Без проблем. Я не фанат. И знаю недостатки антивируса. Но предложите лучше при условии, что:
— уязвимости есть везде
— в любой момент времени есть пока еще неизвестные системе защиты вредоносные программы.
Если честно обсуждать как защищаться это не мое, я в защиту не верю, но все же приведу стандартные шаги отсеивающие банальные угрозы:
обновляйте ОС
используйте не админскую учетку
используйте политики безопасности
обновляйте браузер
поставьте в довесок MSE
можете поставить EMET
Более менее адекватная защита для обычного пользователя Windows хоста без переплаты.
После чего любая МарьВанна, не говоря уже о вирусе будет сносить корпоративную защиту. Да.
Безопасность это как и атака процесс.Никогда не будет так, что вы поставите продукт и обеспечите себе гарантированную защищенность.Опять же взглянув на шажки выше можно прийти к выводу, что текущих средств в системе хватает для отсеивания большинства угроз.
В общем интересный посыл — если в где-то есть уязвимость, это багованая архитектура и от такого продукта нужно отказаться. Интересно, хоть один продукт такой тест переживет?
Смысл в том что это не какой либо продукт, а продукт созданный для «защиты», продающий нам избавление от всех проблем, и если такой продукт сам дыряв как решето, то действительно почему бы не отказаться?
Проваливающий все тесты лечения активного заражения. И единственный из мне известных антивирусов получивший в свое время отрицательные баллы по результатам тестов.
По-крайней мере он не сеет иллюзорность защиты от 0day атак, опять же бесплатен и реализовывается не сторонним для ОС вендором.
В свете статьи данное утверждение выглядит, как утверждение, что антивирусы, как защита бесполезны, но есть иное решение.
Да коммерческие антивирусы бесполезны, другое решение не использовать их.
Насколько я понимаю, все же тестирований, а не аналитических работ, разбирающих достоинства и недостатки систем самозащиты. Ну и хотелось бы несколько примеров подобных аналитических работ для оценки подхода и методики в целом
Согласен речь шла о тестировании, последнее что помню были как раз тесты на антималваре, но как по мне они достаточно уродливы ввиду отсутствия каких либо оригинальных методов атак.
самозащита, это пассивный метод защиты, защищающий антивирус от несанкционированного воздействия. Снесение антивируса в результате снесения самозащиты — по сравнению с обходом примерно тоже самое, что снесение стены дома в сравнении с использованием отмычки. Есть куда более простые методы.
Самозащита это проактивный метод защиты. Никто антивирус отрубать или сносить не будет, это самое глупое решение из всех возможных.
Имелся ввиду такой тезис: обойдя самозащиту мы можем обойти и все остальное, например добавить директорию в exclude конфигурацию антивирусного движка и т.д.
Внедрение в процесс проживет до ближайшей перезагрузки, а то и до ближайшего обновления — когда все процессы будут проверяться на руткиты
Внедрение в доверенный процесс это победа по умолчанию (с текущей топовой архитектурой антивирусов) и закрепление на системе здесь абсолютно не причем.
опять же обвинение архитектуры самозащиты без ее анализа и предложений по улучшению. Может быть ее вообще убрать? Где граница между уязвимостью в системе и архитектурой?
Именно, самозащита это лишняя сущность и лучшее решение по ее улучшению — ликвидация из конечного продукта.
Действительно. Антивирус ловит ранее пропущенное вместе с приходом обновлений. Но он ловит и не менее половины в момент проникновения. Более того, в большинстве случаев антивирус — единственная мера защиты на компьютере. Позиционировать его как защиту постфактум… Да еще при наличии всяких поведенческих анализаторов…
Согласен, мысль не правильно выражена.
В чем его спорность? БОльшая, чем у иных компонент?
Спорность в том, что его всегда можно будет обойти при определенных привилегиях. Спорность в том что его присутствие расширяет attack surface, плодит кучу багов.
И как иначе? Нужно, чтобы антивирус можно было снести походя первым неизвестным вирусом?
Примером лучшего решения здесь является MSE, имхо.
Глобальное отключение/блокирование антивируса
Манипулирование белыми списками
Скрытое функционирование в супер-привилегированном процессе
Обход правил межсетевого экрана
…
Хотелось бы примеров реальных вирусов по каждому пункту.
Нет, примеров malware я приводить не буду, но скажу, что все это используется в моей работе ( в частности при пентесте).
Выше было написано, что техники не демонстрируются во избежание. И действительно — в отчете их нет
Упс, специально не приводим сорцов, но они гуглятся.
Как связаны архитектура и уважение производителей к своим клиентам?
Ну знаете, бизнес и ничего лишнего. Багованный конечный продукт и иллюзия защиты, решайте сами как тут это связано.
Просьба подтвердить утверждение, что производители нормальных антивирусов не совершенствуют самозащиту самостоятельно
Хоть и голословно написано но на практике так это и выглядит. Часты случаи когда антивирусные вендоры знают о уязвимости и не исправляют ее долгое время, но без зазрения совести продают продукт с багами.
Выбор ОС это статистика, да и используя версии выше, разницы в результатах мы не получим, к чему претензии тогда? stat
Тестировать MSE с таким подходом как в исследовании будет абсолютно не уместно и не оправдано, так как в моем понимании MSE использует адекватное допущение — если malformed код запущен и обладает привилегиями, его уже ничто не остановит.
В противовес, типичный антивирусный вендор считает, что сможет построить псевдо-защиту от привилегированных атакующих, получая в итоге багованную by дизайн архитектуру с иллюзией защиты.
Понимаю, что Касперский занёс вам денег, но вы думайте на каком ресурсе лапшу вешать.
Эти ребята из касперов лучше следили за паблик концептами и вот результат, да и кстати правда, где мои деньги?
В моем понимании это во всех вариантах фикция, как и вообще любой платный антивирусный продукт, все они естественно обходятся (даже без прав администратора). Но суть, всей этой забавной компиляции, в том что, мы хотели показать, как эти ленивые вендоры реагируют на уже публичные PoC, некоторые из которых например были использованы в ITW.
VMCI — это опциональный интерфейс для взаимодействия между виртуальными машинами.Он несомненно добавляет вектор атаки для vm-escape, потому всегда выключен по дефолту (например в ESXi).
Вот пример теоретического побега 2008 года, бага в VMCI
Да вы абсолютно правы CVE-2014-2299 это локальный по отношению к Wireshark баг. Я не совсем раскрыл саму суть атаки, сделаю это в комментарии: во многих sandbox-системах необязательно даже генерировать трафик для создания malformed pcap, можно напрямую компрометировать log директорию (где хранятся результаты деятельности текущего запущенного вредоноса) и перезаписать своим pcap с эксплойтом.
Более менее адекватная защита для обычного пользователя Windows хоста без переплаты.
Безопасность это как и атака процесс.Никогда не будет так, что вы поставите продукт и обеспечите себе гарантированную защищенность.Опять же взглянув на шажки выше можно прийти к выводу, что текущих средств в системе хватает для отсеивания большинства угроз.
Смысл в том что это не какой либо продукт, а продукт созданный для «защиты», продающий нам избавление от всех проблем, и если такой продукт сам дыряв как решето, то действительно почему бы не отказаться?
По-крайней мере он не сеет иллюзорность защиты от 0day атак, опять же бесплатен и реализовывается не сторонним для ОС вендором.
Согласен речь шла о тестировании, последнее что помню были как раз тесты на антималваре, но как по мне они достаточно уродливы ввиду отсутствия каких либо оригинальных методов атак.
Самозащита это проактивный метод защиты. Никто антивирус отрубать или сносить не будет, это самое глупое решение из всех возможных.
Имелся ввиду такой тезис: обойдя самозащиту мы можем обойти и все остальное, например добавить директорию в exclude конфигурацию антивирусного движка и т.д.
Внедрение в доверенный процесс это победа по умолчанию (с текущей топовой архитектурой антивирусов) и закрепление на системе здесь абсолютно не причем.
Именно, самозащита это лишняя сущность и лучшее решение по ее улучшению — ликвидация из конечного продукта.
Согласен, мысль не правильно выражена.
Спорность в том, что его всегда можно будет обойти при определенных привилегиях. Спорность в том что его присутствие расширяет attack surface, плодит кучу багов. Примером лучшего решения здесь является MSE, имхо.
Нет, примеров malware я приводить не буду, но скажу, что все это используется в моей работе ( в частности при пентесте).
Упс, специально не приводим сорцов, но они гуглятся. Ну знаете, бизнес и ничего лишнего. Багованный конечный продукт и иллюзия защиты, решайте сами как тут это связано.Хоть и голословно написано но на практике так это и выглядит. Часты случаи когда антивирусные вендоры знают о уязвимости и не исправляют ее долгое время, но без зазрения совести продают продукт с багами.
stat
Тестировать MSE с таким подходом как в исследовании будет абсолютно не уместно и не оправдано, так как в моем понимании MSE использует адекватное допущение — если malformed код запущен и обладает привилегиями, его уже ничто не остановит.
В противовес, типичный антивирусный вендор считает, что сможет построить псевдо-защиту от привилегированных атакующих, получая в итоге багованную by дизайн архитектуру с иллюзией защиты.
Эти ребята из касперов лучше следили за паблик концептами и вот результат, да и кстати правда, где мои деньги?
Вот пример теоретического побега 2008 года, бага в VMCI