Комментарии 8
но фактически они всегда остаются позади угрозы, ведь сигнатурный метод по своей сути реактивный
По сути ваш метод ничем не отличается, все тоже самое — база обновляется по факту, и то, если злобный адрес засветился. А если нет? А если вашу базу скомпрометируют?
А презенташка ничего так — график устрашает.
Если адрес не засветится, то первый пользователь скачает зловредный код. Поскольку файл и URL будут неизвестны системе, механизмы обратной связи отправят их для анализа, если файл подтвердится как вредоносный, то и URL будет помечен как вредоносный. Соответственно, все следующие пользователи, зашедшие на тот же URL будут защищены, причем этот же адрес может использоваться и для других атак.
Также администратор (в корпоративных продуктах) или пользователь (в домашних) могут вообще запретить соединения с адресами у которых низкая репутация, в том числе и с непроверенными (неклассифицированными) адресами.
Также администратор (в корпоративных продуктах) или пользователь (в домашних) могут вообще запретить соединения с адресами у которых низкая репутация, в том числе и с непроверенными (неклассифицированными) адресами.
Выход есть. Не пользоваться виндами и прилагающимися к ним антивирусам.
И что? Напишут под другие ОС столько-же, спрос рождает предложение.
Напишут чего и под какие ОС? Троян с просьбой в ридмишке запускать его с помощью sudo? Средней руки линукс большую часть ПО имеет из доверенного репозитория. Линуксов столько, что словами не пересчитать (разные конфигурации, разные дефолтные стабильные версии, в диапазоне от 2.6.18 в RHEL/CentOS до 2.6.34 в OpenSUSE), разные архитектуры (AMD64/i386/ARM, сам i386 компилируется под разные процы (т.е. бинарный код различен)). Разный юзерспейс, разное окружение. Понятно, что тонко и аккуаратно можно конкретную версию сломать, но вот сделать эпидемию или массовость — уже тяжко.
Где-то я читал исследование по биологии, где объяснялось, почему в джунглях такое видовое разнообразие. Если какой-то вид начинает побеждать в конкурентной борьбе, то тут же находится масса паразитов/поедающих, которые этот вид уничтожают в результате пандемии.
Та же ситуация с Виндами.
Если бы на рынке десктопов было 30 разных систем с 3% у каждой, то хрен бы у вас какие-нибудь вирусы были бы индустрией.
(Собственно, это и есть ночной кошмар для производителя антивируса — если вирусы будут а-ля Андроидные, с запросом пользователю на запуск).
Где-то я читал исследование по биологии, где объяснялось, почему в джунглях такое видовое разнообразие. Если какой-то вид начинает побеждать в конкурентной борьбе, то тут же находится масса паразитов/поедающих, которые этот вид уничтожают в результате пандемии.
Та же ситуация с Виндами.
Если бы на рынке десктопов было 30 разных систем с 3% у каждой, то хрен бы у вас какие-нибудь вирусы были бы индустрией.
(Собственно, это и есть ночной кошмар для производителя антивируса — если вирусы будут а-ля Андроидные, с запросом пользователю на запуск).
Ну и зачем в очередной раз выставлять напоказ свою безграмотность?
Да. Это основной способ заражения виндов. Следующий — использование дыр, закрытых более месяца (иногда до нескольких лет) назад. Кроме того, поясните Ваше понимание фразы «Образовался целый рынок подпольных услуг, на котором можно купить конструкторы для создания фишинг-сайтов и троянских программ». Очень уж интересно, каким таким образом MagicPixieDust™ в линуксе спасает от фишинга и троянов.
Поясните, каким образом sudo защищает от «а результаты работы «собственного» троянца – логины и пароли, номера кредитных карт – продать следующим звеньям криминальной цепи.»
Особенно с учетом того, что у людей, проектировавших X/sudo была большая дырка в голове и все что оно дает (как и весь линукс) — ЛОЖНОЕ чувство безопасности у безграмотной илиты вроде Вас. Даже если не принимать во внимание дырку в голове у тех, кто проектирует/реализует линукс, каким образом sudo защитит от регулярно обнаруживаемых LPE? Вон одному «зиродею» — шесть лет было (именно публично известной уязвимости), а вот свеженький, очевидно, просто не существует («не существует» он уже в течение двух лет, да).
Разговоры про отсутствие монокультуры неизменно забавляют. Сделаем нашу суперось несовместимой с софтварью только для того, чтоб она не была совместима с малварью. Как только появляется «совместимость» можно говорить о монокультуре. Даже если нет бинарной совместимости — будет source-level (и конпелятор будет в дефолтной установке ибо надо же как то софт ставить), не будет source-level — будут скрипты, не будет нормальных скриптов, будет какое нибудь говно типа баша. В ЛЮБОМ СЛУЧАЕ будет монокультура.
Более того, попытки сломать эту самую монокультуру больше бьют по нормальным разработчикам, а не по малварщикам: если вирус не сработает на какой нибудь одной системе или вообще уведет ее в панику — ну и хрен с ней — главное, чтоб хотя бы часть сработала нормально, если же то же самое произойдет (и таки происходит, лол) с нормальным софтом — бедному девелоперу придется сильно напрягаться пытаясь обеспечить поддержку всего этого зоопарка.
Троян с просьбой в ридмишке запускать его
Да. Это основной способ заражения виндов. Следующий — использование дыр, закрытых более месяца (иногда до нескольких лет) назад. Кроме того, поясните Ваше понимание фразы «Образовался целый рынок подпольных услуг, на котором можно купить конструкторы для создания фишинг-сайтов и троянских программ». Очень уж интересно, каким таким образом MagicPixieDust™ в линуксе спасает от фишинга и троянов.
с помощью sudo?
Поясните, каким образом sudo защищает от «а результаты работы «собственного» троянца – логины и пароли, номера кредитных карт – продать следующим звеньям криминальной цепи.»
Особенно с учетом того, что у людей, проектировавших X/sudo была большая дырка в голове и все что оно дает (как и весь линукс) — ЛОЖНОЕ чувство безопасности у безграмотной илиты вроде Вас. Даже если не принимать во внимание дырку в голове у тех, кто проектирует/реализует линукс, каким образом sudo защитит от регулярно обнаруживаемых LPE? Вон одному «зиродею» — шесть лет было (именно публично известной уязвимости), а вот свеженький, очевидно, просто не существует («не существует» он уже в течение двух лет, да).
Разговоры про отсутствие монокультуры неизменно забавляют. Сделаем нашу суперось несовместимой с софтварью только для того, чтоб она не была совместима с малварью. Как только появляется «совместимость» можно говорить о монокультуре. Даже если нет бинарной совместимости — будет source-level (и конпелятор будет в дефолтной установке ибо надо же как то софт ставить), не будет source-level — будут скрипты, не будет нормальных скриптов, будет какое нибудь говно типа баша. В ЛЮБОМ СЛУЧАЕ будет монокультура.
Более того, попытки сломать эту самую монокультуру больше бьют по нормальным разработчикам, а не по малварщикам: если вирус не сработает на какой нибудь одной системе или вообще уведет ее в панику — ну и хрен с ней — главное, чтоб хотя бы часть сработала нормально, если же то же самое произойдет (и таки происходит, лол) с нормальным софтом — бедному девелоперу придется сильно напрягаться пытаясь обеспечить поддержку всего этого зоопарка.
Ну и еще один follow-up. Оказывается «несуществующий баг» не существует 3 года, а не 2:
Но основная прелесть — в реакции «сообщества». Найдите 8 отличий
“I showed this to my friend Robert Swiecki who had written an exploit for the original bug in 2007, and he immediately said something along the lines of 'well this is interesting,'” Hawkes wrote. “We pulled up his old exploit from 2007, and with a few minor modifications to the privilege escalation code, we had a root shell.”
Но основная прелесть — в реакции «сообщества». Найдите 8 отличий
Да, раз уж здесь будет холивор по поводу sudo, ткну (в очередной раз) картинку для привлечения внимания (кликабл):
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Технологии репутации для борьбы с ростом количества угроз