Pull to refresh

Comments 56

И что они этим докажут, интересно… Не говоря уже о том, что ключевой компонент антивируса — система обновлений, через которую может прийти все, что угодно.
Можно проверить, например, способна ли программа через обновления принимать ТОЛЬКО сигнатуры, или что-то еще? И насколько это что-то еще может влиять на исходный функционал программы?

Я говорю о принципиальной возможности, в реальности это сделать будет, пожалуй, затруднительно.
Обновляются не только сигнатуры, но и программные модули антивируса.

Вот-вот. Никто не будет потом мониторить обновления. Так что бесперспективно все это...

Базы это не только сигнатуры, но и туча кода. Для примера — в базах находятся все разархиваторы. То есть даже отключив обновления самого антивируса ничего не добьешься

Короче пиар для тех, кто не понимает, что есть антивирус
Код из баз можно запускать в изолированной песочнице.

Вы бы посмотрели что там из баз распаковывается procmonом например некоторые файлы и их расширения и расположения тонко намекают что работают без всяких песочниц

Это должно выясниться при открытии кода. Если так — не пройдут экспертизу.
В базах много компонентов которые не могут работать в песочнице(разумеется это не сигнатуры и не распаковщики), и вряд ли смогут просто посмотрите на названия содержимого в bases.cab и сами все поймете
Фантастика.
— код в базах может быть самый разный. Но грубо говоря это вызываемые функции (ага — запуск кода из области данных). Сами по себе функции не запустишь. Надо строить окружения под каждый случай и надо всю логику обращений между записями баз знать, распаковать их все и тестировать. Я не думаю, что это делает даже вендор. И это не говоря об облаке — что происходит там, какие процессы, какая команда в итоге придет оттуда — никому не ведомо.
— обновления в среднем каждые полчаса. Никто всю логику для тестов вам документировать не будет. Насколько часто вы можете вручную обновлять тестовые среды под новые записи. Добавим, что образцов вредоносного ПО вам не дадут
— код в базах кросплатформенный. Грубо говоря видимая часть антивируса это прослойка между базами и ОС, транслирующая вызовы баз в вызовы конкретной системы. Все это восстановить для тестирлования…
Вопрос скорее как они докажут, что это релизный билд, а не собранный специально для эксперта?
UFO just landed and posted this here

Для начала доказали бы их компетентность :)

Для функционирования антивируса в роли шпионского софта достаточно принимать только сигнатуры при условии что антивирусу разрешено подавать «наружу» сигналы об их обнаружении а еще лучше «найденные образцы вредоносного кода». Одного этого уже хватит чтобы получился отличный инструмент для поиска документов и уязвимостей на компьютерах «жертвы».
Такую функциональность в исходном коде сразу заметят.
Открою вам маленький секрет, основной алгоритм работы всех антивирусов без исключений, это шарится по диску в поисках сигнатур, от пользовательских до системных папок (имея полный доступ на уровне системы). Соединив это с, теперь уже повсеместным, обновлением через сеть и популярным «облачным анализом вредоносного кода», сам антивирус уже фактически стал неотличим от шпионского ПО.

Так вот и нужно, чтобы антивирус работал без соединения вовне. Раньше точно можно было скачать обновления в виде файлов, скормить их антивирусу. Если сетка организации физически изолирована от интернета а файлики обновлений таскаются туда на флешке, то и опасности утечек нет.

Ну так и работает. Можно качать обновления с аналога wsus для касперского. + для бизнес версий перед включением ksn показывается соглашение. Если не согласен выключай или покупай kpsn. Я оч. сомневаюсь что у работника веб стоял kis/kav скорее всего стоял kes/wsee и он ссзб
Они могли бы запускаться в песочнице. Хотя в базах сохранилось много древнего кода на ассемблере, его можно выполнять на интерпретаторе, а исходники интерпретатора проверить на безопасность.
UFO just landed and posted this here
Один из компонентов этого антивируса отправляет «подозрительный» контент на сервера касперыча. И кто решает какой контент подозрителен в этот раз? — это эвристика, которую получает касперыч через обновления.
Т.е. по сути — антивирус это автомат, который управляется из-вне. Значит и «шпионские» функции его могут образоваться там где надо и когда надо _без_ изменения кодов программы. Данные решают всё. А код уже готов.
Интересно что скажут эксперты.
Читается, как пародия на шпионский детектив.
«Лаборатория Касперского» скопировала секретные документы с компьютера сотрудника АНБ. Об этом, как утверждается, узнала израильская разведка...
Должно быть предусмотрено отклучение этой функции.
Оно и предусмотрено. Если KSN отключен, ничего отправляться не будет.
То есть настолько упала прибыль, что решили не только открыть код, но и делают заявления, противоречащие политике РФ? Я про «любые попытки поделить киберпространство, исходя из географических территорий, контрпродуктивны. Им надо положить конец.»
Ну, на сколько я замечал, это бывшая жена облизывает политику РФ, а она никакого отношения к антивирусу уже давно не имеет.
Сам Касперский скорее не за тотальный контроль а за тотальную безопасность, которая с его точки зрения базируется на идентифицированности и единых правилах для всех. В принципе достаточно резонно с точки зрения безопасника, но весьма наивно с точки зрения чекиста (грубо говоря при общем желании ввести сетевой паспорт с точки зрения Касперского сетевой паспорт нужен при работе с банком, но не нужен для ведения блога, ну а другое мнение мы и так хорошо знаем)
Да, в России то денег нет, антивирусы покупать. Большая часть продаж зарубежем.
По итогам года доход «Лаборатории Касперского» составили $644.
Да уж, — негусто. Или тут что-то недосказано?
На Северную Америку до начала разбирательств приходилось около $24,3% от суммарного объема доходов компании.


Что-то явно следует убрать — или "$", или "%".

Это же $24 = 3% от дохода в $644 (строго говоря, 3.73%, но тут произошло целочисленное округление)

Понятно, случай значащего пробела.

Тот момент, когда думал, что пошутил, а оказалось, что всё так и есть

Такого дохода хватит только на 6 багов по 100.000$...

Не хватит. Дохода же всего $644 :)
Будете «весело», если в исходниках найдут брешь в защите, которой воспользуются авторы криптолокеров.
Дыры уже находили, правда об использовании злоумышленником речи таки не шло… В этом плане антивирус просто идеальный вариант для атак — выполнение с привилегиями системы, наличие самозащиты, доверие со стороны пользователей и т.д.

После работы в KL понял, что их деятельность нацелена прежде всего на получение прибыли с пользователя. А антивирусы, защита от киберугроз — это такой побочный, приятный для юзера, эффект.


Это говорят про все компании, но обычно внутри всё-таки слышно, что людям интересно сделать удобно, производительно, снизить процент возвратов и отказов. А в KL — «как мы это продадим» и «как это поможет нам продать KIS/KAV».

Это говорят про все компании, но обычно внутри всё-таки слышно, что людям интересно сделать удобно, производительно, снизить процент возвратов и отказов

Подтверждаю, в компании где я работаю есть и ценится внимание к нуждам и забота о пользователях, а не только лобовое «как мы это продадим». Косяки и проблемы в уже проданных продуктах которые репортируют пользователи практически всегда имеют приоритет #1, хотя денег за их исправление мы (по крайней мере напрямую) не получим. Не знаю что там в KL, но поскольку личный опыт общения с ребятами из KL был крайне негативным то что как-то вот охотно верю что там народ гораздо циничнее.
Вполне нормальное желание. Хотя когда я работал в KL от общения с Евгением у меня сложилось впечатление, что он действительно боиться глобальной эпидении компьютерных вирусов и рвется с ними бороться.

С Евгением я лично не общался, ничего не могу сказать. Но было приятно, когда он поставил в фойе скульптуру Дали.

Я по заголовку подумал, что они свои исходники на уже github выложить решили :)
Сейчас чуть ли не каждая первая операционка втихаря устанавливает свой антивирус. Да что там ОС, даже браузеры пытаются искать вирусы.
image

Следование разумной гигиене работало и до эры антибиотиков. :-)

Вся это история стала ещё одним подтверждением популярного в среде экспертов по компьютерной безопасности тезиса о том, что в современных компьютерах главную угрозу безопасности составляют сами антивирусы.

Можно узнать, что за эксперты соглашаются с этим тезисом?

Гуглите сами, ленивый вы наш.

Вот ведь даже потратил пару минут, но что-то не нашёл толп экспертов с такими высказываниями.
На мой взгляд, вы просто пытаетесь выдать непонятный бред за «популярный в среде экспертов по компьютерной безопасности тезис».
Соответственно хотелось бы как-то обозначить, что данный тезис популярным *не* является. А то вдруг ещё поведётся кто.

Сходу не могу сейчас вам дать ссылку на соответствующую дискуссию, но в качестве для информации к размышлению
http://blog.ptsecurity.com/2016/06/antivirus-as-threat.html
Ну и возвращаясь к Касперскому и иже с ним. Рассматривать столь сложный софт, как современные антивирусы, которые могу самостоятельно скачивать и устанавливать любой бинарный код, отправляя, при этом, на свои серверы любую информацию по своему усмотрению не как серьёзную угрозу безопасности невозможно.

Спасибо.
Я ни в коем случае не хочу сказать, что антивирус — это панацея, что антивирусы совершенны, от всего защитят и всё такое. Безусловно, они бессильны против новых угроз, против APT и так далее. Конечно, в них могут быть и какие-то уязвимости. Да, установка на ПК антивируса приносит определённые дополнительные риски.
Но всё же называть антивирус главной угрозой безопасности — это уж ни в какие ворота.
Ну и по вашей ссылке — тот же вывод:
Despite all of the above outlined vulnerabilities, we cannot completely abandon the use of antivirus software.

Что же на самом деле является главными угрозами для обрабатываемой на ПК информации — я сходу сказать не могу, это нужно обращаться к аналитике. По моим представлениям, на первых позициях будут вредоносный код, ошибки (или умышленные действия) пользователей и администраторов, аппаратные / программные сбои и так далее.
Антивирус тоже можно включить в этот список, но он будет находиться где-то в конце, на уровне стихийных бедствий, народных восстаний и метеоритов.

В том то и дело, что антивирусы можно рассматривать как (потенциально) вредоносный код, причём тотально распространённый.

Можно, при достаточном уровне паранойи.

Но у меня претензии к тому, что вы назвали антивирус главной угрозой, да ещё и заявили, что это — распространённая среди экспертов точка зрения.
Что, на мой взгляд, совершенно не соответствует действительности.

Если ещё эксперты есть у вас — пожалуйста, покажите. В предыдущей ссылке они сами говорят, что риски есть, но отказываться от антивируса — не вариант.
Sign up to leave a comment.

Articles