почему вредоносное ПО не вымерло как класс?

С точки зрения системы вирус такая же программа, что и остальные. Проще просто выдернуть шнур из розетки :}

чтобы вирусы просто приходили в негодность при использовании каких-либо хаков, вызываемых из обычного пользовательского окружения.

вызываемых из обычного пользовательского окружения.

Windows

из обычного пользовательского окружения.

Ну ты даешь! Если дырявое ведро мелкомягкой прошивки для игровых приставок залатать, то получится юникс. И нафиг хомячкам юникс? Как они себе на жопу приключения искать будут?

потому, что большинство «вредоносного по» это не вирусы, а трояны, которые себе вендузятники радостно качают отовсюду, так как в их системе репозиториев софта не предусмотрено

пусть допилят ядро своей ОСи, чтобы вирусы просто приходили в негодность при использовании каких-либо хаков, вызываемых из обычного пользовательского окружения.

Для этого нужно, чтобы те программисты (искушенные в деле безопастности и взлома), которые разрабатывают вредонос, работали на мс, и тратили при этом больше человекочасов (т.к. ломать - не строить), а у мс нет таких денег.
Можно конечно развить криптотеории о выгоде мс, разработчиков антивирусов и др. крупных капиталистов, но этот бред уже наскучил.

Ты не поверишь, но именно так оно и происходит. А про трояны уже писали выше

Microsoft, на системе которых все крутится и вертится. м? пусть допилят ядро своей ОСи, чтобы вирусы просто приходили в негодность при использовании каких-ли

Половина софта перестанет работать. Венда давно перешла ту грань, когда можно чего-то выкинуть или поменять.

Помнится, мне при появлении Висты обещали, что TDI завтра помрет, пишите мол WFP. Клятвенно обещали. 2014 год, TDI жив и даже работает. Многие серьезные люди его все еще используют, последний конфликт вроде с авастом был на эту тему у нас.

Тут недавно решили поменять способ проверки версии ОС. Теперь Вин8.1 при использовании старого подхода, выдает себя за вин8. А вин8.1 ты можешь получить через, вроде, Хелпер Апи. Фича оказался настолько нужно, что воркароунд опубликовали на мсдне и по рукам ходит наверное десяток способов «сделать по старому». Некоторые из них достаточно забавны, кстати.

Возьми SELinux и попробуй настроить правила для пяти своих повседневных приложений. Если осилишь, то поймешь почему так не делают. Ну и вообще зачем NSA запилило и использует (?) этот SELinux на своих машинах.

Бывают и такие зловреды, которые могут работать как гипервизор в обход ядра ОС. И, что ещё важнее, пользователи сами хотят это вредоносное ПО. Например, тот же ведроид если взять, то там жёсткая система защиты - каждое приложение ограничено. На, ставь приложения с учётом безопасности и не имей геморроя. А пользователь в ответ: «Не хочу! Хочу жрать говно!». И отдаёт команду, разрешающую программе-фонарику отсылать платные SMS. В венде то же самое: когда пользователь видит, что какое-то дерьмище не устанавливается, так как просит, чтобы этому дерьму все права на всё дали, он обязательно всё разрешит - ему насрать на безопасность, он хочет жрать говно. А потом ноет: «Ой у меня компьютер сломался. Ой у меня есть сосед-программист он обязан всю жизнь налаживать мой компьютер.». Единственный способ обезопасить этих животных - держать их в клетке и заковать в цепи (что в Apple и поняли).

В большинстве случаев достаточно не пользоваться системой под рутом и сделать noexec для несистемных разделов.

thunar> потому, что большинство «вредоносного по» это не вирусы, а вендузятники

fixed для краткости

Я вообще-то про то, почему ядро не настолько защищает тебя, хомячка. Вот SELinux как раз решает задачу на уровне ядра. А цена сего удовольствия...

А цена сего удовольствия...

Ну он же и несколько не для этого создан. Я успешных внедрений читал в основном из области построения некоей защищенной ИС. Где работа с SELinux проводится один раз, потом он долго-долго работает и есть не просит. Новых приложений, требующих новых веяний политики, в таких ИС обычно нет, статично все, инструмент исполняет задачу и всем хорошо.

Ну он же и несколько не для этого создан.

Это универсальный инструмент. Просто интерфейс для управления сим процессом довольно корявый нынче. Как только интерфейс управления станет ближе к обычному пользователю, тогда будет меньше вирусни. Вот на Андроид гугл запилил SELinux с более менее нормальным интерфейсом и что в итоге? Вобщем, история Android + SELinux настолько мутная, что есть мысли о связи с ФБР, ЦРУ и АНБ, типа последние захотели, чтобы все оставалось как есть, ибо сложно отслеживать людей нынче :)

Бывают и такие зловреды, которые могут работать как гипервизор в обход ядра ОС.

Бывают и такие пользователи ЛОРа, у которых жопа может работать с руками (и писать на лор) в обход мозга.

Это универсальный инструмент.

Просто интерфейс для управления сим процессом довольно корявый нынче.

Ну я об этом же. Задел создан огромный, можно по запчастям разобрать все, что происходит в системе, вмешиваться и запрещать, логировать и шалить. Но в твоем же примере все сказано - «а попробуй поставь скайп и напиши политику». Инструмент есть, но для его применения нужен специальный человек, который точно знает, что делает. Потому вмешиваться в его настройку себе дороже, один раз навернул и не трогаешь.

Сейчас у меня подопытный пытается хоть чуть-чуть автоматизировать процесс «ограничения» вот такого отдельного приложения в полуавтоматном режиме, посмотрим, что получится из этого эксперимента. Для каждого приложения создается «карта связей и интересов», куда ходит, в какие файлы лезет, какие каталоги читает. Потом в графике ставятся решения уровня «разрешит вот это вот, а остальное запретить\считать инцидентом и логировать» и так далее. Пока через пень-колоду, посмотрим, выгорит или нет.

Вобщем, история Android + SELinux настолько мутная

Он вроде заколочен permissive там, да? У меня один студент пытался там что-то делать, говорил что от SELinux добра в ближайшее время не ждать на андроиде.

Например, тот же ведроид если взять, то там жёсткая система защиты - каждое приложение ограничено.

Вот только сделана она так, как будто ее вообще нет. Без устанвоки стороннего софта нельза например разрешить программе лазить в нет, но запретить отправлять смс. А сторонние приложения это риск и тормоза.

Почему FBI не обращается? Обращается. Микрософт выпускает апдейт, это занимает какое-то время, неделю-месяц... После этого писатель вирусов переходит к следующей дыре винды и так далее. Потом хорошие дыры кончаются, получается стабильная хорошая ось, типа XP или Win7, где дыры уже не такие адовые.

почему когда, разгуляется какой-нибудь ботнет Zeus, из-за которого люди теряют сотни мегабаксов, - FBI не обращаются за помощью к Microsoft, на системе которых все крутится и вертится. м?

Потому что там адовый говнокод. В microsoft нет специалистов, которые могут исправить ядро. Все, кто его писал, уволились или умерли. Поэтому его просто не трогают и оборачивают костылями совместимости.

Можно, но делается это на уровне «принять то, что предложил сборщик программы или не ставить программу вообще?».

Ну и вообще зачем NSA запилило и использует (?) этот SELinux на своих машинах.

Это используется как раз там, где заранее известно какой набор софта и кем допустимо запускать. Какой-нибудь оператор в командном центре целый день пялитцо в одну-две программы, но есть ещё другой оператор/коммандир/аналитик который на том же меинфрейме пялитцо в другие две программы. Вот тут selinux рулит, а на типичном компе от него толку чуть.

пусть допилят ядро своей ОСи, чтобы вирусы просто приходили в негодность при использовании каких-либо хаков, вызываемых из обычного пользовательского окружения.

Именно этим ядро и должно заниматься! Пример для Линукса: https://grsecurity.net/

Ответь почему в стандартном Линуксе на kernel.org их нет? Сколько лор знает дистров Линукса где grsecurity присутствует?

Микрософт занимается этим тоже, но сие дорого и не рентабельно... Чисто бизнес!

Надо тебе ОС с безопасным ядром, бери OpenBSD.

Microsoft
допилят ядро своей ОСи

Да-да-да, а ещё пусть сделают чтобы всё работало и висло. Ишь чего захотел.

пусть сделают чтобы всё работало и висло

Так это, уже :3

пусть допилят ядро своей ОСи, чтобы вирусы просто приходили в негодность при использовании каких-либо хаков, вызываемых из обычного пользовательского окружения.

Ладно отвечу на свой-же вопрос. В Линупсе и винде сих фитч нет, только если сильно больно уже вири злорадствуют фичи дозировано добавляют - следствие не работают старые программы!!!

Да-да-да! Дело не только в ядре! Если прога кривая то ядро её убъёт как вирус!!! Факт - все проги под винду кривые и их надо основательно переписывать и пересобирать чтобы в безопасном ядре заработали. И что делать юзерам с виндой в которой ни хрена не работает, ни прикладной софт, ни игрушки ни даже вири???

Ты попробуй разрабам любого СВОБОДНОГО проекта объясни, что выделять память RWX - зло! И что их прога в безопасном окружении работать не будет! Что память надо выделять или RW - для данных, или RX - для исполняемых модулей. Пришли им патчи... И выслушай всё что они про тебя думают................. и поймёшь почему сих фитч в ядре нет.

Возьми SELinux

не о том речь:

SELinux - технология минимизации ущерба от успешного ВЗЛОМА.

Топикпастер говорит о других технологиях безопасности - закрывающие на уровне ядра определённые возможные классы атак и делающими НЕВОЗМОЖНОСТЬ самого взлома всеми вирусами которые используют эти гипотетические уязвимости. И в этом случае ничего настраивать не надо вообще.

Ищешь RBAC систему бери gradm!

Если правила писать лень, там есть фича «обучатся» при это оно следит что кто делает и само пишет все правила..

Накопил денег на кока-колу и чипсы?

пусть допилят ядро своей ОСи, чтобы вирусы просто приходили в негодность при использовании каких-либо хаков, вызываемых из обычного пользовательского окружения.

Проблема в том, чтобы отличить хаки от не-хаков, а вирусы от не-вирусов. Это гораздо сложнее, чем может показаться на первый взгляд.

Оу, ты снова выходишь на связь! Я даже соскучился. Давай, задвинь что-нибудь нацпольно-патриотическое.

почему с Microsoft сидит сложа ручки и никак не помогает бороться с вредоносным ПО?

Потому что legacy. MS до сих пор поддерживают большинство приложений, выпущенных во времена NT4. Потому что тупые юзеры отключают даже те средства защиты, которые MS добавляет.

Давай, задвинь что-нибудь нацпольно-патриотическое.

Тема неподходящая же. Давай другую.

пусть допилят ядро своей ОСи, чтобы вирусы просто приходили в негодность при использовании каких-либо хаков, вызываемых из обычного пользовательского окружения.

для этого нужен искуственный интеллект :)

кроме того, этими самыми хаками пользуются и порядочные программы

6.1 вместо 7.0 ещё вспомни.

Ну и до кучи 5.2 на которую при на 85% идентичном ведре не ставятся драйвера, антивирусы и много чего ещё что работает на 5.1 (XP) и не жужжит.

Можно ещё вспомнить специально обученный фикс маллока для виндовой версии первого SimCity. В XP он ещё был (во всяком случае щас запустил игру - работает), в шпермёрке не проверял.

я грабли словил на WFP-лесенке - Vista-VistaSP1-7-8. Четыре раза ломали все, заразы. Ну как ломали, на Виста и Виста СП1 нихрена и не было. Потому народ на TDI пытался сидеть до конца.

Но вообще да, любовь к ломке дров у них какая-то слабопредсказуемая.

Да не, вопрос в дровах для 2003 был чисто в плоскости желания производителя выпендрится и сделать две вещи:

1) запихать всё в exe/msi (вместо архива с файликами дров и inf-файлом).

2) запилить в этом exe сильно умную проверку версии шиндошс, которая напрочь не знала про существование ведра версии 5.2 в довесок к 5.0 и 5.1.

Антивирусы же отделяли котлеты от мух чисто по принципу «для сервера будет дороже», опять же без желания подумать мозгом. Из более-менее популярных на 2k3 емнип без бубна вставал только нод.

А на производительности оно не сказывается? И да сравнение с SELinux там чутка за уши притянутое, как мне показалось. В стиле systemd, хе-хе.

А ну тогда я еще не ковырялся, у меня в легаси висит драйвер для 2003, пересобирается и, слава партии, работает.

Из более-менее популярных на 2k3 емнип без бубна вставал только нод.

Без бубна написать out-of-band modiciation WFP-драйвер для вин64, если на ней установлен TDI-драйвер со схожим функционалом до сих пор нельзя. Мы с Авастом долго и упорно сражались на эту тему. Наша поделка внезапно давала фриз, путем расколупывания выяснилось, что аваст брал один из объектов ответственных за соединение и не отдавал. Без нашего драйвера все работало, разумеется. Потому пришлось архитектуру наспех переписывать, даже поддержку старых технологий уже не так-то просто реализовать.

почему вредоносное ПО не вымерло как класс?

Потому что на нём можно зарабатывать деньги. Всегда ваш, адм. Я.Х.

А на производительности оно не сказывается?

Там много зависит от архитектуры и реализации проца. Да на некоторых архитектурах и процах будет сильно тормозит. На современных ARM, intel/AMD x86_64 производительность не падает, необходимые инструкции безопасности включены в процы.

И да сравнение с SELinux там чутка за уши притянутое, как мне показалось. В стиле systemd, хе-хе.

Нет, от сыстемд там ничего нет;) Я сам его не люблю... Сравнивать с SELinux можно только реализацию RBAC, gradm, а всё остальное, совсем другие технологии, и может использоваться совместно с SELinux.