Почему на рынке решений для дома лидируют антивирусные решения, а не песочницы? Только потому, что им никто не объяснил, что песочница — лучше? То есть у разрабов песочниц маркетологи плохие?
Мне лично кажется, что проактивка не подкручивается производителями намеренно, что бы было что продавать (базы), а не что бы уменьшить количество ложных срабатываний. Вы же технически грамотный специалист (в отличие от меня), объясните неужели так трудно добавить правило, что svchost.exe, запущенный не с правами системы, отрубался нафиг? Я тут изложил эту мысль, и тут же в комментах началось: рулит Linux и песочницы, антивирусы и Windows — отстой.
Sandboxie проблемы с PatchGuard как-то порешала. Еще раз: я не делаю разницы в поведении антивируса и песочницы, оба этих продукта основываются на ответах пользователя, что делать дальше, доверять или нет? Обычный, рядовой, пользователь (читай, чайник) правильного ответа на этот вопрос дать не может.
Насчет низкого технического понимания сути проблемы я, может, и соглашусь (тут же среди пользователей одни гуру собрались), но! Повторяюсь, моих знаний хватает, что бы понять следующее:
хорошая проактивка (из-за чего весь сыр бор — не хотят нормальной сделать) лучше изоляции;
автоматическое принятие решений лучше, чем спросить у пользователя.
Многократно озвучивалась суть проблемы — в случае чего, вредонос запросит у домашнего пользователя (который ставит что попало) права на повышение своих полномочий и никакая песочница тут не поможет. С другой стороны, в корпоративной среде хватит и белого списка, так как там установкой софта занимаются специально обученные люди.
Есть подозрение, что автор слабо разбирается в том, что говорит.
Конечно не разбираюсь, я тут все написанное выдумал
Никому не выгодно сделать проактивный антивирус, который будет работать без сигнатур — что тогда будут продавать антивирусники?
Антиспам, антифишинг, веб-фильтры… Не, не слышал!
Слышал. А что, эти технологии отменяют факт, что модель бизнеса антивирусных лабораторий базируется на продаже своих баз данных (в том числе для антиспама, антифишинга и веб-фильтров)?
Предвкушая очевидные возражения, уточню: антивирус, работающий без постоянно обновляемой базы правил поведенческого анализа
Принципы его работы в студию, чего уж там.
Судя по всему, Вы большой знаток принципов работы антивирусных движков, а я — нет. Так что возможность описать принципы работы я предоставляю Вам.
Основной ущерб им наносят именно угрозы класса APT, потому что массовое уже все задетектированно. А теперь, внимание — кто мешает отслеживать новые методы обхода (на которых, собственно, и базируется APT)?
Могу только предложить разобрать парочку APT. Кстати, статистику по ущербу компаниям тоже было бы хорошо предоставить.
На секурелист все и так подробно разобрано. Статистику по APT компании скрывают, умозаключение построено на основе косвенных данных сотрудников, проводивших исследование.
Простой пример: инжект в svchost.exe путем запуска его в приостановленном состоянии — неужели сложно сделать проактивное правило, что svchost.exe всегда запускается из-под учетки System, а не от имени любого другого пользователя?
Казалось бы, при чем тут Microsoft…
Действительно, причем тут Microsoft к правилам антивируса, которые никак не допилят.
Складывается такое впечатление, что антивирусные аналитики только и заняты разбором очередной APT угрозы, с мыслями: «Блин, а чо — так можно было»? То, что на всяких античатах, васмах и дамейджлабах вовсю барыжат малварью с различными новыми трюками и регулярно устраивают разбор полетов, им, похоже, невдомек.
То, что действительно новые техники атак не появляются ни на античатах, ни на васмах, автору, видимо, невдомек. Равно как и то, что разработка зловредного ПО давным-давно стала бизнесом, причем — закрытым. Рекомендую погуглить на тему blackhole exploit-kit. Он, конечно, старый, новинки данной индустрии так просто не найти.
Я понял, разработчики зловредов живут на другой планете, и закрытые разработки антивирусники никак не могут купить. Да что там купить! На васме про Shell_TrayWnd написали, и чо? Пять лет прошло — ничего не проактивится до сих пор.
Один из посылов заметки следующий — доколе антивирусные конторы будут нас кормить маркетинговой лапшой? Может стоит взяться за работу (постоянно мониторить, что происходит в стане врага), а не строчить отчеты в стиле: мы тут такое нашли!
Могу посоветовать применить к себе. Или хотя бы попробовать разобрать обфусцированную малварь.
Я ничего не продаю и не расказываю, какие я передовые технологии внедрил (а может и не внедрил).
Резюме (посыл номер два): хватит играть с пользователем в демократию, ограничить его и все тут. И тот производитель, который на это решится, порвет рынок.
Собственно, суть диванной аналитики автора тут стала особо хорошо видна. Рекомендую как-нибудь попробовать применить данные умствования в реальном мире, на пример, на сотню-другую пользователей. Для начала. Держа при этом в голове тот факт, что ИТ для большинства компаний — это что-то уровня автомеханика — деньги зарабатывают другие подразделения.
Я считаю себя вправе указывать разработчикам антивирусов на их недочеты, так как я плачу им деньги.
Потому что, гипотетически, на одной из этих машин может крутиться что-нибудь критически важное, например, система жизнеобеспечения человека, которая перезагрузиться после лечения, а рисковать никто не хочет, что бы по судам не затаскали.
Уважаемые товрищи комментаторы, когда вы, наконец, поймете, что безопасность нельзя просто повысить путем перехода на другую платформу. В смысле можно, только вот проблема, что софт который используют юзеры уже написан и работает (с глюками и ошибками) на платформах, содержащих уязвимости. А то действительно, всего делов — написать безопасную ОС (а еще безопасный фреймворк для web приложений) да и пересадить всех на нее, пойду идею запатентую и стану богатым.
По поводу охраны объекта. если уж Вы перешли на аналогии. Тоннель пробурили, и он до сих пор используется, зачем его закапывать и ров с водой делать? Через него же у нас только три кражи было, вот начнут вагонами вывозить, тогда и закопаем.
Китайцы додумались отгородиться великим китайским файрволом.Цензура у них в своем сегменте Интернета мощнейшая и реализуется не на конечных ПК, а на провайдерах. Кстати, отличная идея — поставить антивирусные фильтры на провайдере, и почему у нас так не делают?
Как-то здесь все по-своему трактуют мою фразу про ограничение со стороны антивируса. Речь вот о чем: села какая-то программа в автозагрузку, далее антивирус может использовать один из трех вариантов: разрешить по дефолту, спросить пользователя; запретить по дефолту, спросить пользователя; запретить и ничего не спрашивать (вот тут и проявляется демократия с диктатурой). Так вот, проблема в том, что антивирус задает вопрос пользователю. который, скажем так, не очень разбирается в компьютерах. Поэтому я считаю, что тут нужно просто блокировать и смирится с тем, что 1% пользователей оборвет телефоны техподдержке. Тот пользователь, который разбирается, сам потом все настроит в антивирусе.
Тема про малварь скатилась к рассуждениям: «Я дартаньян — а вы все на винде» (уже в который раз). Давайте поговорим про легендарную неуязвимость *nix систем. Или вспомним, что корень проблем заключен в архитектуре x86_x64, а именно — в механизме разделяемой памяти. Поэтому все дружно переходим на ARM. И пихаем туда *nix. А потом через n-дцать лет читаем статистику на секлабе, что 99% троянов пишутся под *nix платформу.
Сигнатурный метод ущербен по существу, мы уже близки к моменту, когда большая часть системных ресурсов выделяется на детект вредоносного кода, а не на полезное применение, типа фильм посмотреть.
Правило под админом ничего не запускать уже малоактуально, ZeroAccess, например, работает из usermode.Поэтому ограничивать нужно по другому, не на уровне прав системы, а более жестко.
хорошая проактивка (из-за чего весь сыр бор — не хотят нормальной сделать) лучше изоляции;
автоматическое принятие решений лучше, чем спросить у пользователя.
Многократно озвучивалась суть проблемы — в случае чего, вредонос запросит у домашнего пользователя (который ставит что попало) права на повышение своих полномочий и никакая песочница тут не поможет. С другой стороны, в корпоративной среде хватит и белого списка, так как там установкой софта занимаются специально обученные люди.
Конечно не разбираюсь, я тут все написанное выдумал
Слышал. А что, эти технологии отменяют факт, что модель бизнеса антивирусных лабораторий базируется на продаже своих баз данных (в том числе для антиспама, антифишинга и веб-фильтров)?
Судя по всему, Вы большой знаток принципов работы антивирусных движков, а я — нет. Так что возможность описать принципы работы я предоставляю Вам.
На секурелист все и так подробно разобрано. Статистику по APT компании скрывают, умозаключение построено на основе косвенных данных сотрудников, проводивших исследование.
Действительно, причем тут Microsoft к правилам антивируса, которые никак не допилят.
Я понял, разработчики зловредов живут на другой планете, и закрытые разработки антивирусники никак не могут купить. Да что там купить! На васме про Shell_TrayWnd написали, и чо? Пять лет прошло — ничего не проактивится до сих пор.
Я ничего не продаю и не расказываю, какие я передовые технологии внедрил (а может и не внедрил).
Я считаю себя вправе указывать разработчикам антивирусов на их недочеты, так как я плачу им деньги.