Перейти к содержанию
MORDRED

Почему так происходит, или зажрался вендор?

Recommended Posts

RuJN
А потому что это не задача вирлаба, а саппорта.

В компании и вирлаб и саппорт должны работать вместе и слаженно, обеспечивая клиетнам максимальный уровень защиты и максимально качественную поддержку. А еще лучше их объединить, ведь большое кол-во запросов в саппорт связано с работой вирлаба. А саппортам, которые в другом офисе, стране, городе просто иметь риэл-тайм общение с вирлабом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Замечу, что не так то и просто парсить человеческую речь ...

...

Чисто теоретически такое можно конечно сделать - "Кибер" например общается с вирлабом ЛК посредством обычной почты и без проблем "понимает" ответы - посредством несложного самообучаемого генетического алгоритма (т.е. либо понимает, что написано - либо анализатор тычут носом, что смысл ответа был X и начинается дообучение, состоящее по сути в выцеплении из письма комбинации значащих слов, позволяющих опознать суть ответа). Но там то ответы шаблонны, всего вариантов 7 смысловой нагрузки, и на них сейчас хватает коллекции из 90 слов и фрагментов фраз... Попытка же разумно понять суть вопроса увеличит базу на много порядков, обучение станет нетривиальным

Не имеет смысла создавать для ответов ИИ. Нужен механизм, для распознавания человеческой речи, который будет выбирать адекватный ответ из готовых(или заполнять шаблон).

Добавим к тому опечатки, неоднозначность смысла слов ...

Опечатки достаточно легко решаются с помощью разделения слов на N-граммы.

Неоднозначность, с помощью оценки слова во фразе(вообще тяжело понять, что такое "неоднозначность", ведь когда начинаешь разбирать человеческую речь, то для тебя все слова, по сути многозначны)

Яркий пример - указанная ссылка. Я зашел туда и спросил "чем кормить мейн-куна, чтобы он не сожрал хозяина" - в ответ получил фото щенка :) А на вопрос "крутой корм для кошки" получил рекламу Sony VAIO ... что является как раз наглядным примером указанного выше алгоритма в действии.

Так там же специализируются на продаже ноутбуков. Естественно, анализатор заточен строго под это -)) ( из запроса "крутой корм для кошки" он понял лишь крутой, т.к. только это слово подсветил зеленым)

Все ответы ориентируются лишь под эту область. Так что если писать робота, который будет отвечать на письма в АВ, его нужно будет заточить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash
Завязывай с истерикой халявщик. Все обращения пользователей должны проходить через саппорт. Черным по белому написано:

2.6 После активации ПО или выполнения процедуры установки файла ключа (за исключением ПО, предназначенного для ознакомительных целей) Вам предоставляется возможность в течение срока, указанного на упаковке (в случае приобретения ПО на материальном носителе) или указанного Вами при оформлении покупки (в случае приобретения ПО через интернет), получать от Правообладателя или его Партнеров:

- новые версии ПО по мере их выхода (через интернет);

- техническую поддержку (по телефону и/или через интернет).

4. Техническая поддержка

4.1 Техническая поддержка, указанная в п. 2.6 настоящего Лицензионного соглашения, предоставляется при условии установки Пользователем последнего обновления ПО (за исключением ПО, предназначенного для ознакомительных целей).

Служба технической поддержки: http://support.kaspersky.com

Прекратите меня обзывать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Где попкорн продают поблизости?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
результат от вендора важен. Наверняка нашим вендорам лень отвечать.

Просто не связывайтесь с юродивыми, и тогда не будет жаль потраченного впустую времени.

Могу предложить отправлять попадающиеся Вам подозрительные файлы в Microsoft Malware Protection Centre (MMPC) - https://www.microsoft.com/security/portal/S...ion/Submit.aspx

Как уже когда-то здесь писал:

Сэмплы, присылаемые любыми отправителями обрабатываются в среднем в течении нескольких часов.

Любой отправитель всегда получает исчерпывающую информацию о ходе процесса (по каждому сэмплу отправитель получает три письма):

1. О получении.

2. О том, что сэмпл пошел в обработку, либо о том, что это сэмпл, не представляющий угрозы.

3. Финальное уведомление о вердикте, версии баз, в которые будет включено детектирование, и закрытии кейса.

Если Вы будете это делать регулярно (либо просто после нескольких десятков отправленных сэмплов), то вскоре с Вами свяжется один из менеджеров MMPC и предложит ответить на несколько вопросов. После чего Вам предоставят специальный адрес для отправки сэмплов, благодаря чему они будут обрабатываться с более высоким приоритетом.

Поэтому, обращайтесь. В Microsoft Malware Protection Centre Вам всегда будут рады и благодарны.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Прекратите меня обзывать!

Согласен, вы все таки престижный эксперт.

Про майкрософт полностью согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Попробую МС, интересно, как все это выглядит в виде писем. Сразу возникает риторический вопрос, если МС может, то почему другие находят тысячу причин и оправданий этого не делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
По первому пункту.....А почему вы считаете что пользователю не нужен ответ с анализом?

-Я например могу узнать, что у меня какая-то мега-редкая заплатка не стоит.....а троян мне и вообще обновление отключит.

-троян отсылает пароли...и я спохватившись начну их менять.

-убьет антивирус и будет свои балуны показывать в безопасном режиме...ага?

Для начала я считаю, что пользователь не может поймать иприслать вирус. Посему для конструктива я предлагаю произвести "мухо-котлетную сеперацию", а именно - разделить проблему ответа и юзера. Имхо:

1. Пользователь не может прислать вирус. Причина - он пользователь, т.е. априори не обладает должными техническими знаниями для этого. И я не верю, что бухгалтерша оторвется от своего Excel, SAP и 1С, скачает с торрентов IDA и отреверсирует новую малварь, предварительно ее поймав. Последствие - не пользователь должен присылать малварь на анализ, а саппорт антивирусной конторы должен ее вылавливать у пользоватетля. Т.е. в случае ЛК (хотя в принципе не важно - идея то общая) получится так:

1.1 юзер обращается в саппорт и сообщает о том, что несмотря на антивирус у него на ПК возникла некая проблема (подозрения на что-то аномальное, трафик левый появился, флешки не открываются, задница голая на экране - что угодно).

1.2 саппорт выслушивает пользователя, и в случае надобности выдает ему предписания, суть которых - простыми средствами провести удаленную диагностику ПК и получить логи. В случае ЛК это будет AVZ, GSI, AVPTool, и антируткитное средство TDSSKiller и т.п. Все эти средства объединяет один момент - работают они автоматически и порождают логи/карантины, изучая которые саппорт сможет что-то понять. Т.е. в такой ситуации для пользователя все просто - ему дают инструмент с указанием "запусти и пришли то, что он сгенерит" или "запусти, и это тебе поможет"

1.3 в случае надобности саппорт выполняет карантин (опыть-же указанными инструментами, на автмомате, удаленно, с минимальным участием пользователя) и в тесном сотрудничестве с вирлабом вырабатывает методику помощи. Если клиент корпоративный, то для него может быть выработана методика автоматической зачистки или обследования всех ПК сети

1.4 методика лечения/исправления отправляется юзеру и процесс ведется под контролем саппорта. Естественно, что если есть явные рекомендации по тому, что следует сделать - их дадут, плюс есть база знаний с инструкциями на типовые случаи, куда саппорт может отрулить пользователя

Все это удовольствие доступно владельцам лицензионного продукта, т.е. без внимания и помощи они не останутся - ответят и помогут. Для бесплатного лечения есть 911 - где идея совершенно идентичная с поправкой на автоматизацию рутины и формализацию процесса для того, чтобы освободить хелперов от типовой рутины. Причем опыт эксплуатации 911 показывает, что даже максимально формализованные и упрощенные процедуры анализа нередко вызывают сложности у пользователя. Я проводил исследование, что нужно пользователям 911 - идея главная - "полечиться, попроще и побыстрее" - вот и все.

2. Положим, что речь идет не о пользователе, а об админе сети или ИТ-шниках. У них опыт есть, малварь они руками могут поймать (не всегда и не всякую, но могут). Но далее процедура аналогична - личный кабинет, оперативный саппорт и либо апдейт баз с детектом, либо некие инструкции и утилиты для лечения/долечивания

3. Сильно продвинутый пользователь, программист ... - короче говоря "гик" в положительном смысле этого слова. При этом он не пользуется продуктом X, лицензии у него нет, личного кабинета и прочего тоже, но он может поймать то, что считает малварью и прислать. Польза от этого некоторая есть, и такой пользователь может понять некие технические данные о малваре и быть может они ему полезны. Но может оказаться и обратное - это автор очередного "теста на скорость" или "проверки на вшивость", вирмейкер с полсотней наколенно писанных малварей и т.п. Плюс такой пользоватль может прислать не один семпл за раз, а архив с 20 штуками, где будет все, что угодно - от чистых и до малварей. И таких пользователей быть может мало стандартного ответа "ваш файл принят на анализ". Как быть в такой ситуации - я не знаю, так как с одной стороны есть пределенные риски, с другой - сложно гарантировать SLA, с третьей - выдавая технические данные можно стать консультантом вирмейкеров. Имхо наиболее оптимальное в такой ситуации - это отдельный способ общения таких пользователей с вирлабом, предполагающий их авторизацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
В компании и вирлаб и саппорт должны работать вместе и слаженно, обеспечивая клиетнам максимальный уровень защиты и максимально качественную поддержку.

Разработчикам приходится приносить жертву, чтоб их детище работало как можно лучше... Понятное дело, что Девственниц никто больше не режет, а вирлаб - это двигатель компании, поэтому частенько подрезают саппорт, которому просто не остается времени и возможности отвечать всем и каждому - начинается нехилая фильтрация...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
это отдельный способ общения

Можно что угодно предполагать, но пока есть на сайте http://support.kaspersky.ru/contacts

Если вы обнаружили неизвестный вирус: newvirus@kaspersky.com
надо нормально отвечать на письма...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

@выдавая технические данные можно стать консультантом вирмейкеров. @

Ну я даже не знаю. По моему, попахивает какой то паранойей. Ну хотя бы потому, что VX-профи и так знают, как вы потрошите зверей(и руками и автоматом как), средние - ну да, мож и толком не знают, но догадаться вполне могут. Ну а совсем зеленые вирмейкеры - ну узанют они или нет, какая разницца?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Ужму много букв:

Каждая АВ компания строит свои правила обработки семплов. Сковырнуть их со своей политики рядовому пользователю практически не реально ибо:

1. Лень.

2. Нет времени.

3. Нет лишних средств.

на разработку системы автоматической или полуавтоматической системы ответа юзеру.

о может оказаться и обратное - это автор очередного "теста на скорость" или "проверки на вшивость",

Да. Этот вопрос уже эмоционально обсуждали.

Вывод:

Собственно не нравиться, что вам не отвечают - шлите другому вендору или изучайте основы анализа вредоносного кода.

выдавая технические данные можно стать консультантом вирмейкеров

Ну информации которой они смогут получить будет все равно мало для анализа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

К майкрософту притензия (и к искену тоже самое): программа в 20 МБ не отправляется, лимит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
К майкрософту притензия (и к искену тоже самое): программа в 20 МБ не отправляется, лимит...

Отправьте файлы по почте в Microsoft:

E-mail:avsubmit@submit.microsoft.com (отправлять в запароленном архиве, пароль infected)

E-mail:windefend@submit.microsoft.com (отправлять в запароленном архиве, пароль infected)

если отправляеть через веб форму, то возможно имеются ограничения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Имхо:

1. Пользователь не может прислать вирус. Причина - он пользователь, т.е. априори не обладает должными техническими знаниями для этого.

А на кого тогда рассчитана форма отправки http://support.kaspersky.ru/virlab/helpdesk.html, подразумевающая L:0 -- т.е. взаимодействие пользователя напрямую с вируслабом, без участия саппорта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

Ради интереса отправил в оutpost чистый фаил в 20 числах, какая то тетка прислала письмо, что файл отправлен на анализ, и все дальше писем итд ничего нет. Что-то оutpost затянулся с анализом файла. (интересно, а у оutpost есть свой вирлаб...) или также отсылают каким нибудь вендорам, а потом по результатам заносят в свои базы лол.

Также пришло письмо от Дрвеба, типа ваш тикет автоматически закрыт, так как вирус прислали вперед вас, о как! Дрвеб еще бы через год прислал ответ, я бы еще удивился если бы они написали, что они сами его обнаружили и занесли в базу. Тепрь начну делать скрины, чтобы вендоры отмазы не лепили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Ради интереса отправил в оutpost чистый фаил в 20 числах, какая то тетка прислала письмо, что файл отправлен на анализ, и все дальше писем итд ничего нет. Что-то оutpost затянулся с анализом файла. (интересно, а у оutpost есть свой вирлаб...) или также отсылают каким нибудь вендорам, а потом по результатам заносят в свои базы лол.

У них есть свой вирлаб

MORDRED

Спасибо за и-мейлы.

Мне понравилось отправлять вири в АркаБит, там о получении пишет человек, об анализе тоже человек, и никаких проблем :0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Мне понравилось отправлять вири в АркаБит, там о получении пишет человек, об анализе тоже человек, и никаких проблем :0

зато проблемы у Аркабита

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Также пришло письмо от Дрвеба, типа ваш тикет автоматически закрыт, так как вирус прислали вперед вас, о как!

В переводе на общеупотребимый русский это означает буквально следующее: "Данный сэмпл был уже обработан раньше (или только что), при обработке другого тикета, а теперь мы вам радостно сообщаем, что сэмпл уже в базе, но добавили мы его не при обработке вашего тикета. Мы просто вот добавили, а потом решили пробежаться по контрольным суммам сэмплов из других тикетов. И сообщили их авторам, что добавлено было из другого тикета. Но не переживайте так по этому поводу. Сыграйте ещё - в следующий раз вам обязательно повезёт. И когда много раз именно ваши тикеты вам зачтятся на небесах, то с небес упадёт фирменная кепка, количество которых ограничено!" :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
зато проблемы у Аркабита

какие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
какие?

Не стало их (продаж, разрабов, etc.) почти, вот какие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Не стало их (продаж, разрабов, etc.) почти, вот какие.

То есть они потеряли рыночную долю? Не очень понял, вроде все есть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NOSS
То есть они потеряли рыночную долю? Не очень понял, вроде все есть...

Если эксперты утверждают, то "пациент скорее мертв, чем жив" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Если эксперты утверждают, то "пациент скорее мертв, чем жив" :)

Только эти эксперты вендорозависимые

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

лихо обобщаете...и от какого вендора завишу я?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×