Раскопаем стюардессу?

[sceptic 100]

Здравствуйте, друзья и коллеги.
Давненько я не веселил вас охуизахватывающими историями.
Сегодня я хотел бы обсудить с вами способы борьбы с "нужными и полезными" программами, которые классифицируются как adware,

реакцию АВ-вендоров и работу репутационного сервиса KSN + Kaspersky Application Advisor.
Очень хочу услышать ваши соображения по данному вопросу.
Создание этой темы навеяно давним спором, за которым я внимательно следил, но не вмешивался:
http://www.anti-malware.ru/forum/index.php?showtopic=29998&page=1
http://www.anti-malware.ru/forum/index.php?showtopic=30120

 

А начало моей истории находится тут:
http://forum.oszone.net/thread-286577.html прошу вас прочитать две странички.
Ситуация с ЭЦП крайне неприятная и, главное, непонятно что делать дальше?
Контролировать изменения/обновления сертификатов всех adware-программ не под силу ни одному человеку, ни даже коллективу.
Очевидно, что вмешательство в бойкую торговлю ЭЦП должно быть произведено на более высоком уровне. Честно говоря я не представляю кто и как может повлиять на компанию Comodo. Может быть всплеск негативного общественного мнения при поддержке крупнейших АВ-вендоров?
Корень проблемы в том, что сторона выдающая сертификат совершенно не отвечает за (тех кого приручила) юридическую сторону вопроса на родине соискателя сертификата.
Поясню, что я имею ввиду:
Вы наверное помните скандальчик между Dr.Web и MediaGet? Дошло даже до официального разъяснения: http://news.drweb.ru/?i=2205
Но любителей срубить бабло на хомячках невозможно удержать!
На офсайте MediaGet есть информация:

Реквизиты Администрации:ООО «Ключ»ИНН 7733239762КПП 773301001ОГРН 1157746586084125466, гор. Москва, Новокуркинское  шоссе, дом 39,пом. I, комната 71

Но! Сертификат выдан совершенно другому юр. лицу, а именно:

CN = Inbox OOOO = Inbox OOOSTREET = 16 of. 2, per. Monetchikovski 5-IL = MOSCOWS = MOSCOWPostalCode = 115054C = RU

Призовём на помощь гугл.

https://urshop.ru/products/115054-5-16-2
https://www.prima-inform.ru/cat/cc/kliuch-1157746586084-7733239762
и чёрный список юридических адресов ФНС России:
https://service.nalog.ru/addrfind.do

 

Думаю комментарии излишни. "Inbox OOO" - успешно выполняет роль "зитц-председателя" в случае запроса со стороны.

"ООО Ключ" так же находится в чёрном списке.

Очень надеюсь, что г-на Вычужина Олега Юрьевича в аду ждёт личный котёл по соседству с Baidu Online Network Technology (Beijing) Co.,Ltd.
Я не силён в юридической казуистике. Прошу вас поправить меня в моих заблуждениях, если они есть.

Так вот, компании Comodo глубоко наплевать кто, как и насколько законно использует этот сертификат. Цель одна - заработать.
Господа, надо ли здесь говорить, что компаний "Рога и Копыта", подобных MediaGet, десятки тысяч?
И тут мы снова возвращаемся к теме защиты пользователя при поддержке АВ-вендоров.
Сразу оговорюсь, что считаю продукты ЛК наиболее совершенными в плане используемых технологий защиты, юзабилити и т.д. и т.п. Вот только реакция их вирлаба и ТПП оставляет желать лучшего В корпоративном сегменте происходит то же самое. Наши запросы просто висят в воздухе.

Когда я столкнулся с проблемой снятой на видео, у меня челюсть упала на стол.
Ознакомьтесь:

 

Видео про эпический фейл KIS 2016, а так же про основную тему моего поста.
Инцидент был мною создан 27.03. Ответа нет по сей день...

Итак, внимательно слежу за темой и жду ваши советы, предложения и пожелания.
С уважением, Дмитрий.

Отредактировал Апрель 8, 2016 Umnik
Поправил ссылку на видео

[Dr. Faust 62]

Так ты слона не продашь.

[sceptic 100]

Так все говорят, а ты возьми и купи ©

[Dr. Faust 62]

Так все говорят, а ты возьми и купи ©

Нах надо

Я сейчас разрываюсь между той порнографией на Питоне что наши импортозамещатели прислали и той коммерческой порнографией, которую другие жадные дети прислали.

Буду я в ваши сисадминские ФГМ лезть.

 

И вообще вендор антивируса вообще ни разу не при делах. Зря ты бочку катишь на АV.

[sceptic 100]

И вообще вендор антивируса вообще ни разу не при делах. Зря ты бочку катишь на АV.

Вы ниасилили!

Тут, в видео, сразу два важных момента:

1. Сертификаты долбаного Comodo

2. Совершенно идиотская реакция HIPS

[Dr. Faust 62]

Вы ниасилили!

Тут, в видео, сразу два важных момента:

1. Сертификаты долбаного Comodo

2. Совершенно идиотская реакция HIPS

 

Чуть не нажал "Жалобу" рука сама потянулась.

 

Вот ты, Дима, здоров моск-то любить и себе и людям.

По-пунктам.

1. Сертификаты Комодо - валидны. Если проблема возникает уже с подписантами от Комодо, то причём тут другие Вендоры?

Ты предлагаешь отозвать их сертификаты или чо?

 

2. За персональный поведенческий анализатор на пк в корп. сети, который не цетрализован, надо сношать урановой кочергой.

[sceptic 100]

По всем пунктам ошибка.

1. валидны, да. увы никто не контролирует кому они их продают по-дешёвке.

я у себя выпилил их root ca. мне проще нажать кнопку "разрешить" при входе на сайт, чем думать как вычистить ОС от дерьма.

2. централизован. давным-давно. чтоб тебе крепче спалось, скажу что я лично его курирую no passaran ©

3. тема про KIS

[sceptic 100]

Кстати, обратили внимание на цепочку наследования СА?

Мне известно что UTN-USERFirst-Object куплен Комодом.

Т.е. сами себе всё разрешили по цепочке. Зашибись да?

Я вот додолблю своих программеров, что бы подписывали корпоративный софт, а потом Комодо пойдёт на йух уже по всему домену.

[Dr. Faust 62]

1. валидны, да. увы никто не контролирует кому они их продают по-дешёвке.

 

 

Это не проблема третьих лиц.

И тем более не проблема ЛК. Тащем-то сертификаты несут исключительно функцию удостоверить, что ты это ты.

Не больше и не меньше. Других задач на них больше не возлагается. Бороться с мэлварью это не задача механизма сертификатов.

 

2. централизован. давным-давно. чтоб тебе крепче спалось, скажу что я лично его курирую no passaran ©

 

 

Я тебе уже сто раз рассказывал про SRP, информации в нете валом, в том числе и тут. Как бе это именно тот самый механизм, которым надо ограничивать использование программ.

 

Я вот додолблю своих программеров, что бы подписывали корпоративный софт, а потом Комодо пойдёт на йух уже по всему домену.

 

Вы пользуетесь сертификатами третьих лиц для подписи ПО? Без собственного СА? Без PKI? Мило, ну и кто вам доктор?

 

3. тема про KIS

 

Ну как бе набросил, да Типа вы мой любимый вендор - это во-первых, я вас люблю, это во-первых ещё раз, а дальше идёт театральное "НО".

Один мой коллега в таких случаях всегда просил пропустить "во-первых" и переходить сразу к "во-вторых".

Ну а КИС таки да то, что на видео похоже на багу.

Но бодаться и с сертификатами это не их головняк, не нужно им приписывать чужого.

[sceptic 100]

Фух. Тебе, как человеку военному, повторяю два разА два разА ©

в обратном порядке

1. тема  про KIS. про KIS. KIS - домашний продукт. домашний.

По поводу "я вас люблю, но..", написано с подтекстом: я пользовался и буду пользоваться вашим продуктом, другого мне не надо, поэтому давайте сделаем его лучше.

2. Нет. С чего ты это взял? Мне нужен от програмера самоподписанный сертификат. Всё. Когда это будет, я смогу перейти на работу по "белому списку".

3. про SRP мы с тобой не разговаривали никогда. К тому же не понимаю какое отношение он имеет к этой теме.

4. Это проблема ЛК. Причём они ССЗБ. Никто их не заставлял вместо нормального ХИПСа запилить говно-сервис-KSN-kaspersky application advisor.

Ясное дело, проще основываться на "разрешающих.запрещающих правилах идиотов пользователей", чем полноценно проверять файл в песочнице.

-скорость работы АВ

-мнгновенная реакция на угрозы

-??? профит

[Dr. Faust 62]

1. тема  про KIS. про KIS. KIS - домашний продукт. домашний.

По поводу "я вас люблю, но..", написано с подтекстом: я пользовался и буду пользоваться вашим продуктом, другого мне не надо, поэтому давайте сделаем его лучше.

 

 

Дима, ну вот кому ты.... Ты же именно что набрасываешь, я в принципе не поверю, что ты не проверил все заранее перед тем как свою портянку накатать.

 

2. Нет. С чего ты это взял? Мне нужен от програмера самоподписанный сертификат. Всё. Когда это будет, я смогу перейти на работу по "белому списку".

 

 

Я взял это с того, что если у вас есть PKI то проблемы бы такой не возникло вообще, а если ты пользуешься всякой сторонней х-ней, то кто в этом виноват? Самодписанный сертификат ты можешь сделать и сам, если проблема только в этом.

 

3. про SRP мы с тобой не разговаривали никогда. К тому же не понимаю какое отношение он имеет к этой теме.

 

Ну привет, ты мне года три-четыре назад выносил мозг на тему UAC, доступов и ограничения запуска ПО. Но в любом случае если ты хочешь чтобы пользователь (да, в том числе и домашний) не мог запускать всякую левоту, то надо использовать или SRP или AppLocker.

 

4. Это проблема ЛК. Причём они ССЗБ. Никто их не заставлял вместо нормального ХИПСа запилить говно-сервис-KSN-kaspersky application advisor.

 

 

Есть проблема с ЛК, публикуй сам кейс и работу по нему

Баги это не проблема сертификатов, проверка сертификатов/отзыв сертификатов - это не проблема ЛК.

И до сервиса ты зря докопался.

[sceptic 100]

я в принципе не поверю, что ты не проверил все заранее перед тем как свою портянку накатать.

 

Штирлиц был на грани провала ©

Суть всей темы - привлечь внимание к проблеме.

если у вас есть PKI то проблемы бы такой не возникло вообще, а если ты пользуешься всякой сторонней х-ней, то кто в этом виноват? Самодписанный сертификат ты можешь сделать и сам, если проблема только в этом.

 

Нету. Но у нас таки не режимное предприятие. Формулу по расчёту стоимости защиты от стоимости утечки я таки помню

А сертификаты я им делать не буду, потому что нихачуха. Дело нехитрое - осилят сами.

надо использовать или SRP или AppLocker

 

UAC идёт лесом до тех пор, пока не его работа не будет прозрачной для админа.

Разобраться почему блокируется то или иное приложение - вопрос на миллион.

Я как то попросил автора программы показать исходники и вместе с ним пытался выяснить в какой момент венда требует повышения прав.

И нихрена у нас не вышло..

А вот AppLocker вполне подходит для моих целей. Но есть два существенных момента.

1. 50% парка машин работают на винХР

2. лицензия для вин7 энтерпрайс.

Если п.2 решаем, то п.1 очень сильно затянут по времени и деньгам.

публикуй сам кейс и работу по нему

 

Уже делается. Исполнитель буквально вчера жаловался, что накропал уже десяток листов.

В основном по сбоям удалённой установки/удаления и много багов в логике работы самого Kaspersky Security Center.

 

до сервиса ты зря докопался

 

Нихрена не зря! Ты только вдумайся в его суть. Сервис основывается на анализе разрешающих/запрещающих правил пользователей.

Это ппц, если честно.

Каких нахрен пользователей? Эти "пользователи" являются экспертами по безопасности?

Чёрта-с-два! Это сотни тысяч детей, которым вообще плевать на алерты АВ, главное - "крякнуть" новую игрушку. Объясни, с какого перепуга я должен им доверять?

[Dr. Faust 62]

UAC идёт лесом до тех пор, пока не его работа не будет прозрачной для админа.

Разобраться почему блокируется то или иное приложение - вопрос на миллион.

 

На Технете документации валом в т.ч. и для девелоперов.

 

А вот AppLocker вполне подходит для моих целей. Но есть два существенных момента.

1. 50% парка машин работают на винХР

2. лицензия для вин7 энтерпрайс. Если п.2 решаем, то п.1 очень сильно затянут по времени и деньгам

 

SRP есть в ВинХП.

А судя по тому, что ты мне про МДОП сегодня заливал, у вас есть ЕА.

Так что вопрос времени и вашего желания.

С ВинХП надо было сваливать ещё года четыре назад.

 

Уже делается. Исполнитель буквально вчера жаловался, что накропал уже десяток листов.

В основном по сбоям удалённой установки/удаления и много багов в логике работы самого Kaspersky Security Center.

 

Ну так ждёмсс..сс.

 

Нихрена не зря! Ты только вдумайся в его суть. Сервис основывается на анализе разрешающих/запрещающих правил пользователей.

Это ппц, если честно.

Каких нахрен пользователей? Эти "пользователи" являются экспертами по безопасности?

Чёрта-с-два! Это сотни тысяч детей, которым вообще плевать на алерты АВ, главное - "крякнуть" новую игрушку. Объясни, с какого перепуга я должен им доверять?

 

 

Мон Шер Ами, ты никому ничего не должен, равно как и разработчики из ЛК никому и ничего не должны, кроме тех кто у них продукты покупает, я уже тебе и в личной беседе говорил и тут повторю, ситуация с сертификатами в целом не красивая, но при нынешних условиях и при нынешних правилах игры патовая.

А Блек-Вайт листы от Касперских, ну пусть они лучше будут, чем их не будет совсем.