Комментарии 117
Спасибо за обзор мобильных угроз и механизмов их работы. Как считаете — уже нужно ставить антивирус на смартфон или лучшая защита — бдительность?
Бдительность понадежнее будет, но антивирус тоже не будет лишним.
Если вы знаете, что такое сертификаты, можете отличить системные диалоги, появляющиеся при установке сертификата от диалогов, появляющихся при установке приложения — антивирус вам не нужен.
Если вы купили себе коммуникатор, будтье добры, разберитесь, как там все устроено (это была общая реплика, ни к кому конкретно). Это не вещь в себе. Так же как и компьютер. На вождение вон права получают. А компьютер (и смартфон), в понимании большинства — это же просто, как грабли. И если пользователь не способен отличить «системные диалоги, появляющиеся при установке сертификата от диалогов, появляющихся при установке приложения», его никакой антивирус не спасет. А если кому то кажется это слишком сложным, есть два выхода — не покупать смартфон или обращаться к грамотному специалисту перед тем, как что-то сделать. Но все, как обычно делают по принципу — сначала сам, а когда пришел полярный лис — то только тогда к специалисту.
Я себя отношу к опытным пользователям Android, параноя_мод большую часть времени включен. Просто пытаюсь определить настал ли момент, когда без антивируса на мобильной системе не обойтись — как на компьютере с виндой, когда легитимное, но неосторожное действие, может привести к инфицированию ПК (а иногда и действие со стороны пользователя вообще не нужно).
Без антивируса ОБЫЧНОМУ пользователю не обойтись, но, повторюсь, в большинстве случаев и он не поможет. Поможет только тотальная ликвидация безграмотности — правда, это утопия.
Если у вас НЕ установлена галка «Разрешить установку приложений полученных не из Play Store», то установить большинство вредоносных приложений, ссылки на которые всплывают в баннерах, вы просто не сможете. Есть конечно шанс установить вредоносное приложение из play store, но их от туда быстро удаляют.
Ну и конечно же необходимо просматривать разрешения которые требует приложение. К примеру если фонарик требует доступ к отправке SMS, то с вероятностью 99% это вредоносное приложение.
Ещё не стоит забывать что эти так называемые «вирусы» это обычные приложения которые при желании легко удалить, и они не имеют доступа к приватным данным других приложений, но могут к примеру читать/отправлять SMS если вы САМИ им это разрешили.
Ну и конечно же необходимо просматривать разрешения которые требует приложение. К примеру если фонарик требует доступ к отправке SMS, то с вероятностью 99% это вредоносное приложение.
Ещё не стоит забывать что эти так называемые «вирусы» это обычные приложения которые при желании легко удалить, и они не имеют доступа к приватным данным других приложений, но могут к примеру читать/отправлять SMS если вы САМИ им это разрешили.
Вы все правильно написали. НО! Вы думаете, большинство пользователей знают об этом?
Так это ж голубая мечта любого безопасника — чтобы юзеры сами, с песней, себе немножечко вредили в целях безопасности ;-)
Всегда смешили эти профессиональные девиации сознания — а давайте на использование молотка введем сертификацию, лицензирование и краткие курсы при ФАПСИ! А то ведь для вождения автомобиля права требуются, о как.
Но спроси такого эксперта — сколько тысяч в год погибает от компьютерных вирусов на компах третьих лиц? Ноль? А туда же, права на использование телефона им подавай.
Вот и пытаются заткнуть оргдыру техсредствами. И еще немножечко запугивают — если уж ты вышел за пивом из убежища первого класса — то минимум в кирасе и шлеме, а то ведь на голову упасть кирпич может! И не обманывают — может ;-)
Был такой шикарный рассказ про профессора Тарантогу и его посетителя — «вы представляете себе, сколько электроники можно запихнуть в дамский каблук-шпильку?» Очень напоминает современную гонку вирусы — антивирусы. И ладно бы пилили свои DLP и сканеры всех видов (дело однозначно полезное), а то уже не поймешь где антивирус заканчивается и руткит начинается.
Всегда смешили эти профессиональные девиации сознания — а давайте на использование молотка введем сертификацию, лицензирование и краткие курсы при ФАПСИ! А то ведь для вождения автомобиля права требуются, о как.
Но спроси такого эксперта — сколько тысяч в год погибает от компьютерных вирусов на компах третьих лиц? Ноль? А туда же, права на использование телефона им подавай.
Вот и пытаются заткнуть оргдыру техсредствами. И еще немножечко запугивают — если уж ты вышел за пивом из убежища первого класса — то минимум в кирасе и шлеме, а то ведь на голову упасть кирпич может! И не обманывают — может ;-)
Был такой шикарный рассказ про профессора Тарантогу и его посетителя — «вы представляете себе, сколько электроники можно запихнуть в дамский каблук-шпильку?» Очень напоминает современную гонку вирусы — антивирусы. И ладно бы пилили свои DLP и сканеры всех видов (дело однозначно полезное), а то уже не поймешь где антивирус заканчивается и руткит начинается.
Как говорится, вам, пользователям, не угодишь — дали вам свободу ставить, что попало, дали вам свободу обновления отключать — так будьте любезны, выучите букварь (про сертификацию никто и не говорит). Можно было бы пойти по пути Apple — все решают наверху, нужна новая программа — звонишь в сервисцентр, сбойнул компьютер — звонишь в сервисцентр, сеть есть — обновление само идет. Правда, все это чревато монополизмом и вообще не тру. Поэтому, естественно, дыры затыкают техсредствами. Только техсредства — это тоже ПО, с которым нужно уметь обращаться.
Дело не в букваре, а в непонятном подходе антивирусников.
Вот почему антивирус с телефона без рута и спецзнаний снести нельзя? А «вирус» (какой он кстати вирус? малварь чистейшей воды) — можно. Как так? И кто за кого тут решает?
На десктопе кстати еще хуже, вместо классического сканера (аидстест, если кто помнит) и контроля периметра — жуткие монстры, перехватывающие в системе всю активность, тормозящие и привносящие глюки, но при этом использующие заведомо устаревшие базы сигнатур.
Да вы что! Вам просто необходим новейший антивирус, срочно ставьте ;-)
Вот почему антивирус с телефона без рута и спецзнаний снести нельзя? А «вирус» (какой он кстати вирус? малварь чистейшей воды) — можно. Как так? И кто за кого тут решает?
На десктопе кстати еще хуже, вместо классического сканера (аидстест, если кто помнит) и контроля периметра — жуткие монстры, перехватывающие в системе всю активность, тормозящие и привносящие глюки, но при этом использующие заведомо устаревшие базы сигнатур.
Да вы что! Вам просто необходим новейший антивирус, срочно ставьте ;-)
Я тоже не совсем хорошего мнения об антивирусах, если что. А о чем вообще мы спорим? =)
Да так, беззлобно подкалываю на ваши
> На вождение вон права получают. А компьютер (и смартфон), в понимании большинства — это же просто, как грабли
и далее по тексту пожелания уметь на глаз отличать мелкие технические детали. В свое время в ru.linux я много встречал от спецов таких высказываний, вот напомнило.
И вот еще
> Без антивируса… не обойтись, но в большинстве случаев он не поможет.
Суббота, пиво, отличное настроение — дай думаю поправлю коллегу по ремеслу (я когда-то антивирусы и не только пописывал-с), а то явно в консерватории что-то не то.
> На вождение вон права получают. А компьютер (и смартфон), в понимании большинства — это же просто, как грабли
и далее по тексту пожелания уметь на глаз отличать мелкие технические детали. В свое время в ru.linux я много встречал от спецов таких высказываний, вот напомнило.
И вот еще
> Без антивируса… не обойтись, но в большинстве случаев он не поможет.
Суббота, пиво, отличное настроение — дай думаю поправлю коллегу по ремеслу (я когда-то антивирусы и не только пописывал-с), а то явно в консерватории что-то не то.
Ну я так и понял. Что-то просмотрел список ваших статей, и теперь мне стыдно с вами спорить =)
Ну а с филосовской точки зрения — лично мне непонятно, что делать в глобальном смысле. Кроме как «гайки» в плане настройки закрутить. Купил настроеный компьютер и все, хочешь игру поставить — обращаешься через Интернет к поставщику, он удаленно ставит (или ногами приходит).
В филосовском смысле, это не ИТ-проблема.
Ничего не изменится, пока операторы связи заодно с СМС-мошенниками, а банки привлекают преступников непрозрачностью проводок для следственных органов.
Ничего не изменится, пока операторы связи заодно с СМС-мошенниками, а банки привлекают преступников непрозрачностью проводок для следственных органов.
Тут еще играет роль тот факт, что банки не страхуют пользователей от увода денег. У тебя деньги украли — сам и разбирайся. Так и живут киберпреступники, с каждого по чуть-чуть и на Феррари хватает. Так что владельцев крупных ботсетей начинают «щемить» только в случае совсем уж больших инцидентов.
Я говорю не о страховке, а об отмене банковской тайны.
Если у пострадавшего троян увёл все деньги со счёта, он обращается в полицию, а банк раскрывает, на какой счёт перечислены деньги. После чего у реципиента перевода полиция спрашивает: «а эти деньги тебе начислили ошибочно или ты автор трояна?» Если ошибочно — транзакция отменяется и всё. Если деньги ушли дальше — раскручиваем цепочку дальше (нужно, чтобы все банки это поддерживали).
В такой системе мотивация писать трояны пропадает
Если у пострадавшего троян увёл все деньги со счёта, он обращается в полицию, а банк раскрывает, на какой счёт перечислены деньги. После чего у реципиента перевода полиция спрашивает: «а эти деньги тебе начислили ошибочно или ты автор трояна?» Если ошибочно — транзакция отменяется и всё. Если деньги ушли дальше — раскручиваем цепочку дальше (нужно, чтобы все банки это поддерживали).
В такой системе мотивация писать трояны пропадает
С философской — как говорят пользователи «дайте мне большую кнопку undo».
Не в смысле time machine, а по каждому приложению. Примерно как в мобильниках — каждое боле-мене изолировано. Или как в crossover office — сделаны bottles. Добавьте к ним версии и переход между ними — вот и новая silver bullet.
К слову сказать, я даже как-то прототип рисовал на коленке, но благодаря микрософт — пришлось забросить. Получить kmode signing cert честно — убиться об стенку. А переводить комп клиента в тест мод — не решение.
Не в смысле time machine, а по каждому приложению. Примерно как в мобильниках — каждое боле-мене изолировано. Или как в crossover office — сделаны bottles. Добавьте к ним версии и переход между ними — вот и новая silver bullet.
К слову сказать, я даже как-то прототип рисовал на коленке, но благодаря микрософт — пришлось забросить. Получить kmode signing cert честно — убиться об стенку. А переводить комп клиента в тест мод — не решение.
Джоанна Рутковска вон Qubes OS разрабатывает, та изоляция приложениий вообще на уровне виртуальных машин, а не песочниц.
Я ваши тоже с большим интересом читаю. Готов поспорить с умным человеком, узнать много нового всегда полезно.
Alex_Shvarz наглядно показал, где антивирус на смартфоне может пригодится
www.youtube.com/watch?v=J4xrZXjP_CE
www.youtube.com/watch?v=J4xrZXjP_CE
Касперский реагирует на появление новых троянов примерно с такой же скоростью, как Google Play Market. Новые трояны перед запуском специально тестируют, чтобы текущие антивирусы на них не ругались.
Я считаю, намного эффективнее вместо антивируса поставить программу-фильтр. Например, LBE Privacy Guard. Она при попытке приложения отослать СМС или сделать звонок спрашивает подтверждение пользователя, предоставляя информацию, какое приложение на какой номер какой текст пытается отослать.
Можно ставить любые программы с любыми разрешениями, но как только они попытаются сделать действие, приводящее к списанию средств, пользователь может отклонить его.
Я считаю, намного эффективнее вместо антивируса поставить программу-фильтр. Например, LBE Privacy Guard. Она при попытке приложения отослать СМС или сделать звонок спрашивает подтверждение пользователя, предоставляя информацию, какое приложение на какой номер какой текст пытается отослать.
Можно ставить любые программы с любыми разрешениями, но как только они попытаются сделать действие, приводящее к списанию средств, пользователь может отклонить его.
Тэг сарказм забыли в первом абзаце.
В винде У-А-Це спрашивает — и таки шо, «помогли, сынку, твои ляхи»? ;-)
Тут другое. В венде, пока ДА не скажешь УАКу, файл «киски.exe» не откроется и пользователь не удовлетворит любопытство. В случае с LBE, при выборе «заблокировать СМС», программа получит ложную информацию, что отправкаь СМС успешно прошла и покажет-таки свой «премиум» контент.
Даже если антивирус работает на 100% эффективно, всё равно пользователь запустит файл, если очень того хочет. Пример из запроса в СТП: " Почему ваш… ый антивирус не дает мне скачать файл ??!!!111 Скачайте и пришлите мне его сами!". При этом URL, который был у него заблокирован, выглядел примерно так: g0og1e-fi1es.ru бла-бла-бла.
Т.е если бы у человека была кнопка «иди нафиг, я хочу скачать и запустить этот файл» (на самом деле она есть, но убрана) — он это сделал бы не задумываясь. Последствия очевидны.
P.S. В фоновой консоли трудится скрипт, перелопачивающий рунетовские сайты на предмет apk с SMSSender'ами. Очень много находит… :(
Т.е если бы у человека была кнопка «иди нафиг, я хочу скачать и запустить этот файл» (на самом деле она есть, но убрана) — он это сделал бы не задумываясь. Последствия очевидны.
P.S. В фоновой консоли трудится скрипт, перелопачивающий рунетовские сайты на предмет apk с SMSSender'ами. Очень много находит… :(
Отсюда вывод — нужно отобрать у пользователя возможность делать что хочешь с компом, и оказывать ему услуги, за деньги которые он заплатил. А то получается — за антивирус заплатил, а он все равно что-нибудь пропустит. Опять же — антивирус ВПО прибил — а уязвимость, через которое оно запустилось, осталась. Неужели антивирусным компаниям сложно сделать утилиту, которая бы сканировала все ПО и устанавливала для него все распоследние патчи. Борятся, короче, со следствием, а не с причиной.
Да-да, давайте отберем у юзера его личный велосипед. И будем предоставлять сервис по катанию полчаса в день по средам и пятницам, в целях безопасности не далее 100м от дома строго на северо-запад. Зато с сертифицированным велорикшей с дипломом. За дополнительную плату. А то что юзер (дурачок) купил бицайкл — это еще не означает что он может на нем ездить!!!
;-)
А то ишь ты — врачи борются со следствием (ссадины и ушибы) вместо причины (ездит где попало).
Профдеформация сознания безопасника — страшная штука.
;-)
А то ишь ты — врачи борются со следствием (ссадины и ушибы) вместо причины (ездит где попало).
Профдеформация сознания безопасника — страшная штука.
Критику и я разводить могу, предложите альтернативу. А с врачами аналогия некорректная, тут лучше с прививкой сравнивать.
Так и предлагаю — не надо юзера засовывать в странные представления, спросите у него — что этому юзеру надо.
Я вот спрашивал — юзерам нужен механизм по минимизации ущерба от их ошибок, а предлагается военная наработка по их недопущению. Видите ли — ошибки будут всегда. А что говорят нам антивирусники? Так эта — фатально! Надо было недопущать!
И вся мысль по борьбе с киберзаразой — как еще не допустить ошибок. Эдакая борьба с ветряными мельницами. А надо — минимизировать ожидаемый ущерб. Медицина вот не предлагает всем в скафандрах ходить, а то божетымой! в воздухе вирусы. А в АйТи — нате вам с кисточкой.
В комментариях я тут один такой, кто считает нынешнюю позицию ущербной, обратите внимание ;-)
Так что антивирусники работают именно в «военном» ключе. Даже затрудняюсь — почему, то ли синдром вахтера одолел, то ли еще что.
А вот вирусописатели уже дошли до такой точки, что им — невыгодно чтобы юзеру было от их деятельности плохо. Поэтому (именно поэтому!) современные руткиты и малвари сидят тихонько и работе не мешают, наоборот — помогают и дырку закрыть и конкурента извести. И анноящий антивирь тихонечко отключить, хе-хе.
Я вот спрашивал — юзерам нужен механизм по минимизации ущерба от их ошибок, а предлагается военная наработка по их недопущению. Видите ли — ошибки будут всегда. А что говорят нам антивирусники? Так эта — фатально! Надо было недопущать!
И вся мысль по борьбе с киберзаразой — как еще не допустить ошибок. Эдакая борьба с ветряными мельницами. А надо — минимизировать ожидаемый ущерб. Медицина вот не предлагает всем в скафандрах ходить, а то божетымой! в воздухе вирусы. А в АйТи — нате вам с кисточкой.
В комментариях я тут один такой, кто считает нынешнюю позицию ущербной, обратите внимание ;-)
Так что антивирусники работают именно в «военном» ключе. Даже затрудняюсь — почему, то ли синдром вахтера одолел, то ли еще что.
А вот вирусописатели уже дошли до такой точки, что им — невыгодно чтобы юзеру было от их деятельности плохо. Поэтому (именно поэтому!) современные руткиты и малвари сидят тихонько и работе не мешают, наоборот — помогают и дырку закрыть и конкурента извести. И анноящий антивирь тихонечко отключить, хе-хе.
Современное ВПО предназначено: 1 — для кражи денег; 2 — для кражи информации. От этих действий юзеру конечно, не плохо совсем.
Как минимизировать ущерб от кражи денег? Поимать злодеев и вытрясти с них бабки обратно? А кто в это заинтересован, банки что ли? Как минимизировать ущерб от кражи информации — найти и убить всех, кто ее стащил?
Задачей антивируса является банальная экономия тактиков, байтиков, да миллисекунд. Из этой троицы реальную стоимость представляют собой только время — время потраченное на переустановку зараженного компа (лечение).
Представьте, сколько стоит простой на пол-дня какой-нибудь лавки типа кока-колы. Вот это и есть и ниша и экономическое обоснование существования антивирусов, а не мифические кражи секретов и денег.
Вы уже догадались — что именно должны минимизировать антивирусы, да? ;-)
Посмотрите на это с другой стороны — покупая подписку от касперского и К, я что получаю, услуги охранного агенства? Или простое техническое средство по экономии миллисекунд «в случае чего»? Я и огнетушитель точно так же покупаю, как антивирус.
Кстати, при правильном взгляде на антивирусы, мы вдруг выясняем, что антивирусы имеют свой явный потолок применимости. Если убытки от проседания производительности труда от внедрения антивируса будут выше чем ожидаемые потери от простоев — то в топку такой антивирус, он себя экономически не оправдывает, хе-хе. Не поэтому ли антивирусники так любят запугивать кражами века ;-)
И добавлю еще, не надо смешивать антивирусы и DLP, антивирусы утечками информации не занимаются.
(интересуется статистикой) У вас в эпсилон-окрестности сколько денег украли «злые хакеры» (ТМ)? ;-)
Для краж денег есть УК, компы тут вообще ни при чем, комп или вирус — это не субъект права и красть он не может по определению. Антивирусники себе льстят, уж извините за прямоту.
А случайная информация и даром никому не нужна. Вы таки путаете ЦРУ и комп «чтобы ворд и косынка», простите еще раз.
Представьте, сколько стоит простой на пол-дня какой-нибудь лавки типа кока-колы. Вот это и есть и ниша и экономическое обоснование существования антивирусов, а не мифические кражи секретов и денег.
Вы уже догадались — что именно должны минимизировать антивирусы, да? ;-)
Посмотрите на это с другой стороны — покупая подписку от касперского и К, я что получаю, услуги охранного агенства? Или простое техническое средство по экономии миллисекунд «в случае чего»? Я и огнетушитель точно так же покупаю, как антивирус.
Кстати, при правильном взгляде на антивирусы, мы вдруг выясняем, что антивирусы имеют свой явный потолок применимости. Если убытки от проседания производительности труда от внедрения антивируса будут выше чем ожидаемые потери от простоев — то в топку такой антивирус, он себя экономически не оправдывает, хе-хе. Не поэтому ли антивирусники так любят запугивать кражами века ;-)
И добавлю еще, не надо смешивать антивирусы и DLP, антивирусы утечками информации не занимаются.
(интересуется статистикой) У вас в эпсилон-окрестности сколько денег украли «злые хакеры» (ТМ)? ;-)
Для краж денег есть УК, компы тут вообще ни при чем, комп или вирус — это не субъект права и красть он не может по определению. Антивирусники себе льстят, уж извините за прямоту.
А случайная информация и даром никому не нужна. Вы таки путаете ЦРУ и комп «чтобы ворд и косынка», простите еще раз.
А я и не знал что любовь может быть жестокой что главный актив — это процессорное время. Я то думал, там финасовые потери считают (и от простоя тоже, но это не основная статья).
Попробуйте прочесть весь комментарий ;-)
Не процессорное.
Не процессорное.
Покупая подписку от касперского и К, вы уменьшаете вероятность, что у вас украдут деньги или документы. И объясните, как внедрение антивируса влияет на проседания производительности труда?
Я написал, для чего ВПО применяется, я не писал, что ВПО крадет. Естественно, за ним стоят люди. А ваши высказывания мне напоминают аналогию — зачем на двери замки вешать, это же не удобно. У нас же милиция есть, если что украдут, то они разберутся.
Разница домашнего и корпоративного компьютера — в цене активов, которые в них содержатся. Вот и все.
> Разница домашнего и корпоративного компьютера — в цене активов
Огласите весь список этих активов пожалуйста. Например — список активов в компе вашей секретарши ;-)
Не, я на эмоции не ведусь, говорю же — пописывал-с антивири и прочее. Так что не надо меня пугать про злых хакеров, которые из моего компа украдут мои деньги (которых там нет). И для защиты которых (ваши слова!) «в большинстве случаев антивирь не поможет».
А вот субъективно ценных вещей (не нужных никому кроме меня) навалом — например коллекция музыки, которую я 20 лет собираю. Но кому она кроме меня нужна — непонятно.
Огласите весь список этих активов пожалуйста. Например — список активов в компе вашей секретарши ;-)
Не, я на эмоции не ведусь, говорю же — пописывал-с антивири и прочее. Так что не надо меня пугать про злых хакеров, которые из моего компа украдут мои деньги (которых там нет). И для защиты которых (ваши слова!) «в большинстве случаев антивирь не поможет».
А вот субъективно ценных вещей (не нужных никому кроме меня) навалом — например коллекция музыки, которую я 20 лет собираю. Но кому она кроме меня нужна — непонятно.
Если бы двери. А то ведь пытаются построить минимум бронеколпак вокруг моей кровати, и как еще до турели с ПКМБ не додумались.
Чего-чего я там покупаю? Вы со страховым полисом не перепутали часом?
Да, не затруднит именно это в лицензионном соглашении показать? Про понижении вероятности «что украдут мои деньги». Цитату, будьте добры.
Даже как-то неловко напоминать, что на (к примеру) домашнем компе у меня денег в украдабельном состоянии НЕТ. И на рабочем тоже. И документов у меня в юзабельном (без меня лично) состоянии — тоже нет.
А антивирус — есть.
И это — самый массовый и типичный случай.
А вот в амазоне мои деньги в украдабельном состоянии — ЕСТЬ! Но это во 1х не у меня на компе, а во 2х — антивирь на МОЕМ компе никак не поможет защитить мои деньги, которых на компе нет, потому что они в БД амазона!
Улавливаете момент?
Да, не затруднит именно это в лицензионном соглашении показать? Про понижении вероятности «что украдут мои деньги». Цитату, будьте добры.
Даже как-то неловко напоминать, что на (к примеру) домашнем компе у меня денег в украдабельном состоянии НЕТ. И на рабочем тоже. И документов у меня в юзабельном (без меня лично) состоянии — тоже нет.
А антивирус — есть.
И это — самый массовый и типичный случай.
А вот в амазоне мои деньги в украдабельном состоянии — ЕСТЬ! Но это во 1х не у меня на компе, а во 2х — антивирь на МОЕМ компе никак не поможет защитить мои деньги, которых на компе нет, потому что они в БД амазона!
Улавливаете момент?
Мне так нравится фраза: а вот у меня. А как вам фраза: у большинства? Ну нет у вас важной для ВАС информации. Кстати, непонятно, зачем тогда у вас антивирус установлен.
У подавляющего — то же самое. Просто многие антивирусники в своем снобизме уже забыли, когда что-то спрашивали у пользователей.
Зачем мне антивирус я уже тут повторял, могу еще раз. Как и всем остальным — минимизировать последствия.
Еще раз приведу аналогию с аптечкой или огнетушителем — КОГДА случится инфекция, антивирус поможет мне с ней справиться БЫСТРЕЕ.
Заметьте — не если, но — когда.
А антивирусные компании почему-то костьми ложатся, чтобы «никогда-никогда-никогда». И по вашим же словам — делают это плохо. Но вот парадокс — в том что неверно оцениваются угрозы, виноваты почему-то юзеры ;-)
И чтобы ошибки антивирусных компаний совпали с реальностью — предлагается модернизировать реальность, отобрав у пользователей ИХ компьютеры и ИХ данные. Хе-хе.
Зачем мне антивирус я уже тут повторял, могу еще раз. Как и всем остальным — минимизировать последствия.
Еще раз приведу аналогию с аптечкой или огнетушителем — КОГДА случится инфекция, антивирус поможет мне с ней справиться БЫСТРЕЕ.
Заметьте — не если, но — когда.
А антивирусные компании почему-то костьми ложатся, чтобы «никогда-никогда-никогда». И по вашим же словам — делают это плохо. Но вот парадокс — в том что неверно оцениваются угрозы, виноваты почему-то юзеры ;-)
И чтобы ошибки антивирусных компаний совпали с реальностью — предлагается модернизировать реальность, отобрав у пользователей ИХ компьютеры и ИХ данные. Хе-хе.
Ваши цитаты.
Раз: «Поэтому (именно поэтому!) современные руткиты и малвари сидят тихонько и работе не мешают, наоборот — помогают и дырку закрыть и конкурента извести».
Два: «Даже как-то неловко напоминать, что на (к примеру) домашнем компе у меня денег в украдабельном состоянии НЕТ. И на рабочем тоже. И документов у меня в юзабельном (без меня лично) состоянии — тоже нет».
Какие последствия вы минимизируете? Пусть себе работают, не мешают же. Да и с LiveCD загрузится и почистить систему — полчаса работы. И незачем ОС переустанавливать.
Раз: «Поэтому (именно поэтому!) современные руткиты и малвари сидят тихонько и работе не мешают, наоборот — помогают и дырку закрыть и конкурента извести».
Два: «Даже как-то неловко напоминать, что на (к примеру) домашнем компе у меня денег в украдабельном состоянии НЕТ. И на рабочем тоже. И документов у меня в юзабельном (без меня лично) состоянии — тоже нет».
Какие последствия вы минимизируете? Пусть себе работают, не мешают же. Да и с LiveCD загрузится и почистить систему — полчаса работы. И незачем ОС переустанавливать.
Когда вы (не дай бог конечно) заразитесь gpcode и все ваши файлы зашифруются, антивирус уже ничего вам не минимизирует.
(голосом командора) Смайлики не теряем!!!
> Какие последствия вы минимизируете? Да и с LiveCD загрузится и почистить систему — полчаса работы.
0.5 часа на 20 000 мест = 5 человеколет. Фигня вопрос — всего 60 ваших зарплат чистых потерь, не считая всяких там упущенных прибылей. Ага, ага — нечего минимизировать, порадовали, да.
> Какие последствия вы минимизируете? Да и с LiveCD загрузится и почистить систему — полчаса работы.
0.5 часа на 20 000 мест = 5 человеколет. Фигня вопрос — всего 60 ваших зарплат чистых потерь, не считая всяких там упущенных прибылей. Ага, ага — нечего минимизировать, порадовали, да.
А чего вы то речь о своем компьютере ведете, то о каких то рабочих станциях в количестве 20000 штук? Я так понимаю, на этих 20000 компьютерах никакой ценной и финансовой информации нет? И еще раз, ваши две цитаты — зачем лечить 20000 компьютеров, если ВПО «не мешает» и красть нечего? Про gpcode почитайте, ради общего развития.
Вопрос масштаба — восстановить один комп стоит — а, почти ничего не стоит. А вот много компов — это проблема.
Даже 20 компов — и то уже проблема, в каждый сунь диск, с каждого загрузись, в каждом запусти, каждый проконтролируй — чем закончилось. Не пробовали, не? Рекомендую. Ощущения совсем не те.
И ремот контрол не спасет — нетиражируемое действие, нужен доступ к железу.
Ваш сарказм на мое шуточное замечание непонятен — вы просто не слышали о таких случаях? Ведь исторический факт — ваше «ВПО» уничтожает конкурентов, такие случаи известны. Даже предлагались отдельными экстремистами методы распространения антивирусов таким способом.
Даже 20 компов — и то уже проблема, в каждый сунь диск, с каждого загрузись, в каждом запусти, каждый проконтролируй — чем закончилось. Не пробовали, не? Рекомендую. Ощущения совсем не те.
И ремот контрол не спасет — нетиражируемое действие, нужен доступ к железу.
Ваш сарказм на мое шуточное замечание непонятен — вы просто не слышали о таких случаях? Ведь исторический факт — ваше «ВПО» уничтожает конкурентов, такие случаи известны. Даже предлагались отдельными экстремистами методы распространения антивирусов таким способом.
Ну и конечно лечить будем именно полчаса по одной машине в день, а не восстановим за один день все машины из бэкапа.
Где вы видели, что бы в лицензионном соглашении писалось, что вам программа сделает? Там пишется только ограничения, что вам можно с ней делать и чего нельзя. И, соответсвено, согласны вы на эти ограничения по использованию, или нет.
И что может производитель.
Однако, по вашим словам, антивирус
а) предлагает мне услуги частного охранного агенства (от краж)
б) предлагает мне услуги по администрированию моих данных (а то вдруг не то поставлю)
в) обещая уменьшить мои финансовые потери (вероятность бла-бла снижается).
г) берет за это все плату
Вот я и спрашиваю — где это в договоре?
А то там написано что имярек получает право на своевременные обновления базы сигнатур, и производитель нулей и единичек за их целостность ответственности не несет. И никаких вам красивых обещаний.
Я вот к чему вас тут так активно в чем-то убеждаю и пытаюсь донести. Антивирус — это не заместитель господа в компе, а всего лишь мелкая утилита, весьма посредственно выполняющая свои прямые обязанности. Пос-ред-ствен-но!
Потому, что решает поставленную задачу неверно.
А вы мне тут рассказываете про что угодно — про то как защищаются мои деньги (я кассперского на это уполномачивал? а лицензия у него на такую деятельность есть?).
Про то как злые хакеры крадут у меня архиважные документы (ага, пусть попробуют их продать).
Про большинство. Про полезность. Отрицаете что и на антивирях есть пятна (тормозят и глючат).
Вы о чем вообще?
Однако, по вашим словам, антивирус
а) предлагает мне услуги частного охранного агенства (от краж)
б) предлагает мне услуги по администрированию моих данных (а то вдруг не то поставлю)
в) обещая уменьшить мои финансовые потери (вероятность бла-бла снижается).
г) берет за это все плату
Вот я и спрашиваю — где это в договоре?
А то там написано что имярек получает право на своевременные обновления базы сигнатур, и производитель нулей и единичек за их целостность ответственности не несет. И никаких вам красивых обещаний.
Я вот к чему вас тут так активно в чем-то убеждаю и пытаюсь донести. Антивирус — это не заместитель господа в компе, а всего лишь мелкая утилита, весьма посредственно выполняющая свои прямые обязанности. Пос-ред-ствен-но!
Потому, что решает поставленную задачу неверно.
А вы мне тут рассказываете про что угодно — про то как защищаются мои деньги (я кассперского на это уполномачивал? а лицензия у него на такую деятельность есть?).
Про то как злые хакеры крадут у меня архиважные документы (ага, пусть попробуют их продать).
Про большинство. Про полезность. Отрицаете что и на антивирях есть пятна (тормозят и глючат).
Вы о чем вообще?
А, чуть не забыл, как влияет на производительность труда. Тормозит. На типичную операцию юзер тратит больше времени, банально же.
А ботнеты что крадут? ;-)
Ботнет — это сеть из ботов. Боты делают вышеперечисленое. Плюс рассылают спам, организуют DDOS. Тоже очень полезные для обычного пользователя действия.
У кого крадут, у человека-носителя? Ха ха три раза. Ботсеть — устройство многоразовое.
И еще. Мне как инфицированному — вообще плевать, кто там с кем чего не поделил и кого спамом завалило. Лично я от попадания в ботсеть ничего не потерял. Наоборот — у меня скорость работы выросла, антивирус отключило, и дырка закрылась ;-)
И еще. Мне как инфицированному — вообще плевать, кто там с кем чего не поделил и кого спамом завалило. Лично я от попадания в ботсеть ничего не потерял. Наоборот — у меня скорость работы выросла, антивирус отключило, и дырка закрылась ;-)
Даже если антивирус работает на 100% эффективно, всё равно пользователь запустит файл, если очень того хочет. Пример из запроса в СТП: " Почему ваш… ый антивирус не дает мне скачать файл ??!!!111
Ну а я о чём? О том, что фильтр — идеальное решение.
Хочет юзер запускать трояна — пусть запускает.
Хочет троян отправлять СМС — пусть отправляет, просто фильтр не пропустит.
Троян получит статус отправки «выполнено» и покажет свой «премиум»-контент (Троянов, которые проверяют через отдельный сервер дохождение платных СМС до цели, наверное не существует. Им лишь бы отправить).
Все довольны. Если переносить принцип на ПК, получаем песочницу.
Ну вот на примере уаце и видна ущербность подхода «А это точно вы?»
Вот типичный поток сознания для юзера:
Да заколебал этот (censored)! это аквариум с рыбками, так на сайте написано! вот пристал!!! да!!! в стотыщпервый раз снова да!!! (ставит) Ой? А где рыбки? И как эту хрень теперь убрать? Аааа! Двайте мне большую кнопку «отменить»!
А кнопок таких и нету. Не потому что нельзя сделать, еще в досе рождались всякие там adinf и к. А потому что «надо юзеру предоставлять сервис бла-бла». Не надо вам ремень безопасности, ездите в нашем бронированном такси ;-)
Вот типичный поток сознания для юзера:
Да заколебал этот (censored)! это аквариум с рыбками, так на сайте написано! вот пристал!!! да!!! в стотыщпервый раз снова да!!! (ставит) Ой? А где рыбки? И как эту хрень теперь убрать? Аааа! Двайте мне большую кнопку «отменить»!
А кнопок таких и нету. Не потому что нельзя сделать, еще в досе рождались всякие там adinf и к. А потому что «надо юзеру предоставлять сервис бла-бла». Не надо вам ремень безопасности, ездите в нашем бронированном такси ;-)
НЛО прилетело и опубликовало эту надпись здесь
В связи с разрастанием темы предлагаю кратко высказать свои тезисы и опровергать их последовательно.
1 распространению ВПО способствует ошибки в коде и неграмотность пользователей;
2 ВПО наносит вред пользователю (ваш КО) путем кражи денег, информации или задействования машинных ресурсов;
3 антивирус в конечном итоге за счет блокирования работы большинства ИЗВЕСТНЫХ угроз, уменьшает вероятность ущерба от действий, описанных в пункте 2;
4. антивирус менее эффективен по сравнению с оргмерами — обучением пользователей и поддержанием ПО в актуальном состоянии;
5. для борьбы с ВПО необходимо «зажать гайки» пользователям, а в идеале — разработать программно-аппаратную архитектуру, с учетом требования мер безопасности, а не навешивать «костыли». Кроме того, нужно разработать меры в мировом масштабе по противодействию обналичиванию денежных средств, полученных незаконным путем.
1 распространению ВПО способствует ошибки в коде и неграмотность пользователей;
2 ВПО наносит вред пользователю (ваш КО) путем кражи денег, информации или задействования машинных ресурсов;
3 антивирус в конечном итоге за счет блокирования работы большинства ИЗВЕСТНЫХ угроз, уменьшает вероятность ущерба от действий, описанных в пункте 2;
4. антивирус менее эффективен по сравнению с оргмерами — обучением пользователей и поддержанием ПО в актуальном состоянии;
5. для борьбы с ВПО необходимо «зажать гайки» пользователям, а в идеале — разработать программно-аппаратную архитектуру, с учетом требования мер безопасности, а не навешивать «костыли». Кроме того, нужно разработать меры в мировом масштабе по противодействию обналичиванию денежных средств, полученных незаконным путем.
6. антивирусы работу по обнаружению новых угроз делают посредственно, а также тратят много ресурсов компьютера на это. Сигнатурный метод (а именно им детектируется большинство угроз) со временем станет занимать больше времени, чем отводится на выполнение программ пользователя.
> распространению ВПО способствует ошибки в коде и неграмотность пользователей
Прежде всего — возможность получить с этого навар. Причем не копеечный и глупый, как винлокеры и прочая студенческая дрянь, а вполне ощутимый и регулярный.
У распространенности есть обратная сторона — стрельба ведется только по площадям, поэтому точечные пугалки не работают. Обобрать лично вас проще захватив ваш клиент-банк и выписать эн платежек на виргинские острова. Причем так чтобы ваш банк платежки пропустил (нелегкая задача).
> ВПО наносит вред пользователю
Наносит. Но акценты при рассказах как-то странным образом смещаются.
> путем кражи денег, информации
Вот это — страшилка, извините. Поясняю почему.
Деньги.
Украсть 2 доллара с вашего мобильника выслав смс-ку — конечно же может. Легко (в РФ). Но простите, сколько стоит подписка на касперского? На эту подписку могут по два раза в месяц снимать по 2 у.е. и я еще в плюсе окажусь, о как.
Но вот украсть уже стольник — проблема. Во 1х, банк тут же пришлет подтверждение транзакции, во 2х — можно тут же отзвониться и заблокировать. И в 3х — банкиры давно придумали всяких там смарткарт, тридэ-секуров и прочее, и ваш платеж можно просто не подтвердить. И — никуда не уйдет. А вирусы знаете ли секурекод с бумажки вводить не умеют ;-)
Сумму в 500 баксов украсть еще сложнее — во 1х банки могут заблокировать платежи не пойми куда, а во 2х — еще и голосом на мобилу позвонят и спросят — а это точно вы? Мне вот звонят, кстати. Особенно если платеж в другую страну идет.
А уж сумму в 5к баксов в банке надо заранее разрешить! Не пробовали по карточке автомобиль купить к примеру? Агащаз! Даже при наличии всех подтверждающих документов — ногами в банк с паспортом.
Что остается по деньгам? Правильно, или фишинг или скан по диску. В обоих случаях получишь только номер карты, потом надо организовывать сложную схему с дропами и толпой подельников. Это уже чистый криминал и можно смело трясти банк — как это со счета сняли стотыщмульенов если дневной оборот по карте в три сотни? (кстати вот мы и узнали о максимальной сумме ущерба ;-))
Но ведь что интересно — предметно хакнуть какой-нибудь электронный магазин и украсть сразу 10 000 000 карт — гораздо дешевле и выгоднее, чем распространять до одури свой вирус и ожидать подобного улова! То есть сканит то оно сканит — но не это основная задача. Крупные ботнеты — до 500 000 компов, емнип, хорошо если найдет у каждого десятого. И вот эти жалкие 50 000 — это ради этого несколько лет работы? Да на спаме больше заработать можно.
Информация.
Не, всем понятно — что на рабочем компе есть много всего. Решения, контакты, клиенты, и много чего еще. Но вот в чем загвоздка — продать это все можно только если точно знать кто я такой и с кем я работаю. Австралийскому хакеру монопенисуально — есть у меня в контактах Джон Смит или нет, для него эта информация ценности не имеет. А для меня — имеет, этот Джон Смит мне денег платит за консультации. И не подозревает, что его конкурент Педро у меня тоже консультируется по тому же вопросу ;-)
Я ведь не в ЦРУ работаю, чтобы персонально за моим решением для портала АБЦ кто-то охотился. Да, могут быть утечки — но знать кому их продать гораздо важнее. И вот тут бороться с утечками будет не антивирус, а DLP. Спросите у дочки касперского инфовотча — они подробно расскажут и покажут, как внедряется эта DLP. Как строится модель угроз, как тренируется персонал, как обносится периметр, как меняются бизнес-процессы…
А что нам предлагает «кашперский инторнет секурити»? Защиту сферической домохозяйки в вакууме? Вот спасибо, вот порадовали ;-)
> задействования машинных ресурсов
А вот это правда.
Спам разослать, биткойны насчитать, заддосить небесплатно. Самое то. Имея ботнет в 100 000 компов, можно смело послать 1 млн спамов за раз, и хозяин-жертва даже не заметит, тьфу — сто килобайт трафика и пять ватт мощности. А владелец ботнета сто баксов уже заработал. И так — каждый день.
Вам все еще охота списать 2 у.е. с мобилы и половину отдать МТСу (мегафону, нужное подставить)? ;-)
Что-то пост как-то вырос непомерно, продолжение следует.
Прежде всего — возможность получить с этого навар. Причем не копеечный и глупый, как винлокеры и прочая студенческая дрянь, а вполне ощутимый и регулярный.
У распространенности есть обратная сторона — стрельба ведется только по площадям, поэтому точечные пугалки не работают. Обобрать лично вас проще захватив ваш клиент-банк и выписать эн платежек на виргинские острова. Причем так чтобы ваш банк платежки пропустил (нелегкая задача).
> ВПО наносит вред пользователю
Наносит. Но акценты при рассказах как-то странным образом смещаются.
> путем кражи денег, информации
Вот это — страшилка, извините. Поясняю почему.
Деньги.
Украсть 2 доллара с вашего мобильника выслав смс-ку — конечно же может. Легко (в РФ). Но простите, сколько стоит подписка на касперского? На эту подписку могут по два раза в месяц снимать по 2 у.е. и я еще в плюсе окажусь, о как.
Но вот украсть уже стольник — проблема. Во 1х, банк тут же пришлет подтверждение транзакции, во 2х — можно тут же отзвониться и заблокировать. И в 3х — банкиры давно придумали всяких там смарткарт, тридэ-секуров и прочее, и ваш платеж можно просто не подтвердить. И — никуда не уйдет. А вирусы знаете ли секурекод с бумажки вводить не умеют ;-)
Сумму в 500 баксов украсть еще сложнее — во 1х банки могут заблокировать платежи не пойми куда, а во 2х — еще и голосом на мобилу позвонят и спросят — а это точно вы? Мне вот звонят, кстати. Особенно если платеж в другую страну идет.
А уж сумму в 5к баксов в банке надо заранее разрешить! Не пробовали по карточке автомобиль купить к примеру? Агащаз! Даже при наличии всех подтверждающих документов — ногами в банк с паспортом.
Что остается по деньгам? Правильно, или фишинг или скан по диску. В обоих случаях получишь только номер карты, потом надо организовывать сложную схему с дропами и толпой подельников. Это уже чистый криминал и можно смело трясти банк — как это со счета сняли стотыщмульенов если дневной оборот по карте в три сотни? (кстати вот мы и узнали о максимальной сумме ущерба ;-))
Но ведь что интересно — предметно хакнуть какой-нибудь электронный магазин и украсть сразу 10 000 000 карт — гораздо дешевле и выгоднее, чем распространять до одури свой вирус и ожидать подобного улова! То есть сканит то оно сканит — но не это основная задача. Крупные ботнеты — до 500 000 компов, емнип, хорошо если найдет у каждого десятого. И вот эти жалкие 50 000 — это ради этого несколько лет работы? Да на спаме больше заработать можно.
Информация.
Не, всем понятно — что на рабочем компе есть много всего. Решения, контакты, клиенты, и много чего еще. Но вот в чем загвоздка — продать это все можно только если точно знать кто я такой и с кем я работаю. Австралийскому хакеру монопенисуально — есть у меня в контактах Джон Смит или нет, для него эта информация ценности не имеет. А для меня — имеет, этот Джон Смит мне денег платит за консультации. И не подозревает, что его конкурент Педро у меня тоже консультируется по тому же вопросу ;-)
Я ведь не в ЦРУ работаю, чтобы персонально за моим решением для портала АБЦ кто-то охотился. Да, могут быть утечки — но знать кому их продать гораздо важнее. И вот тут бороться с утечками будет не антивирус, а DLP. Спросите у дочки касперского инфовотча — они подробно расскажут и покажут, как внедряется эта DLP. Как строится модель угроз, как тренируется персонал, как обносится периметр, как меняются бизнес-процессы…
А что нам предлагает «кашперский инторнет секурити»? Защиту сферической домохозяйки в вакууме? Вот спасибо, вот порадовали ;-)
> задействования машинных ресурсов
А вот это правда.
Спам разослать, биткойны насчитать, заддосить небесплатно. Самое то. Имея ботнет в 100 000 компов, можно смело послать 1 млн спамов за раз, и хозяин-жертва даже не заметит, тьфу — сто килобайт трафика и пять ватт мощности. А владелец ботнета сто баксов уже заработал. И так — каждый день.
Вам все еще охота списать 2 у.е. с мобилы и половину отдать МТСу (мегафону, нужное подставить)? ;-)
Что-то пост как-то вырос непомерно, продолжение следует.
Кроме того, в тезисах не указан и другой вид ущерба — порча или системы или данных.
А ведь это — и есть самый распространенный вид ущерба.
Который требует ресурсов на резервирование и на восстановление. И чем бОльий ареал поражения — тем больших ресурсов. В конторе в 200 лиц поражение обойдется в пару тысяч часов простоя, в более крупной — потери выше.
Уже сейчас для типового рабочего места операциониста и проч — гораздо дешевле просто снести системный диск форматированием и развернуть его из образа. Всех потерь — это recent documents и временные файлы, и делается централизованно. А почему так? правильно, домохозяйка в вакууме важнее.
А вот файловый сканер на современных дисках работает по пол-суток, и резервов ускорения не проглядывает. Торможение — процесс объективный, сигнатур то все больше. Никакими «полчаса с загрузкой лайфсиди» и не пахнет. Полчаса — это с акронисом.
На этом первых два пкункта кратенько откомментировал.
По пунктам три, четыре возражений нет. Есть дополнение — антивирус не противопоставляется оргмерам и проч, но — органично дополняет. Вместе с бэкапами. И находится в том же ряду — в случае чего мы ух! выведем заразу и отделаемся легким испугом.
По пункту шесть возражений нет, все правильно.
Пункт пять — полная ахинея. Остановлюсь отдельно.
А ведь это — и есть самый распространенный вид ущерба.
Который требует ресурсов на резервирование и на восстановление. И чем бОльий ареал поражения — тем больших ресурсов. В конторе в 200 лиц поражение обойдется в пару тысяч часов простоя, в более крупной — потери выше.
Уже сейчас для типового рабочего места операциониста и проч — гораздо дешевле просто снести системный диск форматированием и развернуть его из образа. Всех потерь — это recent documents и временные файлы, и делается централизованно. А почему так? правильно, домохозяйка в вакууме важнее.
А вот файловый сканер на современных дисках работает по пол-суток, и резервов ускорения не проглядывает. Торможение — процесс объективный, сигнатур то все больше. Никакими «полчаса с загрузкой лайфсиди» и не пахнет. Полчаса — это с акронисом.
На этом первых два пкункта кратенько откомментировал.
По пунктам три, четыре возражений нет. Есть дополнение — антивирус не противопоставляется оргмерам и проч, но — органично дополняет. Вместе с бэкапами. И находится в том же ряду — в случае чего мы ух! выведем заразу и отделаемся легким испугом.
По пункту шесть возражений нет, все правильно.
Пункт пять — полная ахинея. Остановлюсь отдельно.
По пункту пять. Тема холиварная, поэтому нагнетаю обстановку.
Начнем с основ логики. Потому что антивирусы работают плохо(!!!) — поэтому закрутить гайки надо пользователям(!). А может — закрутить гайки авторам антивирусов? ;-)
Ничего не настораживает в такой постановке вопроса?
Разумеется, это же классическая попытка переложить с больной головы на здоровую.
Вот примерно так выглядят ваши предложения со стороны пользователей:
Да-да, именно. Других пользователей у нас нет.
Я понимаю, что у антивирусников сейчас реальный кризис жанра, и куда дальше тренд вывернет — предсказать сложно. Понятно, что новаторских идей пока что не видать, поэтому под видом улучшений чего только в антивирусы не засовывают. Но и на пользователей перекладывать — это не выход.
Начнем с основ логики. Потому что антивирусы работают плохо(!!!) — поэтому закрутить гайки надо пользователям(!). А может — закрутить гайки авторам антивирусов? ;-)
Ничего не настораживает в такой постановке вопроса?
Разумеется, это же классическая попытка переложить с больной головы на здоровую.
Вот примерно так выглядят ваши предложения со стороны пользователей:
Как прибыли лопатой грести на запугивании домохозяек (шаманы вуду) — так к антивирусникам вопросов нет. А как вопросы к эффективности их работы — так это пользователи у них неправильные, вот оказывается в чем дело.
Но товарищи! Если ваши антивирусы столь плохи, что вам понадобилась smarter planet, то где об этом большим красным шрифтом в ваших рекламных материалах?
А нам, пользователям, нужно решать наши задачи здесь и сейчас. Именно для этого мы и платим вам за ваши антивирусы. А не за наше принудительное обучение и не за то, чтобы вы у нас под видом заботы отбирали в свою пользу нашу собственность.
Да-да, именно. Других пользователей у нас нет.
Я понимаю, что у антивирусников сейчас реальный кризис жанра, и куда дальше тренд вывернет — предсказать сложно. Понятно, что новаторских идей пока что не видать, поэтому под видом улучшений чего только в антивирусы не засовывают. Но и на пользователей перекладывать — это не выход.
Рейтинг упал на 30 пунктов, хотя никто комменты не минусовал и карму не трогал. Это уже интересно.
Комментарии по моим пунктам.
1. написано — уязвимости способствует, не написано — уязвимости причина. Всего 2 основных составляющих распространения ВПО — возможность (уязвимость) и мотивация (получение прибыли). Вы дополнили тезис, здесь разногласий нет.
2. не переводите все на себя — для ВАС 2 доллара не деньги и ВЫ не храните «секретных данных» (представляющих интерес), другие пользователи могут не разделяь ВАШУ точку зрения.
> Предметно хакнуть какой-нибудь электронный магазин и украсть сразу 10 000 000 карт — гораздо дешевле и выгоднее, чем распространять до одури свой вирус и ожидать подобного улова!
Защита у магазинов и банков НАМНОГО лучше, чем у обычного пользователя. Гораздо легче хакнуть 10000 пользователей. Плюс магазин или банк обязательно инициируют расследование, а сколько пойдет в правохранительные органы обычных пользователей? И сколько дел по поводу увода 5 баксов доведут до конца?
3. 4. 6. Разногласий нет.
5.
> Потому что антивирусы работают плохо(!!!) — поэтому закрутить гайки надо пользователям(!)
Из каких моих фраз это прослеживается? Вы опять приписываете мне то, чего я не говорил. В рамках своей задачи по обнаружению известных угроз антивирус работает нормально. В рамках обнаружения угроз «завтрашнего дня» — действительно фигово. Антивирус и закручивание гаек вообще не связаны. Антивирус может быть, может не быть — пока гайки не закручены, эффект будет одинаковый. ПО написано плохо и пользователи неграмотны — писать ПО нужно лучше, пользователей нужно обучать. И то, и другое сложно сделать напрямую. Что характерно, сами разработчики ПО и пользователи не будут сами это делать, самостоятельно. Поэтому нужно их вынудить. Какие еще есть варианты разрешения проблемы?
Комментарии по моим пунктам.
1. написано — уязвимости способствует, не написано — уязвимости причина. Всего 2 основных составляющих распространения ВПО — возможность (уязвимость) и мотивация (получение прибыли). Вы дополнили тезис, здесь разногласий нет.
2. не переводите все на себя — для ВАС 2 доллара не деньги и ВЫ не храните «секретных данных» (представляющих интерес), другие пользователи могут не разделяь ВАШУ точку зрения.
> Предметно хакнуть какой-нибудь электронный магазин и украсть сразу 10 000 000 карт — гораздо дешевле и выгоднее, чем распространять до одури свой вирус и ожидать подобного улова!
Защита у магазинов и банков НАМНОГО лучше, чем у обычного пользователя. Гораздо легче хакнуть 10000 пользователей. Плюс магазин или банк обязательно инициируют расследование, а сколько пойдет в правохранительные органы обычных пользователей? И сколько дел по поводу увода 5 баксов доведут до конца?
3. 4. 6. Разногласий нет.
5.
> Потому что антивирусы работают плохо(!!!) — поэтому закрутить гайки надо пользователям(!)
Из каких моих фраз это прослеживается? Вы опять приписываете мне то, чего я не говорил. В рамках своей задачи по обнаружению известных угроз антивирус работает нормально. В рамках обнаружения угроз «завтрашнего дня» — действительно фигово. Антивирус и закручивание гаек вообще не связаны. Антивирус может быть, может не быть — пока гайки не закручены, эффект будет одинаковый. ПО написано плохо и пользователи неграмотны — писать ПО нужно лучше, пользователей нужно обучать. И то, и другое сложно сделать напрямую. Что характерно, сами разработчики ПО и пользователи не будут сами это делать, самостоятельно. Поэтому нужно их вынудить. Какие еще есть варианты разрешения проблемы?
И о пользователях — это конечно, антивирус заставляет пользователей качать что попало и где попало, не патчить систему и софт. Вот какой он злобный антивирус, и пользователи тут вообще не причем.
И если что — я тоже не люблю антивирусные компании, они по поводу своей эвристики и проактивки совсем уже заврались. Тут скорее антивирус не средство предотвращения — а средство лечения (с запозданием).
Да плевать — что они там делают, на самом деле. А еще эти юзеры пиво пьют и привычки имеют всякие нехорошие, и что? Ну поймал отдельный извраще юзер себе на одно место приключений, купив однодневный аккаунт — порнофильм посмотреть. Давайте теперь мы его на цепь посадим и комп отберем!
И непременно в глобальном масштабе, ага.
И вот сидит этот джон-смит, с профуканными аж тремями доллерами, и тыковку чешет — как теперь от заразы избавиться? а то мало того что подсунули фигу в кармане, так и комп теперь весь в баннерах и в интернет не выйти. И нет — карточку он уже заблокировал и новую заказал, завтра по дороге на работу зайдет и заберет, банкиры лекций не читают.
А ему в ответ — э, чувак! Это ж общемировая проблема! Пока все банки не построим и комтайну не отменим — никак тебе от баннеров не избавиться, иди совершай суицид — комп форматируй и из бэкапов восстанавливайся. Во, заодно начнешь их делать! И вообще — сам виноват, лучше б за соседкой подсматривал.
Смешно выходит, чес-слово.
И непременно в глобальном масштабе, ага.
И вот сидит этот джон-смит, с профуканными аж тремями доллерами, и тыковку чешет — как теперь от заразы избавиться? а то мало того что подсунули фигу в кармане, так и комп теперь весь в баннерах и в интернет не выйти. И нет — карточку он уже заблокировал и новую заказал, завтра по дороге на работу зайдет и заберет, банкиры лекций не читают.
А ему в ответ — э, чувак! Это ж общемировая проблема! Пока все банки не построим и комтайну не отменим — никак тебе от баннеров не избавиться, иди совершай суицид — комп форматируй и из бэкапов восстанавливайся. Во, заодно начнешь их делать! И вообще — сам виноват, лучше б за соседкой подсматривал.
Смешно выходит, чес-слово.
Давайте еще наркотики разрешим, все же знают — что наркотики, это плохо. Но нет — нехорошое правительство злостно попирает наши права, не дает нам колоться и нюхать без преград — это вообще нарушение прав человека. У вас какой-то юношеский максимализм — да пусть делают, что хотят. Зачем тогда Microsoft что-то там внедряет, какие-то подписи драйверов, UAC, разделение прав пользователей — зачем? Вон, сидели бы на 98 и нормально.
Ну, передергивать-то не надо — наркоту запрещают потому, что наркоманы становятся опасными для третьих лиц, а не потому что это привычка плохая.
Кстати за подписи драйверов им отдельное пролетарское спасибо — угробили целый класс проектов. Попробуйте получить сертификат для опенсорц-драйвера, фигу. Зато зловредам не помеха — покупают сертификаты на черном рынке и подписываются всякими там реалтеками. Вот защитили так защитили, блин!
Кстати за подписи драйверов им отдельное пролетарское спасибо — угробили целый класс проектов. Попробуйте получить сертификат для опенсорц-драйвера, фигу. Зато зловредам не помеха — покупают сертификаты на черном рынке и подписываются всякими там реалтеками. Вот защитили так защитили, блин!
Нормально защитились, от Васи Кулибина, которому лишь дай DDK
От Васи не спасает — ему не надо делать лицензионно чистый продукт, его полностью устроит краденый сертификат. Так ему даже лучше.
А опенсорц-коммунити не может для своих проектов покупать краденые байты. И честно получить не может — сертификат нельзя выложить под GPL.
И от кого в итоге защитились? От FUSE for Windows? Или от ext2fs? Или от опенсорц драйвера к устаревшему сканеру? Опенсорц драйвер — это так страшно — аж жуть, да.
А опенсорц-коммунити не может для своих проектов покупать краденые байты. И честно получить не может — сертификат нельзя выложить под GPL.
И от кого в итоге защитились? От FUSE for Windows? Или от ext2fs? Или от опенсорц драйвера к устаревшему сканеру? Опенсорц драйвер — это так страшно — аж жуть, да.
Дык — микрософт, итить его, от Вась-Кулибиных зашшыту придумал, накрылся мой опенсорц проект
Ага, так всё-таки нет у среднестатистического Васи Кулибина желания или возможностей купить краденные сертификаты ))
Собственно, с этой проблемой я на прошлой неделе сталкивался. Нужно было пробить изоляцию терминальных сессий, имея права локального админа. Думал, плёвое дело. Но начиная с висты, все известные лазейки перекрыли (например, в win2k валидация параметров CreateProcess была в юзерспейс и можно было вызвать напрямую NtCreateProcess, создав процесс от того юзера, с от аккаунта которого у тебя пароля нет). Порядка четырёх различных подходов закончились неудачей, и я уже отчаялся сделать это из юзерспейса.
Ситуацию спасли, как ни странно, красноглазые. GPL-программа Process Hacker имеет очень мощный драйвер, подписанный ReactOS Foundation, которым можно всю систему в бараний рог скрутить ))
> Ага, так всё-таки нет у среднестатистического Васи Кулибина желания или возможностей купить краденные сертификаты ))
Это у меня нет — я же в белой шляпе, мне стыдно покупать у черных шляп краденые битики ;-))))
Это у меня нет — я же в белой шляпе, мне стыдно покупать у черных шляп краденые битики ;-))))
Вы, наверное, подумали, что я говорю о защите от коммерческих троянописателей введением сертификатов. Нет, В.К. в моём предсталении — продвинутый технарь, который делает свои разработки из интереса или чтобы подшутить над друзьями. От него MS тоже хочет защититься, потому что такие норовят в каждую третью программу засунуть свой драйвер не потому что это нужно, а потому что «я могу».
Ну а эти-то технари чем им помешали? ;-)))
Они делают народно-любимые программы и нужно беспокоиться о совместимости со всеми их багами в новых версиях венд.
Ну и стабильность приблизится к уровню 95-й, если каждый видеоплейер будет играть звук своим драйвером ядра напрямую в железо, потому что некий В.К. раскопал, как это делать на популярных чипсетах и, довольный собой, впаривает всем свой плеер с sound latency = 2ms.
Ну и стабильность приблизится к уровню 95-й, если каждый видеоплейер будет играть звук своим драйвером ядра напрямую в железо, потому что некий В.К. раскопал, как это делать на популярных чипсетах и, довольный собой, впаривает всем свой плеер с sound latency = 2ms.
Правильно. Вот она — забота о пользователях. Вася старался, добиваясь отличных показателей, и в его плеере звук от видеоряда не уползает так, что это видно на глаз.
Но вот в микрософте сделать лучше или хотя бы так же — не удалось. Ага, ага — у них же уже есть иксбокс медиаплеер (гораздо хуже), зачем стараться.
А давайте мы Васю запретим! Нам делать лучше не придется.
Вы именно это хотели сказать? ;-)
Но вот в микрософте сделать лучше или хотя бы так же — не удалось. Ага, ага — у них же уже есть иксбокс медиаплеер (гораздо хуже), зачем стараться.
А давайте мы Васю запретим! Нам делать лучше не придется.
Вы именно это хотели сказать? ;-)
Можно и под таким углом посмотреть.
Я же видел любопытную поделку под win2k: эмулятор ZX-Spectrum, который является консольным win32-приложением. Он запускает ДОСовый com-файл, чтобы настроить полноэкранный текстовый режим 80x224 50Hz (через VGA-регистры) и пишет в \\device\PhysicalMemory где-то в районе 0xB8000, получая аутентичную для Spectrum картинку в 50 Hz и не более 8 цветов на линию 8x1, точно передавая все эффекты, на которые был способен Sinclair (мультиколоры, плавные скроллы, синхронизированные на 50 Hz).
Но неосторожный Alt-tab мог обрушить всю систему.
Видимо, MS не смогло такое вытерпеть и сделало хитрый финт: если отнять админ-права уже невозможно, надо ввести уровень выше, чем локальный админ и не давать его юзерам (подпись дров и т.п.), а локального админа урезать.
Я же видел любопытную поделку под win2k: эмулятор ZX-Spectrum, который является консольным win32-приложением. Он запускает ДОСовый com-файл, чтобы настроить полноэкранный текстовый режим 80x224 50Hz (через VGA-регистры) и пишет в \\device\PhysicalMemory где-то в районе 0xB8000, получая аутентичную для Spectrum картинку в 50 Hz и не более 8 цветов на линию 8x1, точно передавая все эффекты, на которые был способен Sinclair (мультиколоры, плавные скроллы, синхронизированные на 50 Hz).
Но неосторожный Alt-tab мог обрушить всю систему.
Видимо, MS не смогло такое вытерпеть и сделало хитрый финт: если отнять админ-права уже невозможно, надо ввести уровень выше, чем локальный админ и не давать его юзерам (подпись дров и т.п.), а локального админа урезать.
Для этого драйвера не нужны, встроенный эмулятор доса сделает все сам ;-) И писание по адресам физической памяти — дело хоть и опасное, но драйверов не требует.
Логика микрософта на предмет elevated privileges совершенно непонятна с точки зрения безопасности.
Разрешить кое-какие вещи типа запуска юзерспейс-отладчика из-под power user, и создавать юзеров автоматом без админских прав, делов-то. Заодно и сервисам можно под это дело права урезать.
Run as admin все равно в гуях приделывать.
Но нет — левой пяткой чешут правое ухо, протягивая по всему ведру и рожая пачками новые апи. Зачем?
Зададим себе вопрос — какую задачу надо решать, чтобы не хватило вышеперечисленного?
Ответ неожиданный. В классическом подходе проги с админовыми правами, проги с обычными правами, и дурацкие вопросы «а это точно вы» — равноправны.С точки зрения ведра и дров — разницы нет.
А — хотели чтобы была. Чтобы при запуске прог с elevated privileges — часть функционала отключалась. Вот зачем.
Нет, я не настолько параноик как в ЖЖшечке по линку, я все-таки инженер.
Так вот что получается — если юзер САМ запустит прогу под админом, а та ему сграбает /dev/kmem — что произойдет? Можно будет украсть DMA buffers с содержимым музыки в raw с high quality.
Непорядок.
Но с другой стороны — это получится вообще шиза, как минимум 1 сервис у нас с админовыми правами есть и его не избежать (винлогон). И что теперь, вообще блюррей никогда не проигрывать? Значит надо чтобы юзер каждый раз запуская нечто потенциально опасное — нам об этом сообщал. Trusted zone в опасности от сих до сих!
Вот поэтому и.
Кстати это и ответ — что можно было делать пятилетку и почему виста вышла таким уродцем.
Логика микрософта на предмет elevated privileges совершенно непонятна с точки зрения безопасности.
Разрешить кое-какие вещи типа запуска юзерспейс-отладчика из-под power user, и создавать юзеров автоматом без админских прав, делов-то. Заодно и сервисам можно под это дело права урезать.
Run as admin все равно в гуях приделывать.
Но нет — левой пяткой чешут правое ухо, протягивая по всему ведру и рожая пачками новые апи. Зачем?
Зададим себе вопрос — какую задачу надо решать, чтобы не хватило вышеперечисленного?
Ответ неожиданный. В классическом подходе проги с админовыми правами, проги с обычными правами, и дурацкие вопросы «а это точно вы» — равноправны.С точки зрения ведра и дров — разницы нет.
А — хотели чтобы была. Чтобы при запуске прог с elevated privileges — часть функционала отключалась. Вот зачем.
Нет, я не настолько параноик как в ЖЖшечке по линку, я все-таки инженер.
Так вот что получается — если юзер САМ запустит прогу под админом, а та ему сграбает /dev/kmem — что произойдет? Можно будет украсть DMA buffers с содержимым музыки в raw с high quality.
Непорядок.
Но с другой стороны — это получится вообще шиза, как минимум 1 сервис у нас с админовыми правами есть и его не избежать (винлогон). И что теперь, вообще блюррей никогда не проигрывать? Значит надо чтобы юзер каждый раз запуская нечто потенциально опасное — нам об этом сообщал. Trusted zone в опасности от сих до сих!
Вот поэтому и.
Кстати это и ответ — что можно было делать пятилетку и почему виста вышла таким уродцем.
>> Логика микрософта на предмет elevated privileges совершенно непонятна с точки зрения безопасности
Ещё пляски с назначением себе SeDebugPrivilege — пример подобного поведения. Как бы перед доступом к системе вызвать пару функций АПИ, чтобы получить привелегию — несложно. Какой в этом смысл. Отвадить ненастойчивых, у которых с первой попытки не получилось?
>> что можно было делать пятилетку и почему виста вышла таким уродцем.
5 лет крячили мультимедийный стек под DRM ))
То-то у видеокарт TV-Out перестал работать в режиме оверлея, а ведь как было удобно — включил где-то в оверлее фильм и он в полном экране выведен на ТВ. Основной монитор на 100% свободен.
Владельцы проф звуковых карт тоже отмечали много проблем с вистой.
Ещё пляски с назначением себе SeDebugPrivilege — пример подобного поведения. Как бы перед доступом к системе вызвать пару функций АПИ, чтобы получить привелегию — несложно. Какой в этом смысл. Отвадить ненастойчивых, у которых с первой попытки не получилось?
>> что можно было делать пятилетку и почему виста вышла таким уродцем.
5 лет крячили мультимедийный стек под DRM ))
То-то у видеокарт TV-Out перестал работать в режиме оверлея, а ведь как было удобно — включил где-то в оверлее фильм и он в полном экране выведен на ТВ. Основной монитор на 100% свободен.
Владельцы проф звуковых карт тоже отмечали много проблем с вистой.
Кстати, насчёт DRM…
Чтобы записать музыку с хитрозашифрованного сайта, захотел сграбить воспроизводимый аудиопоток в цифровом виде, но сразу не нашёл как. Оказалось, компания Realtek, производитель встроенной аудиокарты, сделала записывающее псевдо-устройство, грабящее текущий воспроизводимый поток, но по умолчанию его отключила ))) www.youtube.com/watch?v=OAZFQ6a5V4w
Чтобы записать музыку с хитрозашифрованного сайта, захотел сграбить воспроизводимый аудиопоток в цифровом виде, но сразу не нашёл как. Оказалось, компания Realtek, производитель встроенной аудиокарты, сделала записывающее псевдо-устройство, грабящее текущий воспроизводимый поток, но по умолчанию его отключила ))) www.youtube.com/watch?v=OAZFQ6a5V4w
Я в свое время таких псевдо-устройств таки делал тоже.
Оно не так уж и сложно как кажется, почти готовый пример есть в DDK. И тут есть одна чУдная плюшка от микрософт — при инсталляции аудиоустройства его нельзя сделать primary принудительно. АПИ официально — нет. Мол, забота о юзерах, хе-хе, только из гуев.
А если девайс USB — то можно было (до висты) юзермод фильтром поток снимать ;-)
Оно не так уж и сложно как кажется, почти готовый пример есть в DDK. И тут есть одна чУдная плюшка от микрософт — при инсталляции аудиоустройства его нельзя сделать primary принудительно. АПИ официально — нет. Мол, забота о юзерах, хе-хе, только из гуев.
А если девайс USB — то можно было (до висты) юзермод фильтром поток снимать ;-)
как всегда у микросовта, что работало (DRVM_MAPPER_PREFERRED_SET) — сломали, но заместо этого придумали новый com-сервер с интерфейсом IPolicyConfigVista и методом SetDefaultEndpoint.
озаботился этим вопросом, когда захотел сделать программульку в трее, чтобы одним кликом переключать наушники/колонки. если интересно, могу выложить исходники утилитки, но там в основном копипаста из интернетов по вышеуказанным ключевым словам
озаботился этим вопросом, когда захотел сделать программульку в трее, чтобы одним кликом переключать наушники/колонки. если интересно, могу выложить исходники утилитки, но там в основном копипаста из интернетов по вышеуказанным ключевым словам
>> Оно не так уж и сложно как кажется, почти готовый пример есть в DDK
а толку, если драйвер подписать нельзя. возможно, есть способ всегда загружать систему в режим с отключенной проверкой подписей, чтобы каждый раз F8 не давить, но я его не знаю
>> И тут есть одна чУдная плюшка от микрософт — при инсталляции аудиоустройства его нельзя сделать primary принудительно
в примере с Realtek немного другое — оно не просто не активное, а вообще disabled и юзер сам его не может выбрать, потому что не видит (пока не включит опцию «show disabled devices»). так что это не козни microsoft, а осторожность realtek
а толку, если драйвер подписать нельзя. возможно, есть способ всегда загружать систему в режим с отключенной проверкой подписей, чтобы каждый раз F8 не давить, но я его не знаю
>> И тут есть одна чУдная плюшка от микрософт — при инсталляции аудиоустройства его нельзя сделать primary принудительно
в примере с Realtek немного другое — оно не просто не активное, а вообще disabled и юзер сам его не может выбрать, потому что не видит (пока не включит опцию «show disabled devices»). так что это не козни microsoft, а осторожность realtek
А если серьёзно — ынтерпрайз.
Например, доменный админ заходит в шару к юзеру, у которого по необходимости работать с древними программами есть права локального админа на своей машине. Есть такой объект ядра — секурити токен, который нужен для сравнения с файловыми ACL, чтобы понять, может ли админ открыть файл в шаре. Имея токен, можно создать процесс от владельца токена (CreateProcessAsUser). В юзерспейсе MS хорошо защитило этот токен. Но не в ядре. Предположим, что наш юзер — Вася Кулибин. Получается, Доменный Админ должен бояцца ходить на такие машины всякими удалёнными микросовтовыми приблудами (шары, удалённый реестр — всё, что \\computer\admin$).
Проще уж в ядро Васю не пускать )))
Например, доменный админ заходит в шару к юзеру, у которого по необходимости работать с древними программами есть права локального админа на своей машине. Есть такой объект ядра — секурити токен, который нужен для сравнения с файловыми ACL, чтобы понять, может ли админ открыть файл в шаре. Имея токен, можно создать процесс от владельца токена (CreateProcessAsUser). В юзерспейсе MS хорошо защитило этот токен. Но не в ядре. Предположим, что наш юзер — Вася Кулибин. Получается, Доменный Админ должен бояцца ходить на такие машины всякими удалёнными микросовтовыми приблудами (шары, удалённый реестр — всё, что \\computer\admin$).
Проще уж в ядро Васю не пускать )))
Нет, если серьезно — к ынтерпрайзу это отношения не имеет.
И ваш пример неверен — это разные токены. Хотите узнать кто добрался до вашего файла? Вот вам sid. Только на него имперсонироваться — нельзя.
Ситуация с сертификатами проста как мычание и описывается одним словом — blu-ray.
Микрософт сама со вкусом расписывала — зачем и почему. Почитайте, что отключается при переходе в тест-мод, это подсказка.
А вот еще. Зачем в висте появились средства преднамеренного ухудшения аудиопотока?
Вот именно, только потому что микрософт получила право проигрывать лицензионный контент — мы получаем вот такие вот оргмеры и ограничения.
К слову, все нынешние пляски с UEFI нужны микрософту только для одного — не дать стартовать активаторам пиратских лицензий до того как стартанет сама винда. Все.
А все «заботы» о ентерпрайзе — это маркетоидный бульшит. И описывается это одной фразой — видеосьемка в туалете ведется для вашей безопасности.
И ваш пример неверен — это разные токены. Хотите узнать кто добрался до вашего файла? Вот вам sid. Только на него имперсонироваться — нельзя.
FLT_PREOP_CALLBACK_STATUS beforeOpenCb (
IN OUT PFLT_CALLBACK_DATA Data,
IN PCFLT_RELATED_OBJECTS FltObjects,
OUT PVOID *CompletionContext)
{
PFILE_OBJECT fileObject = Data->Iopb->TargetFileObject;
if(FLT_IS_REISSUED_IO(Data))
return FLT_PREOP_SUCCESS_NO_CALLBACK;
securityIsNULL =
Data->Iopb->Parameters.Create.SecurityContext == NULL
|| Data->Iopb->Parameters.Create.SecurityContext->AccessState == NULL ;
if(!securityIsNULL) {
PACCESS_STATE aState = Data->Iopb->Parameters.Create.SecurityContext->AccessState;
SeLockSubjectContext(&aState->SubjectSecurityContext);
if (ARGUMENT_PRESENT(aState->SubjectSecurityContext.ClientToken))
EffectiveToken = aState->SubjectSecurityContext.ClientToken;
else
EffectiveToken = aState->SubjectSecurityContext.PrimaryToken;
SeUnlockSubjectContext(&aState->SubjectSecurityContext);
}
...
}
Ситуация с сертификатами проста как мычание и описывается одним словом — blu-ray.
Микрософт сама со вкусом расписывала — зачем и почему. Почитайте, что отключается при переходе в тест-мод, это подсказка.
А вот еще. Зачем в висте появились средства преднамеренного ухудшения аудиопотока?
Вот именно, только потому что микрософт получила право проигрывать лицензионный контент — мы получаем вот такие вот оргмеры и ограничения.
К слову, все нынешние пляски с UEFI нужны микрософту только для одного — не дать стартовать активаторам пиратских лицензий до того как стартанет сама винда. Все.
А все «заботы» о ентерпрайзе — это маркетоидный бульшит. И описывается это одной фразой — видеосьемка в туалете ведется для вашей безопасности.
Вот здесь хорошо про это написано
Документация к SeLockSubjectContext говорит, что функция locks the primary and impersonation tokens.
В приведённом фрагменте используется ClientToken вместо PrimaryToken, но ведь при ядерном доступе любые ветвления можно патчить, а в токене включать/выключать лишние биты, которые как-то ограничивают его использование.
В приведённом фрагменте используется ClientToken вместо PrimaryToken, но ведь при ядерном доступе любые ветвления можно патчить, а в токене включать/выключать лишние биты, которые как-то ограничивают его использование.
Улыбнуло, спасибо. Это код примера из DDK. Совершенно непонятно — зачем его патчить.
Драйверу файловой системы присылаются на открытие файла или один или два токена. Primary — это под кем запущен сервис. А Client — это уже имперсонированный токен. Никакие CreateAsUser этот токен не воспринимают, потому что это не logon token.
Не все так просто. Да, из-под драйвера можно запустить процесс, хоть и нетривиальное действие, но смысл? Из-под сервиса то же самое только проще и быстрее. И под Win32 подсистему ручками настраивать не надо.
Драйверу файловой системы присылаются на открытие файла или один или два токена. Primary — это под кем запущен сервис. А Client — это уже имперсонированный токен. Никакие CreateAsUser этот токен не воспринимают, потому что это не logon token.
Не все так просто. Да, из-под драйвера можно запустить процесс, хоть и нетривиальное действие, но смысл? Из-под сервиса то же самое только проще и быстрее. И под Win32 подсистему ручками настраивать не надо.
> для ВАС 2 доллара не деньги
Ну конечно — 2 доллара это так много, что для их защиты надо выложить полтинник, что в 25 раз больше ;-) Браво. И кто из нас экономнее? Кстати я не зря этот пример привожу — очень нагляден градус маразма.
> Из каких моих фраз это прослеживается?
> 5. для борьбы с ВПО необходимо «зажать гайки» пользователям
Ваше? «Необходимо» в наличии.
Вдумайтесь в ваше предложение. Зачем? Затем что нынешние средства такие замечательные, все отлично — вирусы ловятся пачками и мои два бакса вовсю защищаются? ;-)
Ну конечно — 2 доллара это так много, что для их защиты надо выложить полтинник, что в 25 раз больше ;-) Браво. И кто из нас экономнее? Кстати я не зря этот пример привожу — очень нагляден градус маразма.
> Из каких моих фраз это прослеживается?
> 5. для борьбы с ВПО необходимо «зажать гайки» пользователям
Ваше? «Необходимо» в наличии.
Вдумайтесь в ваше предложение. Зачем? Затем что нынешние средства такие замечательные, все отлично — вирусы ловятся пачками и мои два бакса вовсю защищаются? ;-)
Бесплатные антивирусы Avira и Avast для вас в новинку?
Где связь между словами необходимо и антивирус? Есть антивирус или нет, не важно. Наличие ошибок в ПО и недальновидность пользователя не зависят от наличия антивируса у него на компе.
Вы упорно продолжаете игнорировать тот факт, что все умозаключения сводяться к вашим 2 баксам и вашему компьютеру. Между тем, я стараюсь хоть как-то ответить на ваши выпады, а вы старательно уворачиваетесь от ответа на мои. Про 20000 компьютеров напомнить или как?
Где связь между словами необходимо и антивирус? Есть антивирус или нет, не важно. Наличие ошибок в ПО и недальновидность пользователя не зависят от наличия антивируса у него на компе.
Вы упорно продолжаете игнорировать тот факт, что все умозаключения сводяться к вашим 2 баксам и вашему компьютеру. Между тем, я стараюсь хоть как-то ответить на ваши выпады, а вы старательно уворачиваетесь от ответа на мои. Про 20000 компьютеров напомнить или как?
У вас то антивирус плохо защищает, то минимизирует что-то — вы определитесь вы за антивирус или против? Я говорю, что применение антивируса — не панацея от всего, на текущем этапе развития, что необходимо принимать какие-то еще меры. А ваших предложений я так и не услышал.
Или это такой тонкий троллинг? Так будьте уверены, терпения у меня — будь здоров.
Я — за правильный антивирус, как это ни банально.
Вот плюгин к огнелису / аутглюку, который проверяет на предмет зловреда по актуальнейшей базе в онлайне — это правильный антивирус.
Или сканер — тоже правильный антивирус, когда совсем кранты — скачиваешь свежачка, в сейф-мод — и часов 10ть сканишь диск по свежей базе.
Или вот догадались систему от приложений отделять — отлично, почему не пойти дальше и не отделять приложения друг от друга?
А реалтайм мониторы и проверятели по эвристикам — зло однозначное, вреда гораздо больше чем пользы, и фолс-позитивов вагон, и комп тормозит так что только беги. Но почему-то все усилия идкут именно сюда 8-(
Вот плюгин к огнелису / аутглюку, который проверяет на предмет зловреда по актуальнейшей базе в онлайне — это правильный антивирус.
Или сканер — тоже правильный антивирус, когда совсем кранты — скачиваешь свежачка, в сейф-мод — и часов 10ть сканишь диск по свежей базе.
Или вот догадались систему от приложений отделять — отлично, почему не пойти дальше и не отделять приложения друг от друга?
А реалтайм мониторы и проверятели по эвристикам — зло однозначное, вреда гораздо больше чем пользы, и фолс-позитивов вагон, и комп тормозит так что только беги. Но почему-то все усилия идкут именно сюда 8-(
Вы сейчас вообще крамольную мысль выдвинули, обратите внимание. Вне зависимости от наличия антивируса (ключевой момент) вирусы на компе юзера — будут! Я даже больше скажу — и даже вне зависимости от лично его поведения в интернете — будут, он не один такой, а конфикеры и К — прекрасно размножаются и без порносайтов.
Если припомните, именно с этого я и начал.
И даже (страшное дело) критиковал предметно — предлагая подумать об изоляции приложений друг от друга и возможности их поштучно обновлять-удалять-откатывать в удобной форме.
А вот ваше предложение — поправьте, если я не так понял — заключается в том, чтобы не допускать появления заразы на корню путем люстрации юзеров и отбирания у них движимого имущества ;-)
А в остальном у нас разногласий-то и нет.
На новый круг пойдем, или уже все что хотели — друг другу сказали? Если не — давайте подведем итоги и закончим.
Если припомните, именно с этого я и начал.
И даже (страшное дело) критиковал предметно — предлагая подумать об изоляции приложений друг от друга и возможности их поштучно обновлять-удалять-откатывать в удобной форме.
А вот ваше предложение — поправьте, если я не так понял — заключается в том, чтобы не допускать появления заразы на корню путем люстрации юзеров и отбирания у них движимого имущества ;-)
А в остальном у нас разногласий-то и нет.
На новый круг пойдем, или уже все что хотели — друг другу сказали? Если не — давайте подведем итоги и закончим.
По вашему изоляция решает проблему? И все? Даже в Qube OS — ну разделил я ДБО и браузер по уровням изоляции и что? Троян мне пришлет ссылку с надписью — новая версия ДБО. Я ее поставлю в нужный уровень изоляции — и прощайте деньги. Ошибки в ПО пусть так и остаются? И пользователи с нулевым уровнем тоже? Conficker, если помните, распространялся не через zero-day, заплатка уже была. Но, поскольку, возможность принудительного обновления отсутсвует — имеем то, что имеем. Вот гипотетический пример — запускаю я браузер, а он и говорит, не буду работать, пока не обновишь! И все! Вот это я называю «закручивание гаек». Пошел пользователь на сайт в черном списке, а браузер ему не предоставляет выбор — заразиться трипером или нет, заблокировал и все. А то все в демократию не наигрались, видите-ли пользователь хочет. Пользователь — не специалист, не может он оценить, нужно ли ему реально то, чего он хочет и какие последствия такого выбора.
> изоляция решает проблему? И все?
Нет, конечно же — не все, это всего лишь поддерживающий механизм. Точно так же как наличие базы сигнатур не означает вирус-фри.
Однако тут интересные такие следствия образуются — просто сказка. Реально облегчаются все эти реал-тайм мониторы и тэдэ. А главное — не только кардинально падает нагрузка на систему, но и появляются возможности независимо управлять каждым приложением.
С введением изоляции, вдруг выясняем, что
1. У каждого приложения — свой реестр, своя сеть со своим фаерволлом, и своя эксклюзивная файловая система… Напортачил — легко перемещаемся по чекпоинтам и любые действия в пределах песочницы 100% не затронут всех остальных. Своя windows с блэкджеком — каждому приложению, порть не хочу.
2. Запуск дочерних процессов автоматом приводит к созданию копии песочницы. Ограничения родителя всегда добавляются к ограничениям потомков, никогда не уменьшая уровней изоляции. Обмен между приложениями не из одного дерева — в песочницах разрешен только по сети и через clipboard,
3. Список изменений в каждой песочнице строго локален и легко версионируется.
Казалось бы — ну набредил, да? Как это вообще поможет?
А вот пара следствий.
а. антивирь всегда в своей песочнице, не достанешь. И даже не узнаешь что он вообще есть!
б. с хост-системы проверять на наличие вирусов можно банально по таймеру и только в последних изменениях песочниц. А реалтаймы в файловой системе (самый бесящий меня компонент) просто не нужны.
в. эвристики могут быть у каждой песочницы свои. У «инторнет експлойтера» — параноидальные, а у вижуалстудии — никакие (давно об этом мечтаю, хе-хе). Даже не так — в каждой песочнице может быть свой антивирус, во!
Вот такие интересные моменты вырисовываются, с технической точки зрения.
А вот с точки зрения нашего юзера — у него появляется то о чем он давно мечтал. Он точно знает что у него сейчас в системе менялось и он может это отменить. Хотя бы — в теории.
Так что смотрите что получается.
> Троян мне пришлет ссылку с надписью — новая версия ДБО. Я ее поставлю в нужный уровень изоляции — и прощайте деньги
Ой! аштойта это у меня такое случилось? Че я тут ставил-то? Птичек и какой-то дыбыо? Тынц! Тынц! И усе, нет фейкового апдейта.
И тут есть некоторое непонимание. Нет разницы в уровнях изоляции — у каждого своя виндовс.
Юзер ставит мифический апдейт? Да огтлично, он автоматом попадет в свою(!) песочницу, отнаследованную от песочницы браузера (или откуда он там его запускал), а не песочницу ДБО.
Апдейт внутри чужой песочницы руками — задача административная и некислой сложности, требующая доступа к чистовой хост-системе. А у юзера для этого есть административный вин-експлорер, запуск любых процессов из которого тут же отправляет его в новую песочницу ;-)
> Ошибки в ПО пусть так и остаются? И пользователи с нулевым уровнем тоже?
А они и так никуда не денутся.
> поскольку, возможность принудительного обновления отсутсвует
у кого, простите? У вин-апдейта? ;-) включено по умолчанию.
> гипотетический пример — запускаю я браузер, а он и говорит, не буду работать, пока не обновишь
Это не гипотетический. Это хром. Только он в позу не встает, а просто обновляется. Молча.
> Пошел пользователь на сайт в черном списке
А вот это — окромя злоупотреблений никаких чудес. Почтовых RBL мало было, чтобы понять — нельзя верить спискам, составленным не вами, на 100%? ;-)
> Пользователь — не специалист, не может он оценить, нужно ли ему реально то, чего он хочет и какие последствия такого выбора
Пользователь вполне себе может четко понимать, что он делает, к слову. Или думает, что знает. В любом случае вопрос не в том, как его в бордель не пустить, а как не дать ему подхватить заразу, и вылечить — если вдруг.
Нет, конечно же — не все, это всего лишь поддерживающий механизм. Точно так же как наличие базы сигнатур не означает вирус-фри.
Однако тут интересные такие следствия образуются — просто сказка. Реально облегчаются все эти реал-тайм мониторы и тэдэ. А главное — не только кардинально падает нагрузка на систему, но и появляются возможности независимо управлять каждым приложением.
С введением изоляции, вдруг выясняем, что
1. У каждого приложения — свой реестр, своя сеть со своим фаерволлом, и своя эксклюзивная файловая система… Напортачил — легко перемещаемся по чекпоинтам и любые действия в пределах песочницы 100% не затронут всех остальных. Своя windows с блэкджеком — каждому приложению, порть не хочу.
2. Запуск дочерних процессов автоматом приводит к созданию копии песочницы. Ограничения родителя всегда добавляются к ограничениям потомков, никогда не уменьшая уровней изоляции. Обмен между приложениями не из одного дерева — в песочницах разрешен только по сети и через clipboard,
3. Список изменений в каждой песочнице строго локален и легко версионируется.
Казалось бы — ну набредил, да? Как это вообще поможет?
А вот пара следствий.
а. антивирь всегда в своей песочнице, не достанешь. И даже не узнаешь что он вообще есть!
б. с хост-системы проверять на наличие вирусов можно банально по таймеру и только в последних изменениях песочниц. А реалтаймы в файловой системе (самый бесящий меня компонент) просто не нужны.
в. эвристики могут быть у каждой песочницы свои. У «инторнет експлойтера» — параноидальные, а у вижуалстудии — никакие (давно об этом мечтаю, хе-хе). Даже не так — в каждой песочнице может быть свой антивирус, во!
Вот такие интересные моменты вырисовываются, с технической точки зрения.
А вот с точки зрения нашего юзера — у него появляется то о чем он давно мечтал. Он точно знает что у него сейчас в системе менялось и он может это отменить. Хотя бы — в теории.
Так что смотрите что получается.
> Троян мне пришлет ссылку с надписью — новая версия ДБО. Я ее поставлю в нужный уровень изоляции — и прощайте деньги
Ой! аштойта это у меня такое случилось? Че я тут ставил-то? Птичек и какой-то дыбыо? Тынц! Тынц! И усе, нет фейкового апдейта.
И тут есть некоторое непонимание. Нет разницы в уровнях изоляции — у каждого своя виндовс.
Юзер ставит мифический апдейт? Да огтлично, он автоматом попадет в свою(!) песочницу, отнаследованную от песочницы браузера (или откуда он там его запускал), а не песочницу ДБО.
Апдейт внутри чужой песочницы руками — задача административная и некислой сложности, требующая доступа к чистовой хост-системе. А у юзера для этого есть административный вин-експлорер, запуск любых процессов из которого тут же отправляет его в новую песочницу ;-)
> Ошибки в ПО пусть так и остаются? И пользователи с нулевым уровнем тоже?
А они и так никуда не денутся.
> поскольку, возможность принудительного обновления отсутсвует
у кого, простите? У вин-апдейта? ;-) включено по умолчанию.
> гипотетический пример — запускаю я браузер, а он и говорит, не буду работать, пока не обновишь
Это не гипотетический. Это хром. Только он в позу не встает, а просто обновляется. Молча.
> Пошел пользователь на сайт в черном списке
А вот это — окромя злоупотреблений никаких чудес. Почтовых RBL мало было, чтобы понять — нельзя верить спискам, составленным не вами, на 100%? ;-)
> Пользователь — не специалист, не может он оценить, нужно ли ему реально то, чего он хочет и какие последствия такого выбора
Пользователь вполне себе может четко понимать, что он делает, к слову. Или думает, что знает. В любом случае вопрос не в том, как его в бордель не пустить, а как не дать ему подхватить заразу, и вылечить — если вдруг.
Вы про Qube OS так и не прочитали похоже.
Не хватает производительности сделать песочницы для каждого приложения.
Максимум несколько виртуалок с разными ограничениями.
Сейчас большинство ДБО работает через браузер, так их проще кодить.
Я закачаю себе поддельную ДБО, зайду туда один раз счет посмотреть — все! Троян пароли увел. Через сколько времени я обнаружу, что апдейт ДБО фейковый? А если нажму кнопку Undo — троян мой пароль вернет обратно? Или вернет время потраченое на генерацию Bitcoin?
По поводу Undo — есть решения типа ShadowUser. Проблема в том, что все состояния и все изменения в системе хранить нереально. А заставлять пользователя нажимать постоянно кнопку Принять изменения и Отклонить изменения не вариант.
Главная уязвимость — это сам пользователь. Именно его под разными предлогами завлекают нажать на вот эту кнопочку. Нет других варианто, кроме как ограничить ему возможность нажимать на неправильные кнопочки.
Вин-апдейт — есть возможность его отключить, а нужно — что бы не было. Вообще везде апдейты включены по умолчанию, как же тогда трояны заражают компьютеры, ума не приложу?
RBL большинство спама перекрывают, если что.
Не хватает производительности сделать песочницы для каждого приложения.
Максимум несколько виртуалок с разными ограничениями.
Сейчас большинство ДБО работает через браузер, так их проще кодить.
Я закачаю себе поддельную ДБО, зайду туда один раз счет посмотреть — все! Троян пароли увел. Через сколько времени я обнаружу, что апдейт ДБО фейковый? А если нажму кнопку Undo — троян мой пароль вернет обратно? Или вернет время потраченое на генерацию Bitcoin?
По поводу Undo — есть решения типа ShadowUser. Проблема в том, что все состояния и все изменения в системе хранить нереально. А заставлять пользователя нажимать постоянно кнопку Принять изменения и Отклонить изменения не вариант.
Главная уязвимость — это сам пользователь. Именно его под разными предлогами завлекают нажать на вот эту кнопочку. Нет других варианто, кроме как ограничить ему возможность нажимать на неправильные кнопочки.
Вин-апдейт — есть возможность его отключить, а нужно — что бы не было. Вообще везде апдейты включены по умолчанию, как же тогда трояны заражают компьютеры, ума не приложу?
RBL большинство спама перекрывают, если что.
Вы как-то отрываетесь от реальности. Предлагаете то, что нельзя сейчас реализовать. Может, в будущем антивирус будет работать на отдельном криптопроцессоре, куда никто влезть не может — но это фантазия.
Решения нужны сейчас, проблема в том, что на закручивании гаек денег не заработаешь, одни проблемы. А продавать новые технологические решения — это круто. Я же так понимаю, вот напишите вы суперпесочницу для винды, вы же ее продовать будете, приговаривая: наше решение лучше антивируса — они вам впаривают, а мы честно работаем. Вы действительно думаете, что техническое решение заменит человека? Закручивание гаек — это решение специалистов, а не решение программы.
> Не хватает производительности сделать песочницы для каждого приложения
(смотрит) намекаю — я это делал. Не так уж много ресурсов надо, на самом деле, если ограничиться минимальной паравиртуализацией.
Линки и reparse points прекрасно решают вопрос «а фактически в другом месте» на диске и в реестре. Я даже как-то copy on write пытался приделать, чтобы минимизировать расходы на диск и на их основе сделать версии. Работает, но подпорок вылезает — мама не горюй.
С сетью чуть сложнее — горы фейковых адаптеров система переваривает плохо, приходится ndis im miniport городить с сопутствующими проблемами и маскарадингом самому себе. Так что прежде чем сюда писать — я это проверил.
Осталось только подпереть COM — и вот мы виртуализовали, хе-хе. Тоже решаемо, даже в IETester справились.
Неожиданно, да? А с виду ботан — теоретик баки заколачивает ;-)
> Сейчас большинство ДБО работает через браузер, так их проще кодить
Закрыл браузер, открыл — у вас все та же песочница. А фейковый апдейт — в другой песочнице. И чтобы он сработал — вам надо на инфицированную песочницу переключиться. Ручками. Улавливаете момент?
Я по долгу службы пишу банкам всяческие защиты (от слова шит). Сюрприз. И от ботов там не только капча, там мноого всего интересного применяется с подписями, рандомизациями, секурити кодами и т. д. Не надо думать что банкиры — это МТС ;-)
И вот банку очень выгоден подход с виртуализациями. Он тогда может паравиртуалку выдать в офисе по паспорту (в виде отстроенного firefox portable к примеру со своим правильным виндовсом и средствами контроля). И хоть обставься, из соседней виртуалки можно просто не пускать.
> все состояния и все изменения в системе хранить нереально
Вернее не так — хранить не вопрос, мержить нереально.
> Главная уязвимость — это сам пользователь. Именно его под разными предлогами завлекают нажать на вот эту кнопочку.
Да.
> Нет других варианто, кроме как ограничить ему возможность нажимать на неправильные кнопочки
Нет.
> апдейты включены по умолчанию, как же тогда трояны заражают компьютеры, ума не приложу?
Ну наконец-то — задумались, хвала аллаху ;-)
Подсказываю — зачем нужен юзеру обыкновенному firewall? Неверно, плевать он хотел на ваше секурити и «у вас злые хакеры тырят бабло». Ему надо предотвратить — нет, не утечку документов! а утечку того факта, что (нужное название подставить) у него нелицензионное. Улавливаете? Вот именно поэтому у него отключены апдейты. А ну как новый апдейт по-новому проверит лицензию? И что тогда, переставлять винду с начала?
> RBL большинство спама перекрывают, если что
Назовите ваш, посмеемся.
Это IronPort большинство перекрывает, но там не списки а математика.
(смотрит) намекаю — я это делал. Не так уж много ресурсов надо, на самом деле, если ограничиться минимальной паравиртуализацией.
Линки и reparse points прекрасно решают вопрос «а фактически в другом месте» на диске и в реестре. Я даже как-то copy on write пытался приделать, чтобы минимизировать расходы на диск и на их основе сделать версии. Работает, но подпорок вылезает — мама не горюй.
С сетью чуть сложнее — горы фейковых адаптеров система переваривает плохо, приходится ndis im miniport городить с сопутствующими проблемами и маскарадингом самому себе. Так что прежде чем сюда писать — я это проверил.
Осталось только подпереть COM — и вот мы виртуализовали, хе-хе. Тоже решаемо, даже в IETester справились.
Неожиданно, да? А с виду ботан — теоретик баки заколачивает ;-)
> Сейчас большинство ДБО работает через браузер, так их проще кодить
Закрыл браузер, открыл — у вас все та же песочница. А фейковый апдейт — в другой песочнице. И чтобы он сработал — вам надо на инфицированную песочницу переключиться. Ручками. Улавливаете момент?
Я по долгу службы пишу банкам всяческие защиты (от слова шит). Сюрприз. И от ботов там не только капча, там мноого всего интересного применяется с подписями, рандомизациями, секурити кодами и т. д. Не надо думать что банкиры — это МТС ;-)
И вот банку очень выгоден подход с виртуализациями. Он тогда может паравиртуалку выдать в офисе по паспорту (в виде отстроенного firefox portable к примеру со своим правильным виндовсом и средствами контроля). И хоть обставься, из соседней виртуалки можно просто не пускать.
> все состояния и все изменения в системе хранить нереально
Вернее не так — хранить не вопрос, мержить нереально.
> Главная уязвимость — это сам пользователь. Именно его под разными предлогами завлекают нажать на вот эту кнопочку.
Да.
> Нет других варианто, кроме как ограничить ему возможность нажимать на неправильные кнопочки
Нет.
> апдейты включены по умолчанию, как же тогда трояны заражают компьютеры, ума не приложу?
Ну наконец-то — задумались, хвала аллаху ;-)
Подсказываю — зачем нужен юзеру обыкновенному firewall? Неверно, плевать он хотел на ваше секурити и «у вас злые хакеры тырят бабло». Ему надо предотвратить — нет, не утечку документов! а утечку того факта, что (нужное название подставить) у него нелицензионное. Улавливаете? Вот именно поэтому у него отключены апдейты. А ну как новый апдейт по-новому проверит лицензию? И что тогда, переставлять винду с начала?
> RBL большинство спама перекрывают, если что
Назовите ваш, посмеемся.
Это IronPort большинство перекрывает, но там не списки а математика.
Извиняйте, сейчас перейду на личности — если вы такой умный, то почему не богатый? =)
Причины по которым пользователи отключают апдейты я и сам знаю. Сарказма вы во фразе не увидели.
> Закрыл браузер, открыл — у вас все та же песочница. А фейковый апдейт — в другой песочнице. И чтобы он сработал — вам надо на инфицированную песочницу переключиться. Ручками. Улавливаете момент?
Я САМ и переключусь на инфицированную песочницу и САМ запущу поддельную ДБО. Меня об этом попросил троян в другой песочнице (с браузером). Капча — это хорошо, именно для этого внедряют VNC модуль в троян. И делай, что хочешь.
Причины по которым пользователи отключают апдейты я и сам знаю. Сарказма вы во фразе не увидели.
> Закрыл браузер, открыл — у вас все та же песочница. А фейковый апдейт — в другой песочнице. И чтобы он сработал — вам надо на инфицированную песочницу переключиться. Ручками. Улавливаете момент?
Я САМ и переключусь на инфицированную песочницу и САМ запущу поддельную ДБО. Меня об этом попросил троян в другой песочнице (с браузером). Капча — это хорошо, именно для этого внедряют VNC модуль в троян. И делай, что хочешь.
> если вы такой умный, то почему не богатый? =)
Дык — микрософт, итить его, от Вась-Кулибиных зашшыту придумал, накрылся мой опенсорц проект, там драйверов три штуки сразу ;-) И не только мой, но и соседние на ту же тему.
А делать не опенсорц — я не настолько богат, чтобы организовать поддержку пачки predefined песочниц, без которых смысла в затее немного. Генерик рулами все не охватишь.
> Я САМ и переключусь на инфицированную песочницу и САМ запущу поддельную ДБО
А кто даст не той песочнице доступ к банке? ;-) Access denied.
Дык — микрософт, итить его, от Вась-Кулибиных зашшыту придумал, накрылся мой опенсорц проект, там драйверов три штуки сразу ;-) И не только мой, но и соседние на ту же тему.
А делать не опенсорц — я не настолько богат, чтобы организовать поддержку пачки predefined песочниц, без которых смысла в затее немного. Генерик рулами все не охватишь.
> Я САМ и переключусь на инфицированную песочницу и САМ запущу поддельную ДБО
А кто даст не той песочнице доступ к банке? ;-) Access denied.
Уже на 53 пункта.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Эволюция Zeus. Теперь и в смартфонах