Комментарии 34
Видео демонстрация впечатляет.
И хотя данная публикация исследователей из Google произошла уже после выхода патча, всё равно складывается ощущение, что обнародование этой дыры как-то «специально подгадали» к общей кампании против антивирусов из Восточной Европы.
Совпадение?.. Не думаю!
Ну если кто-то сделает из этой информации вывод «антивирусы из Восточной Европы плохие», то я даже не знаю что сказать…
Ну, вообще-то, по ссылке с оригинала, в списке вендоров — китайские, индийские, корейские. Это точно коррелирует с новостями из телевизора, где видно, что у США по всему миру интересы, куда ни плюнь.
«Кто-то видит в этом совпадение. Я же вижу — провидение» — Морфеус («Матрица»)
Интересно, пользуются ли производители антивирусного ПО статическими анализаторами кода для своих исходников?
Ссылка на патч есета — 403
Лучший антивирус — ликбез и аккуратность
От ESET мы отказались еще весной 2009 года, когда зверствовал kido, а NOD32 его вообще не детектил.
Это решето, а не антивирус)))
Это решето, а не антивирус)))
Когда мне по мылу приходят вири, очень редко, то раз уж это событие не частое, я эти экзешнички или скринейверы отправляю на онлайн проверку. Что интересно, то касперский ничего не видит, то вебер, то нод — файл чист! Все решето!)
На сколько мне позволяет мой опыт судить: антивирусы с недавних пор делают ставку на детектирование вредоноса больше не в статическом, а в динамическом анализе. Правда, не все в этом одинаково преуспели. Но у отдельных вендоров ощутимые успехи. Им надоело пытаться разбираться в закриптованных\запакованных бинарниках и они решили подойти с другой стороны: динамический анализ. Т.е. при попытке зловреда исполниться на системе — он сам расшифровывает\раскодирует своё тело. Тут-то его процесс и прервут антивирусы, разобравшись в том что он там пытается сделать.
Так что отсутствие реакции на бинарник, который не запускался — это хорошее доказательство лет 10 назад. И так себе доказательство на день сегодняшний.
Так что отсутствие реакции на бинарник, который не запускался — это хорошее доказательство лет 10 назад. И так себе доказательство на день сегодняшний.
> Угроза затрагивает все версии ESET и все платформы
А вот интереснейший вопрос. Как я понимаю сертифицированные версии тоже с дырой. соответственно:
На всякий случай — дыры могут быть везде и у всех, поэтому это не наезд на Есет, завтра аналогичное могут найти у кого угодно, а интерес по действиям, которые предпринимают регуляторы в случае обнаружения дыры. Недавно была анонсирована база данных уязвимостей, процедуру по обновлению сертифицированных версий обещают не помню сколько уже…
А вот интереснейший вопрос. Как я понимаю сертифицированные версии тоже с дырой. соответственно:
- что предпримет регулятор, узнав об этом? Внесут ли данную угрозу в свою базу данных на сайте (если нет, то зачем она нужна?)?
- что должны сделать сейчас те, кто использует сертифицированные версии (в общем-то могут ничего — действующей процедуры нет, но интересно их личное отношение)?
- что предпринимает вендор по отношению к своей сертифицированной версии (на всякий случай — сейчас патч можно выпустить только по ИК, но эта процедура занимает месяца три минимум)?
На всякий случай — дыры могут быть везде и у всех, поэтому это не наезд на Есет, завтра аналогичное могут найти у кого угодно, а интерес по действиям, которые предпринимают регуляторы в случае обнаружения дыры. Недавно была анонсирована база данных уязвимостей, процедуру по обновлению сертифицированных версий обещают не помню сколько уже…
Как я понимаю у них патч в базах прилетел еще 22-го числа.
habrahabr.ru/company/eset/blog/261059
virusradar.com/en/update/info/11824
habrahabr.ru/company/eset/blog/261059
virusradar.com/en/update/info/11824
Патч на сертифицированные продукты поставлен быть не может. Они же зафиксированы. В сертифицированных продуктах могут меняться только базы и ядро (если оно отделено от баз). Как я понял бага не в базах/ядре, а в самом коде продукта. Соответственно нужно проходить инспекционный контроль
Не совсем вас понимаю.
Eset антивирус модульный, его базы содержат в т.ч. и обновления компонентов самого антивируса — резидента, эвристики, сканера трафика и т.д.
Т.е., грубо, в базах может прилететь новый ехе-шник или dll-ка. Не может же быть такого, что каждое такое обновление ломает его статус сертифицированного продукта. Это же получается что антивирус есть, а обновлять его нельзя, а это вообще бред какой-то.
Eset антивирус модульный, его базы содержат в т.ч. и обновления компонентов самого антивируса — резидента, эвристики, сканера трафика и т.д.
Т.е., грубо, в базах может прилететь новый ехе-шник или dll-ка. Не может же быть такого, что каждое такое обновление ломает его статус сертифицированного продукта. Это же получается что антивирус есть, а обновлять его нельзя, а это вообще бред какой-то.
Именно такой бред и есть в случае сертифицированных продуктов. Компоненты фиксируются контрольными суммами, прописанными в формуляре. Ибо проходят проверку на НДВ :-) Для изменения формуляра нужно пройти инспекционный контроль. А это три месяца минимум. А версия может быть старая и досертифицировать ее невыгодно по деньгам. Именно поэтому в новостях осторожно обходят тему сертифицированных версий в случае уязвимостей
А антивирусы сейчас многие модульные и могут обновляться покомпонентно.
Это не проблема именно Eset — проблема отрасли в целом. Я же и написал — интересна реакция регуляторов
А антивирусы сейчас многие модульные и могут обновляться покомпонентно.
Это не проблема именно Eset — проблема отрасли в целом. Я же и написал — интересна реакция регуляторов
Разве это не обходится фиксацией версии, как делали в ЛК?
Версия всегда фиксируется. И она тоже прописывается в формуляре. Вот тут можно почитать чуть подробнее
хотя часть трафика была зашифрована, детальная информация о конфигурации хоста и установленном ПО передавалась на серверы Касперского без защиты
Трафик видим, конфигурацию — нет.
В оригинале философствуют на тему всё ли передаётся в зашифрованном виде и если не всё — что можно вытянуть из не зашифрованных данных.
В частности, приводится ссылка на не зашифрованный трафик, где видно User-Agent.
prod01-cdn00.cdn.firstlook.org/wp-uploads/sites/1/2015/06/ua-headers-540x217.png
Со ссылкой на исследователей NSA сообщается, что этот User-Agent уникальный и включает в себя закодированные данные серийника антивируса. А также может использоваться для идентификации машины пользователя. Также высказывается предположение, что в строке User-Agent может передаваться информация о конфигурации машины. Далее приводятся комментарии представителей Касперских, которые утверждают, что информация передаётся в обезличенном виде и по ней невозможно выяснить пользователя или компанию. Далее идут ссылки на пользователей твиттера (раз и два) которые сообщают, что даже в зашифрованных данных передаются куски не зашифрованного текста.
А дальше как раз приводится непонятно для чего картинка с http-запросами на сервер Касперского:
Насчёт ссылок пользователе в твиттере — молодцы. А вот насчёт последней картинки — наверное, у журналюг не хватило ума на более серьёзный пруф, чем запустить wireshark и сделать скриншот не разобравшись в сути передаваемого трафика.
В частности, приводится ссылка на не зашифрованный трафик, где видно User-Agent.
prod01-cdn00.cdn.firstlook.org/wp-uploads/sites/1/2015/06/ua-headers-540x217.png
Со ссылкой на исследователей NSA сообщается, что этот User-Agent уникальный и включает в себя закодированные данные серийника антивируса. А также может использоваться для идентификации машины пользователя. Также высказывается предположение, что в строке User-Agent может передаваться информация о конфигурации машины. Далее приводятся комментарии представителей Касперских, которые утверждают, что информация передаётся в обезличенном виде и по ней невозможно выяснить пользователя или компанию. Далее идут ссылки на пользователей твиттера (раз и два) которые сообщают, что даже в зашифрованных данных передаются куски не зашифрованного текста.
А дальше как раз приводится непонятно для чего картинка с http-запросами на сервер Касперского:
Насчёт ссылок пользователе в твиттере — молодцы. А вот насчёт последней картинки — наверное, у журналюг не хватило ума на более серьёзный пруф, чем запустить wireshark и сделать скриншот не разобравшись в сути передаваемого трафика.
Весело живем.
Интересно: а представители антивирусной индустрии, отправляясь на забугорные конференции, типа BlackHat USA или BlackHat_«название страны-союзницы США» соблюдают информационную гигиену? Не таскают ли с собой телефоны\ноутбуки, содержащие конфиденциальную информацию? Способны ли определить попытку атаки на информационный канал, когда за бугром пользуются ужасно безопасными алгоритмами на основе RSA?
Встраиваем бэкдор в публичный ключ RSA
Как АНБ внедрило закладку в генератор псевдослучайных чисел
RSA Security заявила о наличии АНБ-бэкдора в своих продуктах
RSA Security получила $10 млн. от АНБ за использование заведомо дырявого генератора псевдослучайных чисел
Встраиваем бэкдор в публичный ключ RSA
Как АНБ внедрило закладку в генератор псевдослучайных чисел
RSA Security заявила о наличии АНБ-бэкдора в своих продуктах
RSA Security получила $10 млн. от АНБ за использование заведомо дырявого генератора псевдослучайных чисел
Ну так в итоге, какой антивирус — лучший?) Правда интересно. Подумываю перейти со встроенного виндового на Касперского.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Антивирусы под прицелом: большая дыра в ESET и атака на Касперского