Чтобы не быть превратно понятым. Я не верю, что антивирусы следят и воруют данные. Но в современном мире нет времени подумать. По данным Сбербанка, в свое время озвученным в Магнитогорске, для увода денег по стране нужно от одной до трех минут. Поэтому тестирование обновлений становится роскошью — ибо возможно неизвестный вирус уже запущен. С другой стороны вендоры (и не только антивирусы) не могут протестировать все апдейты на всех возможных конфигурациях — и тоже торопятся включать новые записи в базы. Итог — www.pcworld.com/article/132050/article.html, geektimes.ru/post/177883. Или даже www.anti-malware.ru/news/2011-10-27/4830, pikabu.ru/story/avast_zablokiroval_sam_sebya_2348799. Выборка исключительно, что гугл выдал в поиске, но печальный опыт имели и иные вендоры.
В качестве примеров, что надежных программ нет. Подобные вещи случаются со всеми. Вот свежее www.opennet.ru/opennews/art.shtml?num=41897
Что знаю, то пишу. Я стараюсь в своих постах соблюсти максимум честности. Если где-то что-то не описано — то только от недостатка информации. У Dr.Web облако есть, но как и у всех вендоров — механизмы его функционирования под страшной тайной, что вызывает временами инсинуации по типу ain.ua/2014/05/27/525970 (за исключением мелких деталей типа невозможности отключения облака и политизированности вывода, ибо подставить вместо Касперского в отчет можно почти любую систему защиты — более менее правда. Даже я бы сказал смягченная правда)
Плюсы и минусы всех компонентов, включая поведенческие анализаторы, обещаю будут разобраны максимально честно по типу — вот вам факты, а как их применять каждый решает сам
Таких очевидностей не будет точно. Я в общем-то взялся за эту серию статей без особой надежды. Мир не переделаешь. Но если кто-то задумается — это уже будет приятно. Меня лично бесит то, что мы бездумно доверяем чужим мнениям. Совершенно не используем логику. И в этой серии я стараюсь упирать именно на логику. Сожалею, что она не всегда очевидна. возможно в конце серии я напишу нечто типа пошаговой инструкции без пояснений
Я бы пожелал каждому, кто хочет написать комментарий к чему либо, перед написанием подумать — а не чувствует ли он себя гуру, который знает все и имеет право изрекать непреложные истины. И всегда читая очередную статью делать поправку на лояльность компании, в которой автор работает и на его опыт в определенных проектах
Постараюсь. Но по тестам статья несложная. Тот же Касперский по тестам проходился неоднократно. А вот по стандартам беда. Сколько блогеров, столько мнений. А уж если смотреть на назначение компонентов систем защиты…
Ну вот как можно серьезно воспринимать www.anti-malware.ru/news/2015-03-23/15839?
И я с вами согласен. Проблема современного мира — доверие неизвестно откуда взявшимся данным. Откуда берутся мифы. Я тоже планирую по этому поводу статью. Как влияет психология на безопасность
О тестах. Каким тестам можно доверять, каким нет. А вообще планы большие. Потом скорее всего пройдусь по стандартам. Там просто заповедник мифов и ереси
Навскидку:
1. Вредоносный файл был протестирован на антивирусах целевой группы (а у нас в России их считай всего три) и не обнаруживается ни одним из них
2. Никогда не следует переоценивать поведенческие анализаторы:
— поведенческий анализатор это по сути тот же антивирус — он действует по базе, описывающей известные поведения известных программ
— основная часть вредоносных файлов сейчас — трояны, а не вирусы. Они не изменяют (бывает конечно, но в общем) поведения уже контролируемых программ. Вот был случай, когда троян просто изменил путь, по которому запускался некий файл. Файл не изменился — и система контроля это фиксировала. а то, что вместо него запускалось иное — ну так это систему контроля не касалось
Для банкоматов распространеннейший миф — мы должны защищаться поведенческими анализаторами
Проблема любых средств защиты (не суть каких, хоть встроенных в ОС) — мы им доверяем. Но ни одно из них не является панацеей. Мы должны защитить систему набором средств, ни одно из которых не является доверенным :-(
К сожалению нет. Мы очень много расследуем (не совсем верный термин, но для простоты) инцидентов. Но никто не хочет огласки. Все, что можно сделать публичным — даем в новости, но как правило именно метод проникновения остается неизвестным.
В общем и целом самая страшная опасность (по недооцененности) — сайты, открытые по корпоративной надобности, уверенность, что там все нормально. Проблема в том, что все иные пути проникновения можно перекрыть, а этот — нет.
И пожалуй добавлю. обрабатываем != любой пришедший файл = новый уникальный вирус. Естественно есть повторы, есть результаты деятельности вирусов, есть скриншоты. Проблем потока две:
1. Процедура порядка разбора потока может ошибиться и наиболее опасный вирус будет разобран не с нужным приоритетом. Если кто помнит эпидемию WinLock'ов — так это оно. Создавалось их в день море. Кто из вендоров быстрее какой образец отработает — чистая лотерея. Постоянно держал адреса страниц вендоров, на которых выкладывались утилиты
2. Случаи когда детектится часть вируса — тоже бывают. Помню был случай когда детектился как вирус лог, который создавался вирусом, но не сам вирус. Нет банально времени вникать и разбираться
запись != один ловящийся вирус. Плюс эвристики — они тоже берут много из существующего. А приходит на анализ реально порядка 7 миллионов в месяц.
Ну и можно не вычислять. Для Dr.Web заходим на updates.drweb.com и смотрим по дням по добавлению записей
А почему мы должны доверять админу? Завтра он уволится, а сегодня он имел полный доступ к компьютеру генерального. Все зависит от размеров компании, потребного уровня безопасности и возможности привлечь нужное количество специалистов нужной квалификации.
Естественно права у всех пользователей должны быть разными, но сколько случаев расползания вирей с компьютера, «к которому имеет доступ только админ и потому мы его не защищаем». В моей практике был случай заражения компании с букридера. А уж сколько расходится с компьютеров бухгалтерии…
Вот интересно. Почему мы так не говорим о страховании? А ведь заливы бывают не у всех, да и пожары тоже. Антивирус это по сути тоже страховка. Кто не хочет — не ставит, но потом не пишет по всем форумам
Антивирусные компании действительно обмениваются семплами, но это закрытая сеть обмена между ними. А о работе с «независимыми тестировщиками» тоже неплохо написано в вышеупомянутом посте Касперского. Весьма спецфичная область деятельности :-) Но я имел в виду, что не выдают официально. Самодеятельность бввает, да. Был я свидетелем последствий подобных рассылок. По результатам менеджерам весьма влетало. К счастью не в тех компаниях, где я работал
Сигнатуры конечно есть, куда без них? Но имеется в виду, что нет чисто сигнатурных антивирусов. У ведущих (не у всех, но показывать пальцем не буду, ибо слухи) антивирусов кроме сигнатур еще много всяких механизмов
Про облака напишу отдельно. Да, преимущества есть, но и дыра в безопасности в наличии также
Действительно в статье есть упрощения, но чисто в связи с невозможностью объять необъятное. Если есть пожелания — пишите вопросы, постараюсь в следующих статья ответить более подробно
Тут дело даже в самой самозащите. Естественно ее сейчас декларируют все. Я попытался написать, каковы должны быть требования к антивирусу заказчика. Как показывает практика — многие спрашивают, сколько процентов ловится вирусов, но совсем не спрашивают, есть ли самозащита.
1. это их цифра, если не ошибаюсь, года 2011го. сейчас больше
2. мимо
3. это функции, методы противодействия вирусам. Но не назначение. Типичная ошибка, кстати
В качестве примеров, что надежных программ нет. Подобные вещи случаются со всеми. Вот свежее www.opennet.ru/opennews/art.shtml?num=41897
Плюсы и минусы всех компонентов, включая поведенческие анализаторы, обещаю будут разобраны максимально честно по типу — вот вам факты, а как их применять каждый решает сам
Я бы пожелал каждому, кто хочет написать комментарий к чему либо, перед написанием подумать — а не чувствует ли он себя гуру, который знает все и имеет право изрекать непреложные истины. И всегда читая очередную статью делать поправку на лояльность компании, в которой автор работает и на его опыт в определенных проектах
Ну вот как можно серьезно воспринимать www.anti-malware.ru/news/2015-03-23/15839?
И я с вами согласен. Проблема современного мира — доверие неизвестно откуда взявшимся данным. Откуда берутся мифы. Я тоже планирую по этому поводу статью. Как влияет психология на безопасность
news.drweb.ru/show/?c=5&i=9341&lng=ru — распространение через рассылки
news.drweb.ru/show/?i=9272&c=23&lng=ru&p=0 — проникновение в Linux
news.drweb.ru/show/?c=5&i=9309&lng=ru проникновение в Мас.
Это сходу. Вообще в разделах новостей каждого из ведущих вендоров есть отчеты
1. Вредоносный файл был протестирован на антивирусах целевой группы (а у нас в России их считай всего три) и не обнаруживается ни одним из них
2. Никогда не следует переоценивать поведенческие анализаторы:
— поведенческий анализатор это по сути тот же антивирус — он действует по базе, описывающей известные поведения известных программ
— основная часть вредоносных файлов сейчас — трояны, а не вирусы. Они не изменяют (бывает конечно, но в общем) поведения уже контролируемых программ. Вот был случай, когда троян просто изменил путь, по которому запускался некий файл. Файл не изменился — и система контроля это фиксировала. а то, что вместо него запускалось иное — ну так это систему контроля не касалось
Для банкоматов распространеннейший миф — мы должны защищаться поведенческими анализаторами
Проблема любых средств защиты (не суть каких, хоть встроенных в ОС) — мы им доверяем. Но ни одно из них не является панацеей. Мы должны защитить систему набором средств, ни одно из которых не является доверенным :-(
В общем и целом самая страшная опасность (по недооцененности) — сайты, открытые по корпоративной надобности, уверенность, что там все нормально. Проблема в том, что все иные пути проникновения можно перекрыть, а этот — нет.
1. Процедура порядка разбора потока может ошибиться и наиболее опасный вирус будет разобран не с нужным приоритетом. Если кто помнит эпидемию WinLock'ов — так это оно. Создавалось их в день море. Кто из вендоров быстрее какой образец отработает — чистая лотерея. Постоянно держал адреса страниц вендоров, на которых выкладывались утилиты
2. Случаи когда детектится часть вируса — тоже бывают. Помню был случай когда детектился как вирус лог, который создавался вирусом, но не сам вирус. Нет банально времени вникать и разбираться
Ну и можно не вычислять. Для Dr.Web заходим на updates.drweb.com и смотрим по дням по добавлению записей
Естественно права у всех пользователей должны быть разными, но сколько случаев расползания вирей с компьютера, «к которому имеет доступ только админ и потому мы его не защищаем». В моей практике был случай заражения компании с букридера. А уж сколько расходится с компьютеров бухгалтерии…
Антивирусные компании действительно обмениваются семплами, но это закрытая сеть обмена между ними. А о работе с «независимыми тестировщиками» тоже неплохо написано в вышеупомянутом посте Касперского. Весьма спецфичная область деятельности :-) Но я имел в виду, что не выдают официально. Самодеятельность бввает, да. Был я свидетелем последствий подобных рассылок. По результатам менеджерам весьма влетало. К счастью не в тех компаниях, где я работал
Сигнатуры конечно есть, куда без них? Но имеется в виду, что нет чисто сигнатурных антивирусов. У ведущих (не у всех, но показывать пальцем не буду, ибо слухи) антивирусов кроме сигнатур еще много всяких механизмов
Про облака напишу отдельно. Да, преимущества есть, но и дыра в безопасности в наличии также
Действительно в статье есть упрощения, но чисто в связи с невозможностью объять необъятное. Если есть пожелания — пишите вопросы, постараюсь в следующих статья ответить более подробно
2. мимо
3. это функции, методы противодействия вирусам. Но не назначение. Типичная ошибка, кстати