Там также указывается, что подразделение АНБ под названием Tailored Access Operations (TAO), которое известно как «наступательное подразделение» (offensive security unit), могло «перепрофилировать» вредоносное ПО для выполнения других функций, например, для обхода функций безопасности антивирусов.
Права на запись в подавляющем большинстве случаев есть на директории, в которые из CMS (и не только) загружается контент, а также на папки кэша, логов (если таковые ведутся со стороны CMS) и т.п.
Я имел в виду, что если файл чист, а антивирь его забанил (false positive) — это не так страшно, как если файл заражен, а антивирь его пропустил (false negative).
Если антивирусная программа будет ложно детектировать вредоносный код в компоненте какой-либо очень популярной программы (а уж тем более в одном или нескольких системных файлах), это в какой-то степени даже хуже для пользователей, чем временное отсутствие детекта реальной сложной угрозы.
false negative для антивируса куда более неприятна, чем false positive
Не всегда. Смотря какой false positive и какое отсутствие детекта.
В настоящее время классические файловые вирусы встречаются довольно редко и тем более не часто используются для распространения другой полезной нагрузки.
Сейчас вредоносные программы чаще распространяются иными способами. Интереснее было бы увидеть описание современных угроз, с которыми компании Mail.Ru скорее всего приходится сталкиваться.
Очевидно, есть ограничение на размер проверяемого объекта (в т.ч это могут быть ограничения движка). Но исключать объекты из проверки только по типу было бы крайне неэффективно в современных условиях.
Какая разница, какой объект проверять? Сигнатурному анализатору все равно.
Иногда вредоносный код в графические объекты инжектят (правда, это серверный вредоносный код, но тем не менее). Таким образом, все что отдает веб-сервер имеет смысл проверять.
Плюс ко всему, часто заражение начинается с эксплуатации уязвимости в скриптах какой-нибудь популярной CMS. Далее осуществляется загрузка на сервер php shell'а, а там уже как получится.
В этой связи, необходимо следить за актуальностью версий используемых CMS. Если по каким-то причинам обновить CMS до актуальной версии не представляется возможным, как показывает практика, довольно эффективной мерой является максимальное ограничение прав на запись в поддиректориях таких сайтов (хотя, это, конечно, не панацея).
Плюс почему автор не убедился, что в тестах участвуют актуальные версии продуктов?
> Dr.Web 7.0
На сколько мне известно, актуальная standalone версия сейчас 8.0.
Вывод: очередная бесполезная статья, т.к тестер не стал разбираться в тонкостях.
Тем временем, официальный ICQ-клиент под Android так и не научился закрывать сессии корректно: если осуществить выход из приложения или завершить из таскменеджера, аккаунт висит в онлайне. Самое неприятное тут — все, что отправляется в такой «онлайн», уходит в никуда.
Вообще не очень понятно как в принципе то или иное расширение получает апрув.
Тут похоже никто из модераторов/аналитиков даже не попытался его поставить и протестировать.
Никто не обращается в органы ведь, т.к никому это не надо. Гораздо проще отдать злоумышленникам 20, 100, 1000 рублей и забыть про инцидент как страшный сон (утверждение актуально и для пострадавших от различного рода winlock'ов, mbrlock'ов, хотя тут оплата почти никогда не гарантирует восстановление работоспособности системы).
Больше года держу личную почту на Яндекс.посте для домена, всем доволен.
Да, далеком не все удобно для миграции 20 и более почтовых ящиков, но у подавляющего большинства платных хостеров проблемы происходят и покруче.
В принципе считаю, что компания, которая нуждается в 20 и более ящиках, может содержать собственный почтовый сервер. Да, это требует определенных затрат, но зато все под контролем.
У АНБ не хватило денег на покупку приватного API Virustotal, который позволяет скачивать образцы вредоносных программ www.virustotal.com/ru/documentation/private-api? Или что им стоило надавить на Virustotal, который по факту принадлежит Google: blog.virustotal.com/2012/09/an-update-from-virustotal.html? Информацию с VT проще обрабатывать, чем перехваченные пользовательские репорты.
Спасибо!
Если возможно, сообщите, пожалуйста, хэш сэмпла *nix-бэкдора SSHD, о котором идет речь в исследовании.
Если антивирусная программа будет ложно детектировать вредоносный код в компоненте какой-либо очень популярной программы (а уж тем более в одном или нескольких системных файлах), это в какой-то степени даже хуже для пользователей, чем временное отсутствие детекта реальной сложной угрозы.
Не всегда. Смотря какой false positive и какое отсутствие детекта.
В настоящее время классические файловые вирусы встречаются довольно редко и тем более не часто используются для распространения другой полезной нагрузки.
Сейчас вредоносные программы чаще распространяются иными способами. Интереснее было бы увидеть описание современных угроз, с которыми компании Mail.Ru скорее всего приходится сталкиваться.
Иногда вредоносный код в графические объекты инжектят (правда, это серверный вредоносный код, но тем не менее). Таким образом, все что отдает веб-сервер имеет смысл проверять.
В этой связи, необходимо следить за актуальностью версий используемых CMS. Если по каким-то причинам обновить CMS до актуальной версии не представляется возможным, как показывает практика, довольно эффективной мерой является максимальное ограничение прав на запись в поддиректориях таких сайтов (хотя, это, конечно, не панацея).
Причем пароль был не просто очень слабый, а вероятно — словарный.
> Dr.Web 7.0
На сколько мне известно, актуальная standalone версия сейчас 8.0.
Вывод: очередная бесполезная статья, т.к тестер не стал разбираться в тонкостях.
Кортежи же (см. www.erlang.org/doc/reference_manual/data_types.html), классический вывод. Иначе реализовать логирование можно, только не стоит оно того.
А вообще надо придумывать такие пароли, чтобы в разумное время их невозможно было подобрать.
Тут похоже никто из модераторов/аналитиков даже не попытался его поставить и протестировать.
Да, далеком не все удобно для миграции 20 и более почтовых ящиков, но у подавляющего большинства платных хостеров проблемы происходят и покруче.
В принципе считаю, что компания, которая нуждается в 20 и более ящиках, может содержать собственный почтовый сервер. Да, это требует определенных затрат, но зато все под контролем.