Александр Матросов или "такие товарищи нам совсем не товарищи"

[priv8v 960]

Хотелось бы обсудить с общественностью текущую деятельность Александра Матросова - вирусного (не поворачивается язык сказать "антивирусного") аналитика компании ESET.

Думаю, что особо пояснять и комментировать его деятельность не нужно, сами можете видеть, что им генерируется значительная доля информации в нашем антивирусном пространстве.

Вообще, принято обсуждать его компетенцию в этой области, но дело это не благородное, потому постараюсь от этого воздержаться.

Исходным толчком к созданию этой темы послужили его многочисленные обзоры трояна Gapz, в которых он подробно и со вкусом описывает его технологии. Свое поведение Матросов объясняет так:

"Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать"

(это он ответил на сообщение типа "а не офигел ли он помогать зловредописателям, публикуя такие подробности").

Не могу удержаться и не поиронизировать над тем, что для него это был _новый_ трюк обхода... но речь не об этом. Дело в том, что своими публикациями он наносит вред не только пользователям других антивирусов, но и пользователям nod32. Он раскрывает такие технические подробности, что по ним потом можно исходный код писать с закрытыми глазами (что и было сделано - код был опубликован на гитхабе).

Считаю, что такое явление как он - это позор для нашего фронта (фронта борцов с малварью).

Ситуация такая: Матросов находить зловред с новой технологией, изучает его и трубит со всеми подробностями через СМИ. В данной ситуации хочется благодарно и с уважением взглянуть в сторону других АВ-компаний, которые упомянули данного трояна лишь вскользь без подробностей, только намекнув на некие новые технологии.

http://habrahabr.ru/company/eset/blog/171929/ - тут в первых комментариях директор Центра вирусных исследований и аналитики компании ESET Александр Матросов снизошел до того чтобы мне ответить...

PS: данный пост никем не проплачен. если кто желает проплатить - я не против

[mr.triggers 27]

Данный инжект продавался на закрытых форумах как "обход HIPS".

Купить его код и встроить себе мог почти любой желающий, у кого были деньги.

Теперь же обход в паблике и лежит на github'е, а ваше негодование настораживает: Неужели вы были в доле?

[Ashot 110]

Security by obscurity или спрятать под ковер неработает оно никогда и нигде

[A. 876]

Лично я тут скорее воздержусь и от защиты и от обличения.

Если публикуемая кем угодно информация - помогает нам улучшать наши продукты, то я только за.

А проблемы клиентов ESET из-за отсутствия у ESET способов борьбы с описываемыми ими методами - это в первую очередь проблемы самого ESET.

[vaber 350]

Security by obscurity или спрятать под ковер не работает оно никогда и нигде

Только "Security by obscurity" тут не к месту.

Если публикуемая кем угодно информация - помогает нам улучшать наши продукты, то я только за.

Так не помогает Лично я заметил лишь увеличение семейств малвары (уже семейств так 7-8, хотя до публикации есетом было 4, из которых два - один и тот же код на базе power loader - они продали его разработчикам буктита CPD) с таким инжектом (не один в один, но передача управления через ту же апи).

Нам то все-равно, мы детектим такое поведение, а вот остальные...

Находя интересный новый трюк или способ обхода средств защиты я не вижу смысла его скрывать, чем больше о нем будет известно, тем в более выгодной позиции находятся все разработчики защитного ПО

Жаль не пояснил, в какой такой выгодной позиции находятся разработчики и какие именно

З.Ы. Все эти статьи от есет публикуются с целью одной лишь рекламы себя, а не как Матросов пытается всех убедить "Security by obscurity", "в более выгодной позиции находятся все разработчики защитного ПО".

З.Ы. Пусть выбрали такой путь - пжлста, но если бы они своих же пользователей защищали от публикуемого ими инжекта, могли детектировать и лечить те буктиты, о которых они уже где только можно написали... Так они этого не делают.

[akoK 75]

VFaR, толсто троллите

[Сергей Ильин 1538]

Тут сложная ситуация. С одной стороны, Матросов рассказывает о методах обхода защиты, что должно стимулировать сознательных вендоров совершенствовать защиту. Если они конечно его читают (А читают ли?). С другой стороны, это подстава юзеров со слабой защитой.

ИМХО, Александр просто слишком увлекся самопиаром и в погоне за славой уже забывает тщательно взвесить все за и против.

[Alex_Goodwin 81]

По мне так стыдно давать ресеч, если свой же продукт не защищает от угрозы и не будет защищать. У Есета нет ни детекта ни лечения активного заражения. Скорее всего и "эвристически", проактивно, продукт ничего не ловит. (имею ввиду инжект).

[Alexis 5]

По мне так стыдно давать ресеч, если свой же продукт не защищает от угрозы и не будет защищать. У Есета нет ни детекта ни лечения активного заражения. Скорее всего и "эвристически", проактивно, продукт ничего не ловит. (имею ввиду инжект).

Ну наконец-то прямой честный вердикт о продуктах Eset.