Я ни в коей мере не отрицаю, что любые ограничивающие меры снижают степень риска. Я больше обращаю внимание на две вещи с которыми я постоянно сталкиваюсь:
— абсолютная уверенность в своей правоте. По типу «В линукс вирусов нет!». Да, риск подцепить вирус под Линукс невелика, но это не повод надеяться, что все автоматически будет хорошо — www.opennet.ru/opennews/art.shtml?num=36454. Исследователи для своих целей заразили и использовали 420 тысяч систем – и никто в мире этого не заметил! Поэтому профессиональная паранойя должна быть. Да, подавляющая часть вирусов идет торной тропой, но рано или поздно кто-то ловит шифровальщик на документы супер важности (в через неделю ловит его туда же еще раз — и в этот раз мы расшифровать его уже не можем)
— незнание админами (ладно пользователи) основ безопасности. Какие угрозы есть, какие сертификаты нужны и тд.
Сколько раз сталкивался, что пропуск вируса приводил не к смене политики в области ИБ, а к смене антивируса
> что мешает админом поставить весь нужный софт и работать в нем из-под юзера
1. Неумение переломить вопли пользователей, кого ограничили
2. неумение настроить нужный софт (в том числе бесплатный)
3. начальство, которое например таскает из дому флешки/мобильные и «проблемы вирусов шерифа не волнуют»
1. Сходу — руткит. Внедрение непосредственно в процесс. Запуск в памяти. Запись в служебные области. Концепт был записи в аккумулятор. Жизнь не заканчивается на файловой системе.
Если здесь есть вирусные аналитики — я надеюсь они дадут более точный ответ
2. Увы и ах — неизвестные вредоносные программы — посмотрите последние отчеты Симантика и Касперского — сколько оставались необнаруженными шпионские программы
3. запретить можно, но как тогда работать на большей части интернета? Всякие системы управления через веб, бухгалтерия и тд
Классика «мы и без антивируса проживем» — банкоматы и близкие к ним устройства. Да, вирусов, направленных именно на банкоматы относительно немного. Но много ли удовольствия увидеть в интернете фото своего банкомата с требованием выплаты? + командировочные куда в тьмутаракать на восстановление. Если не забуду, напишу как вирусы в банкоматы попадают
Увы и ах:
— уязвимости
— софт, установленный до того, как компьютер попал к пользователю
— скрипты в браузере/pdf/офисных приложениях
— социальная инженерия — для приведенного списка работает в полный рост — установка программ пользователем не запрещена, а значит будут ставить
…
Скорее всего модификация, но не буду спорить. К сожалению бывает и так. Например по причине того, что на анализ попала только часть вируса.
Спасибо за уточнение.
И всегда в таких случая приветствуются багрепорты
Насчет последней (что она последняя) вспышки вы погорячились. Заходим на updates.drweb.com за вчера:
Trojan.Encoder.514(3) Trojan.Encoder.567(2) Trojan.Encoder.761(2) Trojan.Encoder.858(3) Trojan.Encoder.889(3) Trojan.Encoder.906(3) Trojan.Encoder.929 Trojan.Encoder.949 Trojan.Encoder.952 Trojan.Encoder.953 Trojan.Encoder.960(2). Не уверен, что выбрал все из занесенных в этот день — скопировал первую найденную строчку в списке
Пекут как пирожки. И раз были добавлены в базу — не обнаруживались до этого. Энкодеры сейчас типичный пример промышленной разработки вредоносных программ. И быть готовым к действиям по дешифровке и восстановлению — обязанность каждого админа.
И вот тут засада — хотя требования, что нужно описывать в заявке и что присылать — висят везде и всюду — на каждую заявку приходится объяснять лично. Если кто не знает до сих пор, что требуется для попытки расшифровки — пишите
Не обязательно, но есть действительно построенные вокруг командного центра. Кстати одна из причин запросов в техподдержку по типу «ваш антивирус удалил троян, а он все время снова возникает на том же месте» — нечто типа Downloader. Из последнего — news.drweb.com/show/?c=5&i=9341&lng=ru
Чтобы не быть превратно понятым. Я не верю, что антивирусы следят и воруют данные. Но в современном мире нет времени подумать. По данным Сбербанка, в свое время озвученным в Магнитогорске, для увода денег по стране нужно от одной до трех минут. Поэтому тестирование обновлений становится роскошью — ибо возможно неизвестный вирус уже запущен. С другой стороны вендоры (и не только антивирусы) не могут протестировать все апдейты на всех возможных конфигурациях — и тоже торопятся включать новые записи в базы. Итог — www.pcworld.com/article/132050/article.html, geektimes.ru/post/177883. Или даже www.anti-malware.ru/news/2011-10-27/4830, pikabu.ru/story/avast_zablokiroval_sam_sebya_2348799. Выборка исключительно, что гугл выдал в поиске, но печальный опыт имели и иные вендоры.
В качестве примеров, что надежных программ нет. Подобные вещи случаются со всеми. Вот свежее www.opennet.ru/opennews/art.shtml?num=41897
Что знаю, то пишу. Я стараюсь в своих постах соблюсти максимум честности. Если где-то что-то не описано — то только от недостатка информации. У Dr.Web облако есть, но как и у всех вендоров — механизмы его функционирования под страшной тайной, что вызывает временами инсинуации по типу ain.ua/2014/05/27/525970 (за исключением мелких деталей типа невозможности отключения облака и политизированности вывода, ибо подставить вместо Касперского в отчет можно почти любую систему защиты — более менее правда. Даже я бы сказал смягченная правда)
Плюсы и минусы всех компонентов, включая поведенческие анализаторы, обещаю будут разобраны максимально честно по типу — вот вам факты, а как их применять каждый решает сам
Таких очевидностей не будет точно. Я в общем-то взялся за эту серию статей без особой надежды. Мир не переделаешь. Но если кто-то задумается — это уже будет приятно. Меня лично бесит то, что мы бездумно доверяем чужим мнениям. Совершенно не используем логику. И в этой серии я стараюсь упирать именно на логику. Сожалею, что она не всегда очевидна. возможно в конце серии я напишу нечто типа пошаговой инструкции без пояснений
Я бы пожелал каждому, кто хочет написать комментарий к чему либо, перед написанием подумать — а не чувствует ли он себя гуру, который знает все и имеет право изрекать непреложные истины. И всегда читая очередную статью делать поправку на лояльность компании, в которой автор работает и на его опыт в определенных проектах
Постараюсь. Но по тестам статья несложная. Тот же Касперский по тестам проходился неоднократно. А вот по стандартам беда. Сколько блогеров, столько мнений. А уж если смотреть на назначение компонентов систем защиты…
Ну вот как можно серьезно воспринимать www.anti-malware.ru/news/2015-03-23/15839?
И я с вами согласен. Проблема современного мира — доверие неизвестно откуда взявшимся данным. Откуда берутся мифы. Я тоже планирую по этому поводу статью. Как влияет психология на безопасность
О тестах. Каким тестам можно доверять, каким нет. А вообще планы большие. Потом скорее всего пройдусь по стандартам. Там просто заповедник мифов и ереси
Навскидку:
1. Вредоносный файл был протестирован на антивирусах целевой группы (а у нас в России их считай всего три) и не обнаруживается ни одним из них
2. Никогда не следует переоценивать поведенческие анализаторы:
— поведенческий анализатор это по сути тот же антивирус — он действует по базе, описывающей известные поведения известных программ
— основная часть вредоносных файлов сейчас — трояны, а не вирусы. Они не изменяют (бывает конечно, но в общем) поведения уже контролируемых программ. Вот был случай, когда троян просто изменил путь, по которому запускался некий файл. Файл не изменился — и система контроля это фиксировала. а то, что вместо него запускалось иное — ну так это систему контроля не касалось
Для банкоматов распространеннейший миф — мы должны защищаться поведенческими анализаторами
Проблема любых средств защиты (не суть каких, хоть встроенных в ОС) — мы им доверяем. Но ни одно из них не является панацеей. Мы должны защитить систему набором средств, ни одно из которых не является доверенным :-(
К сожалению нет. Мы очень много расследуем (не совсем верный термин, но для простоты) инцидентов. Но никто не хочет огласки. Все, что можно сделать публичным — даем в новости, но как правило именно метод проникновения остается неизвестным.
В общем и целом самая страшная опасность (по недооцененности) — сайты, открытые по корпоративной надобности, уверенность, что там все нормально. Проблема в том, что все иные пути проникновения можно перекрыть, а этот — нет.
И пожалуй добавлю. обрабатываем != любой пришедший файл = новый уникальный вирус. Естественно есть повторы, есть результаты деятельности вирусов, есть скриншоты. Проблем потока две:
1. Процедура порядка разбора потока может ошибиться и наиболее опасный вирус будет разобран не с нужным приоритетом. Если кто помнит эпидемию WinLock'ов — так это оно. Создавалось их в день море. Кто из вендоров быстрее какой образец отработает — чистая лотерея. Постоянно держал адреса страниц вендоров, на которых выкладывались утилиты
2. Случаи когда детектится часть вируса — тоже бывают. Помню был случай когда детектился как вирус лог, который создавался вирусом, но не сам вирус. Нет банально времени вникать и разбираться
запись != один ловящийся вирус. Плюс эвристики — они тоже берут много из существующего. А приходит на анализ реально порядка 7 миллионов в месяц.
Ну и можно не вычислять. Для Dr.Web заходим на updates.drweb.com и смотрим по дням по добавлению записей
А почему мы должны доверять админу? Завтра он уволится, а сегодня он имел полный доступ к компьютеру генерального. Все зависит от размеров компании, потребного уровня безопасности и возможности привлечь нужное количество специалистов нужной квалификации.
Естественно права у всех пользователей должны быть разными, но сколько случаев расползания вирей с компьютера, «к которому имеет доступ только админ и потому мы его не защищаем». В моей практике был случай заражения компании с букридера. А уж сколько расходится с компьютеров бухгалтерии…
— абсолютная уверенность в своей правоте. По типу «В линукс вирусов нет!». Да, риск подцепить вирус под Линукс невелика, но это не повод надеяться, что все автоматически будет хорошо — www.opennet.ru/opennews/art.shtml?num=36454. Исследователи для своих целей заразили и использовали 420 тысяч систем – и никто в мире этого не заметил! Поэтому профессиональная паранойя должна быть. Да, подавляющая часть вирусов идет торной тропой, но рано или поздно кто-то ловит шифровальщик на документы супер важности (в через неделю ловит его туда же еще раз — и в этот раз мы расшифровать его уже не можем)
— незнание админами (ладно пользователи) основ безопасности. Какие угрозы есть, какие сертификаты нужны и тд.
Сколько раз сталкивался, что пропуск вируса приводил не к смене политики в области ИБ, а к смене антивируса
> что мешает админом поставить весь нужный софт и работать в нем из-под юзера
1. Неумение переломить вопли пользователей, кого ограничили
2. неумение настроить нужный софт (в том числе бесплатный)
3. начальство, которое например таскает из дому флешки/мобильные и «проблемы вирусов шерифа не волнуют»
Если здесь есть вирусные аналитики — я надеюсь они дадут более точный ответ
2. Увы и ах — неизвестные вредоносные программы — посмотрите последние отчеты Симантика и Касперского — сколько оставались необнаруженными шпионские программы
3. запретить можно, но как тогда работать на большей части интернета? Всякие системы управления через веб, бухгалтерия и тд
Классика «мы и без антивируса проживем» — банкоматы и близкие к ним устройства. Да, вирусов, направленных именно на банкоматы относительно немного. Но много ли удовольствия увидеть в интернете фото своего банкомата с требованием выплаты? + командировочные куда в тьмутаракать на восстановление. Если не забуду, напишу как вирусы в банкоматы попадают
— уязвимости
— софт, установленный до того, как компьютер попал к пользователю
— скрипты в браузере/pdf/офисных приложениях
— социальная инженерия — для приведенного списка работает в полный рост — установка программ пользователем не запрещена, а значит будут ставить
…
Спасибо за уточнение.
И всегда в таких случая приветствуются багрепорты
Trojan.Encoder.514(3) Trojan.Encoder.567(2) Trojan.Encoder.761(2) Trojan.Encoder.858(3) Trojan.Encoder.889(3) Trojan.Encoder.906(3) Trojan.Encoder.929 Trojan.Encoder.949 Trojan.Encoder.952 Trojan.Encoder.953 Trojan.Encoder.960(2). Не уверен, что выбрал все из занесенных в этот день — скопировал первую найденную строчку в списке
Пекут как пирожки. И раз были добавлены в базу — не обнаруживались до этого. Энкодеры сейчас типичный пример промышленной разработки вредоносных программ. И быть готовым к действиям по дешифровке и восстановлению — обязанность каждого админа.
И вот тут засада — хотя требования, что нужно описывать в заявке и что присылать — висят везде и всюду — на каждую заявку приходится объяснять лично. Если кто не знает до сих пор, что требуется для попытки расшифровки — пишите
И бекап обязателен как воздух! Ибо бывает так — news.drweb.com/show/?c=5&i=7098&lng=ru, а бывает и так news.drweb.com/show/?c=5&i=9341&lng=ru
В качестве примеров, что надежных программ нет. Подобные вещи случаются со всеми. Вот свежее www.opennet.ru/opennews/art.shtml?num=41897
Плюсы и минусы всех компонентов, включая поведенческие анализаторы, обещаю будут разобраны максимально честно по типу — вот вам факты, а как их применять каждый решает сам
Я бы пожелал каждому, кто хочет написать комментарий к чему либо, перед написанием подумать — а не чувствует ли он себя гуру, который знает все и имеет право изрекать непреложные истины. И всегда читая очередную статью делать поправку на лояльность компании, в которой автор работает и на его опыт в определенных проектах
Ну вот как можно серьезно воспринимать www.anti-malware.ru/news/2015-03-23/15839?
И я с вами согласен. Проблема современного мира — доверие неизвестно откуда взявшимся данным. Откуда берутся мифы. Я тоже планирую по этому поводу статью. Как влияет психология на безопасность
news.drweb.ru/show/?c=5&i=9341&lng=ru — распространение через рассылки
news.drweb.ru/show/?i=9272&c=23&lng=ru&p=0 — проникновение в Linux
news.drweb.ru/show/?c=5&i=9309&lng=ru проникновение в Мас.
Это сходу. Вообще в разделах новостей каждого из ведущих вендоров есть отчеты
1. Вредоносный файл был протестирован на антивирусах целевой группы (а у нас в России их считай всего три) и не обнаруживается ни одним из них
2. Никогда не следует переоценивать поведенческие анализаторы:
— поведенческий анализатор это по сути тот же антивирус — он действует по базе, описывающей известные поведения известных программ
— основная часть вредоносных файлов сейчас — трояны, а не вирусы. Они не изменяют (бывает конечно, но в общем) поведения уже контролируемых программ. Вот был случай, когда троян просто изменил путь, по которому запускался некий файл. Файл не изменился — и система контроля это фиксировала. а то, что вместо него запускалось иное — ну так это систему контроля не касалось
Для банкоматов распространеннейший миф — мы должны защищаться поведенческими анализаторами
Проблема любых средств защиты (не суть каких, хоть встроенных в ОС) — мы им доверяем. Но ни одно из них не является панацеей. Мы должны защитить систему набором средств, ни одно из которых не является доверенным :-(
В общем и целом самая страшная опасность (по недооцененности) — сайты, открытые по корпоративной надобности, уверенность, что там все нормально. Проблема в том, что все иные пути проникновения можно перекрыть, а этот — нет.
1. Процедура порядка разбора потока может ошибиться и наиболее опасный вирус будет разобран не с нужным приоритетом. Если кто помнит эпидемию WinLock'ов — так это оно. Создавалось их в день море. Кто из вендоров быстрее какой образец отработает — чистая лотерея. Постоянно держал адреса страниц вендоров, на которых выкладывались утилиты
2. Случаи когда детектится часть вируса — тоже бывают. Помню был случай когда детектился как вирус лог, который создавался вирусом, но не сам вирус. Нет банально времени вникать и разбираться
Ну и можно не вычислять. Для Dr.Web заходим на updates.drweb.com и смотрим по дням по добавлению записей
Естественно права у всех пользователей должны быть разными, но сколько случаев расползания вирей с компьютера, «к которому имеет доступ только админ и потому мы его не защищаем». В моей практике был случай заражения компании с букридера. А уж сколько расходится с компьютеров бухгалтерии…