Воры антивирусного детекта. Кто они?

[Виталий Я. 859]

Результат работы технологии (знания об опасных объектах), как я себе это понимаю, является результатом и неотъемлемой частью работы авторской технологии/метода, т.к. без нее этих данных бы не было. Вы же в своей логике делаете результаты работы авторской и защищенной в том числе патентами технологии общедоступными.

Не надо путать бизнес отраслевых тест-лабов и антивирусных компаний

[VIKING 25]

Не совсем так. Объектом авторского права является технология определения опасных файлов. Результат работы технологии (знания об опасных объектах), как я себе это понимаю, является результатом и неотъемлемой частью работы авторской технологии/метода, т.к. без нее этих данных бы не было.

Так что же украл аваст?

Технологию, как утверждает E.K.... Тогда минус Лаборатории Касперского (плохо охраняют)..

Результат работы технологии , но этот результат был выложен Лабораторией самолично.....

Или была попытка присвоения чужого результата как своего.....?

[santy 151]

да, уж ,ситуация может выглядеть и комично.

например,

Мы, Касперский, проверили драйвер tcpip.sys по нашей навороченной запатентованной технологии. никакими аномальными свойствами и отклонениями он не обладает. Этот файл является чистым, и мы хотим получить патент на знание данного факта. Мы, Касперский, являемся правообладателем факта что tcpip.sys (с таким то хэшем) является чистым.

--------

Микрософт.

идите в задницу, на этом файле стоит наша цифровая подпись, мы и являемся правообладателями.

какой нибудь VeriSign,

мы проверили цифровую подпись на файле, она действительно принадлежит Микрософт....

и так далее.

[Сергей Ильин 1538]

Так что же украл аваст?Результат работы технологии , но этот результат был выложен Лабораторией самолично.....

Ошибка в этом пункте ИМХО. Результат доступен для пользователей, которые к тому же должны купить подписку на доступ к этим результатам. В терминах аналогии, приведенной Е.К., ехать могут те, кто заплатил за билет в автобусе. Компания-конкурент в данном случае не является конечным потребителем результатов анализа, она их перепродает другим.

Вообще я сейчас подумал, что грамотно составленное лицензионное соглашение может помочь взять кое-кого за мягкое место. Пункт о том, что полученной при помощи антивирусного продукта данными о репутации объекта можно пользоваться только для собственных нужд лицензиата (исключение поставки по OEM), т.е. не для перепродажи. Тогда если, скажем, кто-то пытается перепродавать результаты анализа, то это считается нарушением. Наверняка такая практика уже используется, просто лень сейчас лезть и читать лицензионные соглашения.

Далее остается доказать сам факт перепродажи репутационных сведений, показать ущерб и можно идти в суд.

[VIKING 25]

По моему это было бы более цивилизованное решение...

По крайней мере можно опираться на определенные решения и факты..

А так получается не пойман, не вор...

А просто беспочвенный разговор... ИМХО

[E.K. 100]

Вообще я сейчас подумал, что грамотно составленное лицензионное соглашение может помочь взять кое-кого за мягкое место. Пункт о том, что полученной при помощи антивирусного продукта данными о репутации объекта можно пользоваться только для собственных нужд лицензиата (исключение поставки по OEM), т.е. не для перепродажи. Тогда если, скажем, кто-то пытается перепродавать результаты анализа, то это считается нарушением. Наверняка такая практика уже используется, просто лень сейчас лезть и читать лицензионные соглашения.

А не надо лениться!

[Виталий Я. 859]

Пиар-атака все-таки партизанская. Но классная

Осталось Евгения Валентиновича про партнеров расспросить - например, из списка Strategic Alliances, написанного почему-то на испанском http://www.kaspersky.com/alliances

Хотя нет - тут больше: http://www.kaspersky.com/partners/oem/partners - а что в ЛК, кстати, про CheckPoint с умирающим ZoneAlarm слышно?

[Milord 55]

Интересная тема, здесь вроде присутствуют представители вендоров, интересно было бы услышать их мнение.

[VIKING 25]

Интересная тема, здесь вроде присутствуют представители вендоров, интересно было бы услышать их мнение.

Интересное предложение...

Почему тишина то?

[amid525 67]

Тайм-аут, для сбора компромата.

[santy 151]

а вывод может быть таким:

продаваться (по лицензии) в принципе должны не отдельные (разрозненные) факты знаний, какими являются результаты сканирований на VT - а система, совокупность, более плотное, регулярное и и непрерывно обновляемое ядро фактов, сервис, если хотите, репутационное облако, каким является у ЛК Kaspersky Security Network, Live Grid у ESET и т.п.

---------

[Сергей Ильин 1538]

а вывод может быть таким:

продаваться (по лицензии) в принципе должны не отдельные (разрозненные) факты знаний, какими являются результаты сканирований на VT - а система, совокупность, более плотное, регулярное и и непрерывно обновляемое ядро фактов, сервис, если хотите, репутационное облако, каким является у ЛК Kaspersky Security Network, Live Grid у ESET и т.п.

---------

Конечно, иначе в условиях дикого рынка, какой мы имеем сейчас репутационная БД будет перекачиваться самым постыдным образом. Ну будет обновляемость у реплики похуже, объем будет страдать, но будет ли это мешать делать деньги? В большинстве случаев - нет. Покупают же антивирусы-пустышки до сих пор, которые в наших тестах выглядят ну очень уныло и ничего ...

С лицензионным соглашением возьму паузу

[santy 151]

Сергей,

по перекачке баз: это невозможно, по крайней мере без криминала... компании ведь не продают облако (зачем продавать кормящую коровку, наоборот прячут ее от посторонних глаз), а продают доступ к полноценной информации.

[Сергей Ильин 1538]

по перекачке баз: это невозможно, по крайней мере без криминала...

Так также ровно, через мультисканер. Покупаешь, например, Касперского с подключенным облаком, Тренда с его облаком, Симантек. И новые поступления шарашишь на проверку их облаку. Вердикты записываешь себе в базу. Таким образом и перекачиваешь потихоньку.

[rkhunter 150]

И не могу не помянуть покойный VirusBuster. Увы, вот - наглядный пример воздействия бесплатного ворья на антивирусную индустрию.

+1

Также интересна ситуация с лицензиями на консольные сканеры(!), с помощью них обычно и получают детекты-логи, а потом парсят их. Как правило берут N-кол-во сканеров, обычно цифра ворьируется от 4 до 6. При этом с умным видом могут выяснять какой бы нам сканер взять, чтобы не было фолсов

[B . 90]

Далее остается доказать сам факт перепродажи репутационных сведений, показать ущерб и можно идти в суд.

Вот это-то как раз самое сложное. И дело не только в весьма условной технической подкованности судей и в необходимости привлекать экспертов, сколько в самой технологии сбора доказательств. Можно, конечно, провести эксперимент, аналогичный описанному выше, собрать свидетельские показания, но будет ли это являться исчерпывающей доказательной базой? В российских реалиях - сомневаюсь. У нас и при наличии КТЭ далеко не всегда удается доказать виновность юридического лица, про качество исполнения некоторых КТЭ я вообще скромно умолчу. Складывается впечатление, что форензика в России пока еще в зачаточном (если не в противозачаточном) состоянии. В европейских судах, возможно, шансы есть.

Евгений Валентинович, большое спасибо за исчерпывающую и подробную информацию. Весьма любопытно и познавательно.

Интересная тема, здесь вроде присутствуют представители вендоров, интересно было бы услышать их мнение.

ИМХО, большинство "представителей вендоров" присутствуют здесь, не как "представители вендоров", а как частные лица. Какое мнение Вы надеетесь услышать? Официальную позицию компании Вам вряд ли кто-либо озвучит.

[gerome 0]

если норм хоботнуться, то можно и платный антивирус скачать за копейки, они все периодически устраивают раздачу слонов

[Anmawe 5]

Скажите пожалуйста, какие вирлабы воруют детекты (которые на вирустотал) ?

[Сергей Ильин 1538]

Воруют те, у кого нет своего сильного вирлаба. Это небольшие антивирусные компании. Часто к "ворам" относят производителей бесплатных антивирусных программ.

На самом деле проще перечислить тем, кто не ворует детекты

[Anmawe 5]

Можете перечислить тех, кто не ворует детекты ? Спасибо за ответ !

[Сергей Ильин 1538]

Большая тройка (Symantec, McAfee, Trend Micro), Microsoft, Лаборатория Касперского, Доктор Веб + еще можно добавить Sophos, Eset (хотя к ним было много вопросов), BitDefender. Возможного кого-то забыл, но остальные под большим вопросом.

[Илио́н 20]

Где-то за воровство сажают в тюрьму. Где-то просто бьют. Относительно воровства в данной отрасли (воровства детектов различных вирусов у своих коллег по цеху, а затем его применения в этой отрасли, для борьбы с распростронением программных вирусных угроз) у меня, как не у специалиста в этой сфере, двоякое отношение. И в общем-то, думается, понятно почему.

Конечно некоторые вендоры, страдающие данным заболеванием, поступают отнюдь как красиво. Но если эти же компании в добавок к коммерческим, предлагают достойные бесплатные продукты?

Что лучше сладкая ложь или горькая правда? Вот делема.

На фоне скорее не спроста, предстоящего семинара Cyber Threat Alliance, на котором, как понял будет обсуждаться как раз и это легитимное решение вопроса, мысли становяться стройнее. Поживём - увидим.

[priv8v 960]

Самое интересное, что доказательств всех этих ворованных детектов - 0. Даже если привести тысячи ссылок на ВТ, где будет видно, что у антивируса Х детект такой же как у антивируса Y, но появляется он на пять дней позднее, то это ничего не докажет - можно сказать, что это просто имена формируются с оглядкой на отрасль (а это вполне нормальное явление, кстати).

Сам Е.К неоднократно говорил о их внутреннем мифическом тесте как пустышку (безвредный файл), задетекченный специально, детектили и другие антивирусы, вот только пруфов не было никаких.

Провести такой тест можно лишь с договоренностью с каким-нибудь человеком (из вирлаба) из какой-то большой компании (типа ЛК), чтобы добавили точную и явную пустышку и затем следить. При этом должно быть соблюдено много условий:

1. Это не должен быть модифицированный легальный файл (побить часть байт в блокноте, задетектить и смотреть - нельзя).

2. Что-то многократно упаковать - тоже.

3. Что-то с непонятными действиями в системе и аномалиями (фейковая подпись, левый ярлык, криптанутость) - аналогично.

В идеале (имхо) тест проводить так:

1. Создать файл с понятным и легкоопределяемым действием (желательно на асме, чтоб дебажить было проще) - окно хелловорлд или калькулятор (к примеру).

2. Каспер детектит

3. После чего заливка на вирустотал

4. Можно даже на спор, но первыми появятся детекты как раз у симантека, трендмикро, макафи и битдефендера. Не только у них, но у них тоже

5. Для верности (это же серьезный тест-исследование) это 1-3 пункты повторяются неоднократно, причем не только для файлов на асме, но и для "эксплоитов", андроид-"малвари", ну и т.д

[Илио́н 20]

Дайте пожалуйста точное и корректное определение детекта, детекта вирусной сигнатуры, применительно к данному контексту.

Существует ли сейчас какая-либо юридическая база под которую сейчас можно "подвести" термин воровство детекта?

Существовали ли ранее ранее фактические попытки доказательства такого воровства в юриспруденции, одной компании по отношению к другой?

[priv8v 960]

это не воровство с юридической точки зрения, это просто факт убогих технологий, но даже это пока не доказано. может замутим?)