл номер два): хватит играть с пользователем в демократию, ограничить его и все тут.
Точно, долой демократию и чёрные списки. Даёшь диктатуру и белые списки. Не будем никого выпускать из страны. Только по белым спискам: а вдруг желающий уехать — был маньяком, на его грешной душонке куча смертей? Ну, не разыскивают его — это наша полиция плохо работает. Сегодня выпустим, а завтра ориентировка на него придёт — поздно уже будет. Так что нефиг кого-то выпускать. Пусть у нас все невыездные будут. Что говорите? Мир посмотреть? А вот обломитесь с путешествиями, никакой Вам демократии. Смотрите мир свой по телевизору, и не пускайте сопли. Мы тут важным делом заняты — препятствуем побегу преступников. А Вам тут мир не дают посмотреть. Ну, как? Нравится как звучит?

P.S. Если кого-то интересует мой опыт по теме вирусов и антивирусов (и информационной безопасности)


Сразу видно «эксперта», перехватывать нужно маппинг, так как он эквивалентен Write Memory. CreateProcess перехватывается и так, непонятно почему не остлеживается запуск svchost.exe из-под пользователя. По поводу опыта автора — пишу о том, что тестировал лично. На докладе Гончарова присутсвовал, там его аудитория чуть не закидала помидорами, именно за отрыв от реальности.
Как-то здесь все по-своему трактуют мою фразу про ограничение со стороны антивируса. Речь вот о чем: села какая-то программа в автозагрузку, далее антивирус может использовать один из трех вариантов: разрешить по дефолту, спросить пользователя; запретить по дефолту, спросить пользователя; запретить и ничего не спрашивать (вот тут и проявляется демократия с диктатурой). Так вот, проблема в том, что антивирус задает вопрос пользователю. который, скажем так, не очень разбирается в компьютерах. Поэтому я считаю, что тут нужно просто блокировать и смирится с тем, что 1% пользователей оборвет телефоны техподдержке. Тот пользователь, который разбирается, сам потом все настроит в антивирусе.
По поводу охраны объекта. если уж Вы перешли на аналогии. Тоннель пробурили, и он до сих пор используется, зачем его закапывать и ров с водой делать? Через него же у нас только три кражи было, вот начнут вагонами вывозить, тогда и закопаем.
Что делать с изрядным проценом пользователей, которые, обнаружив, что у них не работает какой-нибудь банк-клиент, выключат ваше поделие к чёртовой матери? Да, большей части программ все ваши «туннели» не нужны, но ведь достаточно одной, чтобы пользователь засуетился и начал всё отключать к бесу. Антивирусы уже приучили своими вопросами к тому, что «отключить антивирус» — чуть ли не первое, что люди делают если у них что-то не запускается. А вы хотите этот рефлекс довести до автоматизма.
Почему клиент-банк должен перестать работать, зачем ему автозапуск?
Банк-клиенты и так левой пяткой писаны, там и не к таким чудесам привыкли.
Причем здесь страна и пк? Зачем в крайности то вдаваться? И судить только по себе… Вам возможно белые списки и не нужны, но поверьте, людей, не понимающих в ИТ абсолютно ничего, при этом выполняющих какие-то простейшие действия (последовательное нажатие на «нужные» кнопки) очень много. При этом среди такого контингента часть обладает чрезмерным любопытством (а что будет, если я сюда зайду) или самоуверенностью (да что я, не в силах починить чтоли?). А потом прибегают и говорят: «У меня поломалось… почини!». Вот таким только и ТОЛЬКО белый список и ничего больше.
Вот смотрите, я знаю, что поворачивая роль автомобиля след за ним поворачиваются колеса. Это мое понимание «работы» руля в виду нулевого опыта вождения. Но при этом, в отличие от определенного сообщества, научившись включать ПК и клацать мышкой, не считаю себя опытным пользователем водителем. Думаю мнение автора подкрепляется примерно теми же переживаниями.
Я не говорю, что белые списки приложений — это плохо, вопрос как это преподносится.
Не знаю, чья тут вина, но последние лет 10 от антивирусов проблем куда больше, чем от самих зловредных изделий. По крайней мере в моем окружении.

Помнится, один из багов Касперского, проявлявшийся в сочетании с ClearCase/ClearQuest, положил году в 2009 (чтоб не соврать) работу одного из отделов железной дороги. Пару дней с их местным отделением поддержки переругивались, а потом я еще и оказался во внеплановом отгуле. Потому что от нечего делать выделил и воспроизвел этот баг у себя, а ребята из Касперского ничтоже сумняшеся уперли с собой весь диск «на экспертизу». Один этот простой влетел в сумму как на пару лет лицензии…
Уважаемый автор. Прекрасно понимаю Вашу точку зрения, хоть и не совсем разделяю. Хотелось бы больше аргументации в самой статье, а не в ответах на комментарии сообщества. Пока статья выглядит как крик души.
Также советую обратить внимание в сторону фаерволов или комплексных систем. Слухи ходят, что они получше будут.
Спасибо.
А мне, может, хотелось аргументированную критику услышать в комментах. Хотя крик души — это да. Поднадоело читать желтые заголовки в стиле: а вот мы нашли.Хотелось бы видеть заголовки в стиле: а вот мы докрутили, хрен что пролезет. Вон infowatch очередную инновацию изобрела — InfoWatch Targeted Attack Detector и InfoWatch Targeted Attack Monitor, которые работают на основе мониторинга изменения состояния системы. Symantec Critical System Protection так же работает. Но это все актуально только для корпоративной среды, для конечного пользователя это все не будет работать, так как он ставит постоянно черт знает что.
Комментирую как соавтор одного популярного адблокера. Собственно, наш софт ежедневно устанавливают тысячи пользователей, и о (ложно)положительных срабатываниях антивирусов мы знаем не понаслышке. Поинтов по сабжу несколько.

1. Реальная проблема у антивирусов заключается вовсе не в том, чтобы детектить, когда надо. Проблема в том, чтобы НЕ детектить когда НЕ надо. В антивирусных компаниях работает полно энтузиастов, которые делают ставку на эвристики. Причем, судя по всему, эти энтузиасты в большинстве своем неадекватны. Иначе сложно объяснить, почему например новый, подписанный код сайнингом бутстрапер (экзешник, который с красивым прогресс-баром качает и запускает msi и все пререквизиты) через несколько дней после релиза детектят 8-10 антивирусов.

2. На самом деле, почему так происходит понятно. Потому что у этих 8-10 антивирусов один из элементов эвристики — это производная роста популярности программы. То есть вместо своей прямой задачи — определения вредоносного софта на основе объективных признаков, ребята решили поиграть в гадалок. Если абсурдность ситуации неочевидна — переформулирую. Файл автоматически помечается как вредоносный исключительно на основе того, что он резко становится популярен.

3. Знаковый момент в дополнение к предыдущему пункту — что ложноположительному срабатыванию не мешает даже наличие код-сайнинга. Иными словами, важнейший механизм подтверждения аутентичности софта существенная часть антивирусов на данный момент просто игнорирует.

4. При этом большинство антивирусов исповедуют принцип «детектим как хотим». Вытащить файл из детекта бывает крайне сложно, подобные процессы у АВ компаний не всегда отлажены.

Поэтому с точки зрения разработчиков софта предпочтительнее, если бы разработчики антивирусов сохраняли статус-кво и продолжали работать опираясь на сигнатуры зловредов, собираемые постфактум. Иначе нет-нет, да и придется начать с ними судиться за ущерб репутации и упущенную прибыль, поскольку на данный момент их эвристики никуда не годны с точки зрения критерия полнота-точность.
Сигнатурный метод ущербен по существу, мы уже близки к моменту, когда большая часть системных ресурсов выделяется на детект вредоносного кода, а не на полезное применение, типа фильм посмотреть.
Эмм, это вы про что сейчас? Классический «скан пофайлово» — таки да, безобразно медленный. Но вы его не постоянно запускаете, а в случае заражения или подозрения на таковое, не? Проблема кстати родственная chkdsk ;-)

А все эти «реал-таймы» что сигнатурами что «про-активкой» — сплошное вредительство.

Почему бы эти сканы не осуществлять не в момент записи файла на блин / чтения с оного, а в тот момент когда это счастье к нам приезжает из интернета? Отличная же вещь — плагин к браузеру, быстро, надежно, все сигнатуры наисвежайшие.

Такой же к почтовому клиенту с мессенджером — и вот оно, 80%+ периметра домохозяйки — защищено. И никаких реалтаймов.

Я согласен на долгий скан в реал-тайме — но только в строго отведенных для этого папочках типа «My Downloads». Где такой антивирь, эх…
Да, чуть не забыл.

А у проактивки есть вообще фатальный недостаток. Прежде чем обезвредить пакость — разве ей обязательно надо дать запуститься?

Так что уж извините — но никакие мегаправила не заменяют сигнатуры, а только дополняют.

Если уж говорить о правилах — то надо забыть про антивири как таковые и переходить к IDS ;-)
Вот совершенно правильный подход.

Я бы даже добавил такой момент — ребята, я все понимаю, кризис жанра и т. п. Но полагаться «на два лаптя правее солнца» в деле false positives — реально бесит и создает серьезные проблемы.

Не существует «зловредных техник», и связку в виде CreateProcess + MapViewOfFile можно прекрасно использовать в «мирных» целях. Более того — в свое время именно так поступала всем известная игрушка «stacraft». Да-да, пак с ресурсами был прицеплен к install.exe…

А белые списки — никаких чудес кроме коррупции, как это было в свое время со спамкопом и К. Хотите попасть в белый список / выйти из черного — занесите немножечко денежек.

Лучше уж сигнатуры. По крайней мере меньше вреда.
Позвольте с Вами не согласиться. Есть мнение что перехват CreateProcess + MapViewOfFile серьезно сказался бы на производительности только (поэтому и не перехватывается в лоб). И потом CreateProcess + WriteMemory прекрасно палится проактивкой, и никто, вроде, в суд не подавал.
А смысл?

Проще заморочиться с созданием собственного сервиса, который обрежет токену права на OpenProcess при запуске, и все такие вещи прокидывать через него.

Или еще чего похуже.

И ровно для того чтобы сделать — например in-memory-patch. И никаких проактивок ;-)
UFO landed and left these words here
Есть подозрение, что автор слабо разбирается в том, что говорит.

Никому не выгодно сделать проактивный антивирус, который будет работать без сигнатур — что тогда будут продавать антивирусники?


Антиспам, антифишинг, веб-фильтры… Не, не слышал!

Предвкушая очевидные возражения, уточню: антивирус, работающий без постоянно обновляемой базы правил поведенческого анализа


Принципы его работы в студию, чего уж там.

Основной ущерб им наносят именно угрозы класса APT, потому что массовое уже все задетектированно. А теперь, внимание — кто мешает отслеживать новые методы обхода (на которых, собственно, и базируется APT)?


Могу только предложить разобрать парочку APT. Кстати, статистику по ущербу компаниям тоже было бы хорошо предоставить.

Простой пример: инжект в svchost.exe путем запуска его в приостановленном состоянии — неужели сложно сделать проактивное правило, что svchost.exe всегда запускается из-под учетки System, а не от имени любого другого пользователя?


Казалось бы, при чем тут Microsoft…

Складывается такое впечатление, что антивирусные аналитики только и заняты разбором очередной APT угрозы, с мыслями: «Блин, а чо — так можно было»? То, что на всяких античатах, васмах и дамейджлабах вовсю барыжат малварью с различными новыми трюками и регулярно устраивают разбор полетов, им, похоже, невдомек.


То, что действительно новые техники атак не появляются ни на античатах, ни на васмах, автору, видимо, невдомек. Равно как и то, что разработка зловредного ПО давным-давно стала бизнесом, причем — закрытым. Рекомендую погуглить на тему blackhole exploit-kit. Он, конечно, старый, новинки данной индустрии так просто не найти.

Один из посылов заметки следующий — доколе антивирусные конторы будут нас кормить маркетинговой лапшой? Может стоит взяться за работу (постоянно мониторить, что происходит в стане врага), а не строчить отчеты в стиле: мы тут такое нашли!


Могу посоветовать применить к себе. Или хотя бы попробовать разобрать обфусцированную малварь.

Резюме (посыл номер два): хватит играть с пользователем в демократию, ограничить его и все тут. И тот производитель, который на это решится, порвет рынок.


Собственно, суть диванной аналитики авторы тут стала особо хорошо видна. Рекомендую как-нибудь попробовать применить данные умствования в реальном мире, на пример, на сотню-другую пользователей. Для начала. Держа при этом в голове тот факт, что ИТ для большинства компаний — это что-то уровня автомеханика — деньги зарабатывают другие подразделения.
Есть подозрение, что автор слабо разбирается в том, что говорит.

Конечно не разбираюсь, я тут все написанное выдумал
Никому не выгодно сделать проактивный антивирус, который будет работать без сигнатур — что тогда будут продавать антивирусники?

Антиспам, антифишинг, веб-фильтры… Не, не слышал!

Слышал. А что, эти технологии отменяют факт, что модель бизнеса антивирусных лабораторий базируется на продаже своих баз данных (в том числе для антиспама, антифишинга и веб-фильтров)?
Предвкушая очевидные возражения, уточню: антивирус, работающий без постоянно обновляемой базы правил поведенческого анализа
Принципы его работы в студию, чего уж там.

Судя по всему, Вы большой знаток принципов работы антивирусных движков, а я — нет. Так что возможность описать принципы работы я предоставляю Вам.
Основной ущерб им наносят именно угрозы класса APT, потому что массовое уже все задетектированно. А теперь, внимание — кто мешает отслеживать новые методы обхода (на которых, собственно, и базируется APT)?

Могу только предложить разобрать парочку APT. Кстати, статистику по ущербу компаниям тоже было бы хорошо предоставить.

На секурелист все и так подробно разобрано. Статистику по APT компании скрывают, умозаключение построено на основе косвенных данных сотрудников, проводивших исследование.
Простой пример: инжект в svchost.exe путем запуска его в приостановленном состоянии — неужели сложно сделать проактивное правило, что svchost.exe всегда запускается из-под учетки System, а не от имени любого другого пользователя?

Казалось бы, при чем тут Microsoft…

Действительно, причем тут Microsoft к правилам антивируса, которые никак не допилят.
Складывается такое впечатление, что антивирусные аналитики только и заняты разбором очередной APT угрозы, с мыслями: «Блин, а чо — так можно было»? То, что на всяких античатах, васмах и дамейджлабах вовсю барыжат малварью с различными новыми трюками и регулярно устраивают разбор полетов, им, похоже, невдомек.

То, что действительно новые техники атак не появляются ни на античатах, ни на васмах, автору, видимо, невдомек. Равно как и то, что разработка зловредного ПО давным-давно стала бизнесом, причем — закрытым. Рекомендую погуглить на тему blackhole exploit-kit. Он, конечно, старый, новинки данной индустрии так просто не найти.

Я понял, разработчики зловредов живут на другой планете, и закрытые разработки антивирусники никак не могут купить. Да что там купить! На васме про Shell_TrayWnd написали, и чо? Пять лет прошло — ничего не проактивится до сих пор.
Один из посылов заметки следующий — доколе антивирусные конторы будут нас кормить маркетинговой лапшой? Может стоит взяться за работу (постоянно мониторить, что происходит в стане врага), а не строчить отчеты в стиле: мы тут такое нашли!

Могу посоветовать применить к себе. Или хотя бы попробовать разобрать обфусцированную малварь.

Я ничего не продаю и не расказываю, какие я передовые технологии внедрил (а может и не внедрил).
Резюме (посыл номер два): хватит играть с пользователем в демократию, ограничить его и все тут. И тот производитель, который на это решится, порвет рынок.

Собственно, суть диванной аналитики автора тут стала особо хорошо видна. Рекомендую как-нибудь попробовать применить данные умствования в реальном мире, на пример, на сотню-другую пользователей. Для начала. Держа при этом в голове тот факт, что ИТ для большинства компаний — это что-то уровня автомеханика — деньги зарабатывают другие подразделения.

Я считаю себя вправе указывать разработчикам антивирусов на их недочеты, так как я плачу им деньги.
Меня давно мучает вопрос почему массово не создаются «антивирусы» под конкретные массовые вирусы?
Т.е. этот антивирус попадает на машину жертвы, используя ту же дыру, но в качестве действия удаляет вирус, рассылает себя дальше и самоуничтожается.

Вроде было такое движение, но как-то заглохло.
Потому что, гипотетически, на одной из этих машин может крутиться что-нибудь критически важное, например, система жизнеобеспечения человека, которая перезагрузиться после лечения, а рисковать никто не хочет, что бы по судам не затаскали.
Прочитал. Интересно, автор занимается вольным пересказом моего цикла статей на Хабре 2010 года выпуска своими словами (правда, с достаточно низким техническим пониманием сути проблемы), значит, что-то всё-таки меняется в этом мире. Попробую подкорректировать технические аспекты.

Во-первых, при использовании хорошей песочницы (как с частичной виртуализацией, так и без оной) с разделением ресурсов правило «то, что может пользователь, может и вредоносный код», теряет свою магическую силу, поскольку суть защиты- ограничение потенциально вредоносной активности внутри песочницы, при котором обычные приложения должны продолжать прекрасно работать.

Ни одно из защитных приложений, которое чрезмерно нагружает пользователя или службу поддержки ИТ компании никогда не будет установлено массово. Белосписочным решениям в обед сто лет, на Западе даже запускалась пиар-поддержка данного вида решений «anti-virus is dead», но вы видите, чтобы BIt9 стал популярным решением? Вот и я нет. Там очень много внутренних проблем (дистрибуция и управление белыми списками, поддержка их в актуальном состоянии, работа с длл-ками и скрипт-файлами), фактически, «белые списки»- это «чёрные списка», только наоборот, а значит, основная проблематика никак не изменится, она только звучать будет иначе.

И, до тех пор, пока вы пользуетесь антивирусами или пытаетесь взывать к совести людей, работающих там, ничего не изменится. Поскольку изменить что-либо может только денежная поддержка альтернативных либо дополнительных решений в области защиты от вредоносных программ, а вы этого не делаете даже лично, но только жалуетесь на Хабре на злодейские антивирусные компании. Хотя они ну вот ни разу не злодейские- они дают вам то, за что вы готовы платить деньги, и пока вы их платите, зачем им что-либо менять?
Может, Вы скажете, почему ваш проект DefenseWall, так и не взлетел?
Насчет низкого технического понимания сути проблемы я, может, и соглашусь (тут же среди пользователей одни гуру собрались), но! Повторяюсь, моих знаний хватает, что бы понять следующее:
хорошая проактивка (из-за чего весь сыр бор — не хотят нормальной сделать) лучше изоляции;
автоматическое принятие решений лучше, чем спросить у пользователя.
Многократно озвучивалась суть проблемы — в случае чего, вредонос запросит у домашнего пользователя (который ставит что попало) права на повышение своих полномочий и никакая песочница тут не поможет. С другой стороны, в корпоративной среде хватит и белого списка, так как там установкой софта занимаются специально обученные люди.
«Хорошая проактивка» означает большее количество ложных срабатываний. Которые либо инициируют обращение к пользователям за ответом на вопрос «Что делать, шеф??!!», или сильно усложняют жизнь ИТ-отделу. Поэтому проактивка- это всегда компромисс между уровнями «параноидальности» и защиты.

Более того, существует проблема с PatchGuard на 64-разрядных системах, которая не позволяет легитимно контролировать многие вещи из ядра Windows.

Частичная изоляция не имеет такого показателя как «ложные срабатывания», потому не требует никаких компромиссов и показывает результаты выше.

Опять-таки, социальную инженерию мы рассматривать тут не будем, поскольку (совершенно аналогично!) вредонос может попросить пользователя выключить антивирус для «лучшего быстродействия», например- и привет, зашифрованные «глямурные фоточки для вконтактика».
Sandboxie проблемы с PatchGuard как-то порешала. Еще раз: я не делаю разницы в поведении антивируса и песочницы, оба этих продукта основываются на ответах пользователя, что делать дальше, доверять или нет? Обычный, рядовой, пользователь (читай, чайник) правильного ответа на этот вопрос дать не может.
Мне лично кажется, что проактивка не подкручивается производителями намеренно, что бы было что продавать (базы), а не что бы уменьшить количество ложных срабатываний. Вы же технически грамотный специалист (в отличие от меня), объясните неужели так трудно добавить правило, что svchost.exe, запущенный не с правами системы, отрубался нафиг? Я тут изложил эту мысль, и тут же в комментах началось: рулит Linux и песочницы, антивирусы и Windows — отстой.
Я вам не скажу за всю Одессу, слишком много производителей антивирусов в мире. Или вас интересует только один конкретный какой-то?
SBIE- да, она обходит PG.

Основной фокус защиты песочниц- drive-by-download и вредоносные файлы, присланные через почту.
Почему на рынке решений для дома лидируют антивирусные решения, а не песочницы? Только потому, что им никто не объяснил, что песочница — лучше? То есть у разрабов песочниц маркетологи плохие?
А может, есть какие-то объективные причины? Ну то есть если технология перспективная, ее разрабов покупают, а потом начинают делать деньги (плюс что бы конкурентов не осталось). А если не покупают… значит технология не взлетит.
Нет столь однозначной связи, поскольку конкурентная борьба на старом «религиозном» рынке обычно идёт на водоразделе «верю- не верю», а не «лучше- хуже». Однако, в любом случае, если антивирусные компании не интегрируют песочницы в той или иной вариации в свои пакеты безопасности, то точно технология не взлетит. Посмотрим…
А может они не интегрируют, потому что смысла особого нет? Потому что у них задача не просто ограничить, а опознать вредоносную активность, определить источник и удалить его.
Опознать активность и удалить, когда уже все доки и фоточки прошифованы или убиты напрочь? Флаг в руки.
Это частный случай, а я вам в противовес другой приведу: запустил я браузер в песочнице, зашел в клиент-банк через него, в другой вкладке зашел на варезный сайт, подхватил трояна, и привет — мои логин и пароль улетели в интернет.
Ну, если песочница с разделением ресурсов, то так просто логины и пароли получить не выйдет, придётся сильно заморочиться для достижения этой цели, что приведёт к увеличению времени и стоимости разработки. Именно в этом и состоит цель всей индустрии в целом- сделать разработку вредоносов невыгодной, подняв планку стоимости разработки.
Всё очень просто. Бизнес в области информационной безопасности- это продажа доверия на доверии. Причём, на устоявшемся рынке продажи большой красной кнопки «СПАСИТЕ! ПОМОГИТЕ!» мало самому завоевать доверие потенциальных клиентов- нужно ещё и рассказать, почему другим доверять в том, в чём твой продукт сильнее, не стоит, в условиях, когда все им доверяют.
Only those users with full accounts are able to leave comments. Log in, please.