Комментарии 23
Однако не все антивирусные системы являются тем, чем они кажутся, и многие из них часто являются более опасными, нежели полезными для кибер-безопасности пользователей
Хорошо, тогда вопрос — ваши предложения как перехватывать защищенные соединения которые используют вирусы для подгрузки компонентов или как находить вредоносные скрипты в скачивании с сайта по защищенному протоколу (который сейчас суют все кому не лень)
Угроза, описанная в статье, явно преувеличена. Любое ПО уязвимо, но задачу перехвата трафика нужно решать и решить ее без перехвата трафика нельзя никак
Зачем перехватывать? Можно же анализировать уже конечные файлы и скрипты, расшифрованные. Если браузер может выполнить скрипт — значит антивирус может его проанализировать, установив дополнение в браузер. Так поступают многие антивирусы.
Так нельзя. Файл должен проверяться до получения клиентским приложением:
1. получаемый файл может быть рассчитан на эксплуатацию неизвестной уязвимости и отработает не дойдя до плагина
2. браузером, ридером и почтовыми клиентами список программ, работающих с инетом не исчерпывается. Предположим есть у вас плагин — а толку, если запустившийся троян в роли дроппера установил защищенный канал со своим сервером.
3. плагин слишком легко вынести — шаловливыми руками клиента или самим трояном средствами приложения, неконтролируемыми естественно самозащитой антивируса
4. плагин внезапно может стать несовместимым по причине обновления программы для которой он создан.
Именно поэтому нужно перехватывать все соединения до клиентских приложений. Плагины нужны только для обработки проприетарных протоколов типа МАПИ
1. получаемый файл может быть рассчитан на эксплуатацию неизвестной уязвимости и отработает не дойдя до плагина
2. браузером, ридером и почтовыми клиентами список программ, работающих с инетом не исчерпывается. Предположим есть у вас плагин — а толку, если запустившийся троян в роли дроппера установил защищенный канал со своим сервером.
3. плагин слишком легко вынести — шаловливыми руками клиента или самим трояном средствами приложения, неконтролируемыми естественно самозащитой антивируса
4. плагин внезапно может стать несовместимым по причине обновления программы для которой он создан.
Именно поэтому нужно перехватывать все соединения до клиентских приложений. Плагины нужны только для обработки проприетарных протоколов типа МАПИ
1, 2 — файл будет записан на диск и тут же антивирус (если не слоупок) должен его словить. Запуск исполнимых файлов невозможен без записи их на диск.
3 — антивирус «слишком легко вынести — шаловливыми руками клиента или самим трояном средствами приложения» — чем это отличается от отдельно взятого плагина?
4 — расскажите это разработчикам Avast, Avira, Trend Micro, Bitdefender, Kaspersky Antivirus, DrWeb, 360 Total Security,…
Другое дело что в общем-то это так же плохо, как перехватывать трафик.
3 — антивирус «слишком легко вынести — шаловливыми руками клиента или самим трояном средствами приложения» — чем это отличается от отдельно взятого плагина?
4 — расскажите это разработчикам Avast, Avira, Trend Micro, Bitdefender, Kaspersky Antivirus, DrWeb, 360 Total Security,…
Другое дело что в общем-то это так же плохо, как перехватывать трафик.
1/2. — совершенно не обязательно. пример — руткиты. записи на диск нет
3. плагин, не антивирус. Антивирус (драйвер перехвата трафика) как раз сложно вынести ибо он защищен системой самозащиты
4. как сотрудник Доктора Веб как бы периодически наблюдаю
3. плагин, не антивирус. Антивирус (драйвер перехвата трафика) как раз сложно вынести ибо он защищен системой самозащиты
4. как сотрудник Доктора Веб как бы периодически наблюдаю
Эм, что за дичь вы тут городите? Руткиты сначала нужно записать на диск, чтобы запустить. Из астрала программы не выполняются. Может вы хотели сказать эксплойты? Защита от неизвестных эксплойтов так же невозможна практически, иначе бы уже давно они потеряли актуальность.
Система самозащиты может контролировать любые файлы и ветки реестра, а так же области памяти, никто не запрещает.
Система самозащиты может контролировать любые файлы и ветки реестра, а так же области памяти, никто не запрещает.
1. Бестелесные вредоносные программы, а в древности бестелесные черви. Редкий зверь. Подсказывают в качестве примера WMIGhost
2. защита от неизвестных эксплойтов возможна. Dr.Web Security Space/Dr.Web Katana содержат систему контроля процессов изнутри. Предназначено именно для защиты от эксплойтов
2. защита от неизвестных эксплойтов возможна. Dr.Web Security Space/Dr.Web Katana содержат систему контроля процессов изнутри. Предназначено именно для защиты от эксплойтов
И если на русском (http://www.kaspersky.ru/about/news/virus/2012/Bestelesnyj_bot_atakuet_posetitelej_novostnyh_resursov): «в отличие от стандартных drive-by атак вредоносная программа не загружалась на жесткий диск, а функционировала исключительно в оперативной памяти компьютера»
WMIGhost заражает систему из dll файла, который легко обнаружить антивирусом.
«Бестелесный бот» на самом деле эксплойт, который загружает на диск трояна Lurk чтобы что-то сделать. Без этого он способен только отключить UAC (для установки трояна, собственно). При наличии файлового антивируса обе угрозы бесполезны.
И дайте-ка статистику защиты Dr.Web от 0-day эксплойтов.
«Бестелесный бот» на самом деле эксплойт, который загружает на диск трояна Lurk чтобы что-то сделать. Без этого он способен только отключить UAC (для установки трояна, собственно). При наличии файлового антивируса обе угрозы бесполезны.
И дайте-ка статистику защиты Dr.Web от 0-day эксплойтов.
Мы с вами спорим по терминологии. Даже из вашего ответа получается, что есть компоненты вредоносных программ, которые могут быть бестелесными. Пусть даже эксплойты. А значит нужен контроль за тем, что передается и получается, но не осаживается на диск. Ибо это сможет быть дроппер — наиболее редко папапающая вендорам часть вредоносного комплекса
Дык защита от эксплойтов — патчи для софта. А в защиту от 0-day эксплойтов софтом я не верю. Есть какая-нибудь статистика отлова/ложноположительных неизвестных эксплойтов?
Ну верить или не верить — вопрос миросознания. Статистики точной именно по перехвату эксплойтов у меня на руках нет, но пока нареканий на шелгард я не видел по качеству его работы
Сижу без антивируса, без фаервола, заражений нет, эксплойты меня не берут!!1 :)
Без какой-либо статистики срабатываний говорить не о чем. Возможно у вас лично нет нареканий по той же причине что и у меня — не было ни одной атаки.
Без какой-либо статистики срабатываний говорить не о чем. Возможно у вас лично нет нареканий по той же причине что и у меня — не было ни одной атаки.
У меня специфика работы — лазить по всяким сайтам. В пятницу потребовалось найти информацию по Симантику. Открываю один сайт с описанием — оп и вирус для браузера. Раз в неделю точно что-то перехватывается. Так что для меня антивирус это необходимость. Но не ничуть не агитирую — все зависит от принятых рисков
Что толку от вирусов для браузеров, если они не используют 0-day уязвимость и у вас браузер автоматически обновляется?
В идеально настроенной системе конечно вероятность проникновения вируса близка к нулю. Кто спорит. Проблема в том, что подавляющее число пользователей не умеет настраивать безопасность, не ограничивает права и обновляет систему.
22% не знают, что новые вирусы не всегда сразу обнаруживаются антивирусными программами (я тихо подозреваю, что больше).
66% не знают, что чаще всего источниками вредоносного ПО являются сайты, посвященные технологиям и телекоммуникациям, а также бизнес-порталы
19 из 20 не знают о современных угрозах
В этом случае антивирус — мастер на все руки — ибо винить в пропуске будут его, а не несоблюдение рекомендаций по безопасности
22% не знают, что новые вирусы не всегда сразу обнаруживаются антивирусными программами (я тихо подозреваю, что больше).
66% не знают, что чаще всего источниками вредоносного ПО являются сайты, посвященные технологиям и телекоммуникациям, а также бизнес-порталы
19 из 20 не знают о современных угрозах
В этом случае антивирус — мастер на все руки — ибо винить в пропуске будут его, а не несоблюдение рекомендаций по безопасности
А ещё многие антивирусы вываливаются, когда троян или эксплойт меняет время на компе жертвы и у антивируса «сдыхает» лицензия :) После чего дроппер делает своё грязное дело и ему никто не мешает… Не говоря уже о том, что антивирус сам может быть объектом атаки и содержать в том числе 0-day уязвимости. Как пример, http://news.softpedia.com/news/zero-day-exploit-found-in-avast-antivirus-493958.shtml
паранойя в деле безопасности и оценки угроз лишней бывает, но не всегда. Это еще когда пост Лукацкого был, что мы создаем надежную систему безопасности из потенциально небезопасных вещей.
У нас кстати в антивирусе есть опция запрета смены времени, У Касперских еще проще (во всяком случае было, сейчас не знаю) — они на системное время совсем не смотрят
У нас кстати в антивирусе есть опция запрета смены времени, У Касперских еще проще (во всяком случае было, сейчас не знаю) — они на системное время совсем не смотрят
Про скрипты в браузерах согласен, нужно проверять. Другое дело, что можно работать конкретно с браузером, а не вторгаться в SSL, пути есть, имхо. А от про подгрузку компонентов малварью — не вижу смысла. Во-первых, защищенный канал может реализоваться как угодно, а не только через SSL и по любому транспортному протоколу и порту. Во-вторых, если внутри SSL будет использоваться дополнительное шифрование данных, то MITM антивируса ничем не поможет пользователю, имхо.
А вот отсутствие возможности проверить цепочку сертификатов для доступа к ресурсу с критически важным содержимым считаю серьезной проблемой.
А вот отсутствие возможности проверить цепочку сертификатов для доступа к ресурсу с критически важным содержимым считаю серьезной проблемой.
Понапроверяли всякой малораспространённой чуши, а обычный сквид не проверили, обидно.
Они проверяли влияние установки антивирусов на защиту десктопов. Сквид тут совсем не причем. Во первых для сквида антивирус это плагин, тоесть антивирус перехватом трафика не занимается и уязвимостей не вносит. А во вторых с точки зрения проверки файлов сквид весьма не оптимален
Вот не надо путать тёплое и мягкое. Они проверяли корректность реализации конкретно одной фичи — перехвата https трафика через прокси. Это очень узкий аспект и имеет слабое влияние на защиту десктопов в целом. А сквид точно также имеет возможность перехватывать https. А антивирусный плагин для него рассматривать не зачем, когда исследуется безопасность реализации перехвата https.
Могли тогда и решения от чекпоинт тоже проверить или Palo Alto. Всего не охватишь, имхо.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимости в прокси-соединении: как антивирусы снижают безопасность интернет-браузера