Комментарии 163
Предлагаю тему следующей статьи — 100% смертность, как доказательство недееспособности индустрии здравоохранения.
То есть вы хотите сказать, что уровень современного программного обеспечения находится за пределами понимания специалистов из антивирусных компаний и они вынуждены работать по клиническим признакам, симптомам и т.д.?
Очень интересная картинка.
Очень интересная картинка.
я хочу сказать, что вы путаете причины и следствия.
Поправьте, если это не так:
Мистер Х обнаружил у себя на компьютере следы действия вируса, производитель антивируса ему говорит, что это из-за того произошло, что у него на машине не стоял антивирус. Заметьте, ни слова про действия пользователя, про его компьютерную граммотность. Это не подмена «причины и следствия»?
Тут невольно начинаешь думать про то, что компьютерные вирусы размножаются спорами и передаются воздушнокапельным путём, без какого-либо участия человека в этом процессе.
Да и без того, чтобы путать причину и следствие, очень трудно создавать разные мифы в обществе.
Мистер Х обнаружил у себя на компьютере следы действия вируса, производитель антивируса ему говорит, что это из-за того произошло, что у него на машине не стоял антивирус. Заметьте, ни слова про действия пользователя, про его компьютерную граммотность. Это не подмена «причины и следствия»?
Тут невольно начинаешь думать про то, что компьютерные вирусы размножаются спорами и передаются воздушнокапельным путём, без какого-либо участия человека в этом процессе.
Да и без того, чтобы путать причину и следствие, очень трудно создавать разные мифы в обществе.
Спорами, не спорами, но вирус — это саморазмножающаяся программа. Более того, хороший вирус практически не требует участия человека, создателю достаточно его запустить (или вынудить одного пользователя его запустить) на одной машине и всё, дальше он будет жить своей жизнью.
что человеку проще, обычному человеку, у которого в жизни полно важных дел, помимо этих ваших компьютеров: поднять «компьютерныю грамотность» или поставить антивирус?
Особенно если учесть, что первое гарантирует его в гдето 80% случаев, то второе в 93%. Где подмена смысла?
Антивирусы всегда реактивны, вирусы всегда проактивны. И так оно будет еще очень, очень долго.
Бизнес на вредоносных программах говорит не об неэффективности антивирусов, а о том что вредоносные программы создавать выгодно. несмотря на все сопутсвующие риски.
При этом, автор статьи как то замечательно упускает одну простую вещь, антивирусы априори должны оставаться в правовом поле, в то время как вирусы изначально вне его.
Особенно если учесть, что первое гарантирует его в гдето 80% случаев, то второе в 93%. Где подмена смысла?
Антивирусы всегда реактивны, вирусы всегда проактивны. И так оно будет еще очень, очень долго.
Бизнес на вредоносных программах говорит не об неэффективности антивирусов, а о том что вредоносные программы создавать выгодно. несмотря на все сопутсвующие риски.
При этом, автор статьи как то замечательно упускает одну простую вещь, антивирусы априори должны оставаться в правовом поле, в то время как вирусы изначально вне его.
И да, автор вероятно не догадывается, но все эти «заплати мне ххх рублей для раблокировки», 93% обнаруженных вирусов и прочие данные в статье это даже не верхушка айзберга бизнеса на вирусах, а случайно отвалившийся от айзбрега кусочек, по шуму падения которого, многи догадываются, что «есть бизнес на вредоносных программах»
Или как вариант, статьи о пожарных, мнение у людей о них тоже далековато от правды.
Пожарные, на самом деле, зарабатывают на «А с чего это у вас тут пожарная дверь на стене нарисованна? Вы что, хотите чтоб я в нее поверил? 20.000? Нет, пока еще не поверил. 50к? Ну да, в целом уже похожа на настоящую.»
Пожарные, на самом деле, зарабатывают на «А с чего это у вас тут пожарная дверь на стене нарисованна? Вы что, хотите чтоб я в нее поверил? 20.000? Нет, пока еще не поверил. 50к? Ну да, в целом уже похожа на настоящую.»
В каком-то из интервью Касперский на такой же вопрос журналиста ответил: «Ну это как если бы милиционеры сами совершали преступления» На что журналист вполне обоснованно сказал: «Вообще-то, то, что преступления зачастую совершаются с ведома, а иногда и при непосредственном участии, органов внутренних дел — непреложный факт»
С тех пор сравнение в такой ситуации именно с пожарными — им все-таки хоть как-то рисковать приходится при тушении, так что самостоятельно разжигать особого смысла нет. Но закрывать глаза на вопиющие нарушения — вполне.
С тех пор сравнение в такой ситуации именно с пожарными — им все-таки хоть как-то рисковать приходится при тушении, так что самостоятельно разжигать особого смысла нет. Но закрывать глаза на вопиющие нарушения — вполне.
Для полноты картины осталось рассмотреть антогонизм программистов с тестерами. и сразу наступит просветление
С пожарными дело даже не в их личном риске, а в практически непредсказуемом развитии событий. Написание же вирусов, во-первых, не принесет вреда здоровью никому, а во-вторых, полностью подконтрольно
Вредоносная программа (уничтожающая или даже просто задерживающая доступ к тем или иным данным) которая без ведома пользователя устанавливается, и сама распространяется, очень может выйти из под контроля и очень легко, а уж нанести вред и тем более.
Даже если вирус попадёт на компьютер клиники и хотя бы сотрёт истории болезней?
И что значит полностью подконтрольно? Кому? Разработчику вируса? Не факт, даже если он этого хочет — все мы люди, все мы ошибаемся. Антивирусным компаниям тем более. Про пользователя вообще молчу.
И что значит полностью подконтрольно? Кому? Разработчику вируса? Не факт, даже если он этого хочет — все мы люди, все мы ошибаемся. Антивирусным компаниям тем более. Про пользователя вообще молчу.
те кто тушит и те кто «закрывает глаза» разные люди.
Врачи тоже могут заражать своих пациентов, чтобы прописать им дорогое лечение (поскольку они в сговоре с продавцами медикаментов). Ничего личного — просто бизнес блин.
НЛО прилетело и опубликовало эту надпись здесь
боюсь вам сейчас понаставят минусов и сольют карму, ибо судя по комментариям в вирусах виноваты производители антивирусов, в преступлениях менты, ну и пожарные хорошо хоть просто взятки берут :)
Без оглядки — это перебор, совсем полный беспредел. Обычно такую вероятность оценивают как невысокую, да ещё активно стараются её уменьшить (лжеалиби, уничтожение улик и т. п.).
Вы будете смеяться, но вот здесь: http://www.transhumanism-russia.ru/content/view/799/11/ планируется митинг за бессмертие на 24 сентября)
Именно так. Антивирус, как средство поиска по эвристикам/сигнатурам — фейк и пустышка.
Реальная эпоха, когда антивирусы имели смысл существовать — до распространения интернета. Если у вас антивирусные базы обновляются чаще, чем попадают в руки заражённые дискеты с играми, то есть высокая вероятность, что сигнатуры этих вирусов уже в базе.
С момента прихода интернета ситуация поменялась, а модель «сначала заразили, потом научились ловить» — нет.
Реальная эпоха, когда антивирусы имели смысл существовать — до распространения интернета. Если у вас антивирусные базы обновляются чаще, чем попадают в руки заражённые дискеты с играми, то есть высокая вероятность, что сигнатуры этих вирусов уже в базе.
С момента прихода интернета ситуация поменялась, а модель «сначала заразили, потом научились ловить» — нет.
Плчему же не поменялась? Kaspersky lab, например, на первое место ставят уже не поиск по сигнатурам, а поведенческий анализ программ. Например e-kaspersky.livejournal.com/82036.html и e-kaspersky.livejournal.com/83245.html. Это и должно быть основным средством защиты.
Вот тут мы приходим к следующему: мы, так и не создав искуственного интеллекта, поручаем программам с закрытым исходным текстом определение намерений программы. Поведенческий анализ — это ещё больший кошмар, чем сигнатуры. Сигнатуры, хотя бы, гарантировали (с более-менее терпимой вероятностью), что решение антивруса о вредоностности более-менее верно.
Теперь же мы имеем некий блоб с пачкой эвристик, который должен определить, что приложение по синхронизации контактов и документов с облачным бэкап-сервисом это доброе приложение, а приложение по краже контактов и документов на сервер злоумышленника — вредоносное. Что gpg, шифрующее файл и wipe'ающее оригинал — доброе приложение о защите приватности, а malwar, шифрующий файл и вайпающий оригинал — вредоносное.
Чуете проблему?
Поведенческий анализ — это полная катастрофа, особенно при массовом распространении антивирусов с оными. Либо мы эффективно защищаемся от новых программ, либо пропускаем оные.
Больше вариантов я не вижу. Если же говорить про защиту от чужого кода — то песочницы и только песочницы. Причём не в андроидовом виде «дайте мне права, а там разберёмся», а в режиме фактического предоставления доступа к конкретному ресурсу в реальном времени.
Теперь же мы имеем некий блоб с пачкой эвристик, который должен определить, что приложение по синхронизации контактов и документов с облачным бэкап-сервисом это доброе приложение, а приложение по краже контактов и документов на сервер злоумышленника — вредоносное. Что gpg, шифрующее файл и wipe'ающее оригинал — доброе приложение о защите приватности, а malwar, шифрующий файл и вайпающий оригинал — вредоносное.
Чуете проблему?
Поведенческий анализ — это полная катастрофа, особенно при массовом распространении антивирусов с оными. Либо мы эффективно защищаемся от новых программ, либо пропускаем оные.
Больше вариантов я не вижу. Если же говорить про защиту от чужого кода — то песочницы и только песочницы. Причём не в андроидовом виде «дайте мне права, а там разберёмся», а в режиме фактического предоставления доступа к конкретному ресурсу в реальном времени.
Чую. Вариант у тех же Kaspersky для этого — смотрим программу в white list, если нет, спрашиваем у облака и предлагаем пользователю выбор действия. А там можно уже и в песочнице приложение перезапустить.
Обладает ли пользователь достаточной квалификацией, чтобы принять верное решение? При частых появлениях вопросов он или будет игнорировать вопросы (нажимать «разрешить» всегда — как многие поступают с UAC или установкой неподписанных дров/софта), или отключит «эвристику», или вообще удалит надоедливое приложение.
ну там выдается процент признавших программу достойной доверия. Это помогает пользователю с выбором.
НЛО прилетело и опубликовало эту надпись здесь
Не реален белый список, по-моему. Нет у антивирусных компаний столько ресурсов, чтобы анализировать каждый билд каждой программы.
Белый список нереален ещё и потому, что большинство современного софта строится по принципу ядро + модули/плагины/расширения.
Составлять белый список жаваскриптов в браузере, VBскриптов в ворде, плагинов в фотошопе — невозможно.
А попадание туда вредоносов — вполне.
Составлять белый список жаваскриптов в браузере, VBскриптов в ворде, плагинов в фотошопе — невозможно.
А попадание туда вредоносов — вполне.
Яваскрипт вполне может в себя включать сертификат в base64 (ака быть подписанным ключом разработчика), для макросов (тоже текстовые файлы по сути) и скриптов powershell такое давно применяется. Другой вопрос, что потребуется поддержка всех основных ОС для этого, а такого стандарта пока что вроде бы нет.
Лет 400 назад выгодным вложением был пиратский корабль) Потом, по мере развития морского права, пиратов понемногу извели :) Хотя по пути некоторые из них успели послужить разным коронам.
То же самое произойдет и здесь, неизбежно. И ответ на эти вызовы не только в плоскости защиты.
Любая система защиты (не только технической) включает в себя
— Предупреждение
— Восстановление
— Возмездие
Без третьего пункта сдерживающий эффект недостаточный. Развитие компьютерной криминалистики, и взаимодействия между государствами, рано или поздно закроет этот пока что прибыльный бизнес, на благо простых людей.
То же самое произойдет и здесь, неизбежно. И ответ на эти вызовы не только в плоскости защиты.
Любая система защиты (не только технической) включает в себя
— Предупреждение
— Восстановление
— Возмездие
Без третьего пункта сдерживающий эффект недостаточный. Развитие компьютерной криминалистики, и взаимодействия между государствами, рано или поздно закроет этот пока что прибыльный бизнес, на благо простых людей.
НЛО прилетело и опубликовало эту надпись здесь
Шутка про изведение пиратов хороша. Вот оружие для экипажей невоенных судов и в самом деле извели.
Сейчас пиратский корабль не очень выгодное вложение, риски высоки. Попробуйте на стартап-мероприятии предложить, расскажут )
И конечно, добиться 100.00% результата в вопросах ограничения действий людей сложно, при текущем населении планеты.
Хотя думаю с развитием технологий и у сомалийцев появится достойная альтернатива текущим занятиям.
Афганистан обещают в ближайшие 10 лет засадить пшеницей (ГМО, да) вместо мака.
И конечно, добиться 100.00% результата в вопросах ограничения действий людей сложно, при текущем населении планеты.
Хотя думаю с развитием технологий и у сомалийцев появится достойная альтернатива текущим занятиям.
Афганистан обещают в ближайшие 10 лет засадить пшеницей (ГМО, да) вместо мака.
Боянистая шутка в тему. Как трём друзьям сделать IT-бизнес? Один пишет вирусы, другой антивирусы, третий — ОС, под которой всё это работает.
Пример про пожарных некорректен, потому что пожарные получают фиксированную з/п, а не за количество охраняемых ими домов. Если бы у жителей был выбор, платить или нет за возможность выезда к ним пожарной бригады, то любой случай возгорания в неохраняемом доме подкреплял бы те самые слухи.
Но, пожалуй, аргумент про то, что чтобы обойти антивирус, не нужно обладать какими-то выдающимися знаниями, достаточно убедителен против этого мифа.
Но, пожалуй, аргумент про то, что чтобы обойти антивирус, не нужно обладать какими-то выдающимися знаниями, достаточно убедителен против этого мифа.
А разве «боевые» им не платят?
НЛО прилетело и опубликовало эту надпись здесь
Где-то когда-то читал про один случай, который был описан как типовой. Дело было во времена царя. В какую-то губернию прислали чиновника, который должен был предотвращать конокрадство. Коего в тех местах то ли вообще не было, то ли явление было чрезвычайно редким. Суть истории в том, что уровень преступности с назначением чиновника постоянно рос и достиг ужасающих размеров. Может это было поразительное совпадение, а может, чиновнику надо было писать отчеты о проделанной работе, чтобы получать зарплату. В источнике история подавалась как имевшая место. Как бы то ни было, я бы допустил возможность возникновения подобных ситуаций в жизни.
НЛО прилетело и опубликовало эту надпись здесь
Для большего холивара можно еще вспомнить производителей техники и автомобилей, мол они стали делать хуже, чем раньше, все ненадежно, чтобы был оборот и т.п. Но я лучше предложу нам закончить этот тред :)
Шутки шутками, но в ситуации со строительством дорог в России именно так и происходит. Есть и техника, и технологии, а делают через жопу, чтобы через пару-тройку лет переделать. Рассказывал об этом знакомый, который «в теме»…
Сдается мне, что делают плохо не чтобы переделать, а как следствие распила во время деланья.
И то, и другое. Сделаешь хорошо и поделишься — тебе скажут спасибо, но в следующем году делать будет нечего. Сделаешь хорошо и не поделишься (если вообще контракт заключат) — спасибо не скажут, но в следующем году делать будет нечего. Сделаешь плохо и не поделишься — неисключено, что посадят. Сделаешь плохо и поделишься — и спасибо скажут, и в следующем году будет что делать.
Допустим, но ведь можно же сделать хорошо (пусть и поделившись), а на следующий год делать другую дорогу. Тоже хорошо. Хоть как то получше было бы.
Запланированное устаревание, вы об этом и лампочки на 1000 часов?
Этот пример еще хуже. У стоматолога всяко есть фронт работ. Напрямую зависящий от имиджа. Рекомендуя кушать леденцы, он получит резкий отток клиентов, потому что никому нафиг не сдался такой врач.
Здесь совершенно другая схема оплаты. И взаимодействие с клиентом другая.
Здесь совершенно другая схема оплаты. И взаимодействие с клиентом другая.
>Ведь ни пожарных, ни представителей иных профессий в подобном «вредительстве» не отмечают.
Представителей некоторых структур отмечают. И не только у нас, в России.
Представителей некоторых структур отмечают. И не только у нас, в России.
Ну да, полицейский-преступник уже никого не удивляет.
антивирусы не так совершенны как хотелось бы, они конечно отслеживают самые массовые версии вредоносного ПО, но бойцы невидимого фронта тоже не спят, криптуют, разрабатывают защиты. такая ситуация достаточно типична — когда вредоносное ПО ставится на определенное небольшое кол-во машин и долгое время о нём ничего не известно антивирусам.
В современных реалиях сами вирусы обновляются быстрее антивирусов, необходим кардинально новый поход к проблеме. Мы уже достаточно убедились в том, что система с сигнатурами не эффективна в нашу эпоху. Самый лучший путь — отказ от сигнатур в пользу развития эвристики. Подход нужен на уровне — процесс изменил hosts — заблокировали процесс, не дали изменить файл, бинарник подозрительного процесса отослать в компанию. Подавляющая часть программ имеет подпись, если нет подписи — опять блокировать с уведомлением пользователю и возможностью разрешить файл. Надстройка на UAC дублирующая функции. Ну и прочие подобные правила. А сигнатуры проще сделать в обратную сторону — списки не вирусов, а наоборот заведомо проверенных файлов.
Вредоносы также имеют подписи. Подавляющее меньшинство из них, но тем не менее. Так что полагаться только на цифровые подписи не стоит.
А белые списки уже давно интергированы в антивирусные продукты. И что?
А белые списки уже давно интергированы в антивирусные продукты. И что?
Да это оно понятно что подпись они могут иметь, но это уже сложнее. Я описал лишь часть идей и не стоит полагаться только на белые списки или подписи. Я сам видел как антивирус с «эвристикой» пропускал вполне подозрительные действия вредоносного ПО. А так допустим файл имеет подпись от вполне валидного центра сертификации, занесён в белый список, подозрительных действий не совершает — пропустить. Согласен с тем, что могут быть некоторые проблемы, но зато эффективность против 0-day вирусов будет значительно выше чем сейчас, по моему личному мнению не менее половины заражений компьютеров — это как раз те самые свежие вирусы, которые проходят эвристику на ура и не занесены в сигнатуры.
И тогда начнется ад. Хочет добрый и пушистый софт модифицировать hosts, так ему по тыкве дубиной н-на, бинарник в лабораторию и… и что? Ждать пока специалисты его проверят? Это ж трындец, сколько нового софта выходит, задолбаешься его whitelist'ить у всех производителей антивирусов. Про подписи — вообще смех, подделают. Короче, что бы там ни делали, антивирусы всегда можно будет обойти.
Если брать ваш пример: программа без подписи и не whitelist'е пытается модифицировать системный файл, то пользователю вылезит ненавязчивое предупреждение о том что это подозрительное действие (описание по кнопочке «подробнее» о том к чему может это привести) и после нажатия на «разрешить» только тогда позволить программе совершить действие. Не вижу тут никакого ада и криминала, никто же не говорить сделать всё абы как, я уж надеюсь у крупных антивирусных компаний есть люди поумнее меня, которые найдут ещё более эффективный способ как обойти эту проблему.
Вы думаете, что нельзя будет программно нажать на эту кнопочку?
Глупость какая-то, а сейчас почему вирусы не наживают на кнопочки всплывающие у антивирусов?
Почему глупость, вы не слышали, почему UAC подтверждения появляются на отдельном экране? А почему не нажимают… Предположим, что потому, что активный процесс зловреда блокируется. Однако, кто сказал, что у него не может быть два процесса, второй из которых будет заниматься ОКеенажимательством. Пусть даже это будет возможно не для всех вирусов. Тут все зависит от глубины внедрения, имхо.
Ну а в чем проблема так же сблокировать всё и вывести на отдельный экран предупреждение.
Очевидно, неудобство для пользователя.
Там не просто «отдельный экран», в случае UAC это другой рабочий стол (SecureDesktop), на который отображается затемненный снимок с рабочего стола юзера (DefaultDesktop) и к которому имеет доступ только система (трижды ха). К слову: habrahabr.ru/company/xakep/blog/122272/
Даже если антивирус создаст свой рабочий стол с диалогом, не факт, что только он будет иметь туда доступ.
Там не просто «отдельный экран», в случае UAC это другой рабочий стол (SecureDesktop), на который отображается затемненный снимок с рабочего стола юзера (DefaultDesktop) и к которому имеет доступ только система (трижды ха). К слову: habrahabr.ru/company/xakep/blog/122272/
Даже если антивирус создаст свой рабочий стол с диалогом, не факт, что только он будет иметь туда доступ.
Обходные пути будут всегда, идеалов не существует, но это не значит что нужно опускать руки, я лишь считаю что такая схема эффективнее чем то что сейчас есть, задача максимально усложнить писателям вирусов задачу.
Это схема будет не более, чем альтернативой текущей. В ее эффективности я сомневаюсь: возможно, она даст защиту от одного класса вирусов, но породит новый, который будет ее обходить. Так что это будут временные затруднения.
Однако, я был бы рад такому развитию событий, т.к. данная конкурентная борьба, возможно, даст прикладные плоды. Лишь бы война не велась ради войны.
Однако, я был бы рад такому развитию событий, т.к. данная конкурентная борьба, возможно, даст прикладные плоды. Лишь бы война не велась ради войны.
По-моему, максимально усложнить писателям вирусов задачу не так сложно. Куда сложнее найти компромисс с удобством для пользователей и нормальных разработчиков.
Понимаете, тут приходится выходить на скользкую тропу взаимодействия с пользователем: сделать всё как надо — и придётся пользователю сидеть и внимательно смотреть, что за программа, чего хочет, почему.
Собственно проблема в том, что обычному пользователю это не интересно. Он покупает продукт, и хочет чтобы всё работало и его не спрашивало. :)
У меня года три-четыре назад была ситуация, когда у антивируса истёк срок действия ключа, и он отключился. Я остался сидеть за файрволом с хорошей функциональностью, который предупреждал обо всех левых движениях программного обеспечения и подозрительной активности. В таком режиме я просидел около полутора лет с использованием интернетов и ни одного прецендента с вирусами-троянами.
Моим способом защиты заинтересовался товарищ, и опробовал его. Хватило его примерно на три дня, после чего с криками «задрало оно меня!» он снёс к чертям этот продвинутый и надёжный файрволл и поставил старый добрый (и конечно крякнутый) антивирь.
Так что для антивирусных контор это также сложный вопрос баланса между хотениями пользователя и настоящей безопасностью. И это — помимо других проблем, которые возникают при написании антивирусов.
Собственно проблема в том, что обычному пользователю это не интересно. Он покупает продукт, и хочет чтобы всё работало и его не спрашивало. :)
У меня года три-четыре назад была ситуация, когда у антивируса истёк срок действия ключа, и он отключился. Я остался сидеть за файрволом с хорошей функциональностью, который предупреждал обо всех левых движениях программного обеспечения и подозрительной активности. В таком режиме я просидел около полутора лет с использованием интернетов и ни одного прецендента с вирусами-троянами.
Моим способом защиты заинтересовался товарищ, и опробовал его. Хватило его примерно на три дня, после чего с криками «задрало оно меня!» он снёс к чертям этот продвинутый и надёжный файрволл и поставил старый добрый (и конечно крякнутый) антивирь.
Так что для антивирусных контор это также сложный вопрос баланса между хотениями пользователя и настоящей безопасностью. И это — помимо других проблем, которые возникают при написании антивирусов.
Так оно и сейчас так происходит…
Производители софта могут договариваться с производителями антивирусов о добавлении в white-list ПЕРЕД выпуском софта в продакшн.
Не вижу проблемы
Не вижу проблемы
А теперь расскажите нам, как вы этот процесс видите.
Расскажите это over 9000 разработчикам софта в том числе свободного, который может любой скомпилить.
а те, которые не хотят/не могут договариваться — лишаются прибылей?
Те, кого она касается (разработчики софта, попадающего по «эвристикам» в подозрительное) — эту проблему вполне видят.
На хабре были статьи на тему непробиваемости белых списков различных антивирусов.
На хабре были статьи на тему непробиваемости белых списков различных антивирусов.
Редактирую я тут hosts в лично собранном редакторе, и тут, бац-бац, редактор удалён вместе с исходниками.
Про подавляющее число программ я бы поостерегся утверждать. Имхо, как раз наоборот — подавляющее число (если считать не копии, а оригиналы) не имеет подписей и на них никаких глобальных вайт-листов не хватит.
Про подавляющее число программ я бы поостерегся утверждать. Имхо, как раз наоборот — подавляющее число (если считать не копии, а оригиналы) не имеет подписей и на них никаких глобальных вайт-листов не хватит.
Про подписи — не надо, я каждый день с этим работаю и видел вирус с подписью только один раз, а вот софт без подписи почти не видел (гуард майлру, который и так вредоносная программа и до недавних пор 7зип, который уже подписали). Я ни слова не говорил про «удалён», достаточно предупреждения, да и разработчик может спокойно папочку с исходниками руками в исключения добавить. Я ещё не видел пользователей которые программы сами пишут, например редакторы hosts.
Вы, наверное, не качаете по десятку программ неизвестных авторов с какого-нибудь freeware.ru.
А скрипты шелла программами не считаете? Я вот пишу их как раз для редактирования hosts и создания виртуальных хостов в apache/nginx.
А скрипты шелла программами не считаете? Я вот пишу их как раз для редактирования hosts и создания виртуальных хостов в apache/nginx.
авторы зловредов и тут подсуетились.
ломают разные легитимные конторы, вроде realtek, и подписывают свои творения их ЭЦП.
ломают разные легитимные конторы, вроде realtek, и подписывают свои творения их ЭЦП.
Любые подписи сильно ограничивают opensource разработчиков ибо они либо не работают либо ограничивают свободу.
Вы из Windows хотя бы раз вылазили на другой операционной системе работали?
Каждый день. У меня нет предпочтений в ОС, для своих задач использую то, что подходит. Есть парк как серверов, так и рабочих станций под линукс и фрибсд.
И часто видите подписанные исходники?
Не понимаю к чему это вы, исходники есть — исходники. Я пользуюсь пакетными дистрибутивами. Под винду последний раз компилировал последний раз ещё когда учился.
К тому, что полно неподписанного софта, включая софт, поставляющийся в исходниках, включая софт на скриптовых языках.
И все пакеты подписаны? Что за дистры? В моём дистре подписываются репозитории, а не пакеты. Да и то, ключи подписи репозиториев самогенерирующиеся.
И все пакеты подписаны? Что за дистры? В моём дистре подписываются репозитории, а не пакеты. Да и то, ключи подписи репозиториев самогенерирующиеся.
Да причём тут линукс то, на нём вирусов даже в планах нет. Я сказал в винде почти весь софт подписан, даже открытый, так как он всяко создается не на коленке студентом из техникума, за любым продуктом стоит как минимум одна организация и подписать приложение для них не большая проблема. Да и хватит придираться к подписям, я уже сказал что это лишь один из критериев оценки ПО, их должно быть значительно больше.
А я как раз про созданный «на коленке студентом из техникума». Имхо, такого софта куда больше, чем того, за которыми стоят серьезные организации или сообщества.
Зато вот пользуются им незначительное количество людей, для рядового пользователя компьютера, которых большая часть, такой софт не нужен, а те кому нужен добавят в исключение, ещё есть варианты с песочницей, не всё так криминально. Такой антивирус нужен именно тем «домохозяйкам» которым поглядеть инет, поредактировать доки, посмотреть фильм, согласитесь таких людей подавляющее большинство. Им не нужны самописные программки. Я не просто так сказал про подписи, в силу своей работы я постоянно чищу компьютеры от вирусов, достаточно запустить autoruns на машине простого пользователя, сразу же видно будет что из списка вирус по подписям. Остальным опытным пользователей не составит труда добавить необходимый софт в исключения, а то и вообще не пользоваться антивирусами как я.
en.wikipedia.org/wiki/Debian_build_toolchain#Source_packages
The dsc file, which is a text file with metadata, such as the names of all files constituting the source package and their MD5 checksums. It also contains the signature of the creator of the source package.
Эвристика это низкая эффективность, тормоза, приближение тепловой смерти Вселенной и ложные срабатывания!
Списки заведомо проверенных файлов — путь к тоталитаризму и тоже в общем-то тормоза!
Списки заведомо проверенных файлов — путь к тоталитаризму и тоже в общем-то тормоза!
Список из разрешённых к запуску программ и верификация собранных контрольных сумм на этапе запуска — ключ к успеху.
При этом нужен атрибут файла «доверяемый» с возможными уровнями прав:
* минимальный — файл может быть запущен только в изолированном окружении с отдельным образом файловой системы;
* доверенный — файл может запускаться и использовать файловую систему пользователя, который его запускает;
* разрешённый — файл может запускаться и работать в системном окружении как обычное приложение;
* привилегированный — файл может работать в составе ядра операционной системы (драйверы, например).
Все остальные файлы рассматриваются как файлы, не содержащие исполняемый код.
Механизм назначения уровня доверия выполняемым компонентам программы должен назначаться на этапе её инсталляции, пока пользователь помнит, для чего он это делает и осознаёт всю глубину ответственности, либо подтверждаться системой управления цифровыми правами (DRM), если осуществляется автоматическое развёртывание приложений.
При этом нужен атрибут файла «доверяемый» с возможными уровнями прав:
* минимальный — файл может быть запущен только в изолированном окружении с отдельным образом файловой системы;
* доверенный — файл может запускаться и использовать файловую систему пользователя, который его запускает;
* разрешённый — файл может запускаться и работать в системном окружении как обычное приложение;
* привилегированный — файл может работать в составе ядра операционной системы (драйверы, например).
Все остальные файлы рассматриваются как файлы, не содержащие исполняемый код.
Механизм назначения уровня доверия выполняемым компонентам программы должен назначаться на этапе её инсталляции, пока пользователь помнит, для чего он это делает и осознаёт всю глубину ответственности, либо подтверждаться системой управления цифровыми правами (DRM), если осуществляется автоматическое развёртывание приложений.
Подписи проблему не решают, а только лишь усложняют работу зловредам. Подпись можно подделать. Троян может внедриться в обход подписи. Да даже добросовестное ПО может содержать ошибки — к примеру, вместо очистки папки с собственными логами будет удаляться вся пользовательская папка, если она содержит кириллицу или тильду в имени.
Нужно, чтобы каждое приложение выполнялось в своей песочнице, а доступ к прочим ресурсам выдавать по запросу, как в iOS, или регулировать на основе политик, как Андроиде.
Т.е. установил ты программу — текстовый редактор, запустил. Если в нём троянчик, то в современной ОС он быстренько просканит пользовательскую папку, найдёт профиль браузера с сохранёнными паролями и отправит их на свой сервер.
Доступ к файлам нужно сделать через общесистемные диалоги, чтобы пользователь явно видел, какая программа что хочет открыть. Т.е. текстовый редактор будет явно предлагать пользователю выбрать файл из пользовательской папки — пользователь сделает это явно. А при попытке трояна открыть файл в пользовательской папке за пределами своей песочницы он получит от ОС отлуп. Также текстовому редактору незачем лезть в сеть — интернет для него прикроем.
Для программы-чатика как раз откроем интернет, но закроем доступ к пользовательской папке — он ему точно ни к чему. В своей песочнице он может хранить все настройки и логи. Если пользователю захочется отправить фоточку, то он опять же даст файл программе явно — через системный диалог выбора файла или перетянув файл мышкой. Таким образом никакой чатик или скринсэйвер, даже заведомо зловредный, не утянет пароль к почте и не сможет зашифровать и удалить пользовательские данные. Потому что у скринсэйвера будет доступ в лучшем случае только к папке с фотками и только для чтения.
Но такая система безопасности потребует значительных изменений в существующем ПО и ОС, и вряд ли кто-нибудь реализует её в ближайшее время в десктопных ОС.
Нужно, чтобы каждое приложение выполнялось в своей песочнице, а доступ к прочим ресурсам выдавать по запросу, как в iOS, или регулировать на основе политик, как Андроиде.
Т.е. установил ты программу — текстовый редактор, запустил. Если в нём троянчик, то в современной ОС он быстренько просканит пользовательскую папку, найдёт профиль браузера с сохранёнными паролями и отправит их на свой сервер.
Доступ к файлам нужно сделать через общесистемные диалоги, чтобы пользователь явно видел, какая программа что хочет открыть. Т.е. текстовый редактор будет явно предлагать пользователю выбрать файл из пользовательской папки — пользователь сделает это явно. А при попытке трояна открыть файл в пользовательской папке за пределами своей песочницы он получит от ОС отлуп. Также текстовому редактору незачем лезть в сеть — интернет для него прикроем.
Для программы-чатика как раз откроем интернет, но закроем доступ к пользовательской папке — он ему точно ни к чему. В своей песочнице он может хранить все настройки и логи. Если пользователю захочется отправить фоточку, то он опять же даст файл программе явно — через системный диалог выбора файла или перетянув файл мышкой. Таким образом никакой чатик или скринсэйвер, даже заведомо зловредный, не утянет пароль к почте и не сможет зашифровать и удалить пользовательские данные. Потому что у скринсэйвера будет доступ в лучшем случае только к папке с фотками и только для чтения.
Но такая система безопасности потребует значительных изменений в существующем ПО и ОС, и вряд ли кто-нибудь реализует её в ближайшее время в десктопных ОС.
Десяток моих знакомых уже реализует это на основе SELinux.
Цифровую подпись подделать не так-то легко — например, попробуйте изменить файл так, чтобы его SHA1 оставался таким же, а файл при этом не потерял своей функциональности и не сильно пострадал в размере.
Нужно, чтобы каждое приложение выполнялось в своей песочнице, а доступ к прочим ресурсам выдавать по запросу
Mandatory access control
Ведь ни пожарных, ни представителей иных профессий
Да нет, думаю любая профессия так или иначе имеет или когда то имела подобный миф, просто некоторые мифы умирают со временем (при взвешивании плюсов и минусов подхода, он маркируется нерациональным) а некоторые наоборот крепчают.
Для меня до сих пор загадка, почему WinPooch забросили. Гениальная же вещь по сути!
Ну и вообще выход в HIPS, конечно.
Ну и вообще выход в HIPS, конечно.
>Ведь ни пожарных, ни представителей иных профессий в подобном «вредительстве» не отмечают.
Фига себе. А преподаватели в ВУЗах, которые занимаются «репетиторством» абитуриентов или студентов, что весьма неплохо сказывается на их оценках, независимо от знаний — тоже миф?
А менты, которые специально тупые знаки в кронах деревьев цепляют и дерут взятки — легенда?
А налоговики, которые «валят» предприятия, не пожелавшие пройти добровольный аудит в «дружественной» аудиторской конторе?
Вы как-будто с какой-то другой планеты, ей Богу.
Фига себе. А преподаватели в ВУЗах, которые занимаются «репетиторством» абитуриентов или студентов, что весьма неплохо сказывается на их оценках, независимо от знаний — тоже миф?
А менты, которые специально тупые знаки в кронах деревьев цепляют и дерут взятки — легенда?
А налоговики, которые «валят» предприятия, не пожелавшие пройти добровольный аудит в «дружественной» аудиторской конторе?
Вы как-будто с какой-то другой планеты, ей Богу.
А если глубже смотреть, то становится вообще непонятно, почему современные ОС построены по принципу «приложениям можно всё, что не запрещено», а не наоборот. Проблемы совместимости со старым софтом решаются песочницей.
Где-то я читал что именно эта книга от «отца-основателя» антивирусного рынка в России вдохновила сотни людей попробовать свои силы в вирмейкерстве. У меня она есть и, надо отдать должное автору, она действительно вдохновляет на «подвиги». Так что тема, имхо, действительно спорная.
<зануда> «А почему вы, собственно, уверены, что антивирус X надёжен?» X по первоначальным условиям это юзверь, а антивирус — Y"</зануда>
Есть ещё один довод. Наибольшей компетенцией в чем-либо обладает тот, кто регулярно с этим имеет дело. Наиболее компетентным во вредоносном ПО будет кто? Тот чья работа с ним бороться.
С точки зрения рядового пользователя умение открыть программу в отладчике и что-то там понять это уже полнейший космос. Я сам работаю в ИТ, лекций особенно не прогуливал, но для того чтобы самому написать работающий неопределяющийся вирус — ещё попотеть надо.
Стоит сделать оговорку, что якобы не обязательно разбираться в low-level чтобы написать вирус, что хватит и конструктора, но вряд ли по-насатоящему новые вещи делаются таким образом.
Свои «черные копатели» были во все времена, наверно, в любых профессиях. Так что о полной непричастности прошлых, настоящих и будущих борцов с вредоносным ПО к его созданию говорить, всё же, не стоит.
С точки зрения рядового пользователя умение открыть программу в отладчике и что-то там понять это уже полнейший космос. Я сам работаю в ИТ, лекций особенно не прогуливал, но для того чтобы самому написать работающий неопределяющийся вирус — ещё попотеть надо.
Стоит сделать оговорку, что якобы не обязательно разбираться в low-level чтобы написать вирус, что хватит и конструктора, но вряд ли по-насатоящему новые вещи делаются таким образом.
Свои «черные копатели» были во все времена, наверно, в любых профессиях. Так что о полной непричастности прошлых, настоящих и будущих борцов с вредоносным ПО к его созданию говорить, всё же, не стоит.
После ваших аналогий с пожарными, вспомнил 451 градус по Фарингейту.
У меня напрашивается ассоциация между производителями антивирусов и нашими доблестными ремонтниками дорог, которые нарочно делают все криво, чтобы через пару лет уже по новой класть дороги!
Производителям антивирусного софта идеальный антивирус точно не нужен с точки зрения долговременных перспектив этого бизнеса. Рано или поздно рынок насытится и останется только продавать новым пользователям, да портировать под новые платформы.
почему же, наоборот) идеальный антивирус это рынок размером в 1 планету и у такого изобретателя Уорен Бафет будет домашнюю бухгалтерию вести…
вы не учитываете затраты, необходимые на то, чтобы доказать каждому клиенту, что он таки да действительно идеальный )
НЛО прилетело и опубликовало эту надпись здесь
Чайниковские вопросы по поводу песочниц. Речь идет про обычный домашний комп.
1. Установив песочницу, я могу спокойно удалить антивирус?
2. Насколько она будет тормозить комп?
3. Будут ли проблемы с совместимостью? Не будут ли глючить какие-н проги или обновления виндовс?
1. Установив песочницу, я могу спокойно удалить антивирус?
2. Насколько она будет тормозить комп?
3. Будут ли проблемы с совместимостью? Не будут ли глючить какие-н проги или обновления виндовс?
> 1. Установив песочницу, я могу спокойно удалить антивирус?
Как вы себе это представляете?
В случае Windows песочница — это механизм безопасности, реализованный в антивирусном ПО.
Как вы себе это представляете?
В случае Windows песочница — это механизм безопасности, реализованный в антивирусном ПО.
Есть такие. Например, DefenseWall.
> В случае Windows песочница — это механизм безопасности, реализованный в антивирусном ПО.
Не стоит полагаться на статью в Вики, она написана людьми, которые очень слабо разбираются в теме антивирусных песочниц. Рекомендую почитать лучше мою статью на Хабре в тему.
Не стоит полагаться на статью в Вики, она написана людьми, которые очень слабо разбираются в теме антивирусных песочниц. Рекомендую почитать лучше мою статью на Хабре в тему.
>1. Установив песочницу, я могу спокойно удалить антивирус?
В общем случае- нет. Это дополнительный слой защиты.
>2. Насколько она будет тормозить комп?
Зависит от реализации.
>3. Будут ли проблемы с совместимостью? Не будут ли глючить какие-н проги или обновления виндовс?
Проблем с совместимостью быть не должно. Только нужно все программы, которым вы доверяете, устанавливать в доверенную зону песочницы.
В общем случае- нет. Это дополнительный слой защиты.
>2. Насколько она будет тормозить комп?
Зависит от реализации.
>3. Будут ли проблемы с совместимостью? Не будут ли глючить какие-н проги или обновления виндовс?
Проблем с совместимостью быть не должно. Только нужно все программы, которым вы доверяете, устанавливать в доверенную зону песочницы.
Один из вариантов песочницы — каждой программе свой экземпляр виртуальной машины на виртуальном диске. Если пользовались виртуальными машинами, то сами можете ответить :)
А вот в Plan9 вирусов не могло быть даже теоретически, потому что каждому процессу можно было выдать свою локальную структуру fs: например, работаем с web, имеем доступ только к 80-ым tcp-портам, графике и папке Downloads, ну хочет malware, которая запускается в этом окружении downloads воровать, пусть ворует, делов-то. При чём, схема непробиваемая изнутри самих приложений, потому что никакого доступа к менеджеру ресурсов из этого окружения может не быть. Зачем все эти проблемы с антивирусами, когда можно просто взять вменяемую OS?
Автор не хочет играть по правилам всей индустрии программного обеспечения.
Доказательства:
раз — www.anti-malware.ru/forum/index.php?showtopic=19678 (отсутствие цифровой подписи собственных «защитных» приложений)
два — www.anti-malware.ru/forum/index.php?showtopic=19539 (признавать, что его софт выполняет свои функции только для очень экзотических обстоятельств и продвинутого параноика)
три — просто неспособность поддерживать работу своего ПО на любых 64-битных системах.
раз — www.anti-malware.ru/forum/index.php?showtopic=19678 (отсутствие цифровой подписи собственных «защитных» приложений)
два — www.anti-malware.ru/forum/index.php?showtopic=19539 (признавать, что его софт выполняет свои функции только для очень экзотических обстоятельств и продвинутого параноика)
три — просто неспособность поддерживать работу своего ПО на любых 64-битных системах.
Как презервативы не защищают на 100% ни от болезней, ни от незапланированной беременности, так и антивирусы не могут защитить на 100% от вредоносных программ. Нужно понимать это и строить свое поведение, исходя из этого факта, а именно, думать, по каким ссылкам кликать, загружать ли «крякнутые» программы с торрент-трекеров и т.д. А если полагаться только на антивирус, считая, что раз заплатил, то уж защищен по самое небалуйся, а при этом щелкать по любым сомнительным банерам, то не нужно удивляться, что однажды утром произойдет казус, подобный описанному автором поста.
А фирмам, производящим антивирусный софт, нужно говорить правду своим клиентам о том, что не может быть стопроцентной защиты. Производители гандонов в этом отношении ведут себя гораздо честнее.
А фирмам, производящим антивирусный софт, нужно говорить правду своим клиентам о том, что не может быть стопроцентной защиты. Производители гандонов в этом отношении ведут себя гораздо честнее.
Да нет там никаких ошибок в логике.
>Ошибка в логике мистера Х номер раз. А почему вы, собственно, уверены, что антивирус X надёжен? Равно как и все его конкуренты на рынке? Насколько вообще надёжны современные антивирусы?
Это бизнес антивирусных студий. Им выгодно быть максимально надёжными. Очевидно, что 100% надёжности не бывает, но проранжировать антивирусы по этому признаку можно. Довод бессмысленный.
>Ошибка в логике мистера Х номер два. Для того, чтобы обойти любой антивирус, не нужно быть профессионалом в программировании и особенностях реализации операционной системы. Вполне достаточно просто быть хорошим студентом и не спать на лекциях и практических занятиях.
Фигня какая-то. Ни на лекциях ни на практических занятиях в подавляющем большинстве вузов не дают знаний достаточных для написания современных вирусов. А там, где дают, надеюсь мотивация препятствует этому делу :). Ну и в любом случае, человеку, занимающемуся предметом профессионально написать вирус, обходящий очередную защиту очередного конкурента существенно проще, нежели студенту. Тем более мотивация есть. Довод бессмысленный.
>Ошибка в логике мистера Х номер три. Распространение зловредного программного обеспечения (известного также как компьютерные вирусы)– это высокоприбыльное дело.… Какой смысл заниматься такими вещами «белой» антивирусной компании
Ещё большее повышение рентабельности. В принципе, вот, к примеру, агрессивная реклама тоже вещь в своём роде отвратительная и социально предосудительная, разве что юридически чистая. И все пользуются. Что касается репутации — тут противоречие. И так ведь большинство считают, что антивирусные компании пишут вирусы. Чем тут можно уже навредить репутации? :) Она _уже_ такая :).
ЗЫ. Я, кстати, не думаю, что антивирусные компании этим занимаются, но ваши опровержения — курам на смех.
>Ошибка в логике мистера Х номер раз. А почему вы, собственно, уверены, что антивирус X надёжен? Равно как и все его конкуренты на рынке? Насколько вообще надёжны современные антивирусы?
Это бизнес антивирусных студий. Им выгодно быть максимально надёжными. Очевидно, что 100% надёжности не бывает, но проранжировать антивирусы по этому признаку можно. Довод бессмысленный.
>Ошибка в логике мистера Х номер два. Для того, чтобы обойти любой антивирус, не нужно быть профессионалом в программировании и особенностях реализации операционной системы. Вполне достаточно просто быть хорошим студентом и не спать на лекциях и практических занятиях.
Фигня какая-то. Ни на лекциях ни на практических занятиях в подавляющем большинстве вузов не дают знаний достаточных для написания современных вирусов. А там, где дают, надеюсь мотивация препятствует этому делу :). Ну и в любом случае, человеку, занимающемуся предметом профессионально написать вирус, обходящий очередную защиту очередного конкурента существенно проще, нежели студенту. Тем более мотивация есть. Довод бессмысленный.
>Ошибка в логике мистера Х номер три. Распространение зловредного программного обеспечения (известного также как компьютерные вирусы)– это высокоприбыльное дело.… Какой смысл заниматься такими вещами «белой» антивирусной компании
Ещё большее повышение рентабельности. В принципе, вот, к примеру, агрессивная реклама тоже вещь в своём роде отвратительная и социально предосудительная, разве что юридически чистая. И все пользуются. Что касается репутации — тут противоречие. И так ведь большинство считают, что антивирусные компании пишут вирусы. Чем тут можно уже навредить репутации? :) Она _уже_ такая :).
ЗЫ. Я, кстати, не думаю, что антивирусные компании этим занимаются, но ваши опровержения — курам на смех.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Существование бизнеса на вредоносных программах, как доказательство недееспособности индустрии безопасности