Комментарии 35
Только формулировки иногда не такие отточенные.
Прости господи, зато какие они понятные! Я как-то на хабре видел статью, где автор не поленился рядом с EULA каждый абзац выразить простым понятным языком. Так вот тут можно сказать всё уже из коробки идёт:
Поддержка осуществляется до закрытия проекта
В обычной EULA будет пять абзацев мутных формулировок!
Ведь согласно пункту 1 уже знакомой нам статьи 273 УК РФ нейтрализация средств защиты компьютерной информации является преступлением. А продаваемый ими упаковщик как раз создан для несанкционированной нейтрализации антивирусов — он скрывает от них вредоносный код.
Это очень сильно натянуто. Коммерческие программы тоже используют обфускаторы для защиты своих секретов. Более того, обфускатор не "нейтрализует" антивирус и ничего с ним не делает. "Нейтрализация" — это какое-то активное воздействие.
Должен заметить, что я не юрист, законы не обязаны соответствовать здравому смыслу, а решения российского суда — законам.
Если это будет нужно, то наш суд притянет за уши что угодно. Но это слишком мелко, чтобы кого-то это заинтересовало.
Долгое время создатели криптеров были в безопасности, поскольку их ПО проходило как защита программного кода. Но пару лет назад, если не ошибаюсь, в закон добавили расплывчатые формулировки, под которые и криптеры можно притянуть. Чтобы от них уйти, продавец должен делать вид, что якобы не понимает для чего используют его программу.
И как достаточно древний сотрудник антивирусных компаний я скажу так — ваши персональные данные антивирусным компаниям совершенно не сдались. Во первых их в техподдержку и пресейл присылают самостоятельно и во множестве (посмотрите недавнюю новость, что нашли на том же вирустотале), а во вторых антивирусные компании в качестве экспертов участвуют в анализе вирусных инцидентов (в том числе серверов разных хакеров). Сами понимаете там персданных утекших…
Если говорить о том, что интересует антивирусные компании на ваших компьютерах, то это в основном версия используемого защитного ПО (не устарело ли) и какие вирусы у вас найдены. Не имя пользователя, ни какие иные его данные компании не интересуют. Если что — я статистику видел
Если вы боитесь, что утащатся ваши данные, то тут два пункта
— читайте лицензионное. Не все антивирусы скачивают файлы/передают файлы третьим лицам. Как правило передают данные третьим лицам бесплатные программы. Кушать хочется
— если вы выбрали ПО, которое может скачивать файлы — не ставьте продукты, в настройках которых нельзя отключить их отправку на анализ
Не все?) Может, так было изначально. Сейчас все антивирусы, что популярнее, завели себе облачные сервера и выкачивают туда, наверное, любой исполняемый файл без лицензионной подписи с допустимым весом.
Америка обвиняла касперского в шпионаже в пользу России и запретила своим сотрудникам использовать его.
Запретили иностранные антивирусы Великобритания, Китай, Украина. Не только США. Причем Китай до кампании в США. Это скорее тренд. Причем я вижу на что меняют нормальные продукты и мне (просто как параноику от безопасности) грустно
Не знаю, паранойю легко успокоить виртуалкой+брандмаузер от большинства вирусов. Было бы терпение их терпеть(pun)
Не жалко же хорошему продукту помочь… Вот только без подобного пункта доверия никакого и не осталось. И совершенно не удивительно, что многие пользователи считают главным вирусом — антивирус.
company.drweb.ru/data_protection/personal_data
1. не скачивай софт хрен пойми откуда (только официальный), а лучше вообще ничего не качать и не запускать что на .exe заканчивается. Сам я стараюсь предустановить им весь нужный софт, в котором я уверен на 100%
2. не вставлять свои флешки в чужие компы, хотя я и ставлю софт для проверки флешек
Сам лично антивирусниками давно не пользуюсь, и считаю что если вас надо кому-то поломать, обязательно поломают даже с антивирусником.
вообще-то антивирус остаётся включён, и самозащита его тоже не отключается при написании криптера. А то, что антивирус не умеет детектировать накрытый криптором код уже известной малвари — проблема исключительно АВ-разработчика.
Если серьезно, то есть проблемы. Начнем с количества. Уникального вредоносного ПО создается не так много. Крутых вирусописателей порядка десятка. А в день приходит на анализ до миллиона файлов. Это все в основном перешифрованное.Теоретически с ним можно разбираться (далеко не все зашифровано без уязвимостей), но это время. Время которое будет работать троян на пользователях. Поэтому для быстроты выпуска обновлений выпускают сигнатуры перешифрованного образца (создаваемые в том числе с помощью машинного обучения)
А второе это тоже количество. Если мы будем возиться с анализом, то это завтра будет уже никому не нужно. Если сигнатура выйдет завтра — завтра этот троян уже в атаках может и участвовать не будет — будет новый перешифрованный образец
Сигнатуры это, конечно, хорошо и в чем-то эффективно, но ровно до завтрашнего дня, когда злоумышленник еще раз перешифрует файл другим обфускатором.
Статические сигнатуры — это прошлый век. Это умеют все антивирусы, разница лишь в базах.
А вот определять вирус по его действиям, по динамическим сигнатурам обфускатора, в оперативной памяти, по обращению к неблагонадежным хостингам и тп — это уже нормальный уровень аниивируса и есть уже не первый день, но не у всех.
Антивирусы редко работают на опережение угрозы, их защита — просто работа по базам. Любое творческое изменение вируса+криптование = новая угроза
Но все вместе это кирпичики безопасности. Сигнатуры — это скорость реакции на новые угрозы, ограничения доступа — запрет доступа к контрольным центрам, новейший поведенческий анализ и традиционный эвристик — защита от новых угроз
И кстати у Доктор Веба есть фирменная фишка — поиск в зашифрованных файлах. Типа поиска по почерку. Почему я об этом вспомнил — это в составе антивирусных баз, которые не только сигнатуры.
Все верно, спасибо. Но давайте рассуждать здраво. Я сейчас возьму поза- или прошлогодний вирус из числа не особо злобных, зашифрую его обфускатором без сигнатур и запущу. Сколько из антивирей его обнаружат? Только если он стучится в интернет, иначе — 0. Некоторые антивири очень ленивые и блокируют любое подобное действие, для файлов без подписи. Из известных мне и популярных 0-2.
Поэтому, вся эта эвристика, поведенческий и тп работают только на очень страшных и изученных вирусах, как черви, локеры или любых, кто использующих устаревшие эксплоиты и типичные для вирусов возможности ходы.
Уточнение. Только не просто перешифровать, а после этого проверить на сервисе с запущенными популярными антивирусами. И только после этого в продакшен. Именно так все работает увы. Сами понимаете как это сказывается на уровне обнаружения.
К чему это я. В подавляющем числе случаев антивирус после установки не настраивается. Не настраиваются ограничения доступа, не настраиваются действия по отношению к вредоносным программам. Зато после установки антивирус отключается тем или или иным способом. А настроенный антивирус это совсем не то, что антивирус по умолчанию на серверах вирусосоздателей
Это как же он отключается? Только самим пользователем или уже прошедшим РАТ.
Разница между настройками не очень большая. Некоторые антивири в режиме паранойи просто остро реагируют на файлы без подписи или рвущиеся в интернет, на подозрительные действия с реестром и автозагрузкой.
Есть сервисы с настроенными антивирями, которые не просто сканят, но и запускают твой файл. Правда, стоимость услуг там зашкаливает и просто ради интереса, там не проверишь
Хотите тайну? Все нормальные антивирусы запускают файлы. Ну не совсем запускают. Внутри ядра эмулируют исполнение. Для получения сигнатур обфусцированных или полиморфных программ.
А удаленные песочницы есть, да. У кого встроенные, у кого отдельным сервисом
В том-то и дело, что лишь эмулируют, да не совсем эффективно. Сейчас крипторы давно имеют противодействие подобным системам, иначе они не котируются. Запуск в песочнице еще более-менее эффективен, однако при желании, можно просто запретить запуск в песочнице или вирт машинах и это программно очень легко. (Правда, обычно все ленятся это делать).
Поэтому запуск на живой машине всегда будет показателем.
Проблема в том, что антивирусы одними воспринимаются как зло, собирающие данные, другими как панацея, позволяющая при правильном выборе защитить на все 100. А антивирус не то и не другое. Это система (сложная, да) позволяющая выполнить достаточно узкий круг задач. Но мифологизированная до упора. Я в свое время мифов более десятка насчитал для интереса
Абсолютно верно. Другое дело, что для того, чтобы поднять песочницу/виртуальное окружение нужно время и мощности. Если поднимать это на каждый файл, будет жаловаться пользователь, мол, тормозит всё.
Поэтому гонка пока всегда выигрывается писателем вредоноса. Антивирус лишь реагирует на новые варианты старой малвари в большинстве случаев.
Какая тут ответственность и за что привлечь? С адекватной точки зрения, понятно что ни автор, ни покупатель не хотят следовать тому, что написано, но ведь закону нужно иное.
Или будут натягивать законы, по которым обладание ножом — уже умышленная подготовка у поножовщине? Тогда грамотный адвокат развалит дело на раз или даже меньше.
Какой закон запрещает продавать в ознакомительных целях?
Шах и мат, разработчики антивирусов!
Лицензионные соглашения у вредоносных программ