Перейти к содержанию
AM_Bot

Ложь, большая ложь и антивирусы. Часть первая. «А они первыми начали!»

Recommended Posts

AM_Bot

Этой статьёй я начинаю серию, посвящённую некоторым аспектам так называемой «антивирусной индустрии», котЧитать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ложь, местечковая ложь и песочницАзапись в блоге...

даже– писк сезона– поведенческий блокиратор

Устаревшая технология, от которой уже отказываются в пользу более современных. Странно, что ты этого не знаешь. Или знаешь?

Откуда эпидемии?

От дырки в голове же.

Опережение антивирусов над вирусами свелось к нулю.

Громко слишком. Ведь речь идет лишь о сигнатурах.

Кардинальное изменение номер три: вирусы теперь пишут ради выгоды. Более того, именно «вирусы», фактически, исчезли с компьютеров обывателей. Их заменили всевозможные «черви», «троянские кони», «блокираторы» и прочая нечисть, ориентированная на получения денег.

Игра словами. Уже давно говоря "вирус" подразумевают "вредонос". И все больше людей говорит именно "вредонос", "малварь", "зловред", но не просто вирус. Речи о том, что антивирусы не могут обезвредить любой другой тип вредоноса даже не идет (для некоторых обезвреживание вообще равно удалению тела). Ну, у вендоров не идет, а ты все еще где-то там, в отставании и даже пытаешься это протянуть сюда, в 2010-ый год.

антивирусы не могли лечить уже заражённые троянами машины.

Даааа... Могли лечить вирусное заражение, но не могли удалить тело? Я чего-то не знаю?

Все тем, кто ещё помнит такие названия как Spybot Search&Destroy, Ad-Aware, SpySweeper, думаю, ничего объяснять не надо.

Анти-Троян Элит, Троян Ремувер, ага. Батники с ГУЕм. Ты их в пример приводишь?

Вот только из-за кардинального изменения номер один уровень предотвращений заражения упал ниже всякой критики.

Он не 100%-ый в обычных условиях работы, да. И средств таких не существует вообще.

Зловредописатели обходят всё.

Верно. Они всё могут обойти. Всё.

При этом возникает парадокс– новые технологии предотвращения заражения, созданные благодаря «кардинальному изменения номер два» и показывающие абсолютные результаты в тестах на предотвращение заражения (так называемые «динамические тесты»), не могут пробить себе места под солнцем, ибо пришли на рынок довольно-таки поздно

Да не. Просто они бесполезны для подавляющего большинства пользователей. Это же очевидно. Впрочем, когда глаза разработчика ослепляет нимб, который он на себя одел, можно это очевидное и не увидеть.

«Нужна защита. Посоветуй хороший антивирус». Знакомо?

Не ходи по варезным сайтам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nekit2793
Не ходи по варезным сайтам.

Не ходите всю жизнь по офису ЛК. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Как-то слабо. Слабо именно с точки зрения попытки анализа, обзора и примеров.

Вода и общие фразы ни о чем.

Увы. Тема-то благодатная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Как-то слабо. Слабо именно с точки зрения попытки анализа, обзора и примеров.

Вода и общие фразы ни о чем.

Да не вопрос. У меня получается так, как получается.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Umnik

Имхо, писать сложнее, чем обсуждать.

Зачем столько сарказма?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
svh

Собственно, а цель статьи? Проблема брони и снаряда не первый день существует, в последние (товарищи поправят) 4-5 лет революций не было в АВ, и не будет, судя по всему. Технологии давно отошли на второй план - не разработчики кормят АВ-компании, а маркетологи. (это несвязанные тезисы, просто по времени совпало). Итог - ждем глобального сдвига со стороны "брони" - технологического или, более вероятно, организационного - фильтры на трубе, которые оплачивает гос-во. А разоблачать АВ-индустрию, ну это как бы ни к чему - альтернативы-то нет). Прорыв возможен как тотальная смена подхода - иначе упремся в кризис ресурсов - заработка крупных вендоров просто не хватит на оплату дятлов и автодятлов. Нужен интенсив, смена формации, если по Марксу. Но ровно то же самое почти во всем ИТ - поисковики, например. Количество информационного мусора зашкаливает, и не говорите про язык запросов - я, как юзер, не должен забивать себе голову. Выдача должна быть релевантной, но она давно уже не такова. И не помогают ни облака поиска, ни иные фишки, как только количество проиндексированного переваливает за сколь нибудь значимую цифирь. Так что ИТ уже давно не локомотив прогресса, пора признать) это такая же черенковая лопата, как все остальные "старые" индустрии. Вот и весь ответ)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

А мне статья понравилась, позволяет чуть оформить мысли которые разрозненно возникали в голове во время лечения компов клиентов. Ждем продолжения в стиле таких мыслей

1 - Если антивирусы каждый год совершенствуются и пресс-релизы каждый год обещают златые горы, всё выше и выше, то почему так много заражений до сих пор.

2 - Кто виноват?

3 - Что делать?

;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А мне статья понравилась, позволяет чуть оформить мысли которые разрозненно возникали в голове во время лечения компов клиентов. Ждем продолжения в стиле таких мыслей

1 - Если антивирусы каждый год совершенствуются и пресс-релизы каждый год обещают златые горы, всё выше и выше, то почему так много заражений до сих пор.

2 - Кто виноват?

3 - Что делать?

;)

Это было баяном еще два года назад:

http://secureblog.info/articles/2.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Это было баяном еще два года назад:

Это взглад со стороны отдельных представителей индустрии. Достаточно однобокий, я бы сказал. Почему так- читайте в следующих постах. Не стоит делать далеко идущие выводв по 1/5 полной статьи.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Странно, но страница со статьёй у меня ни в одном браузере не открывается.

И без антивируса и без файера, с фильтром рекламы и без фильтра - не открывается. :)

87e0fc1dae44t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Как-то слабо. Слабо именно с точки зрения попытки анализа, обзора и примеров.

Вода и общие фразы ни о чем.

Это первая статья из цикла. Как я понимаю, у Ильи заготовлено продолжение, где будет больше конкретики в том числе.

1 - Если антивирусы каждый год совершенствуются и пресс-релизы каждый год обещают златые горы, всё выше и выше, то почему так много заражений до сих пор.

Я думаю тут не все сводится к защите и ее проблемах. Каждый год тратятся огромные деньги на то, чтобы пропагандировать здоровый образ жизни, все вроде как знают, что пить и курить вредно, но все равно это упорно делают. Даже если будут большие пошлины и акцизы (считай защита), народ все равно будет себя разрушать и далее, например, как в Финляндии (все знают, что вытворяют фины, когда у них появляется доступ к дешевой водке). Точно также и в сфере ИБ. Защита может отработать на 100%, но юзер хочет порно или вареза, или чего-то еще, все равно кликнет/скачает/запустит. Проблема ли это защитных программ?

P.S. Андрей-001, все открывается сейчас, даже не знаю, в чем могла быть проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
P.S. Андрей-001, все открывается сейчас, даже не знаю, в чем могла быть проблема.

Вчера сразу после поста - я полез - открылось через минут 10. сейчас через 3 сек.

Скорее всего проблема была локальная по времени

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
открылось через минут 10. сейчас через 3 сек.

Сейчас точно открывается, мгновенно даже, но после баннера. :) Видимо загвоздка была в html-коде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

По сабжекту.

Есть аксиома - нет 100 % защиты от 0-day угроз.

Есть понимание пользователей что антивирус должен защищать. Именно 100 %.

Есть результы тестов 0-day с результатами у лидеров уровня 70 %.

За что заплатит клиент?

Правильно, за антивирус который не участвует в тесте на 0-day но везде пишет что он даёт 100 % защиту.

В качестве оффтопа долго смотрел на коробки с соком, с сока название "100% Голд", сока там не 100%, конечно...но он же так называется. так что по всей коробке 100%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Есть аксиома - нет 100 % защиты от 0-day угроз.

Насколько я понимаю, продукт Ильи как раз может показать близкую в 100% защиту от угроз нулевого дня. Так что получается, аксиома может потерять актуальность ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Есть аксиома - нет 100 % защиты от 0-day угроз.

Советую дождаться пятой части. Там будет кое-что интересное и по этому поводу. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Советую дождаться пятой части. Там будет кое-что интересное и по этому поводу. :)

Надеюсь что нас не ждет четырехсерийный подвод к тому, что в пятой статье "выяснится", что 100% защита от зеро-дея есть и называется она DefenseWall ?

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Надеюсь что нас не ждет четырехсерийный подвод к тому, что в пятой статье "выяснится", что 100% защита от зеро-дея есть и называется она DefenseWall ?

Ну, прочтёшь- узнаешь. Спойлеров не будет. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

"Вирусы распространялись медленно, на дискетках, от пользователя к пользователю, а сигнатуры для поимки и лечения– значительно быстрее, через сети (BBS, NNTP,…). И так продолжалось достаточно долго, до, примерно, начала 2000-х (то есть, пятнадцать лет минимум), когда произошло три кардинальных изменения

Кардинальное изменение номер один: к нам пришёл Интернет.

Кардинальное изменения номер два: вместо операционных систем на основе MS DOS (а это, также, вся линейка Win1.xx–Win3.xx, Win95/96/98/ME) на десктопы пришло ядро Windows NT в реализации Windows 2000/XP."

я–бы хотел внести некоторые дополнения, так сказать взгляд со стороны.

в своей статье Илья наверно все–таки имел ввиду Россию.

В Европе ( и в Америке) Интернет стал массовым в 95–96 годах.

Уже в это время "вирусы" спокойно разгуливали по инету, а новые обновления, по крайней мере McAfee,

успешно можно было скачать с Официального сайта.

Далее, Windows NT "пошел в корпоративные массы" в 97 году, когда на смену Windows NT 3.51 пришла четвертая версия.

И еще , 95 Windows прочно завоевал место на "домашнем рынке" в 96–97 годах, и домохозяйки забыли про MS DOS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
я–бы хотел внести некоторые дополнения, так сказать взгляд со стороны.

в своей статье Илья наверно все–таки имел ввиду Россию.

Да, я больше знаю про локальную ситуацию в то время.

В Европе ( и в Америке) Интернет стал массовым в 95–96 годах.

Уже в это время "вирусы" спокойно разгуливали по инету, а новые обновления, по крайней мере McAfee,

успешно можно было скачать с Официального сайта.

Далее, Windows NT "пошел в корпоративные массы" в 97 году, когда на смену Windows NT 3.51 пришла четвертая версия.

И еще , 95 Windows прочно завоевал место на "домашнем рынке" в 96–97 годах, и домохозяйки забыли про MS DOS

Сомневаюсь, если честно, что в 95-96 годах Интернет стал действительно массовым. Неужели более 50% домохозяйств имело широкополосный доступ? Если имелся в виду диалап, то это не Интернет, это так. Сам на нём сидел, есть с чем сравнить. А вот что он стал действительно массовым уже ближе к буму доткомов- верю. Тогда очень серьёзно вложились в инфраструктуру широкополосного подключения к Сети. Но это уже ближе, всё-таки, в нулевым годам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
В Европе ( и в Америке) Интернет стал массовым в 95–96 годах.

Уже в это время "вирусы" спокойно разгуливали по инету

Ничего в это время по инету не разгуливало. До появления Мелиссы, примерно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Ничего в это время по инету не разгуливало.

Не считая закрытой информации, из обнародованного до 1998 года - http://antihacking.narod.ru/protection/history.htm.

Разгуливало и немало.

В Европе ( и в Америке) Интернет стал массовым в 95–96 годах.

Илья прав, массовости Интернет набрал к этим годам, помогло появление Win95, 15 лет которой недавно праздновалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Не считая закрытой информации, из обнародованного до 1998 года - http://antihacking.narod.ru/protection/history.htm.

у вас какие-то ссылки неправильные:

сравните - http://www.securelist.com/ru/threats/detect?chapter=129

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×