Как поймать то, чего нет. Часть третья: а судьи кто?

    В прошлой статье было показано, что основной проблемой безопасности является то, что средства защиты (на примере антивирусов) пропускают наиболее опасные вредоносные файлы. И такое поведение является нормальным и ожидаемым. С другой стороны, имеются результаты многочисленных тестов, которые показывают вплоть до 100% обнаружения угроз (из последнего на Хабре можно заглянуть в публикацию «Как нас тестируют», особенно в комментарии).

    О чем же умалчивают те, кто тестируют, и те, кто получают награды?

    Антивирусов много. Дорогих и бесплатных, тормозных и не очень. И все они на первый взгляд легко поддаются оценке качества работы. В связи с этим в Интернете легко доступны многочисленные тесты антивирусов (тесты файерволов, систем ограничения доступа тоже существуют, но встречаются куда реже, хотя на самом деле эти продукты гораздо более соответствуют результатам тестирования).

    Тестов много, и тестируют многие — профессиональные организации и обычные пользователи.

    1. www.virusbtn.com
    2. www.virus.gr
    3. www.av-test.org
    4. www.av-comparatives.org
    5. www.checkvir.com
    6. www.westcoastlabs.org
    7. anti-malware.ru
    8. anti-virus-software-review.toptenreviews.com
    9. anti-spyware-review.toptenreviews.com
    10. www.techsupportalert.com/security_scanners.htm
    11. antivirus-software.6starreviews.com

    Можно сравнить антивирусы и в реальном времени, протестировав файл:

    1. www.virustotal.com
    2. virusinfo.info

    И это далеко не полный список. Так недавно я узнал еще о нескольких (не реклама, действительно просто узнал из очередного обзора Сергея Сторчака — www.securitylab.ru/blog/personal/ser-storchak): avcaesar.malware.lu и www.malwaretracker.com/pdf.php.

    Есть даже организация AMTSO (Anti-Malware Testing Standards Organization), взявшая на себя работу по выработке методик тестирования.

    Тестов много, но наиболее распространены:

    • тесты антивирусов на больших коллекциях
    • динамические тесты
    • тесты на эвристики
    • тесты самозащиты
    • тесты на быстродействие

    О тестах на больших коллекциях великолепно написал Евгений Касперский. Ему слово (http://e-kaspersky.livejournal.com/87090.html):

    Классический, старый-добрый on-demand тест.
    Собственно, это –— самый обычный стандартный и привычный тест, и когда-то, давным-давно, в до-массово-Интернетовские времена, он действительно был самым правильным.

    Методика тестирования такая: берётся диск и забивается малварой, чем больше – тем лучше, самой разной, до чего руки дотянулись. Потом на него натравливаются разные антивирусные сканеры и замеряется количество детекта. Дёшево и сердито. Но уже лет 10 как абсолютно нерелевантно!

    Почему? А потому что антивирусные сигнатурные, эвристические и прочие «сканирующие» движки – это только часть комплекса технологий, которые используются в реальном мире для защиты! (причём значение этих движков в общем уровне защиты стремительно падает). Зачастую сканер вообще работает как последняя инстанция для чисто хирургической работы: например, у нас System Watcher выслеживает какого-нибудь трояна, понимает картину заражения и потом уже передаёт сканеру задачу по выпалыванию.

    Другой недостаток – база малвари для сканирования.

    Тут две крайности и обе порочные. Слишком мало малварных файлов – сами понимаете, нерелевантно. Слишком много сэмплов – та же трабла, но уже с другого конца: в мега-коллекции попадает слишком много мусора (битые файлы, файлы данных, не-очень-малварь, например, скрипты, которые пользуются малварью и т.п.). И очистить коллекцию от подобного мусора – тяжелейшая и неблагодарная работа. К тому же низкооплачиваемая :)

    Философский вопрос, стоит ли участвовать компании в таких тестах и не так ли уж не права компания «Доктор Веб», которая пытается продавать от потребностей клиента, а не от ничего не говорящих тестов — обсуждать не будем.

    Но вернемся к тестам. Действительно, для тестов на больших коллекциях берется коллекция по принципу «чем больше, тем лучше», берутся антивирусы, участвующие в тесте, обновляются до актуального состояния, и запускается сканирование коллекции на обнаружение. В общем-то логично. Чем больше образцов знает антивирус, тем вероятнее, что он найдет некую заразу в момент ее проникновения к пользователю (вспоминаем миф о том, что антивирусы должны знать все существующие вредоносные файлы).

    С точки знания обычного пользователя и, к сожалению, большинства заказчиков — всё чисто и вопросов нет. Но неизвестные вредоносные программы портят такую красивую картинку.

    Антивирус должен лечить, и лечить живые вирусы — внедрившиеся в систему пользователя. Проверять, найдет ли антивирус нечто вредоносное в файле, тоже нужно, но в первую очередь не для сканера и файлового монитора систем, предназначенных для защиты рабочих станций, а для:

    • систем для защиты почтовых серверов и шлюзов — только там идет работа с вирусами исключительно в их неактивированном виде;
    • компонентов проверки почтового и интернет-трафика антивирусов для рабочих станций / файловых серверов (которые обязаны быть, но не из них выполняют свое предназначение (традиционное обещание — это будет описано в статье, посвященной технологиям)). Но в тестах для рабочих станций, как правило, эти компоненты не проверяются.

    В подобных тестах проверяется работа не систем обнаружения (перехвата запуска, например), а исключительно антивирусное ядро. Коллекция либо напрямую проверяется антивирусным сканером, либо файлы из коллекции копируются скриптом, и контролируется их обнаружение файловым монитором. Тут целых три подводных камня.

    Во-первых, как уже говорилось, антивирус должен лечить. Но при огромных размерах коллекции физически невозможно проверить, действительно ли файл пролечен и пролечен ли он правильно — то есть полностью ли он работоспособен после проведенного лечения. Соответственно, в случае лечения пришлось бы просто полагаться на честность производителя и его сообщения об успешности лечения. Как результат, тестирования на огромных коллекциях проводятся на обнаружение.

    Небольшое отступление. Обнаружение обнаружению рознь. Например, не все вирусы (сейчас мы говорим о вирусах как о классе вредоносных программ) заражают файлы правильно. Скажем, аналитики «Доктор Веб» считают, что не нужно сообщать о детекте в том случае, если вирус заразил файл так, что он никогда не будет исполнен, с одной стороны, а с другой — не влияет на работоспособность зараженной программы. Проигрыш в тесте — однозначно. Но знают ли пользователи, что проигравшая программа заботится о них, так как результат лечения не всегда предсказуем?

    Еще одно отступление и еще пример. Полиморфные вирусы — ныне редкость, да. Но тем не менее. Полиморфные вирусы не определяются по сигнатурам — они изменяются на каждый запуск. Как их поймать в тесте, если в антивирусе нет полиморфного анализатора? Найти все имеющиеся у тестировщиков образцы и занести в базы. Все равно никто запускать их не будет для получения новых образцов. Реальный случай из прошлого.

    Во-вторых, антивирус должен лечить в реальных условиях. Реальные вирусы, проникшие в систему, активно противодействуют антивирусам — шифруются, применяют методы полиморфного изменения и обфускации, маскируются под вполне безобидные процессы и т. д. Удалить их в разы сложнее, чем обнаружить в файле. И тем более сложно их удалить так, чтобы не повредить систему. Опять же в силу огромного размера коллекций и невозможности набрать необходимое количество специалистов, лично проверяющих качество лечения по каждому вирусу, провести тесты на лечение невозможно. Опять же приходится верить на слово производителям.

    В-третьих, антивирус должен обнаруживать только вредоносные файлы. В силу отсутствия нужного числа специалистов, способных проверить всю коллекцию и гарантирующих отсутствие в ней различного мусора, не относящегося к вредоносным объектам, опять же приходится верить на слово продукту, что он обнаружил вирус, а не обломок реестра. И чтобы победить в тесте, нужно занести весь этот мусор в базы. С одной стороны, базы раздуваются, а с другой — как можно победить, если заранее не получить весь этот хлам?

    Итого. Тесты на огромных коллекциях:

    • открывают широкий простор для злоупотреблений недобросовестным производителям, в рекламных целях завышающим процент обнаружений;
    • не показывают, насколько хорошо ведет себя антивирус в реальных условиях боевого столкновения с вирусом;
    • не тестируют все компоненты антивируса — что, кстати, крайне важно, так как современные вирусы в момент выхода тестируются на актуальных версиях антивируса и до поступления образцов в лабораторию не обнаруживаются никем.

    Обеспечить защиту может только ограничение путей проникновения вирусов в систему — офисный контроль, закрытие портов и т. д.

    Насколько честно гордиться такими победами по отношению к своим пользователям? Философский вопрос.

    Широкое распространение тестов на огромных коллекциях провоцирует производителей на создание «антивирусов», которые:
    • ориентированы на обнаружение только тех образцов, которые встречаются в тестах;
    • обнаруживают 100% вирусов в любой коллекции, даже если в ней нет вирусов;
    • заточены только на обнаружение и удаление самих вредоносных программ.

    Слово Евгению Касперскому:

    под такие тесты можно заточить любой продукт. Чтобы показывать в этих тестах выдающийся результат. Подгон продукта под тест делается элементарно – нужно просто детектить по максимуму те файлы, которые используются в тесте. Вы следите за ходом мысли?

    Для того, чтобы показать в «тестах сканирования» близкий к 100% результат, не надо упираться и повышать качество технологий. Надо просто детектить всё то, что попадает в эти тесты.

    Чтобы победить в этих тестах не нужно «бежать быстрее медведя». Нужно просто присосаться к источникам малвари, которые используют самые известные тестеры (а эти источники известны – VirusTotal, Jotti и малваро-обменники антивирусных компаний) – и тупо детектить всё, что детектят остальные. Т.е. если файл детектируется конкурентами – просто задетектить его по MD5 или типа того.

    Всё! Я лично готов с нуля, силами пары разработчиков, сделать сканер, который будет через пару месяцев показывать почти 100% детект. // почему именно два разработчика нужно – на всякий случай, вдруг один заболеет.

    Разновидностью теста на больших коллекциях являются тесты на эвристики. Исходя из того, что антивирус должен ловить еще не поступившие в лабораторию образцы, каждый антивирус содержит механизмы обнаружения еще неизвестных вредоносных программ. С этой целью состояние антивируса фиксируется на дату, сильно отстоящую назад от времени проведения теста, а используемая коллекция содержит вирусы, появившиеся после этой даты. Такой тест хорошо показывает, насколько хорошо антивирус ловит варианты уже известных вирусов, но, как уже говорилось, современные вирусы, в том числе направленные на кражу финансовой информации, перед релизом проверяются на актуальных антивирусных базах — и высокий рейтинг продукта в данном тесте не спасает пользователя от потери своих денег и данных.

    Еще один вид теста — динамический. Устанавливается актуальная версия антивируса, и имитируется работа пользователя. Проблем несколько:
    • Типичные пользователи не занимаются настройкой безопасности (скажем, родительского контроля и поведенческого анализатора). Соответственно, вредоносные файлы, протестированные на необнаружение типовой установкой, пройдут без проблем.
    • Стандартных профилей работы пользователя в сети лично мне не известно. Если я не прав — просьба поправить.
    • Социальная инженерия творит чудеса. Как пример последнего времени — письма от налоговой инспекции с указанием настоящих имен (привет защите персональных данных!).

    Но динамические тесты все же лучше, чем обычные тесты на больших коллекциях, так как проверяют большую часть компонентов антивируса.

    И кстати, угадайте, какой из очень часто рекомендуемых антивирусов не просто проваливал тест по типу habrahabr.ru/post/160905, но и смог в свое время набрать отрицательное количество баллов (http://dennistechnologylabs.com/reports/s/a-m/2012/DTL_2012_Q4_Home.1.pdf, dennistechnologylabs.com/reports/s/a-m/2013/DTL_2013_Q4_Home.1.pdf)?

    Кроме тестов на обнаружение, для антивирусов наиболее распространены тесты на быстродействие и скорость запуска каких-либо программ. Тесты на быстродействие обычно совмещаются с тестами на обнаружение на больших коллекциях. Засады тут две.

    Грубо говоря, антивирусные базы — это набор записей и процедур, определяющих, как обнаружить тот или иной вирус. Кроме этого, базы содержат распаковщики различных форматов архивов, упаковщиков, баз данных и т. д. Соответственно, чтобы найти тот или иной вирус, антивирусу надо пробежаться по всей базе. Естественно, производители оптимизируют форматы баз для ускорения перебора (скажем, уже упоминавшаяся технология FLY-CODE от «Доктор Веб» работает в том числе и на это), но в общем случае чем больше база, тем вероятнее большее время поиска по ней. Поскольку для определения вируса любому производителю нужно примерно одинаковое количество данных (естественно, речь о сигнатурах), то сильно меньший размер баз при высокой скорости проверки должен настораживать. Тестов, учитывающих информированность антивируса о вирусах (например нормирующих скорость проверки на размер записей), не производится.

    Пример из жизни. Не знаю, как в текущем году, но год назад в России все еще был антивирус, «определяющий» вирусы по пяти или семи, не помню точно, сигнатурам.

    По-хорошему такое тестирование также должно проводиться на стандартных профилях пользователя. Скажем, в реальной жизни, как правило, одновременно открывается много файлов, а современные процессоры являются многоядерными. Как оценить, насколько антивирус хорошо работает и на современных компьютерах, и на том, что в большом количестве стоит в регионах (запросы на защиту компьютеров на основе 386-го процессора прекратились не так давно)? Должны существовать несколько режимов тестирования с различным количеством одновременно открываемых файлов (количеством тестовых потоков). Тестировать только на одной и притом только современной конфигурации машины? Или тестирующие думают, что везде в России у всех пользователей компьютеры этого года выпуска? И, возвращаясь к сказанному — я не видел ни одного стандартного профиля для работы пользователя в Интернете — сколько и какие данные посылаются/скачиваются, в какие промежутки времени и т. д.

    Итого существующая ситуация с антивирусными тестами на быстродействие толкает производителей на создание:
    • продуктов, имеющих как можно меньшие базы;
    • продуктов, имеющих информацию только о том, что встречается в тестовых наборах («вирусах встречающихся в живой природе»);
    • продуктов, все внимание в которых уделяется развитию компонентов, подвергающихся тестированию.

    Все это усугубляется тем, что порог входа на рынок очень велик — для вывода на рынок нового продукта нужно сразу иметь базы с информацией обо всех существовавших и существующих вирусах, методах их обнаружения и многом другом — гораздо проще обнаруживать топ-100 вирусов.

    Прежде чем перейдем к последней группе тестов, немного теории. На рынке присутствует достаточно большое количество антивирусных программ. И делятся они на две части. Первая разрабатывает все нужное для ловли и лечения вредоносных программ самостоятельно, вторая — лицензирует у первых антивирусные ядра. И на тестах на больших коллекциях, на эвристики и первые, и вторые показывают примерно равные результаты. А вот в реальной жизни все иначе. Смотрим на последние два теста из разряда тестов на малых коллекциях, когда организаторы теста имеют возможность проверить результаты «общения» каждого антивируса и каждого вируса. Это тесты на лечение активных заражений и самозащиту.


    www.anti-malware.ru/antivirus_self_protection_test_x64_2011


    www.anti-malware.ru/malware_treatment_test_2012. Для сокращения размера из таблицы убраны награды

    Разница между первой и второй группой, грубо говоря, в драйверах. Лицензируется и передается антивирусное ядро. Система перехвата в АПИ как правило не входит. Но вредоносный файл нужно поймать — перехватить трафик до момента внедрения вируса в систему, обнаружить и уничтожить руткит после прихода обновления. И на тестах лечения активного заражения и тестах самозащиты мы как раз и видим разницу подходов к безопасности — резкое падение качества работы после тройки лидеров.

    Приверженцам бесплатных продуктов просьба понять — бесплатный сыр бывает только в мышеловке. Разработка любых решений безопасности — крайне затратный процесс, и работают в ведущих компаниях профессионалы, которые хотят получать адекватную зарплату.

    И еще. Рынок информационной безопасности уникален. Именно здесь покупка некой компании может не дать покупателю ничего, поскольку купить патенты мало — здесь нужны головы (http://www.i2r.ru/news.shtml?count=30&id=20668, www.kaspersky.ru/about/security_experts).

    К сожалению, ресурс, на котором проводились вышеприведенные тесты, был основан Ильей Шабановым, работавшим на тот момент в «Лаборатории Касперского». И это вызвало резкие подозрения в ангажированности побед. Не по данному тесту, но по сходному поводу, Евгений Касперский написал (http://e-kaspersky.livejournal.com/83656.html):

    не будем судить об объективности и независимости, поскольку Passmark и так ничего не скрывает: дисклеймер документа честно сообщает, что тест субсидировался и проводился по методологии одного из участников: Symantec Corporation funded the production of this report and supplied some of the test scripts used for the tests
    Любопытно, что этот дисклеймер присутствует и в предыдущих тестах антивирусного софта (2010, 2009, 2008). Догадайтесь, кто в них занимал первое место?
    Но факт теста налицо, победитель апеллирует к мнению уважаемой организации (а Passmark действительно таковой является), размахивает флагом, публика аплодирует и восторгается. Посему уж очень интересно узнать каким образом некоторые “supplied scripts” повернули тест таким образом, чтобы возвести на престол спонсора?

    К моему глубокому сожалению, тесты на www.anti-malware.ru давно не проводятся, и замены им нет.

    Итого: тесты на активное лечение и самозащиту:

    • Наиболее точно отражают те качества антивируса, по которым нужно выбирать продукт.
    • Четко показывают, какой из продуктов можно использовать для выполнения основной задачи антивируса — лечения активных заражений.
    • В силу небольшой коллекции необнаружение даже одного образца может привести к существенной разнице с победителем.

    Даже если коллекция создавалась беспристрастно, нельзя гарантировать, что пришедший вторым хуже лидера — соответствующий экземпляр мог просто не успеть прийти в лабораторию для анализа.

    И еще о тестах.
    1. Как правило, тестируются только продукты для защиты рабочих станций — тестирования серверных продуктов проводятся крайне редко. Это связано в том числе и с отсутствием общепризнанных методик тестирования. Если стандартный профиль стандартного сотрудника для почты еще можно получить, но для шлюзов я такого не видел.
    2. Приводимые в маркетинговых документах цифры, показывающие размер проверяемого трафика для шлюзовых решений, даются без указания методик их получения, что их обесценивает.
    3. Нас достаточно часто запрашивают о максимальном трафике для конкретной ситуации. В большинстве случаев производительность шлюзовых устройств ограничивается каналом доступа — современные сервера даже в минимальной конфигурации способны защищать до 250 сотрудников (естественно, если размер трафика не превышает разумные пределы), что с запасом перекрывает потребности большинства компаний.

    Подытоживая. Ситуация с тестами ровно укладывается во фразу: «Мы вас не обманываем, мы просто не говорим всей правды». Результаты тестирования, естественно, нужно принимать во внимание — но только первоначально составив для себя список задач, за которые должен отвечать антивирус в системе. Если вам нужно, чтобы антивирус был незаметен — ваше право, но если вам нужна страховка на случай, когда северный зверь заглянул к вам в гости — тесты без понимания функций антивируса вас не спасут.

    Или словами Евгения Касперского:

    Спросите, а как же тогда ориентироваться? Кто может авторитетно замерить качество антивируса? Ответ прост – реально НЕТ такого теста, который я бы мог однозначно рекомендовать как лучший показатель. У одних недостатки методологии, другие сильно специфичны.

    Что можно посоветовать?

    1. По моему мнению, наши антивирусы (я не говорю Российские, без сотрудников из Украины, Казахстана, иных стран мы бы не стали теми, кто мы есть) — лучшие в мире.
    2. Выбор антивирусов нужно производить только среди вендоров, разрабатывающих все нужное для ловли и лечения самостоятельно. Реклама про использование нескольких ядер — путь к вирусам.
    3. Использовать нужно только антивирусы от производителей, ориентирующихся на развитие антивирусного ядра, а не только вносящих изменения в интерфейс. Кстати — кто назовет нововведения в антивирусных ядрах вендоров за последний год? Слова «оптимизировано» и «ускорено» — не считаются.

    Выводы каждый делает сам.

    И в заключение традиционно вопрос:

    • Существуют ли на данный момент, по вашему мнению, стандарты/приказы/методики, позволяющие построить надежную систему защиту, опираясь только на них? Может ли молодой специалист, которому внезапно выпало поручение составить ТЗ на защиту компании, выполнить задачу? На какие материалы ему нужно опираться? Учитываем, что, как ни грустно, большинство тех, кто предложит помощь, заинтересованы в продаже конкретного софта/железа (иногда без злого умысла — предлагаемое легко продается / не нужно убеждать клиента).


    Добавлено в связи с предсказанием, сделанным в статье:
    Китайскую антивирусную компанию лишили наград из-за мошенничества
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 25

      +2
      А можно еще раз это скопипейстить и сюда тоже? :)
      ======================
      Антивирус для Windows вам не понадобится при соблюдении четырех простых условий:
      1. Работайте за компьютером с пользовательской учетной записи и перезаходите админом только для изменения настроек системы и установки софта.
      2. Устанавливайте софт только в папку Program Files
      3. Разрешите выполнение программ только их папок Windows и Program Files
      4. Запретите выполнение программ из всех остальных папок плюс Windows\Temp и Windows\System32\spool
      ======================
      Я бы от себя еще добавил что разрешить и запретить можно или через политику ограниченного использования программ с поведением по умолчанию «Запретить» и исключением .lnk из списка назначенных файлов или простым .reg файлом вида
      pastebin.com/wSA5QzcJ
        +2
        Увы и ах:
        — уязвимости
        — софт, установленный до того, как компьютер попал к пользователю
        — скрипты в браузере/pdf/офисных приложениях
        — социальная инженерия — для приведенного списка работает в полный рост — установка программ пользователем не запрещена, а значит будут ставить


          0
          Теоретически согласен, но
          1. Попробуйте хотя бы просто придумать сценарий для проникновения вируса на компьютер, на котором запрещено выполнение файлов из всех папок в которые разрешена запись.
          2. Понятное дело что прежде чем переходить в глухую защиту, нужно хотя бы умыться, сбрить все лишнее с подбородка и взять в зубы новую капу :)
          3. То же что и 1
          4. Пусть ставят на здоровье :) В Program Files поставить у юзера не хватит прав, а из AppData просто не будет выполняться.
            0
            1. Сходу — руткит. Внедрение непосредственно в процесс. Запуск в памяти. Запись в служебные области. Концепт был записи в аккумулятор. Жизнь не заканчивается на файловой системе.
            Если здесь есть вирусные аналитики — я надеюсь они дадут более точный ответ
            2. Увы и ах — неизвестные вредоносные программы — посмотрите последние отчеты Симантика и Касперского — сколько оставались необнаруженными шпионские программы
            3. запретить можно, но как тогда работать на большей части интернета? Всякие системы управления через веб, бухгалтерия и тд

            Классика «мы и без антивируса проживем» — банкоматы и близкие к ним устройства. Да, вирусов, направленных именно на банкоматы относительно немного. Но много ли удовольствия увидеть в интернете фото своего банкомата с требованием выплаты? + командировочные куда в тьмутаракать на восстановление. Если не забуду, напишу как вирусы в банкоматы попадают
              +1
              а есть хотя бы минимально распространенные в реальной жизни руткиты которые запускаются при заходе на какую-нибудь страничку в браузере или через макрос в каком-нибудь xlsx? Потому как я что-то не могу себе представить другого пути проникновения… Но все равно не думаю, что вероятность подцепить такую заразу будет выше вероятности подцепить какую-нибудь другую похожую заразу при постоянно включенном антивирусе и с разрешением на выполнение файлов из открытых на запись папок. А насчет третьего пункта, то что мешает админом поставить весь нужный софт и работать в нем из-под юзера? :)
                0
                Я ни в коей мере не отрицаю, что любые ограничивающие меры снижают степень риска. Я больше обращаю внимание на две вещи с которыми я постоянно сталкиваюсь:
                — абсолютная уверенность в своей правоте. По типу «В линукс вирусов нет!». Да, риск подцепить вирус под Линукс невелика, но это не повод надеяться, что все автоматически будет хорошо — www.opennet.ru/opennews/art.shtml?num=36454. Исследователи для своих целей заразили и использовали 420 тысяч систем – и никто в мире этого не заметил! Поэтому профессиональная паранойя должна быть. Да, подавляющая часть вирусов идет торной тропой, но рано или поздно кто-то ловит шифровальщик на документы супер важности (в через неделю ловит его туда же еще раз — и в этот раз мы расшифровать его уже не можем)
                — незнание админами (ладно пользователи) основ безопасности. Какие угрозы есть, какие сертификаты нужны и тд.

                Сколько раз сталкивался, что пропуск вируса приводил не к смене политики в области ИБ, а к смене антивируса

                > что мешает админом поставить весь нужный софт и работать в нем из-под юзера
                1. Неумение переломить вопли пользователей, кого ограничили
                2. неумение настроить нужный софт (в том числе бесплатный)
                3. начальство, которое например таскает из дому флешки/мобильные и «проблемы вирусов шерифа не волнуют»
                  0
                  По запуску из браузера — запрошу, но думаю что на основе news.drweb.com/show/?c=5&i=2727&lng=ru нечто подобное можно сделать.
                  Для интереса — news.drweb.com/show/?c=5&i=2979&lng=ru — попытка обхода UAC
                    0
                    все равно сомнительно что сработает. Если «инсталлятор буткита осуществляет попытки обхода механизма контроля учетных записей (User Accounts Control, UAC), предотвращающего несанкционированный запуск в системе исполняемых файлов», то получается где-то в какой-то папке создается этот самый инсталлятор и производится попытка его запустить в обход UAC. Но ведь в этом случае у него все равно не получится запуститься «как бы из папки Program Files» и SRP не даст запуститься этому самому «инсталлятору»? Или не так?
                      0
                      Насколько я понимаю — запустить можно и из памяти. Вполне возможно, что работать такое будет только до перезагрузки. Но ведь многие и не перезагружают и не выключают машины

                      Я сделал запрос специалистам. Как будет ответ — напишу
                        0
                        Ответ:
                        Очень многое зависит от того, как настроены запреты. Запускаемые файлы это не только .exe, есть, например, скринсейверы .scr, есть .bat-файы.
                        Можно загрузить динамическую библиотеку в память (.dll).
                        Можно установить и запустить троянца, используя уже имеющиеся программы на диске — стартовать через cmd.exe, regsvr32.exe, rundll32.exe, wscript.exe и т.д.
                        Можно запустить и настроить шелл-код прямо в памяти, который будет инжектиться в работающие процессы, слушать порты, и т.д.
                        Если есть офис, можно запустить макровирус — если включены скрипты

                        Я тихо подозреваю, что подобного зла не много — в первую очередь в связи с тем, что количество пользователей, столь озабоченных безопасностью невелико с одной стороны, а с другой они предусматривают меры для восстановления информации в случае чего. Невыгодно атаковать
                          +2
                          1. список расширений файлов тоже можно задать в политиках. В рег файле по ссылке это: wsc, vb, url, shs, scr, reg, pif, pcd, ocx, mst, msp, msi, msc, mde, mdb, isp, ins, inf, hta, hlp, exe, crt, cpl, com, cmd, chm, bat, bas, adp, ade. По-умолчанию там есть еще lnk, но мы его исключаем.
                          2. dll можно будет загрузить только в какой-либо немодифицированный процесс запущенный из места откуда в данный момент нет прав на запись. Это что-то даст только при наличии известной уязвимости этого процесса (и это самое слабое место во всем сценарии защиты). Именно поэтому нужно стремиться к минимальному набору установленного софта и использовать портабельные браузеры (а в идеале и офисы) с явой и флешем в собственной песочнице
                          3. если выполнить «cmd.exe c:\какой-то-левый-путь\файл.exe» политики заблокируют такую командную строку и запустится просто cmd.exe
                          4. Точно то же относится и к «шелл кодам» в памяти. Если файл «шелл кода» физически отсутствует в папке Windows или Program Files его просто не получится «запустить и настроить»
                          5. Работа 99.99% макровирусов начинается с побайтного создания исполняемого файла где-нибудь в темпах иди апдатах с последующим запуском этого файла. Т.е. вариант снова не пройдет.

                          В общем-то и я совершенно не настаиваю на том, что эти 4 правила помогут в 100% случаев, но готов поспорить, что вероятность заражения каким-нибудь суровым криптором в «системе 4-х правил» будет в сотни раз ниже по сравнению с системой с любым антивирусом.
                            0
                            какой русский читает статью прежде чем ответить? :-)
                            я с самого начала утверждал, что антивирус не может предотвратить заражение и функция предотвращения заражений должна во многом (но не во всем) возлагаться на иные средства. функция антивируса, в чем его никто не может заменить, лечение вирусов, которые все же обошли все барьеры.

                            то есть вы опять же исходили из традиционного — и в корне неверного — взгляда на задачи антивируса в сети

                            а если говорить о заражении — да, вы абсолютно правы. так систему защитить можно. а бывает и нужно — в местах, где антивирус ставить нельзя.

                            но есть одно но. для такой защиты нужно иметь не просто грамотного, но и опытного админа. историй, как обходили ограничения запуска — в количестве. а вот антивирус поставить просто. вопрос затрат
                              0
                              Нисколько не отрицая вашего подхода, хочу обратить внимание на новость о заражении роутеров через браузер. Вредоносная программа как я понял запускается через ждава — скрипты, смотрит на наличие дефолтных паролей в роутер…

                              Это я собственно к тому, что антивирус конечно не всесилен, но является средством доступным пользователю любой квалификации, тогда как системы ограничения доступа требуют и хорошей квалификации и постоянного слежения за новостями ИБ на куче ресурсов.

                      0
                      банкоматы и близкие к ним устройства

                      Им разве по стандартам не положен антивирус? В DISA STIG даже для RHEL требуют его наличие.
                        0
                        в банкоматы и терминалы антивирус прописан. на это будет отдельная статья, так как клиентов часто обманывают из-за незнания теми стандартов. я разберу требования по антивирусам pci-dss, сто бр рф, 382-п и 49-т. если есть вопросы, могу конкретно ответить
                • UFO just landed and posted this here
                    0
                    Как говорит наша поддержка — запрет исполнения из папки Темр решает 90% проблем :-)
                    Но 10 процентов тоже могут все снести. Это кстати еще одна типичная ошибка. Почему-то считается, что мы должны защищаться от вирусов, хакеров и тд. На самом деле не совсем так. Защититься на 100% нельзя никаким средством. Мы защищаемся от рисков реализации. И если вы какой-то риск признаете не значимым, то можете не защищаться. Но и отвечать за неверную оценку риска — вам

                    По поводу lnk :-) Хабр — это рулез. habrahabr.ru/post/101971
                      0
                      SRP хорошо описано тут, про lnk тоже есть:
                      www.sysadmins.lv/CategoryView,category,SecuritySRP.aspx
                    +1
                    Вместо тысячи слов: невозможно гарантировать обнаружение любых угроз.
                      0
                      Именно! Вот только эти бы золотые слова да составителям стандартов, преподавателям всяких курсов и заказчикам внедрить…
                      0
                      Уровень детекта это замечательно, тем более это уже обмусолено даже лично Евгением Касперским. А как фолсы поживают? Вот, например, ДрВеб ежедневно примерно сколько фолсов удаляет? Сколько ему приходит писем на реальные разные фолсы ежедневно? Если будете отвечать на данный вопрос, то погрешность в 50% вполне допустима.

                        0
                        По словам техподдержки на фолсы приходит запросов менее десятка в месяц. Если честно я ожидал больше. По словам техподдержки последняя версия в этом отношении ведет себя очень хорошо.
                        По фолсам нужно понимать следующие вещи:
                        1. Время от времени о неких программах узнаются нелицеприятные вещи и они попадают в базы. В прошлом году по поводу одной из таких программ даже новость была. Соответственно после такого действия возникает поток запросов в техподдержку
                        2. Кроме антивирусного ядра уведомления могут генерировать и иные подсистемы. Скажем задранный до максимума поведенческий анализатор
                          +1
                          1. Это дикая редкость. Ведь в этот пункт не будем относить случаи, когда старое-доброе бесплатное и популярное ПО начало вшивать в себя адварь, так ведь?
                          2. Разумеется, но это выходит за рамки классического детекта, тут скорее вопросы к настройкам и юзабилити.

                          Удивлен, что так мало к вам приходит запросов на удаление фолсов.

                          Помогу:
                          Легальный подписанный валидной ЭЦП оракловский (Java) инсталлер 8 версии:
                          www.virustotal.com/ru/file/7ca8331abecf21a4aa00e24ad5a30a4708d1d8debf034903434cced4cdd4d2ba/analysis/
                          ДрВеб один одинешенек находит Trojan.Starter.4238

                          Подписанный «OpenVPN Technologies» openvpn клиент:
                          www.virustotal.com/ru/file/7487c361599d0b727b0e5ca3c82ea756645e77d15aa7b889be1585db285fa4fa/analysis/
                          Один ДрВеб определяет как Trojan.PWS.Banks.109

                          Конкурент скайпа месседжер ooVoo (тоже подписан):
                          www.virustotal.com/ru/file/8c0fc26eac1907cc51f92ac760b110a8327f0da501d96ab80bf189dea0ee6b13/analysis/
                          Согласно ДрВеб это Trojan.DownLoader11.42409

                          И вот на подобное мне постоянно жалуются.

                          Эпик-фолсы. Согласны?
                            0
                            Огромное спасибо за список! Сейчас передам в саппорт

                            Занесение в базы ранее легальных программ — это конечно редкость, но по словам техподдержки именно сейчас идет достаточно много таких обращений.
                        0
                        наши антивирусы — лучшие в мире

                        QA у Касперского точно не лучший, такого запредельного количества багов я нигде не встречал.

                        Only users with full accounts can post comments. Log in, please.