Перейти к содержанию
AM_Bot

Аналитика: Существование бизнеса на вредоносных программах, как доказательство недееспособности индустрии безопасности

Recommended Posts

AM_Bot

virus-analitic.jpg

Мифы живут своей, особенной жизнью. Некоторые из них умирают, так и не успев толком родиться. Некоторые из них влачат жалкое существование где-то на окраинах человеческого сознания. Но некоторые овладевают умами масс настолько, что перевешивают всяческие разумные доводы против мифа.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Думаю, пора выпускать статью "Песочница и ложное чувство безопасности, или Дело Виндовских Врачей".

А "мистеру Иксу" пояснить, что безопасность - это процесс контроля, пусть и со спец. инструментами.

Но не устами мистера Игрека, который имеет всего лишь набор предустановок и играется в "песочке".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Илья, отличная статья получилась. Коротко и ясно. Молодец! Со многими мыслями можно согласиться сходу. Я бы поспорил лишь с тем, что антивирусные компании не развивают принципиально новые технологии. На "наезды" в твой адрес внимание не обращай. Аргументы, которые приводят твои оппоненты выглядят неубедительными, по крайней мере для меня.

Виталий Я, у Вас есть что по существу сказать? Если так пойдет, то топик придется перенести в раздел "Свободное общение". Очень не хотелось бы этого делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Mr. Justice

Я искренне считаю (после каждого анализа материалов из-под пера Ильи), что именно туда и должен съехать топик. Особенно после очередных "желтых" заявлений в этом блогпосте.

Тестом, сравнением или аналитикой его заметка не является.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot

В целом мне понравилось. Единственное я не понял логической цепочки "платишь за антивирус - косвенно спонсируешь вирусописателей". Ну песочницу я бы все-таки уже на гипервизор заменил ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Ведь ни пожарных, ни представителей иных профессий в подобном «вредительстве» не отмечают.

Врачи же, ну :)

Антивирусная индустрия в своём нынешнем состоянии не желает бороться с бизнесом на зловредном программном обеспечении в том объёме, который необходим.

В отличие от...?

«значит, этот вирус написали конкуренты из другой антивирусной лаборатории для того, чтобы продать мне собственный продукт, который, разумеется, этот вирус уже ловит. Это логично». Да, мистер Х, это звучит очень логично.

Надо будет поспрашивать всех своих знакомых. Хоть кому-нибудь когда-нибудь приходила такая мысль.

ADD: двое уже сказали, что приходили такие мысли. :)

Насколько вообще надёжны современные антивирусы?

На сколько вообще надежно защитное ПО, ага.

Финал скомкал, Илья. Опять фигня получилась, как в прошлый раз.

Илья, ты не против, если я запишу ролик, в котором покажу юзер стори этого самого мистера Х с твоей песочницей? Он просто захочет посмотреть видео и послушать музыку. Или мы сразу выслушаем твою версию, что я делал все неправильно и должен был делать иначе? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Мысль давно витала в воздухе и хорошо, что Илья ее озвучил, за что ему большой респект.

От себя бы добавил, что реальной борьбы между киберпреступниками и индустрией ИБ (антивирусными вендорами в данном случае) просто нет. Все зарабатывают деньги. Одни заходят спереди, другие - сзади. :) Они борются только за деньги юзеров, но не между собой. В этом смысле, безусловно, существование вирусописателей выгодно, с ними бороться не нужно. Да и не за чем это делать, так как нет почвы для противостояния реальной.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat

Конечно преимущесто HIPS с "закрученными гайками" перед классичеким антивирусом в плане предотврашения заражения налицо, но многие ли смогут пользоватся таким HIPS, наверняка поэтому большинство антивирусных вендоров предлагают Internet Security где есть всё(антивирус,хипс,фаервол) и возможность использования неподготовленным пользователем, но нет столь высокой степени защиты, как в варианте HIPS с "закрученными гайками"

P.S. Для себя уже давно отказался от сигнатурного детека везде где смог себе это позволить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Ведь писал же сам Илья, что маркетолог из него никудышный. Но нет - все равно продолжает показывать это остальным ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Да тут дело не в HIPS и его преимуществах перед классическими антивирусами. Стоит абстрагироваться от конкретных продуктов. Системная проблема.

Приведу наглядный пример. Полиция борется с преступностью? Да, борется, если не брать в расчет коррупционную составляющую. Производитель дверных замков борется? Напрямую нет, не борется, а зарабатывает на наличии рисков. Если полиция будет работать хорошо, рисков не будет и замки покупать не будут.

С продуктами по безопасности и антивирусами в частности ровно тоже самое. Но на деле вендоры говорят на каждом углу, что они с кем-то борются. Используя аналогию выше это выглядит так, как если бы производители замков везде говорили, что борются в домушниками. Т.е. имеет место манипуляция общественным мнением, как следствие этого ложное чувство защищенности юзеров: я купил замок, он меня защитит уж точно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Если полиция будет работать хорошо, рисков не будет и замки покупать не будут.

Улыбнуло.

Разруха, она в головах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Врачи же, ну

Про врачей было. Не прошло редакторской правки. :)

ADD: двое уже сказали, что приходили такие мысли.

Эта мысль была озвучена мне одним из прихожан на второй шаббатней трапезе в хоральной синагоге в Питере.

Т.е. имеет место манипуляция общественным мнением, как следствие этого ложное чувство защищенности юзеров: я купил замок, он меня защитит уж точно!

При этом замок может быть очень надёжным, только сам дверь вкрывается консервным ножом. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat

Один мой знакомый почитав про stuxnet drive by и пр. Спросил меня, как я думаю это действительно возможно :blink: зайдя на сат или просто подключив компьютер к интернету получить заражение и поможет ли тут антивирус. Я тоже читал всяко- разно, но по собственному опыту было 2 проникновения вредоносов на компьютер со свеже обновлённой тогда ещё XP слава богу, что они не запустились. На тот момент антивирусы молчали кроме нескльких сильно фолсящих, возможно позже эта дрянь и попала в базы, но тогда я просто удалил её.

Да тут дело не в HIPS и его преимуществах перед классическими антивирусами. Стоит абстрагироваться от конкретных продуктов. Системная проблема.

Приведу наглядный пример. Полиция борется с преступностью? Да, борется, если не брать в расчет коррупционную составляющую. Производитель дверных замков борется? Напрямую нет, не борется, а зарабатывает на наличии рисков. Если полиция будет работать хорошо, рисков не будет и замки покупать не будут.

С продуктами по безопасности и антивирусами в частности ровно тоже самое. Но на деле вендоры говорят на каждом углу, что они с кем-то борются. Используя аналогию выше это выглядит так, как если бы производители замков везде говорили, что борются в домушниками. Т.е. имеет место манипуляция общественным мнением, как следствие этого ложное чувство защищенности юзеров: я купил замок, он меня защитит уж точно!

В этом я с Вами полностью согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

что по поводу статьи:

Антивирусным средствам уже исполнилось 25 лет, они морально устарели. Но зачем антивирусным компаниям что-то кардинально менять, если старые методы и средства разлетаются с полок магазинов как горячие пирожки?

Любой нормальный антивирус двигается вперед, вводит в действие новые технологии, что-то патентует, расширяется на другие платформы... Для чего? Финальная цель - получить больше прибыли как сейчас, так и не терять эту прибыль (а еще лучше преумножать) в дальнейшем. Это финальная цель, для ее достижения желательно достигать разные промежуточные цели: расширение бизнеса, работа маркетологов, совершенствование антивируса и получение золотых медалей в различных тестах, умение предотвращать вторжение вирусов на компьютер и умение его пролечивать - все это ведет к популяризации продукта и как следствие - конечная цель, о которой писал выше.

Иными словами: антивирусные компании очень даже заинтересованы чтобы их продукт ловил и лечил заразу несравненно лучше чем остальные...

Вопрос в том, почему интернет-секьюрити продукты не несут на борту постоянно действующей песочницы типа как DW? Неужели правда потому что они не хотят ничего кардинально менять, т.к и так неплохо покупают, а делать антивирус лучше (чтобы больше вредоносов блокировал, как я уже написал выше) они не хотят? Думаю, что нет. Не делают такого решения они не потому что это нечто кардинальное/сложное/сразу_изживет_все_вирусы, а потому что просто не хотят в силу причин, что:

От пользователя сразу же потребуется высшее знание что есть вредонос, а что нет - что есть супер-хороший инсталлятор, которому нужно все разрешить, а что является хрен знает чем на палочке. От такого антивируса пользователя побегут подальше. ИБ для большинства людей не является хобби, комп для них как инструмент для выполнение конкретных задач (как холодильник - он нужен морозить все, что в нем): смотреть кино, фотки, контакт, рабочие программы - все остальное по боку, и если что-то из "все остальное" будет мешать делать основное - оно пойдет лесом.

Допилить к антивирусу песочницу как DW это как два пальца об асфальт (добавить хуков и подработать логику), а в связке с облачными технологиями, сигнатурными, эвристическими - это будет просто непрошибаемая стена, через которую только хелло_ворлд с выводом на экран матюгов сможет пройти.

Почему это не сделали? Смотреть выше.

Хотя, практически каждый нормальный ИБ-продукт на сегодняшний день позволяет настроить его так, что получается та самая реально непрошибаемая стена.

По сути что есть песочница? Все повязано хуками (ну, побольше чем у антивируса) и все потенциально опасное просто ЗАПРЕЩАЕТСЯ, ну или драйвер-фильтр... а если запустить доверенным, то все РАЗРЕШАЕТСЯ + пара галочек в настройки. ВСЕ!

Что в этом сложногениального - мне непонятно. Если бы это решение позволило бы обойти всех в тестах и не потерять при этом клиентуру - это бы у всех уже давно было.

Касательно хотят/не хотят бороться с зловредным бизнесом в сети - можно сказать, что не хотят. Ловить преступников это не есть прямая их обязанность, потому больше внимания самим зловредам, а не поимке преступников/блокировке_доменов. Если бы им платили за каждую "голову" хакера и заблокированный домен, то всех бы хакеров в цивилизованных странах давно бы переловили.

Делается все достаточно просто - захотели и без всякого суда домен Зайцева залочили...

оффтоп:

давно хотел спросить.

Эта мысль была озвучена мне одним из прихожан на второй шаббатней трапезе в хоральной синагоге в Питере

почему на вирусинфо такой ник? разве вы раввин? или не буквальное значение в данном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
разве вы раввин? или не буквальное значение в данном случае?

1. нет. 2. это означает несколько иное. Из Вики: "This word "master" רב rav [ˈʁäv] literally means "great one" or one who is "abundant/much/many"."

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
С продуктами по безопасности и антивирусами в частности ровно тоже самое. Но на деле вендоры говорят на каждом углу, что они с кем-то борются. Используя аналогию выше это выглядит так, как если бы производители замков везде говорили, что борются в домушниками. Т.е. имеет место манипуляция общественным мнением, как следствие этого ложное чувство защищенности юзеров: я купил замок, он меня защитит уж точно!

Извини конечно, но со стороны болтать языком оно конечно проще. Но вот какое дело ... Вот это одна (из пяти) задач, поставленных перед группой GReAT в ЛК, а значит и перед мной лично:

Fighting cybercrime: Engange in joint operations with IMPACT, CERTS, banks and law enforcement that lead to identification of malware authors and/or botnet takedowns as well as investigating special malware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

To A.

А результаты у вас уже есть? Т. е. их можно посмотреть в открытом доступе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
To A.

А результаты у вас уже есть? Т. е. их можно посмотреть в открытом доступе?

результаты есть, посмотреть нельзя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
результаты есть, посмотреть нельзя.

Серьезный ответ, однозначно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Извини конечно, но со стороны болтать языком оно конечно проще. Но вот какое дело ... Вот это одна (из пяти) задач, поставленных перед группой GReAT в ЛК, а значит и перед мной лично:

Fighting cybercrime: Engange in joint operations with IMPACT, CERTS, banks and law enforcement that lead to identification of malware authors and/or botnet takedowns as well as investigating special malware.

Очень похвально, что такая задача официально ставится в ЛК. Но согласись, не у всех так точно. И потом насколько эта задача первостепеная у вас? Можно ли реально ожидать значительного результата в этом направлении?

Так или иначе получается все равно несколько странно. Продолжая аналогию, получается, что частные производители замков берут на себя функции полиции. Как ты считаешь, это нормально?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Продолжая аналогию, получается, что частные производители замков берут на себя функции полиции.

То тебе не нравится, что не берут, то не нравится, что берут. Определись :)

а по делу - не берут на себя функции полиции, а берут функции помощи полиции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В тему помощи полиции и борьбы с киберпреступностью, Microsoft создал подразделение Microsoft Digital Crime Unit, которые как раз этим и занимаются

http://www.microsoft.com/presspass/presskits/dcu/

Насколько я понимаю, громкое уничтожение нескольких ботнетов - это дело рук этого подразделения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
по делу - не берут на себя функции полиции, а берут функции помощи полиции.

из опыта - подготовка исходных данных и первичных материалов. У нас копаться в логах милиция не любит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
Но, однажды, включив компьютер, мистер X пришёл в полное недоумение, граничащее с шоком. Все важные документы и фотографии оказались зашифрованными, а на рабочем столе появилась маленькая записочка (грамматика и пунктуация сохранены) «Все твои доки пошифрованы. Расшифравать их не палучится. Если хочешь получить всё назад прешли 1000 WMR на кошелёк Rxxxxxxxxxxxxxx и я прешлю тебе дешефровщик». Антивирус горит зелёным огоньком и сообщает, что ничего вредоносного на компьютере не найдено. «Как же так! Этого не должно было случиться! Мои документы! Фотографии! Почему антивирус промолчал?!

Кстати, весьма хороший пример. Пример того, как могут и развиваются вредоносные программы. Нет ничего вроде вредоносного внутри файла, а действия легко превращаются в преступные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smirnoff
если я запишу ролик, в котором покажу юзер стори этого самого мистера Х с твоей песочницей? Он просто захочет посмотреть видео и послушать музыку.
Я дико извиняюсь - новичок, типа, да прямиком в калашный ряд... ;)

Но вот сценарий того ролика:

mr. X лезет куда-то (порнуху там посмотреть, вконтакте или одноклассников - в данном случае монопенисуально ;) ), ему там грят: "хочешь ещё лучше/больше зашибись?"

Ну, он же не ламер какой, он грит "ДА!!!"

Тут ему антивирус бы сказал "фигвам" (изба такая индейская, да :) ), но песочница ему говорит: "ты точно хочешь 'ещё лучше зашибись'? А то же ведь чревато..."

Тут Mr. X радостно снова жамкает "ДА!!! Я точно хочу ещё лучше зашибись!"

Ну и занавес, собсно... B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×