Comments 34
Работа со сложными вирусами (детектирование, лечение) — по сути, исполняемые скрипты, и тут нельзя по-другому. А эти скрипты скачиваются с обновлениями баз. И запретить обновления нельзя — какой толк от антивируса без обновлений. Можно вручную проверять каждое обновление (и требовать исходники баз в человеко-читаемом виде), но это уже другая история.
Закон то как раз известен. Продолжая вашу логику, следует выложить в открытый доступ информацию о том, от каких информаторов ФСБ узнаёт о готовящихся терактах. Предлагаю не доводить логику до крайностей, и остановиться на золотой середине, которая более-менее эфективна.
исходники антивирусов обязательно должны быть открыты, чтобы их перестали подозревать в троянизме.
А почему это не касается любого другого софта, что вы устанавливаете на свой компьютер?
Смотря где. В Виндоуз, действительно, есть практика использования "портабельных" приложений, но в Линукс типично установка производится только из-под рута. Возьмите сторонние пакеты популярных коммерческих приложений, например: skype, slack, vs code. Их дебиан-пакеты при установке прописывают в систему свой ключ и свой репозиторий. Это значит, что с этого момента компании могут обновить любой файл в вашей системе, например, они могут "обновить" вам sshd, firefox, bash или любую другую стандартную программу. Более того, slack еще и прописывает в крон скрипт, который проверяет ежесуточно, что их репозиторий в /etc/apt/source.list.d/ не закомментирован, и раскомментирует его в этом случае обратно (по комментариям в коде, это делается на случай обновления дистрибутива).
Потому в Линукс, если вы ставите что-то стороннее, коммерческое, проприетарное, из-под рута, вы по сути даете компании полный рутовый доступ в вашу систему. То же касается докеров и прочих популярных сторонних утилит.
Но это легко обходится добавлением новой задачи/правила в systemd, crond, udevd и еще много куда.
Умея пользоваться менеджером пакетов на уровне выше чайника, можно установить пакет в chroot и пусть он там обновляется как хочет.
Но главное, что все эти системы пакетов — предназначены для доверенного софта. Для недоверенного их использование давно устарело. Используя Flatpak вы можете установить любое из перечисленных приложений, полностью отобрать у него доступ к системе даже на чтение (перед первым запуском, к тому же), и оно всё равно продолжит работать и обновлятся.
По сранению с этим, в Windows большиство приложений вы не сможете запустить, не запустив перед этим от рута его инсталлятор. Никакие Sandbox в Windows не могут Sandbox-ить инсталлятор, потому что в формате MSI сам инсталлятор не делает процедуры, вместо этого делегируя их системному процессу.
Какую кнопку надо нажать, чтобы отказаться им разрешать обновления? Это надо вручную после установки .deb удалять крон-скрипты и файл в /etc/apt/sources.list.d/, причем при переустановке или перепроверке он прилетит обратно.
В Линуксе пока все плохо с установкой стороннего ПО: она там просто-напросто не предусмотрена, потому и делают такие костыли, как самовольное добавление себя в конфиг apt. Я знаю, что там делают appimage, snapcraft и flatpack, но они, конечно, поздновато спохватились: Линукс уже более 20 лет существует, а средства для распространения приложений только-только начинают делать. Но, конечно, хорошо, что вообще делают.
Умея пользоваться менеджером пакетов на уровне выше чайника, можно установить пакет в chroot и пусть он там обновляется как хочет.
Для этого придется заморочиться с разными конфигами, писать свои скрипты, это не штатная возможность.
По сранению с этим, в Windows большиство приложений вы не сможете запустить, не запустив перед этим от рута его инсталлятор.
В Windows есть портабельные приложения в виде архивов, и часто установщик можно распаковать, а изоляцию бедного человека можно реализовать, запуская приложение из-под отдельного пользователя (при этом ломается драг-н-дроп, права на файлы и тд).
dpkg -i --force-not-root --root=/path/to/temp package.deb
Установить в промежуточную папку, удалить всё ненужное, всё остальное копировать в систему. К сожалению, напрямую из промежуточной папки оно не заработает, потому что всем плевать и они пишут абсолютные пути к ресурсам. При обновлении оно не слетит, потому что само оно не обновится.
Портабельные приложения существуют, но они почти всегда пиратские. А мы же с вами белые и пушистые.
Эта статья — неплохая реклама хакерской группы. Написана по всем канонам. У меня, как у читателя, появилось чувство доверия и уважения к этому коллективу.
«с большой уверенностью оценивают, что Fxmsp является надёжным хакерским коллективом, который имеет историю продажи поддающихся проверке корпоративных взломов, на которых они заработали около $1 млн».
Это же годы. Для коллектива и на годы, да еще плюс комиссии большие за анонимную обналичку/выведение денег — это очень мало.
Не обнаружил наименований продуктов. Вода.
На подпольных форумах Fxmsp также прокомментировала возможности программного обеспечения различных компаний и оценила их эффективность.
Самое интересное не опубликовали!
Хакеры продают исходники трёх антивирусов: код агентов и модули аналитики, основанные на машинном обучении