Участие в различного рода мероприятиях приводит к грустному выводу: антивирус никому не интересен. Количество посетителей вендорских стендов стремится к нулю. Дошло до того, что уже не разбираются даже знаменитые подарки от Касперского. В основном подходят, чтобы сообщить о проблемах, вопросы «что нового?» и «а как?» отходят в область легенд…

И это на фоне того, что большинство (по моей статистике – примерно 19 из 20) администраторов даже не подозревает о том, что они не реализовали защиту от вредоносных программ – при полной уверенности в обратном. Пример? Да легко! Краткое содержимое статьи «CTB-Locker. Мы решили платить»:

  1. Клиент поймал шифровальшика.
  2. Антивирус плохой, поскольку пропустил его. Нужно сменить.

На самом деле это – типичная ситуация, с которой мы как вендоры сталкиваемся постоянно.

В комментариях, правда, указали, что все антивирусы пропускают. Естественно, развернулась дискуссия о методах защиты. Но что предлагали ее участники? За исключением одного (всего одного! — свой комментарий я не считаю, естественно) участника дискуссии – «Единственный способ борьбы с шифровальщиками — это бэкапы». Убиться и не встать.

Не буду повторять доказательства. Материалов в интернете много, из того, что находится в пределах Хабра, — серия статей «Как поймать то, чего нет». Здесь же опишем только тезисы – и да прочитают их те, кто уверен, что антивирус нужен для защиты от пропуска.

Прежде всего определимся с тем, что будем называть антивирусом. Ниже под антивирусом будем понимать программу, осуществляющую поиск вредоносных программ на основе знаний о реально существующих вредоносных программах или принципах их поведения, описанных в вирусных базах. В принципе, сюда же можно отнести поведенческий анализатор, работающий на основе знаний о работе вредоносных программ. Конечно, в современных антивирусах куда больше компонент, но обычно под антивирусом понимают именно это (и на основании этого знания отказываются от более функциональных версий, позволяющих обеспечить более качественную защиту. Увы)

Итак:

  1. Антивирус не способен не пропустить на компьютер или в сеть вредоносные программы, которые в ходе разработки тестировались на актуальных версиях антивирусных программ. И никакие эвристики этому не помешают – их работа также учитывается при разработке вредоносных программ.
  2. Число вредоносных программ, попадающих на анализ в антивирусные лаборатории исчисляется сотнями тысяч в день. А то и миллионами. Соответственно, троян может быть уже у пользователей – а у аналитиков до него еще не дошли руки. Случаев, когда первый пришедший на работу сотрудник ловил шифровальщика, а опоздавшие — уже нет — имеются в достаточном количестве
  3. Для защиты от пока неизвестных вредоносных программ необходимо (must be!) использовать иные подходы. В частности, ограничение программной среды, прав доступа пользователей и т. д. — вредоносная программа не должна иметь возможность запуститься, а уж если запустилась — прописаться в интересующие ее области.
  4. Документы регуляторов, действующие в нашей стране, не требуют использования именно антивируса — они оперируют понятием «Антивирусная система защиты», а это может быть не только антивирус.

Таким образом, защиту компьютера и сети в целом обеспечивает не антивирус, а система антивирусной защиты — как правило, включающая в себя антивирус. Кстати, попробуйте (не читая далее) сказать, для чего же нужен антивирус, если он не обеспечивает защиты, требуемой клиентами?

  1. Антивирус перехватывает на входе не менее 60% вредоносных программ.
  2. Только антивирус может обеспечить гарантированное лечение уже запущенной вредоносной программы (естественно, после получения обновления) – это не может выполнить никакая иная система защиты. Даже форматирование не гарантирует удаление хорошо законспирировавшегося трояна.

Соответственно, антивирус обязан иметь:

  1. Отличную систему поиска активных заражений и их лечения. Все остальные типы тестов антивирусов – чистой воды развод.
  2. Самозащиту, которая защитит его от поползновений вредоносных программ, пока он о них не знает
  3. Системы, гарантированно обеспечивающие доступ антивируса на зараженной станции к зонам обновления и системе управления
  4. Технологии, позволяющие снизить количество записей в ядре. Скажем, необнаружение вредоносной программы может достигаться ее шифрованием или упаковкой в неизвестный антивирусу формат. Соответственно, крайне желательны технологии поиска в неизвестных упаковщиках и зашифрованных файлах.

К сожалению, большинство специалистов, отвечающих за защиту, об этом и не подозревают. Используя только антивирус, они идут путем китайских пионеров, которые, говорят, сами создавали себе проблемы, чтобы их успешно преодолевать.

А сколько жалоб в духе «начальство не понимает, денег не дает»! У нас есть методологические материалы на тему того, как убедительно для бизнеса обосновать закупку. Но что, вы думаете, наиболее часто просят? Ага, «пришлите нам список вашего функционала, мы его доложим руководству». Ага. Руководство у нас поголовно разбирается в технологиях защиты.

Прошу извинить за вопль души. Но временами все это достает.

Комментарии (134)


  1. bigfatbrowncat
    28.04.2015 13:30
    +8

    Для защиты от пока неизвестных вредоносных программ необходимо (must be!) использовать иные подходы. В частности, ограничение программной среды, прав доступа пользователей и т. д. — вредоносная программа не должна иметь возможность запуститься, а уж если запустилась — прописаться в интересующие ее области


    Я, конечно, ни разу не специалист в области компьютерной безопасности, но, насколько мне известно, большинство вредоносных программ так или иначе используют «щели» в стандартной системной защите. Иными словами если пользователь настолько идиот, что перед ним неожиданно выскакивает окошечко UAC и он жмет «разрешить», даже не прочитав сообщение, то, конечно, такого надо ограничить парой «доверенных» сайтов из белого списка… но даже это его не спасет. И о таком безграмотном человеке бессмысленно говорить.

    Схватить какую-нибудь дрянь в интернете может даже матерый вебмастер. И не только разгуливая по порносайтам. Но на что точно бесполезно рассчитывать, если ты не совсем школьник и не запускаешь всё подряд без разбору, а именно хочешь защититься от серьезного вируса — так это на системы безопасности ОСи. Если вам дороги ваши данные, можете априорно считать, что ваша операционная система — дырявое ведро. Не ошибетесь.

    Антивирусная программа обычно умеет определять деятельность, которую она считает подозрительной. Беда лишь в том, что во-первых вирусописатели тоже адаптируются под шаблоны эвристик антивирусов, во-вторых, зачастую антивирусы клеймят вполне безобидные программы, если тех нет в их базе «безопасного» софта. А в третьих, антивирус существенно снижают производительность компьютера при задачах, связанных с многократным последовательным и кратковременным запуском программ. Например, при компиляции с помощью make (производительность падает в разы!) В результате получается, что антивирусная программа — мешающая и раздражающая тормозилка, которая, к тому же, не ловит всё. Ну и кому она нужна?

    В итоге мы получаем, что для человека, не желающего ограничивать свою свободу передвижения в сети, существует всего три более-менее надежных способа исключения вирусной угрозы (перечисляю в порядке убывания надежности):

    1. Полная автономность работы, отключение интернета вообще, обновления только вручную (привет из девяностых) — так работают компьютеры на производстве и в ряде секретных предприятий. Вирус на такую машину попадет только на флешке злоумышленника.
    2. Бекапы. Ежедневные. Ежечасные. Отличная вещь — Time Machine. Маководы поймут. Не решает проблему с убитой системой, но в случае если ваша ось хватанула какую-то дрянь, вы точно не будете платить деньги вымогателям. Плюс — если система тормозит и глючит, ее легче и быстрее переустановить.
    3. Использование непопулярных ОС. По этому пункту скажу, что даже если сидеть на OS X вместо винды (не говоря уже о линукса), 99% вирусов у вас не заведутся. При ограниченных ресурсах вирусописателей и узких используемых «щелях» никто не станет поддерживать совместимость с операционками, процент которых в мире близок к 10-15.

    Разумеется, такой ответ совсем не обрадует разработчиков антивирусных систем. И разумеется, в среднего размера компании посадить всех сотрудников на Маки — непозволительная роскошь. Но это не отменяет того факта, что все прочие подходы к безопасности — менее надежные и более дорогостоящие в поддержке компромиссы.


    1. teecat Автор
      28.04.2015 13:48
      -2

      >1. Полная автономность работы…
      Увы и ах. Вирусы находящиеся в продукте в момент покупки/установки ПО. Антивирус нужен

      >2. Бекапы.
      Однозначно нужны. Но сколько случаев, когда все сохранившиеся бекапы уже были с вирусом?

      >3. Использование непопулярных ОС
      Риск снижается и ФСТЭК вас поддерживает. Но увы и ах
      — последние два года вилим резкий рост вирусов для Линукс и Мак. До Windows еще далеко, но тенденция в наличии. Вот вы знаете о количестве вирусов под маки за прошлый год? Рекомендую отчет Лаборатории Касперского. Очень удивитесь
      — назащищаемые ОС используются для распространения вирусов. Только вчера был тикет с примером в саппорт

      И традиционно видимо упущена вещь, которая делается только антивирусом — лечение активных заражений. Ибо уязвимости и незнание рисков.


      1. n1nj4p0w3r
        28.04.2015 13:59
        -1

        От отчетов ЛК сами маководы удивляются, я как в пример, ни разу зловреда не ловил и «чистую» переустановку ОС делал только при замене диска на ssd и продаже девайсов. Для маков есть одно простое правило безопасности — не ставь Java.


        1. teecat Автор
          28.04.2015 14:18
          +2

          Есть такая штука — психология называется. Так вот есть там такое понятие — расширение. Если кратко, то мы общаемся в замкнутой группе, но расширяем мнение и опыт членов этой группы на иные группы. Типичное расширение «я не использую антивирус, так как осторожен и ни разу не поймал вируса. Если все будут осторожны, антивирусы не потребуются».

          Вирусов под маки действительно мало, поэтому они и редко попадаются — и соответственно формируется мнение. И группа имеет статистику своего круга общения, мнение которого вы находите приемлимым для себя (без обид, это чисто психология), а мы знаем размер ботнетов на маке и андроиде


          1. n1nj4p0w3r
            28.04.2015 14:57

            В вашем выводе есть маленький недочет — вы не уточнили мой род деятельности.
            Уточняю: я сисадмин граничащий с эникеем заклейменный яблоководом и мой кругозор в результате этого достаточно широк, что-бы утверждать, что ботнет из маков меньше ботнетов из тех-же вордпрессов(странное сравнение, ну да ладно) не потому-что маков меньше, а потому-что OSX изначально спроектирован так, что-бы не давать юзеру отстрелить себе ногу, до последнего.


            1. teecat Автор
              28.04.2015 15:14
              +1

              Я сотрудник антивирусной компании. Ботнет для маков, в момент расцвета состоявший из 600 тыс машин — жив до сих пор.
              Нет незаражаемых систем — есть малораспространенные и потому слабоинтересующие злоумышленников системы


              1. MAXXL
                28.04.2015 15:25
                +1

                Можете уточнить — какой именно ботнет, через что он проникает в систему и прописывает себя?


                1. teecat Автор
                  28.04.2015 15:44
                  +1

                  BackDoor.Flashback news.drweb.com/show/?c=5&i=2353&lng=ru. Жив до сих пор
                  Но не им единым:
                  news.drweb.com/show/?c=5&i=9309&lng=ru
                  news.drweb.com/show/?c=5&i=5977&lng=ru
                  и тд


                  1. n1nj4p0w3r
                    28.04.2015 15:55
                    +1

                    BackDoor.Flashback.39
                    Троянская программа для MacOS X. Заражение осуществляется с использованием уязвимостей Java.

                    Mac.BackDoor.OpinionSpy.3
                    Троянец, получив администраторские права в процессе установки, работает в системе с привилегиями администратора.

                    Mac.BackDoor.iWorm
                    Схема распространения — тактично не указана, админский пароль нужен, иначе в /Library писать не выйдет.


                    1. teecat Автор
                      28.04.2015 16:05

                      Ну я и не спорю. Все это только показывает — как не проектируй систему — уязвимое звено всегда админ, который уверен в априори безопасности системы

                      Мы тут говорим — надо защитить так, надо защитить вот так. А в реальности в большинстве случаев не защищают никак. В лучшем случае ставят антивирус и забывают о защите


                      1. n1nj4p0w3r
                        28.04.2015 16:11
                        +1

                        Нормальный админ вполне себе в курсе, что система безопасна ровно до тех пор, пока у тебя голова на плечах.
                        Вы, к слову, отошли от практики рассказов об уязвимости ОС и переключились на админов с тягой к самострелу ног, отсюда можно резюмировать, что ваш продукт есть смысл покупать только в том случае, если головой думать не удается.


                        1. teecat Автор
                          28.04.2015 16:19

                          Не совсем так. Просто моя практика походов по клиентам показывает, что 19 из 20 клиентов не знают, зачем у них стоит антивирус. Антивирус как и иной продукт нужно покупать для выполнения только тех задач, которые он может выполнять и для установки там, где он должен стоять. Но никак не иначе.

                          Антивирус нужно покупать для:
                          — снижения вероятности проникновения
                          — снижения вероятности использования неизвестных уязвимостей
                          — обнаружения и лечения активных заражений


                          1. n1nj4p0w3r
                            28.04.2015 16:33
                            +1

                            И насколько высока вероятность того, что при использовании дорогостоящей 0-day уязвимости кто-то будет применять код детектирующейся вашим или любым другим антивирусов?
                            Ну и сразу должен отметить, что многие администрируют сети с OS X применяя puppet, где не составляет большого труда поставить триггер на появление некоего файлика


                            1. teecat Автор
                              28.04.2015 16:39
                              +1

                              — 25 процентов вирусов по оценкам пишется «хакерами» возраста до 14 лет
                              — недавно был вирус, использовавший уязвимость шестилетней давности
                              — недавно Microsoft выпустила патч, закрывший дыру. Оказалось, что предыдущий патч, выпущенный… лет назад, дыру не закрывал. А все сканеры безопасности были уверены в ином
                              — сколько процентов народа ставит апдейты? Хабр не показатель, сразу говорю


                              1. n1nj4p0w3r
                                28.04.2015 17:07
                                +1

                                — недавно Microsoft выпустила патч, закрывший дыру. Оказалось, что предыдущий патч, выпущенный… лет назад, дыру не закрывал. А все сканеры безопасности были уверены в ином

                                А ваш продукт успешно препятствовал применению уязвимости http.sys?

                                Вопрос то не о том, какой возраст у хакеров и каков срок жизни уязвимости, а насколько успешно применение антивируса как проактивной защиты, в контексте данной ветки комментариев, на OS X.


                                1. teecat Автор
                                  28.04.2015 17:13
                                  -1

                                  Перехватим в случае, если:
                                  — используется проверка трафика до поступления в клиентскую программу (не все антивирусы проверяют трафик до его поступления в клиентскую программу, есть встраивающиеся в них как плагины)
                                  — вирус определяется нашими механизмами (не обязательно проактивными, мы (тут конкретно Доктор Веб) возьмем и перепакованный в неизвестный формат файл)


                                  1. n1nj4p0w3r
                                    28.04.2015 17:47
                                    +1

                                    То есть:
                                    1. Я должен полностью доверять ПО которое суется во все аспекты работы ос обильно распихивая плагины и драйвера
                                    2. Злоумышленник должен вести себя настолько подозрительно, насколько это возможно
                                    3. Пункт 1 и 2 не гарантируют защиту от неизвестного зловреда

                                    К слову, каким образом антивирус защищается от зловреда с sudo правами полученными «легальным путем»? Он ведь может просто снести антивирус и добавить в менюбар(или где drweb болтается) заглушку сигнализирующую «все ок».


                                    1. teecat Автор
                                      28.04.2015 17:53
                                      -1

                                      > 1. Я должен полностью доверять ПО которое суется во все аспекты работы ос обильно распихивая плагины и драйвера
                                      Уже несколько раз написал — доверять нельзя ни одной программе. Мы строим защиту из компонент, каждый из которых небезопасен

                                      > 2. Злоумышленник должен вести себя настолько подозрительно, насколько это возможно
                                      Сейчас все наоборот

                                      > 3. Пункт 1 и 2 не гарантируют защиту от неизвестного зловреда
                                      так и я о том. гарантий никто не дает. ни одна система защиты

                                      > каким образом антивирус защищается от зловреда с sudo
                                      Критический недостаток Линукса — невозможность самозащиты. Тут Windows предпочтительнее. В ней самозащита у продукта есть. По маку не скажу. Тут я не спец, но предположу, что аналогично Линуксу


                                      1. n1nj4p0w3r
                                        28.04.2015 18:00
                                        +1

                                        То есть на OS X антивирус чудес не показывает, а учитывая текущий уровень зловредов при нормальном администрировании/использовании оказывается вреден, т.к. добавляет потенциально уязвимый код работающий под привилегированной учетной записью


                                        1. teecat Автор
                                          28.04.2015 21:13

                                          1. антивирус чудес не показывает и просто работает
                                          2. что за ересь про потенциально опасный код? Модули антивируса защищены подписью и просто так код не поменяешь. Самозащита — это драйвер, контролирующий попытки снести антивирус или нарушить его работу. Как пример — все пользуются Dr.Web CureIt! — драйвера самозащиты там нет, ибо перезагружаться для запуск утилиты никто не будет, тем не менее это средство которым сносят пропущенные вирусы


                                          1. n1nj4p0w3r
                                            28.04.2015 21:23

                                            1. Вы уже сказали как он работает и действительно, он просто работает, на «авось».
                                            2. Потенциально опасный код ? можно подменить код. Он может быть уязвим и предоставить возможность злоумышленнику исполнить код от лица пользователя под которым крутится этот самый антивирус (в вашем случае — sudoer). Абсолютной защиты не бывает, не так ли?


                                            1. teecat Автор
                                              28.04.2015 21:31

                                              1. на основе знаний. это не авось. я уже сказал назначение — лечение активных заражений. тут под 100 процентов и никакого авося
                                              2. тогда снесите сам мак — у него ядро тоже потенциально опасный код. за все время моей работы в антивирусах я помню только одну подмену кода на заре индустрии — и то не в моей нынешней компании. То что вы написали — ересь. с этой точки зрения и система разграничения прав и нормальный бекап — тоже уязвимый код (ежели что — я работал и в этой отрасли и отвечаю за свои слова)


                                              1. n1nj4p0w3r
                                                28.04.2015 21:51

                                                1. Забейте в гугле любой из перечисленных зловредов под OSX и найдете последовательность из нескольких пунктов по удалению, я уж не говорю о том что Apple сама удаляторы и детекторы в апдейтах предоставляет.
                                                2. Зачем мне его сносить? Он свои функции выполняет, а антивирус проактивную защиту предоставить не может несмотря на то, что пихает свое добро куда не поподя создавая прослойку из никем не проверенного кода, который не только замедляет общую работу системы, но и потенциально может содержать свои уязвимости.

                                                Почему-же ересь? Вы не признаете, что код продукта над которым вы работаете не идеален?

                                                У меня ежечасно снапшоты на ZFS хранилище делаются(потом объединяются в дни, в недели, в месяцы и т.д.), OSX знать про них не знает и самостоятельно, получив мой админский пароль разве-что актуальные данные почистит/изменит.


                                                1. teecat Автор
                                                  28.04.2015 21:55

                                                  1. время вывода денег -1-3 минуты. апдейт ОС выходит куда медленнее обновления антивируса
                                                  2. не передергивайте. не идеальный не равно опасный. У нас таки работают весь хорошие специалисты по безопасности


                                                  1. n1nj4p0w3r
                                                    28.04.2015 22:21

                                                    1. Именно поэтому не надо раздавать админский пароль при каждом запросе, пусть даже вылезло нативное окошко, так-же как и вбивать данные карточки на платежных страницах не удостоверившись в их аутентичности.
                                                    2. Не передергиваю, кроме того, я все время упоминаю слово «потенциально» — это не обвинение, а вполне себе логичный вывод: больше кода — больше возможных уязвимостей.


                                                    1. teecat Автор
                                                      28.04.2015 22:39

                                                      1. подмена dns, а также подмена реквизитов при сохранении вида окна. никаких всплывающих окон и привычный вид
                                                      2. вы много знаете программ, контролирующих свою целостность и целостность окружения в постоянном режиме?


                                                      1. n1nj4p0w3r
                                                        28.04.2015 23:11

                                                        1. Вы не забыли, что сертификат должен быть выписан доверенным CA? Или отсутствие «зелененькой» строки навигации уже не повод усомниться в аутентичности?
                                                        2. А это тут вообще причем? Как это отменяет сказанное мной?


                                                        1. teecat Автор
                                                          28.04.2015 23:17

                                                          1. вирус меняет логику, на сертификат ему плевать. был помнится троян, который даже впн канал обходил
                                                          2. не отменяет. я обращаю ваше внимание на то, что антивирус одна из самых защищенных программ, если не самая защищенная и поэтому уязвимым звеном считаться не может


                                                          1. n1nj4p0w3r
                                                            28.04.2015 23:34

                                                            1. Только что была подмена dns, теперь уже вирус, напомните таковой для OS X, разумеется, не требующий админского пароля.
                                                            2. И на каком основании это утверждение построено? Как его проверить? С чего вы взяли, что антивирус надежней OS X?


                                                            1. teecat Автор
                                                              29.04.2015 07:12

                                                              1. такого для осх насколько я знаю пока нет. но вы уверены, что до сегодняшнего обеда такой не появится?
                                                              2. сравниваем количество уязвимостей ОС и антивируса. О скольки уязвимостях антивируса вы знаете — не предполагаете, а знаете?

                                                              текущая фаза разговора тихо переходит в момент, когда обе стороны не желают признать аргументы противника (но случаев заражений я таки знаю больше :-) ) в связи с чем предлагаю мирно разойтись и не портить карму злобными эмоциями

                                                              И искренне желаю не пересекаться с вредоносным ПО!


                                                              1. n1nj4p0w3r
                                                                29.04.2015 11:57

                                                                1. Более чем, кроме того ваш AV в случае заражения таким вирусом — бесполезен.
                                                                2. Не просто же так версии антивируса, не так ли?


                                                                1. teecat Автор
                                                                  29.04.2015 13:22

                                                                  1а. Вы таки даете гарантию за злоумышленников? Лично я не вижу принципиальной разницы между браузерами для OS Windows и OS X. И там и там должны исполняться скрипты, и там и там можно поменять логику работы — самозащиты нет в обоих случаях
                                                                  1б. не факт. В случае портирования функционала (а такие случаи были) — вполне можем перехватить. Не нужно за нас решать, что мы можем, а что нет :-) В Маке иные сложности, но с качеством перехвата они не связаны
                                                                  2. С уязвимостями версии продукта не связаны точно. Исключительно с развитием функционала


                                                                  1. n1nj4p0w3r
                                                                    29.04.2015 15:16

                                                                    1. То что вы не видите разницу — не означает, что ее нет, самозащита есть и если-бы вы читали соответствующие блоги — нашли бы множество свидетельств. Не будет ваш антивирус ловить то, что использует 0-day уязвимость стоимость которой может достигать десятки тысяч долларов на черном рынке(вы сами подтвердили что их появление в природе ранее не замечалось, так-что стоимость может достигать и сотен тысяч), кроме того, добавить в него список процессов антивирусов и посылать при их появлении killall pid — много ума не надо.
                                                                    2. Таки жаль habrahabr.ru/post/220113


                                                                    1. teecat Автор
                                                                      29.04.2015 15:34

                                                                      1. Докажите. Я очень много читаю. Работа у меня такая. Давайте ссылки реализации уязвимостей с примерами обхода антивируса. Я не обязан искать подтверждения для вашей точки зрения
                                                                      2. Вы сказали, что версии продукта связаны с уязвимостями. Я сказал, что нет. И это действительно так. Уязвимости закрывают без изменения версии продукта. Не нужно доказывать сотруднику компании, в числе прочего имеющему отношение к релизам, что и в какой момент делает компания. Я никогда и нигде не отрицал, что уязвимости есть. Но:
                                                                      — их куда меньше, чем в иных продуктах
                                                                      — их гораздо сложнее эксплуатировать, чем в иных продуктах
                                                                      — обновления версий продукта не связаны с уязвимостями

                                                                      До момента предоставления вами доказательств пунктов два и один я тему закрываю. Ибо уже пошли личные фантазии в мой адрес


                                                                      1. n1nj4p0w3r
                                                                        29.04.2015 15:43

                                                                        1. Что доказать? Что в системе в отличии от винды общепринятым стандартом запуск приложений в sandbox или пока-что никем не пробитая проверка целостности приложения по цифровой подписи перед запуском?
                                                                        2. Вы играетесь с понятиями, «версии» = «обновления». К слову, указанная мной ссылка только подтверждает тезис о том, что ваш антивирус крутясь на OS X может оказаться не только наиболее слабым звеном, но и без лишних проволочек подаст злоумышленнику sudo на блюдечке. Насчет «сложнее эксплуатировать» — вы уж извините, но подмена dns приводящая к компрометации системы на уровне суперпользователя — это не уязвимость, это — клиника.

                                                                        Какие фантазии в ваш адрес? Что вы сами подтвердили, что уязвимостей уровня приведенных вами примеров ранее не встречалось?


                                                                        1. teecat Автор
                                                                          29.04.2015 15:58

                                                                          Фантазии в мой адрес «если-бы вы читали соответствующие блоги»

                                                                          «Не будет ваш антивирус ловить то, что использует 0-day уязвимость стоимость которой может достигать десятки тысяч долларов на черном рынке» — вот это для начала и докажите. А про сандбоксы и прочее до этого момента разговора не было.

                                                                          Сказал слово — докажи что пацан, или прилюдно возьми слово обратно

                                                                          До момента получения доказательств — тема закрыта


                                                                          1. n1nj4p0w3r
                                                                            29.04.2015 17:41

                                                                            Вы же сами знаете, что ставите условия которые никто выполнять не будет:
                                                                            1. Найти уязвимость стоимость которой позволяет в нынешнее время пару лет пожить ни в чем себе не отказывая, которая столь-же неуловима как розовый невидимый единорог и о которой барды слагают легенды.
                                                                            2. Опубликовать её за бесплатно в комментарии на хабре, что-бы неверующий Фома получил подтверждение.
                                                                            3. Написать зловред.
                                                                            Первый и третий пункт в принципе не про меня как и про 99.99% населения планеты. Не понятно только с чего вдруг вы решили, что «сначала добейся» — весомый аргумент.

                                                                            Ссылка которую я опубликовал парой комментариев выше — лишнее доказательство того, что вы слишком самоуверенны заявляя о том, что антивирус — не может создать дополнительный вектор атаки на систему.

                                                                            Разговора не было про сандбоксы, да, но я заведомо предполагал, что вы в курсе(вы ведь много читаете, сами сказали), что xcode уже года два-три как предоставляет эту возможность и года два как приложения не работающие в песочнице в appstore вообще не пускают.


                                                                            1. teecat Автор
                                                                              29.04.2015 17:57

                                                                              Я никогда не утверждал, что антивирус может поймать все. Вы же заявили с абсолютной уверенностью о неких фактах. Поймите. в безопасности никогда и ни в чем нельзя быть уверенным на 100 процентов. В частности заявление о пропуске нами вируса через уязвимость было поставлено некорректно. Нам в большинстве случаев плевать на уязвимость (хотя конечно и не на все, но в случае проверки трафика, идущего на приложения плевать с вероятностью под 100 процентов). Далее. Наш антивирус это всегда решение настраиваемое в обязательном порядке и во многом работающее не по сигнатурам, а по спецтехнологиям. Соответственно вероятность, что зараза, идущая на уязвимость будет перехвачена — ненулевая. Поэтому кидаться уверенностями — не стоит.

                                                                              И еще. Линукс и Мак обделены новейшими технологиями заражения не по их крутости (я по происхождению еще и программист под линукс. Даже в базовых утилитах не все так хорошо), а просто в силу малого количества интересующих злоумышленников целей. Пример роста количества найденных под Линукс уязвимостей — тому пример. Да и взломы тех же сандбоксов — имеются. Посему чисто совет — никогда не будьте стопудово уверены в защищенности или крутости авторитета. Всегда найдется место, про которое вы просто не знали/не думали/не предполагали (И вот именно тут без антивируса никак :-) ) — все знать невозможно

                                                                              Удачи!


                                                                              1. n1nj4p0w3r
                                                                                29.04.2015 18:21

                                                                                Я и не говорю о неуязвимости, на pwn2own как-бы примеров потребительских систем которые не взломали, насколько мне помнится, не было.
                                                                                Я говорю о том, что от антивируса на os x может быть больше вреда чем пользы, причем этот тезис имеет под собой не только предположения, но и факты взлома вашего антивируса на «основной ос».


                                                                                1. teecat Автор
                                                                                  30.04.2015 10:24

                                                                                  Поскольку мы пошли на второй круг, то зайду с иной стороны. Я не сомневаюсь в вашем профессионализме, как администратора. Но вы пытаетесь доказать, что должен делать антивирус:
                                                                                  — Человеку, который впервые столкнулся с вирусами году этак в 1990
                                                                                  — Специалисту, который в антивирусной отрасли с 1998 года
                                                                                  — Бывшему разработчику антивирусной программы под Линукс
                                                                                  — Сотруднику антивирусной компании, имеющего доступ к различной статистике и не только

                                                                                  + данном случае я не являюсь представителем компании и моя цель не увеличение продаж, а не более как распространение знаний.

                                                                                  Упаси боже — я не гуру и не знаю всего на свете, но чтобы меня переубедить (а это вполне возможно кстати) нужны веские доказательства. И если я говорю, что антивирус — это наглый котята, который в мирное время жрет сметану и валяется на дороге у всех, но только он может спасти хозяйку дома от мышки — это так и есть. Кот не может спасти дом, пока мышка грызет стенку (ибо она может делать это тихо), но если кот услышал вопли или увидел следы — только он спасет хозяйку от страшной угрозы. Ибо муж вполне может быть далеко от дома


                                                                                  1. n1nj4p0w3r
                                                                                    30.04.2015 14:48

                                                                                    Чего я не делаю, так это не оспариваю ни ваш опыт, ни возраст, ни навыки как программиста. Но одну вещь я отмечу — вы сами несколько раз подтвердили, что не в курсе каким образом os x препятствует вредоносной деятельности, так-что в данном случае вы участвуете в споре проецируя опыт с linux, когда xnu имеет больше общего с ядром *bsd (при этом, не являясь форком любого из них), базовые утилиты так-же в основном из мира *bsd т.к. их лицензия более терпима к закрытым изменениям кода.

                                                                                    Если вас не убеждает факт того, что по приведенной мной ссылке человек эксплуатировал уязвимость в антивирусе приводящей к полной компрометации системы(причем не на *nix системах, которые вы признали как наименее пригодные для антивирусов с «самообороной»), то о чем вообще разговор? Должен отметить, что тот пост написан в ответ на слова от убежденного в нерушимости антивируса сотрудника drweb.

                                                                                    Для меня тот пост является фактическим подтверждением моей точки зрения.


                                                                                    1. teecat Автор
                                                                                      30.04.2015 15:09

                                                                                      Не убеждает. Данная уязвимость была найдена исследователем, о ней было рассказано на конференции, но и только. О фактах ее использования я не слышал. Мне за все годы работы в отрасли известно лишь о порядка десятка уязвимостей (суммарно по нескольким вендорам). Какая еще отрасль может таким похвастаться? Собственно это и опровергает ваш тезис. Антивирус не более чем иные системы уязвим. А куда как менее — так как процент работающих в такой компании специалистов по ИБ крайне высок. А потому он-то как раз не слабое звено.

                                                                                      Не нужно показывать на уязвимости, которые нашли исследователи, но которые не были использованы. Назовите хоть одну, которая была использована. Отсутствие абсолютного знания о вирусах не считаем. Я знаю только одну. Но было это ооочень давно. Антивирус естественно можно свалить. Но сделать это очень сложно, так как он изначально проектируется для работу в условиях активных попыток его сноса (типичный пример утилит для работы в условиях враждебного окружения — CureIt!/CureNet!)

                                                                                      И еще. Нужно понять, что и вы и иные Хаброжители — не типичные пользователи. Вы думаете о безопасности — и я уверен, что можете ее обеспечить в разумных пределах. Но пример того же Флешбека показывает, что подавляющее количество пользователей слепо полагается на декларируемую безопасность — и отлично ловит трояны и прочую пакость. И это не зависит от типа ОС


                  1. MAXXL
                    28.04.2015 15:57
                    +1

                    Ну вот — дыра в Java, установка подозрительного ПО из непонятных источников, при этом пользователь должен сам дать администраторские права установщику. Где тут дыра в ОС? Есть такие же напасти как в Windows- получил зараженный doc/pdf/jpg по почте, открыл и получил зарженную систему?


                    1. teecat Автор
                      28.04.2015 16:06
                      -1

                      Главная дыра в любой ОС — админ, который не умеет настраивать безопасность, так как уверен в безопасности


              1. n1nj4p0w3r
                28.04.2015 15:47
                +1

                Абсолютной защиты разумеется нет, этого никто не оспаривает.
                Но в случае того-же os x есть базовые практики которые позволяют снизить риск заражения до такого состояния, что установка «антивирусной защиты» становится экономически нецелесообразной, даже в корпоративных сетях, где эти деньги можно потратить на те-же диски под хранилище TimeMachine.

                С той-же java, которая последние 3-4 года является чуть-ли не единственной дырой в ОС, но требуется для профессионального софта типа adobe illustrator можно слегка поработать, а именно:
                1. Поставить максимальный уровень безопасности
                2. Удалить биндинг браузерного плагина
                И в результате продолжить работать с нужным софтом, но и без риска подхватить через браузер java-троян.


                1. teecat Автор
                  28.04.2015 15:57

                  Так и в Windows точно также. Вполне можно настроить и использовать без антивируса (и я сходу могу назвать случаи, где по иному нельзя)


      1. bigfatbrowncat
        28.04.2015 14:15
        +1

        > Вирусы находящиеся в продукте в момент покупки/установки ПО
        Да вы смеетесь :) Зачем устанавливать такую дрянь, в которой изначально есть вирусы?

        > сколько случаев, когда все сохранившиеся бекапы уже были с вирусом
        Если бекапить только данные (то есть пассивные типы файлов — тексты, фотографии, видео, музыку, исходные коды программ...), то ни одного случая. А на виндоус, например, я что-то не видел, чтобы хоть один разумный человек бегали папку Program Files.

        > последние два года вилим резкий рост вирусов для Линукс и Мак. До Windows еще далеко, но тенденция в наличии
        Вирус под Мак я себе представить могу. Под Ubuntu — с натяжкой. Вирус под Gentoo — вряд ли.


        1. teecat Автор
          28.04.2015 14:28
          -1

          А как вы определите, что там есть вирусы?
          По железу мало статистики. Самсунг помоему был с вирусами, но это не моя область — могу и ошибаться. В вот СД/ДВД с вирусами было в количестве — именно по причине того, что в момент их создания попавший на них вирус был неизвестен

          > > сколько случаев, когда все сохранившиеся бекапы уже были с вирусом
          > Если бекапить только данные (то есть пассивные типы файлов — тексты, фотографии, видео, музыку, исходные коды программ...), то ни одного случая. А на виндоус, например, я что-то не видел, чтобы хоть один разумный человек бегали папку Program Files.
          — вы таки удивитесь, но и в этих файлах могут быть вирусы. Или в файлах, маскирующихся скажем под картинки. А уж в исходниках — легко. Сейчас просто вирусов как типа нет. А так теоретически с сейчас можно

          И что-то я сомневаюсь, что разумные люди не копируют в целях быстрого восстановления всё.

          Из последнего вирусов под Линукс:
          Linux.BackDoor.Sessox — news.drweb.com/show/?c=5&i=9386&lng=ru
          Linux.BackDoor.Gates.5, продолжающий осуществлять DDoS-атаки на различные интернет-ресурсы news.drweb.com/show/?c=5&i=9358&lng=ru
          Mac.BackDoor.OpinionSpy и Linux.BackDoor.Xnot news.drweb.com/show/?c=5&i=9318&lng=ru

          Это только то, что в новости попало, то есть интересное


          1. bigfatbrowncat
            28.04.2015 14:46

            >в файлах, маскирующихся скажем под картинки
            Если у вас включено отображение расширений файлов, то вирус в картинке может быть только основанным на баге в декодере. Допускаю, что такие возможны, однако что-то я не слышал, чтобы такие распространялись по пользовательской библиотеке фотографий (мне кажется, что «заразить» фотку таким вирусом и при этом визуально ее не испортить невозможно.

            В любом случае это отсекает большую часть возможных проблем.

            >я сомневаюсь, что разумные люди не копируют в целях быстрого восстановления всё.
            Копируют конечно. Но если восстановление из бекапа приводит к тому, что система снова начинает тупить, глючить и грузить сеть не пойми, чем, то после этого лень отступает и совершается переустановка системы «вчистую» с выгадыванием из бекапа только безвредных данных.

            Защититься от всего на свете невозможно. И не нужно. Нужно создать себе условия, в которых работать комфортно, сохранив при этом приемлемо низкий уровень потенциальных угроз.


            1. teecat Автор
              28.04.2015 14:56

              > Защититься от всего на свете невозможно. И не нужно. Нужно создать себе условия, в которых работать комфортно, сохранив при этом приемлемо низкий уровень потенциальных угроз.

              Именно так. Но при этом не нужно винить в проблемах систему защиты — она делает только то что может и не более — знать ее возможности — обязанность админа/безопасника. Собственно меня и бесят статьи, когда люди, искренне считающие себя специалистами, на самом деле совершенно не разбираются в назначении того же антивируса (тихо подозреваю, что по иным продуктам ситуация близкая)


          1. bigfatbrowncat
            28.04.2015 14:55
            +1

            >А как вы определите, что там есть вирусы?
            Простите, не очень пристойная метафора. Идете вы, значит, по окраине и видите девушку в короткой юбке и чулках «в сеточку» у обочины. Стоит, голосует, о чем-то с останавливающимися водителями болтает, иногда уезжает с ними, но всегда возвращается часа через два на то же место.

            Как вы можете оценить вероятность нахождения у нее каких-то венерических заболеваний? Как она соотносится с такой вероятностью, скажем, у вашей подруги?..

            Резюмирую. Чтобы не было вирусов на компьютере, надо устанавливать только ПО, которому лично вы доверяете. Желательно — проверенное годами. От проверенных авторов. И желательно — лицензионное. В MS Office не будет вируса, если это — лицензионный образ с MSN. В игре, скачанной со Steam, не будет вируса.

            Я каждый день хожу на сайт habrahabr, не боясь, что на нем окажется вирус.

            А если юзер ходит по сайтам торрентов-однодневок, где рекламы больше, чем контента, качает оттуда «улучшайзеры» и запускает их на хосте — сами понимаете.

            Никакая автоматизированная защита не отменит для пользователя необходимость думать головой.


            1. teecat Автор
              28.04.2015 15:08
              -2

              1. при распространении на дисках может быть заражен диск
              2. при распространении через интернет может быть:
              — перехвачен репозиторий. Для Дебиана насколько я помню из недавнего было
              — в репозиторий может быть заложен зараженный файл. Пример — Google Play — все из него ставят и туча вирусов
              — перехвачен и подменен файл — редко конечно, но вопрос в цене информации. Из последнего — помещение легитимного Android-приложения в обертку


              1. bigfatbrowncat
                28.04.2015 15:18

                Что из перечисленного вами противоречит моим выводам?

                Давайте я кратко сформулирую их еще раз. Я считаю целесообразными мерами:
                1. Сохранять бекапы данных, но не приложений. Приложения хранить в дистрибутивам от разработчиков
                2. Быть внимательным при работе с сервисами типа Google Play — убеждаться, что вы качаете именно то приложение, которое нужно, а не обертку
                3. Не пользоваться софтом от производителей, запятнавших свою репутацию (примеры приводить не буду — сами их знаете)
                4. По возможности использовать как можно более нестандартную ОС.
                5. Не ходить в интернете «куда попало» и не качать оттуда ничего. Если очень хочется, создайте себе виртуалку, настройте в ней «сетевой мост», чтобы она была не связана с основной машиной и ходите по любым зараженным сайтам, сколько влезет.

                Если вы выполняете все 6 пунктов, то никакая автоматизированная защита вам уже не пригодится. Если вы что-то из перечисленного не выполняете, то автоматика вам не поможет.


                1. teecat Автор
                  28.04.2015 15:23

                  Да вы все верно говорите. Моя статья и мое мнение только о том, что нельзя априори доверять каким-либо методам защиты. Всегда найдется лом или уж, которые пробьют/проползут. И все.
                  Ну еще о том, что нельзя считать, что антивирус всемогущ или наоборот ничего не может — у каждого средства защиты свои возможности и ниши


                  1. bigfatbrowncat
                    02.05.2015 01:06
                    +1

                    > мое мнение только о том, что нельзя априори доверять каким-либо методам защиты

                    Вот тут я с вами согласен полностью. Но…

                    Представьте себе, что у вас есть проблема… скажем, бытовые грызуны. Мыши. И представьте себе, что вы точно знаете, где их нора. И перед вами выбор: травить их вредным и даже опасным ядом (который всё равно наверняка не всех возьмет) или просто забетонировать дыру.

                    Второй вариант, конечно, не обезопасит вас от мышей гарантированно — возможно, заразы прогрызут новую нору рано или поздно. Но зато вы точно не подвергнете себя и близких опасности отравиться ядом. И решите проблему.

                    Ваша идея в моей метафоре соответствует тому, что надо сперва заделать щели, но еще на всякий случай рассыпать яд по всем углам. И дышать им… Да, вероятность, что никто не проберется выше. Но вред от разницы непропорционален.


                    1. teecat Автор
                      02.05.2015 07:10

                      Понимаете. Есть две категории пользователей:
                      1. Обычные пользователи. Тут понятно правят бал мифы и не так обидно, что они ничего не знают. (недавно было письмо пенсионерки, у которой всю пенсию увели. Прибить хочется тех героев взлома...)
                      2. Специалисты, которым вроде по долгу работы нужно разбираться в вопросах безопасности. Вот когда такие клиенты обижаются, что их не спас антивирус…

                      А по поводу уровня рисков и уровня защиты — почитайте иные мои статьи. Я как раз за равновесие. Но и за то, что если вы пренебрегли риском или не разобрались в проблеме лично — виноваты только вы


            1. teecat Автор
              28.04.2015 15:11

              > Я каждый день хожу на сайт habrahabr, не боясь, что на нем окажется вирус.
              1. Крадем логин
              2. Делаем неопределяющийся троян
              3. Пишем статью на тему Киски в иб! со ссылкой
              4. Сколько процентов скачает файло не имея соответствущей защиты?


              1. VBKesha
                28.04.2015 15:34
                +1

                Учитывая пункт два как уменьшить процент пункта четыре?


                1. teecat Автор
                  28.04.2015 15:50

                  два и четыре никак не связаны. Против неопредяляющегося — ограничения среды и прочие меры, против 4 только гипноизлучателями на орбите боюсь :-( Сейчас в России без всякой защиты работает более 30 процентов пользователей


              1. bigfatbrowncat
                02.05.2015 00:52

                >статью на тему Киски в иб

                Знаете, если я такую статью увижу на Хабре, я в первую очередь усомнюсь, что передо мной хабр.

                Однажды меня чуть было не поймали фишеры на сайте «vkonlahte.ru». Выдало их то, что страница грузилась быстрее, чем оригинальный ВК и верстка была чуть-чуть другая. Человек, с детства сидящий перед монитором чувствует подвох быстро. Затем я бросил взгляд в адресную строку…

                В проблеме «замков и отмычек» нет и не может быть победителя. Но для того, чтобы ваши защиты взламывали реже, включите в них вашу собственную внимательность и интеллект, а не расслабляйтесь и не доверяйте «умным разработчикам антивирусов». Иначе в один прекрасный день вы ткнете на баннер, выглядящий как кривоватое окошечко Windows XP с надписью «вы выиграли миллион [ Забрать прям щаз! ]»


                1. teecat Автор
                  02.05.2015 07:01

                  Точно! Именно так!
                  Про киски я конечно загнул. Ну например можно написать переводную якобы новость про катастрофу Протона


        1. Areso
          28.04.2015 22:22

          Чтобы бэкапили Program Files тоже не видел. Зато в моей практике встречалась вынесенные на отдельный жесткий (или отдельный раздел) папки Driver(s), Distr(ib), Games. И вот эти папки, содержащие инсталляционные файлы, уже бывали завирусованными.


  1. dcc0
    28.04.2015 13:38
    +1

    Когда работал в одной фирме, там не было возможности установить программное обеспечение вообще без администратора, закрыт доступ к BIOS, весь корпус в пломбах.


    1. teecat Автор
      28.04.2015 13:53
      +2

      Недавно был вирус — запускался чисто в браузере на джаваскрипте и менял DNS на сетевом оборудовании. А еще вирус, запускавшийся из реестра. А еще…

      Проблема в том, что все до одного риски предусмотреть нельзя. Любую надежную систему мы собираем из компонентов, каждый из которых ненадежен. Антивирус пропускает, но и остальные средства защиты тоже.

      Статья собственно только о том, что те, кто думает, что их одно средство защиты (наиболее часто это антивирус) спасет их гарантированно — мечтатели хуже кремлевских


  1. VBKesha
    28.04.2015 14:24

    Только антивирус может обеспечить гарантированное лечение уже запущенной вредоносной программы (естественно, после получения обновления) – это не может выполнить никакая иная система защиты. Даже форматирование не гарантирует удаление хорошо законспирировавшегося трояна.

    Что подразумевается под термином лечение? Удаление вируса или ещё что то?


    1. teecat Автор
      28.04.2015 14:30

      Обнаружение — это в первую очередь, так как современные вредоносные программы стремятся замаскироваться в системе, удаление и по возможности подчистка следов. Лечение это для вирусов, но если это именно вирус, то конечно и лечение


      1. VBKesha
        28.04.2015 14:39

        Я не спрашиваю про обнаружение, и подчистску следов, мне интересно что вкладывается в термин лечение?
        И что может быть так архисложно зачистить при помощи скажем dd if=/dev/zero of=/dev/sda что этим должен заниматься только антивирус, который уже пропустил что то в систему, а теперь решил вину загладить. И вообще можно ли доверять антивирусу который пропустил вирус, и сам работает в уже зараженной среде?


        1. teecat Автор
          28.04.2015 15:04
          +2

          1. Ну dd конечно снесет почти все (есть редкости, но они редкие и как правило концепты типа вируса распространяющегося через USB-мышку или заражения биоса). Мы рассматриваем спасение работающей системы. Ибо зачастую время на восстановление равно 0 — скажем вам никто не даст тучу времени на восстановления центрального сервера банка (реальная история). И нужно найти не в файлах. Троян запущен. Соответственно ищем в процессах, служебных областях и тд. Затем для трояна — лечение как удаление, для вируса — лечение по настоящему
          И да — нужны драйвера — антивирус должен сидеть ниже всего, что бы не перехватили получаемую им информацию
          2. хороший антивирус имеет систему самозащиты. Поэтому — да, доверять антивирусу, пропустившему вирус можно. Правда не любому конечно.


          1. VBKesha
            28.04.2015 15:29
            +1

            (есть редкости, но они редкие и как правило концепты типа вируса распространяющегося через USB-мышку или заражения биоса)

            И тут антивирусы хоть как то могут помочь(особенно касаясь биоса)?
            скажем вам никто не даст тучу времени на восстановления центрального сервера банка (реальная история).

            Скажут троян и хрен с ним главное работает?
            И да — нужны драйвера — антивирус должен сидеть ниже всего, что бы не перехватили получаемую им информацию

            Да троян уже в системе и уже работает, вполне мог и драйвера поправить.
            2. хороший антивирус имеет систему самозащиты. Поэтому — да, доверять антивирусу, пропустившему вирус можно. Правда не любому конечно.

            Хорошему бы антивирусу да заразу не пропускать вот был бы хороший. И да если не любому то какому нельзя?


            1. teecat Автор
              28.04.2015 15:48

              В случае заражения через мышку — скорее всего перехватят запускаемый файл.

              В 2011 году специалистами «Доктор Веб» был зафиксирован уникальный в своем роде руткит, получивший название Trojan.Bioskit.1, особенность которого заключается в том, что он инфицирует BIOS персональных компьютеров — причем только в том случае, если на ПК установлен BIOS производства компании Award Software. Позже были зафиксированы попытки распространения еще одной модификации Trojan.Bioskit, однако из-за ошибок в коде эта версия троянца не представляет серьезной угрозы

              Насколько я знаю для BIOS в антивирусе только проверка


              1. VBKesha
                28.04.2015 16:05

                В случае заражения через мышку — скорее всего перехватят запускаемый файл.

                То есть имелось ввиду мышка которая превращается в флешку и срабатывает авторан? От это вполне защитит отключение авторана.


                1. teecat Автор
                  28.04.2015 16:12

                  Насколько я помню там в мышку был встроен контроллер и мышки в качестве подарка были разосланы по списку. «все устройства вышли на связь». Это из той же оперы, что и USB-зарядники в тех же аэропортах. Кто смотрит, сколько там контактов?


        1. FractalizeR
          28.04.2015 15:06
          -1

          мне интересно что вкладывается в термин лечение

          Очевидно, удаление самого вируса и следов его работы из системы. Следами может быть все что угодно: измененные настройки безопасности системы, поврежденные / зашифрованные нестойким шифром файлы, отключенный Windows Update, исправленные сетевые настройки и тому подобное.

          а теперь решил вину загладить

          :) Вы про антивирус или про его разработчиков?

          И вообще можно ли доверять антивирусу который пропустил вирус, и сам работает в уже зараженной среде?

          Я полагаю, что не во всех случаях. Резиновые принадлежности не защищают от детей на 100%, но это не означает, что ими не нужно пользоваться.


          1. teecat Автор
            28.04.2015 15:20
            -1

            При выборе антивируса смотреть на возможность лечения активных заражений. Правда комментарии тестов тоже читать. А то тонкости методики позволяют лидеру оторваться :-)


          1. VBKesha
            28.04.2015 15:39
            -1

            :) Вы про антивирус или про его разработчиков?

            И про тех и про других.

            Случаев, когда первый пришедший на работу сотрудник ловил шифровальщика, а опоздавшие — уже нет — имеются в достаточном количестве

            Тут ситуация такова что:
            Антивирус перехватывает на входе не менее 60% вредоносных программ.

            На 40 процентов изделие дыряво, и «дети» уже на PC.


            1. teecat Автор
              28.04.2015 15:56

              Не дыряво, а не имеет искуственного интеллекта и потому может ловить только то, что знает/похоже на известное/определяется заложенными технологиями.

              > И про тех и про других.
              Принцип Линукса — критикуешь — напиши лучше. Не можешь, извинись и возьми свои слова обратно. А то в нашей стране все на кухне могут рулить государством, а вот партию организовать лениво


              1. VBKesha
                28.04.2015 16:10
                -1

                > Не дыряво, а не имеет искуственного интеллекта и потому может ловить только то, что знает/похоже на известное/определяется заложенными технологиями.
                Я купил антивирус который должен был меня защищать от вирусов, он не защитил, дальше может быть большая гора причин почему вот именно сейчас он не сработал, но в целом я потратил деньги зря.

                > Не можешь, извинись и возьми свои слова обратно.
                Ну можно переиначить если обещаешь антивирусную защиту — защити, пропустил — извинись и верни деньги.


                1. teecat Автор
                  28.04.2015 16:15
                  +1

                  Мы обещаем защиту от того что знаем. И нигде не обещаем, что можем ловить все. Пропуск — норма для любой защиты в общем-то. Процентовка только разная
                  А если кто-то приписывает нам мифическое могущество — его проблемы. Пруф в студию, где кто-то обещал не пропускать ничего


                  1. VBKesha
                    28.04.2015 16:30

                    Даже стало интересно а какую именно компанию вы представляете?


                    1. teecat Автор
                      28.04.2015 16:35

                      Не представляю. Ибо мы на Хабре не представлены. Я из Доктор Веба, но если посмотрите на мои статьи стараюсь давать равновесную позицию. Просто в один злобный миг надоело просто читать и решил порезать правду матку :-)


                1. FractalizeR
                  28.04.2015 16:32

                  Ну можно переиначить если обещаешь антивирусную защиту — защити, пропустил — извинись и верни деньги.

                  Я правильно понимаю, что по-вашему разработчики антивирусов должны возвращать деньги каждому клиенту, у которого антивирус пропустил хоть один вирус (неважно, давно известный или написанный вчера самим пользователем втихаря)?

                  Как вы себе представляете антивирусную отрасль в таком случае?


                  1. VBKesha
                    28.04.2015 16:40
                    -1

                    неважно, давно известный или написанный вчера самим пользователем втихаря

                    Меня мучают сомнения что пользователь который может сам написать вирус будет его писать только чтобы вернуть деньги которые потратил на антивирус. А уж если это ещё и давно известный…

                    Как вы себе представляете антивирусную отрасль в таком случае?

                    Появятся более надёжные антивирусы чем сейчас.


                    1. teecat Автор
                      28.04.2015 16:45
                      +1

                      Уверенность обещаний пользователей это хорошо. Обоснуйте свою уверенность.
                      А вот я думаю иначе. Сейчас антивирусная отрасль как бы самая конкурентная. Скажем те же бесплатные антивирусы. Ваше требование их убьет. Соответственно останется пара игроков, задравших цены и переставших развиваться — ибо зачем — конкуренции то нет? — можно тупо давить размером баз


                      1. VBKesha
                        28.04.2015 16:49
                        -1

                        Ну если деньги не брали то и возвращать нечего так что никак их это не убъёт.


                        1. teecat Автор
                          28.04.2015 16:55

                          Выше было написано: «если обещаешь антивирусную защиту — защити, пропустил — извинись и верни деньги». По вашей логике бесплатные решения ничего не обещают.


                          1. VBKesha
                            28.04.2015 17:00

                            Я же не писал возмести убытки, а вот вернуть деньги за подписку если платная это другое дело.


                            1. teecat Автор
                              28.04.2015 17:07
                              +1

                              — Вернуть деньги за пропуск неизвестного — не будет такого, ибо не обещали
                              — Вернуть деньги за пропуск того, что известно и должно ловиться — это теоретически могло бы быть, но:
                              — как доказать, что именно эта модификация вируса известна и должна работать
                              — выгодно станет уменьшать базы и говорить — а мы не обещали ЭТО ловить.


                              1. VBKesha
                                28.04.2015 17:13
                                -1

                                — выгодно станет уменьшать базы и говорить — а мы не обещали ЭТО ловить.

                                Тогда просто перестанут покупать вообще так что не особо выгодно, точней вообще не выгодно.


                                1. teecat Автор
                                  28.04.2015 17:16
                                  +1

                                  О том я и говорю. Схема убьет отрасль


                  1. teecat Автор
                    28.04.2015 16:41

                    Добавлю, что любую отрасль ПО. Если каждая компания, начнет возвращать деньги пользователям за любой баг… Почему только на антивирус наезжают? Он что один не работает и тормозит? Но пепел стучится только на него


                    1. VBKesha
                      28.04.2015 16:59

                      В принципе да, любое ПО идёт без гарантий…
                      Когда любая другая программа то обычно теряешь только один документ. Когда пропускает антивирус то можешь потерять все.
                      В итоге у тебя что то стояло в системе, ело память, ело процессор, ело деньги, а потом в самый нужный момент, не помогло. Это запомнится на долго. Уж такова специфика ваша.


                      1. teecat Автор
                        28.04.2015 17:04

                        Есть такое. Просто антивирус всеми воспринимается как некая таблетка, решающие любые проблемы с безопасностью, а когда этот миф не оправдывается — винят естественно не себя :-(


                        1. VBKesha
                          28.04.2015 17:17
                          +1

                          Ну вот по моему представлению антивирус должен как минимум ловить вирусы/трояны.
                          Если я прихожу к кому то посмотреть компьютер, запускаю банальный msconfig и вижу 3 подозрительных записи, и 5 100% зловредов.
                          А в трее мне радостно машут табличкой мол у нас последняя база, всё супер враги не пройдут, трудно винить в этом кого то ещё.


                          1. teecat Автор
                            28.04.2015 17:23

                            А я вот думаю, что синоптики должны 100% точности давать. А то я выглядываю в окно…


                            1. VBKesha
                              28.04.2015 17:32

                              Вы и имеете ввиду что ситуация вышеописанная вполне нормальная или ещё что то?


                              1. teecat Автор
                                28.04.2015 17:45

                                Как ни грустно — да. Что не знаем/не берем по эвристике — не сообщаем. Именно поэтому мы всех приглашаем к сотрудничеству.
                                Вы послали в антивирусные компании эти файлы? Мы не волшебники, без тех, кто нам присылает семплы мы многого не поймаем. Далеко не все приходит в наши ловушки. Посмотрите на Live.drweb.com в левый нижний угол


                                1. VBKesha
                                  28.04.2015 17:56

                                  Нет я лично не посылал. Ну и скажу к слову что антивирус там был не ваш.
                                  Однако он совершенно не обращал внимание на 5 файлов авторан которых был из каталогов:
                                  C:\RECYCLER
                                  C:\System Volume Information

                                  Ну и я просто пытался объяснить почему столько негатива стало в сторону антивирусов.


                                  1. teecat Автор
                                    28.04.2015 21:06

                                    тогда спасибо за диалог и удачи. Чтобы вирусов по пути попадалось как можно меньше!


    1. bigfatbrowncat
      28.04.2015 14:49

      Когда-то давным давно, когда программы передавались и бережно хранились на дискетках, была такая киллер-фича — вырезать из зараженного исполняемого файла вирус так, чтобы исполняемый файл снова успешно заработал.

      Учитывая, что за незаряженным экземпляром файла надо было скакать семь верст до соседнего хутора, очень ценная была возможность.


      1. teecat Автор
        28.04.2015 14:52

        Вручную с дискеты? Это как?


        1. bigfatbrowncat
          28.04.2015 14:59

          А вот так. Запускаешь ты программку «aidstest», например, а она пробегается по диску, находит зараженные файлы и вычищает из них вирусы. А exe-шники потом запускаются и даже работают (если вирус, скажем, дописал себя в начало файла, а не перетер кусок и не испортил бинарь безвозвратно).


          1. teecat Автор
            28.04.2015 15:16

            Ну это стандартная фича антивирусов. А я уж испугался :-)
            Кстати Лозинский до сих пор работает. В Доктор Веб, ежели что


            1. bigfatbrowncat
              02.05.2015 01:26

              Мне было 7 лет. Я запускал на XT-шке с монохромным монитором aidstest и с восторгом любовался, как он скрипит диском и рисует точечки прогресс-бара возле имен файлов. Я даже первый пролистыватель файлов/каталогов написал, чтобы выглядело «как там». Незабываемое чувство :)


              1. teecat Автор
                02.05.2015 07:13

                Вернусь на работу, перешлю Лозинскому. Думаю ему будет приятно


      1. AmberSP
        28.04.2015 15:06

        Киллер-фича? Я до сих пор был уверен, что «лечение» — это вот именно когда из зараженного файла удаляют вирус и получают «чистый», работоспособный файл. если с вирусом страдал и файл-носитель, это всегда называлось «удаление».

        Сейчас уже не так? 0.0


        1. bigfatbrowncat
          28.04.2015 15:07

          Сейчас с этим никто не заморачивается. Проще скачать незаряженный файл из сети и восстановить. А если заражена система, то переустановить.


          1. teecat Автор
            28.04.2015 15:17

            Не гарантия. В позапрошлом году случай в Москве был — после переустановки постоянно возникал вирус. Именно потому. то так делали


            1. bigfatbrowncat
              02.05.2015 01:27

              А что переустанавливали? Просто интересно…


              1. teecat Автор
                02.05.2015 07:16

                Там просто вирус был на флешке, с которой переустанавливали систему. Название софта не знаю. Не уточнял, когда мне рассказывали


  1. VBKesha
    28.04.2015 15:37

    Случаев, когда первый пришедший на работу сотрудник ловил шифровальщика, а опоздавшие — уже нет — имеются в достаточном количестве

    Не остальные не ловили потому что базы обновились или потому что приходя на работу работают, а не по левым сайтам лазают пока никого нет?


    1. teecat Автор
      28.04.2015 15:52

      Потому что обновились. Это из той же оперы, что и почему ваш CureIt! ловит то, что не ловит ваш же антивирус — качают CureIt! позже и все.


      1. VBKesha
        28.04.2015 16:12

        А можно спросить как же шифровальщик попадал в систему пользователей и запускался там?


        1. teecat Автор
          28.04.2015 16:20

          Типично:
          — письмо от налоговой
          — взломанный сайт, посещаемый по работе


  1. Stalker_RED
    28.04.2015 15:49
    +1

    Современный антивирус, как правило, занимается неизвестно чем, и его поведением практически невозможно управлять.

    Сколько было случаев, когда антивирус «жрет процессор» и при этом не показывает никакой активности? Сколько жалоб было «у меня ничего не работает, отключил антивирус — заработало»? А всё потому, что эти чудесные программы втихую перехватывают/блокируют что-то там внутре, а уведомить об этом — считают лишним. Поэтому многие «продвинутые пользователи» и предпочитают осторожность с бэкапами, и в лучшем случае периодически сканируют каким-нибудь avz или cure-it, которые не стремятся прописать свою постоянно работающую «тормозилку» в систему.


    1. teecat Автор
      28.04.2015 16:02

      По статистике техподдержки 90 процентов «у меня все тормозит» связано с задранным до максимума приоритетом или опциями проверки. Плюс поставленный на 1гиг памяти сервак на последней винде и подобное. Поэтому все претензии по типу «у меня все тормозит» только с указанием тикета техподдержки. Бывает всякое и антивирус тоже может тормозить и конфликтовать, но априори виноват всегда только он. А это не так. Случаев, когда в конфликте были виноваты иные программы — в количестве

      ЗЫ. А еще нужно выполнять все рекомендации техподдержки без пропусков по типу «а это я знаю точно не нужно»


    1. bigfatbrowncat
      02.05.2015 01:29

      Беда в том, что чтобы реально обойти rootkit, надо самому быть rootkit-ом (только более высокоприоритетным). Это — древнее правило войны. Сражаться со злом надо его методами.

      Вот только схватит пользователь rootkit из интернета или нет — неизвестно. А с диска «Антивирус Касперского» (или любого другого аналогичного) он его установит точно.


      1. teecat Автор
        02.05.2015 07:20

        Есть еще более грустный пример выбора. Антивирус после обновления может законфликтовать. Выпуская чаще раза в час обновления их просто невозможно проверить на совместимость со всем существующим. Поэтому логично проверять обновления, задерживая их. Но время вывода денег 1-3 минуты. Соответственно задержав обновления, вы можете лишить компанию денег.


  1. aik
    28.04.2015 16:02

    Единственное, что гарантированно спасёт от шифровальщика — бэкапы.
    Всё остальное (включая антивируса, гигиену, запреты на запуск и т.п) служат только для уменьшения вероятности словить вируса. Но это не значит, что всем этим надо пренебрегать — если полагаться на одни только бэкапы, то восстанавливать оттуда файлы будете ежедневно.


    1. teecat Автор
      28.04.2015 16:09

      От шифровальщика да, хотя случаи, когда писался бекап в пустоту, ибо место кончилось, тоже бывало. А вот против скажем банковских троянов, ботнетов — уже нет. Они расчитаны зачастую на длительное присутствие и все копии бекапа могут оказаться заражены

      Не шифровальщиком единым. Выше пример по троян под мак — обнаружен 4 года назад и до сих пор жив. Бекап тут не спасет


      1. aik
        28.04.2015 16:16

        Так бэкапы в комментах к упомянутой вами статье упоминались как борьба с шифровальщиками, а не с вирусами вообще. Вы же из этого раскрутили тезис о полном отказе от антивирусов.


        1. teecat Автор
          28.04.2015 16:22

          Та статья упоминалась как типичный пример. И не более. А случаев переходов на иное решение, «так как наш пропускает» — очень много


          1. aik
            28.04.2015 16:52

            Все пропускают. Один антивирус пропустит одно, другой- другое… Антивирус просто должен быть, желательно из первого эшелона (Касперский там, веб, симантек и т.п.). Они равноценны. Может быть смысл заменить аваст или авиру на веба, но менять трендмикро на Касперского смысла нет.


            1. teecat Автор
              28.04.2015 17:00

              > Один антивирус пропустит одно, другой- другое
              Увы нет. при создании вируса его тестируют на всех антивирусах, имеющихся у целевой группы. Соответственно пропустят все. (фактор опоздания разбора очереди не берем)

              Поэтому еще раз. При выборе антивируса смотреть не на пропуски, а на самозащиту и лечение активных заражений


  1. dom1n1k
    28.04.2015 16:51
    +2

    Антивирус не нужен не потому, что он не нужен в принципе, а потому что он неэффективен в современных условиях. Увы и ах.


    1. teecat Автор
      28.04.2015 16:58

      Антивирус нужен там, где он нужен, а не там, где он нужен согласно мыслям пользователя. Это две большие разницы. И проблемы антивируса связаны не с антивирусом, как таковым, а а тем, что антивирус применяют не для того, для чего он создается.


  1. RicoX
    28.04.2015 20:01

    Единственный кейс использования антивируса для себя я вывел, как в случае подозрений скачать LiveCD либо что-то типа maldet, единоразово просканировать систему, после чего не использовать до следующих подозрений. Постоянно работающая хрень, жрущая львиную долю ресурсов, сажающая батарею и мешающая комфортной работе в системе постоянно не нужна, тем более что не эффективна. Бэкапы, права, фаирвол — да, антивирус, если не может работать в Live режиме — на свалку истории.


    1. teecat Автор
      28.04.2015 21:15

      время вывода денег из системы ДБО — 1-3 минуты. Удачи с таким подходом


      1. RicoX
        28.04.2015 22:18

        То-есть тот-же вывод денег за те же 1-3 минуты при работающем антивирусе меня должен морально успокоить? Подтверждение транзакций — не, не слышал. Как только производители антивируса будут что-либо гарантировать и отвечать финансово за потери клиентов от вирусной активности, тогда я начну задумываться об установке тупящей, тормозящей хрени, а до этого момента антивирус — плацебо, больше морально успокаивает, чем несет пользы в нормально настроенной и обновленной системе и да я больше доверяю разработчику системы (в моем случае OS X и FreeBSD) чем левой конторе, которая херит на корню всю производительность системы, а потом задалбывает выскакивающими окошками по каждому чиху.


        1. teecat Автор
          28.04.2015 22:35

          нет. вас должно успокоить, что за время между периодическими проверками все уведут. по поводу перехвата подтверждения есть великолепное видео от Касперских.


        1. bigfatbrowncat
          02.05.2015 01:34

          Вы будете удивлены, но в вашем компьютере вообще никто ни за что не отвечает. Не верите — прочитайте лицензионное соглашение на вашу операционную систему. Единственное общее между всеми лицензиями на Soft — от Microsoft Windows License Agreement и до BSD 2 — написанный БОЛЬШИМИ БУКВАМИ отказ от материальной ответственности. Так что, хоть я и не сторонник автоматизированных антивирусных систем как таковых, при таком подходе вам следует выбросить ваш компьютер в мусорку. Или, возможно, купить операционку класса Real Time, написанную для военных за сколько-то миллионов убитых енотов. Там вам, думаю, гарантируют безопасность… если вы ракеты с компьютера наводите.

          > я больше доверяю разработчику системы
          Припоминаю очаровательный своей анекдотичностью случай — стандартная антивирусная программа, входящая в состав Windows 3.11, клеймила вирусом файл SETUP.EXE из дистрибутива Windows 95. Этот случай ничего не доказывает, конечно, но тем не менее… Те, кто пишут ОС и те, кто пишут системы аналитической защиты — очень по-разному мыслящие люди.


          1. teecat Автор
            02.05.2015 07:23

            Все админы нашей страны, сталкивающиеся с военным софтом заулыбались воспоминаниям :-)


  1. kalbas
    28.04.2015 21:48

    3 года на 8ой винде сижу пользуясь только штатным «Защитником». После чтения поста-комментариев, решил проверить как дела с системой с помощью Dr.Web CureIt!. Спустя пару минут после запуска утилиты «Защитник» выдал такое:

    Скрин
    image


    1. teecat Автор
      28.04.2015 21:58

      Написать в техподдержку support.drweb.ru/support_wizard/?lng=ru


    1. bigfatbrowncat
      02.05.2015 01:38

      <шутка>
      Может это была часть его самого, которую он героически «вылечил»?
      </шутка>