Pull to refresh

Comments 34

Однако реверсеры из ThreatMetrix Labs «Америку открыли». В среднем любому малвару-спецу достаточно 3-4 часов чтобы нужный ему файл не детектировался. Так что игра в догонялки еще не скоро закончится
Абсолютно. С таким же успехом можно заявлять, что пинч жил, жив и будет жить, ибо непобедим.
Неужто до этого никто не использовал динамическую криптозащиту?
Эм, от продолжения поддержи Zeus отказался сам его создатель еще года два назад, в публичный доступ утекли его сорцы, из-за чего он переродился в десяток отдельных ботов. О каком zeus идет речь?
Устаревшая информация. Автор давно продолжил поддержку.
ну мы сейчас говорим об авторе? Славик продолжает работу над своим детищем )
А то что исходники утекли, я думаю это продуманный обманный маневр, что затеряется среди других адонов.
UFO just landed and posted this here
Вы же понимаете, что сделать нечто более серьёзное не вызовет проблем.
А в настоящий момент судя по статье и такого достаточно.
Почему-то некоторые люди когда видят что для шифрования используется исключающее или, думают что это почти открытый текст, бери себе и вскрывай частотным анализом.

Но скажите откуда вы знаете что там шифруется? Может тот кусок который надо зашифровать с опасными элементами и занимает <= 4K?
Между прочим при таком исходе эта система будет обладать абсолютной криптографической стойкостью. Кроме как перехватить ключ и использовать его, других способов вскрыть защиту нет.

Да-да, это круче чем Blowfish и даже круче чем RSA, при соблюдении указанного выше условия.
4 байта, а не килобайта. One-time pad тут не подходит.
Да, моя невнимательность. В таком случае товарищ TolTol прав, назвать это защитой язык не повернется.
Посыпаю голову пеплом.
В который раз убеждаемся, что к вопросам безопасности следует подходить комплексно. Ни в коем случае нельзя полагаться на антивирусную защиту, впрочем, равно как и игнорировать ее.
Но зачем она нужна? Антивирусы — это всего лишь способ вытягивания денег из населения. Старый добрый MAC спасает в 100% случаев. Нет MAC'а — вот и получают и «неуловимые» вирусы/трояны или «ой я случайно удалил эту папочку что мне делать?». Нет MAC'а — приходится ждать обновления антивируса и надеяться что вирусописатели не успеют быстрее антивирусников обновить своё детище, вместо того чтобы просто добавить еще одно правило запрещающее подозрительное действие. Думаю этот список можно продолжать бесконечно.
а причем здесь мак адрес и как он может отсутствовать?
ступил :)
тяжело читать чужие мысли на расстоянии
Вы точно уверены, что хотя бы приблизительно понимаете, что такое MAC?
предполагаю, он не слышал даже про sensitivity labels и clearance и не знает, чем отличается B3 от A1. Потому как модель Белла-ЛаПадула имеет дело только с конфиденциальностью, а к целостности не имеет отношения.
Да. А еще представляю что его можно использовать не только для защиты системы от несанкционированных действий пользователя, но и системы от вредоносного ПО, Запуская программу пользователь знает что она должна делать, следовательно её можно ограничить во всём остальном. На этом кстати основаны существующие политики SELinux для разнообразных сервисов. Это конечно не относится к некоторым типам ПО, но для большинства такие политики определить вполне возможно, более того я вполне успешно определял политики для классов софта, таких как web-браузеры, im-клиенты (скайп не запустился, но вроде никто не сомневается что это малварь, да? :) ). К сожалению пока ни одно MAC расширение ядра Linux не способно в полной мере позволять пользователям определять свои собственные user-space политики для софта который они планируют запускать, но надеюсь в ближайшее время это исправят, а пока конечно подобные методы ограничены только для машин с админским доступом.
Спасибо за откровенное и не оставляющее никаких сомнений признание в том, что Вы действительно не представляете что такое MAC и зачем он нужен. А ведь bondbig ответил раньше Вас — могли бы хотя бы ключевые слова погуглить.
А где я говорил что нужно использовать _только_ MAC? Может быть bondbig и знает много теоретических слов из википедии, но по-видимому не знает что SELinux умеет не только в конфиденциальность но и в целостность системы.
Вот что меня всегда поражало в людях вроде Вас, так это упертость с которой Вы верите, что все остальные ТОЖЕ идиоты и ничего не знают. Нет, ну в самом деле, не можете же Вы не осознавать, что НИЧЕГО не знаете о безопасности. Ну блин почему же Вы пишете так, как будто все Ваши предыдущие комментарии ВНЕЗАПНО стали невидимыми. Напомню:

Старый добрый MAC спасает в 100% случаев. Нет MAC'а — вот и получают и «неуловимые» вирусы/трояны или «ой я случайно удалил эту папочку что мне делать?». Нет MAC'а — приходится ждать обновления антивируса и надеяться что вирусописатели не успеют быстрее антивирусников обновить своё детище, вместо того чтобы просто добавить еще одно правило запрещающее подозрительное действие.


MAC — панацея. MAC — излечит СПИД с малярией в Африке и геморрой у офисных работников. MAC, только MAC.

Если же исключить MAC (который вообще не к месту, а к месту модель целостности Биба, опять-таки ВНЕЗАПНО, реализованная в винде), то SELinux — довольно кривая реализация самого обычного DAC. Да-да, того самого, который в винде уже 20 лет (и пришел туда из VMS, где был еще 30 лет назад — как раз во время, когда поделка, созданная для игры в Space War, изобретала свои триплеты).
А вообще прежде, чем меня исправят другие, признаю, что MIC не совсем полно реализует модель Биба, что не отменяет абсолютную нерелевантность MAC в данном контексте.
Меня всегда поражало когда телепаты вроде вас ставят диагноз по двум сообщениям.
ОК, я исправлюсь, MAC спасает в 100% случаев если вы запускаете программу, которая работает заведомо известным способом, запрашивает и заведомо известные ресурсы, в этом случае MAC поможет. В остальных случаях конечно нужна проверка целостности и по возможности запуск программы в сендбоксе.
Телепатия имеет к этому такое же отношение, как и MAC. Мой хрустальный шар говорит мне, что Вы все-таки получили какое-никакое образование (как минимум среднее). Скажите, имеет ли телепатия отношение к тому, что происходит на экзамене? Если студент начинает пороть откровенную ЧУШЬ, знающему человеку это сразу видно, хотя студент и может считать себя чрезвычайно хитрым и способным «запудрить мозги» любому. Мне очень неприятно Вас огорчать, но «пудрить мозги» — это Вам в МГИМО на теософию. В IT — довольно легко оценить квалификацию и кругозор человека просто побеседовав с ним немного.

ОК, я исправлюсь, MAC спасает в 100% случаев если вы запускаете программу, которая работает заведомо известным способом, запрашивает и заведомо известные ресурсы, в этом случае MAC поможет

Ну блин, ЗАЧЕМ!!! Вы же не можете не осознавать, что не имеете ни малейшего понятия о том, что такое MAC? Зачем Вы продолжаете публично позориться, демонстрируя не просто свою безграмотность, а именно самоуверенную безграмотность?

Хотя ОК, давайте на секунду предположим, что мы с bondbig просто не доросли до Вашего уровня. Расскажите, пожалуйста, каким образом MAC поможет в описанном Вами случае. Ну вот смоделируйте угрозу и покажите, каким образом MAC решает проблему. Да еще и на 100% (100% безопасный линукс это «гы, сына, лол»).
Бро, иногда надо уметь вовремя остановиться, признав неточность собственных высказываний. Если уж тебя так напугали мои слова (за которыми мне не требуется ходить в википедию), то лучше возьми таймаут и изучи тему. Я серьезно.
Признал, и изучил. И могу уверенно заявить что модель TE в SELinux не имеет отношения ни к модели Белла-ЛаПадула ни к модели Биба.
Я то думал Zeus уже устарел и не обновляется, оказывается это не так, всё-таки автор продолжил разработку.
4-х байтные ключи могут и закончиться, как IPv4 :) и тогда антивирусы смогут его все-таки отловить.
Или антивирусы могут брутфорсить дешифровку :)
Мне кажется, что журнались просто прочитал описание вируса и сделал какие-то свои выводы.
Если честно, слабо представляю как обычное xor-шифрование может обойти детектирование. Давно уже все антивирусы обзавелись эмуляторами, песочницами и прочими механизмами проактивной защиты.

Да и вообще, подавляющее большинство антивирусов легко обнаружат любую модификацию Зевса ещё на этапе заражения по последовательности вызовов WriteProcessMemory()/CreateRemoteThread(). Уже многие годы Зевс распространяется исключительно из-за безалаберности пользователей, которые пользуются устаревшими ОС. Поправьте, если где-то ошибаюсь.
Несмотря на то, что у SpyEye и Zeus разные создатели, программы обладают общей чертой – они легко проникают и устанавливаются на компьютеры, с которых осуществлялся вход на незащищенные интернет-ресурсы или взломанные хакерами страницы, а также через зараженные ссылки в электронной почте. (http://www.cnews.ru/news/top/index.shtml?2012/06/28/494542)
Sign up to leave a comment.

Articles