Microsoft Defender теперь и для Linux

Так, абаждите, почему нет поддержки Arch Linux?

Не Энтерпрайз

маргинальщину поддерживать невыгодно, на этом денег не заработаешь, там и так всё просто и понятно, открываешь вики и настраиваешь систему под любые задачи. гугл, стэковерфлоу, баш-портянки, всё легко для понимания.

по этой же причине не будет поддержки Slackware, Gentoo, CRUX, LFS... в этих дистрибутивах всё настолько просто, что расплодилось Поповых более компетентных в вопросах экосистемы линукса, чем сидят специалисты на зарплате из M$.

а вот Red Hat, в этих дистрибутивах поди разберись. нет, нельзя было сделать пакетный менеджер на основе tar, cpio, нужно обязательно городить огород сущностей, которые в любой момент могут отвалиться, да отвалиться так, что потом система не загрузится. ну и затем уже оказывать платную поддержку по восстановлению системы.

какой к чёрту SELinux, блин, сейчас берётся любой дистрибутив и ставится в свою виртуалку, и не надо ни от кого ничего ограничивать. шаред хостинги в прошлом.

впрочем, линуксятникам кушать тоже хочется, поэтому продолжаем плодить сложные решения и гребём деньги.

Джва года ждал.

Оно там по платной подписке, с пробным периодом.

EEE

Правильно, только у состоятельных линуксоидов будет защита, у нищеты будет решето

А зачем он вообще в линуксе не объяснили?

Оно для ынтерпрайз господ чтобы отдельно секьюрити департмент не нанимать

исходники где посмотреть?

Оно для ынтерпрайз господ чтобы секьюрити департмент нанимать

Поправил.
«секьюрити департмент» будет говорить вот у нас есть «Microsoft Defender» и значит всё хорошо.

Так постоянно взламывают сервера.

Только благодаря рукам одминов, которым «мама на НГ подарила компьютер»

Суть - сэкономить, чтобы еще тела не нанимать.

Конечно, конечно. Линуксоидам просто завидно что сами не смогли такой антивирусник сделать!

Ну наконец-то.

У меня наш стоит Dr Web for linux, зачем мне поделие от мелкомягких?

Всё правильно сделали. Так как линукс теперь встроен в винду в виде WSL, вирусов под линукс должно появиться навалом.

Только благодаря рукам одминов, которым «мама на НГ подарила компьютер»

Ну как бэ нет. Иногда бывает, что просто рук не хватает

И как сабж поможет? Взламывают же не через флешку с автозагрузкой. А через уязвимости. Например, если админ поставил рут-пароль 123 и разрешил логиниться как рут по ssh, то как антивирус поможет?

Только благодаря рукам одминов, которым «мама на НГ подарила компьютер»

Ну как бэ нет. Иногда бывает, что просто рук не хватает

И? Нанимаем уборщиц админинить сервера? И только божественный «Microsoft Defender» «спасет отца русской демократии». Ну право слово, не смешно.

Да нет. Просто висят такие уязвимые сервера в интернетах, а потом от этих ботнетов все страдают.

Ну а админы локалхостов, у которых на рабочем локалхосте всё отлично с их гентой или арчем на общую ситуацию не влияют.

через уязвимости. Например, если админ поставил рут-пароль 123 и разрешил логиниться как рут по ssh, то как антивирус поможет?

Да хотя бы пост фактум отправит письмо, что тут попа. А не так, чтобы хозяин ещё недели две не замечал.

ну теперь заживём

механизм защиты от эксплуатации уязвимостей (включая 0-day)

Ну и про пароль я думаю он напомнит сразу.

Вы понимаете что такое «антивирусник» как таковой? Даже с учетом эвристики можно на коленке слабать вирь по шинду. Если его не пускать в «прод», ни каких сигнатур не будет. А с учетом того, что под онтопик в разы больше кода, простите, как можно решить оно вредоносное или нет? Это скорее на вэб макак ориентировано, они нифига не умеют и тупо копипастят код. Им возможно пригодиться.

Вы понимаете что такое «антивирусник» как таковой?

Понимаю.

Даже с учетом эвристики можно на коленке слабать вирь по шинду. Если его не пускать в «прод», ни каких сигнатур не будет.

Но и подобных программ антивирусник знать не будет, значит будет определять вредоносность по поведению.

Как? Пароли хранятся в виде хэша. Не будет же он устраивать перебор. А если будет, то это дополнительная дыра.

Но и подобных программ антивирусник знать не будет, значит будет определять вредоносность по поведению.

Я написал про эвристику. Не робит.
Вы путаете, варианты, когда Вася купил «конструктор» и разослал свой вирь всем, с - я сам написал.

А с учетом того, что под онтопик в разы больше кода, простите, как можно решить оно вредоносное или нет?

не надо ничего выдумывать, подобное уже есть и давно

Мой ответ выше вашего поста. Я не раз препарировал вири ради интереса. И так же ради интереса писал код. Неее не ловиться. Причина проста, даже при анализе невозможно сказать, делает оно плохое или хорошее?

И?

PS: я тоже много чего делал, и делаю

Так постоянно взламывают сервера.

Сабж типа от этого защитит?)

Например, если админ поставил рут-пароль 123 и разрешил логиниться как рут по ssh, то как антивирус поможет?

Даже если так, то нормальный host-security даст тебе:

• Контроль целостности нужных файлов

• контроль запуска софта

• интеграцию с песочницами

• и даже если его отрубит злобный хацкер - управлялка скажет, когда и где он отрубился, что тоже является полезной информацией

Причина проста, даже при анализе невозможно сказать, делает оно плохое или хорошее?

Плохое и хорошее - это оценочные показатели, тут АВЗ и правда поможет так себе.

А вот понять, что пытается сделать софтваре, и на сколько это похоже на то, как ведет себя известное малваре - вполне возможно.

Мой ответ выше вашего поста. Я не раз препарировал вири ради интереса. И так же ради интереса писал код. Неее не ловиться.

Кем не ловится-то?

Кем не ловится-то

Никем. Эвристика не считает это зловредом. Хотя он мог быть таковым и был. Вы видимо программингом не занимались. Оценить «полезно» или «плохо» очень тяжело только на основании используемых функций API. А вот «конструкторы» там проще, они не сильно отличаются друг от друга. Тут эвристика может сработать.
Это я к тому, что когда ты пишешь чистый код, никакой антивирь тебя не запалит. Но сейчас ситуация другая, вирусопейсатили они как вэб макаки, берут кусок, что-то добавляют и в прод. Пропало поколение... Вы застали OneHalf ? Я да. Добротно сделано было, а не то что сейчас «из веточек и желудей».

А зачем он вообще в линуксе не объяснили?

Владелец сервера добровольно устанавливает себе троян, который отсылает в hq информацию о том какие там есть уязвимые библиотеки, потом, когда у компании-разработчика трояна начинают падать доходы, к нему внезапно начинают ломиться гости, троян с ними "борется", и все в профите :)

Никем. Эвристика не считает это зловредом. Хотя он мог быть таковым и был. Вы видимо программингом не занимались. Оценить «полезно» или «плохо» очень тяжело только на основании используемых функций API. А вот «конструкторы» там проще, они не сильно отличаются друг от друга. Тут эвристика может сработать.

Правила эвристик отличаются у разных вендоров, ну да ладно.

Я, скорее, к тому, что современные решения (да и старые, ЕМНИП), не столько пытаются анализировать код малваре, сколько отслеживают изменения в системе, и стараются блокировать потенциально опасные действия. Да, хостовые решения это умеют не сказать, что бы вот прямо отлично, а вот песочницы с этим научились справляться (что не мешает малвареписателям изобретать методы обхода песочниц).

Это я к тому, что когда ты пишешь чистый код, никакой антивирь тебя не запалит. Но сейчас ситуация другая, вирусопейсатили они как вэб макаки, берут кусок, что-то добавляют и в прод. Пропало поколение… Вы застали OneHalf ? Я да. Добротно сделано было, а не то что сейчас «из веточек и желудей».

Херня все это. «Пропало поколение» - это какое? Поколение писателей малваре для MS-DOS и Win95, которые не имели ни разделения памяти, ни даже возможности назначить права доступа к ресурсам ОСи? Ну, офигеть, да. Какие сложные задачи приходилось решать.

Да, согласен, упаковывать малваре приходилось в ограниченное пространство, но это касалось вообще всего.

Ну, а что-то вот прямо инженерно дико сложное и сейчас пишут, просто это уходит не на массовый рынок, а используется для атак на конкретные цели.

Ну, а что-то вот прямо инженерно дико сложное и сейчас пишут, просто это уходит не на массовый рынок, а используется для атак на конкретные цели.

Я не совсем об этом, или даже об этом (тавтология). Грамотно написанный вирь (не вариант «купил конструктор») вполне себе жизнеспособен. 1. Эвристика не сработает. 2. Гадость, как Вы правильно написали - целевая атака (или на немного хостов), будет годами жить, и никто о ней не будет знать.
Но в *nix даже самого жуткого зловреда можно найти более легким путем. В отличии от шинды. Вот и разница.

Я и сам написал не один вирус, иногда детектит по поведению.

Пишите с нуля. А не копипастите чужой код. Это я серьезно. Копипаста плохое дело :(

Я не копипащу.

Возможно Вы используете характерное смешение функций API. Это всегда можно замаскировать.

Бредишь на ЛОР-е? Подтверждаю слова anc, спецом тестировал вредоноса которого заведомо нет в базах десятком антивирей, ни один ничего не заметил. Но да, писать надо грамотно, без копипасты и эксплуатации уязвимостей которым сто лет в обед. Зеродей вообще никак не детектится пока про него не напишешь сам или другие люди не найдут и не напишут.

Спасибо, КЭП. Я это отлично знаю, что и написал.

Как там принцип теоремы невозможности 100% достоверной классификации зловредного или нет ПО (из головы вылетела фамилия)?

Бредишь, как всегда ты. Как трудно не понимать элементарные вещи?

Ну вот появился на сервере обфусцированный код, или даже вообще не скрываясь дорвей с «лучшие кобылы этого города». Конечно возможно, что это как-то через официальные способы деплоя автор сам добавил — новая фишка сайта 🤣 но как-то в 99.99% случаях понятно, что нет.

будет определять вредоносность по поведению.

Ни разу не слышал, что бы какой-нибудь антивирус отловил шифровальшик по поведению. Уж казалось бы чего проще – какая-то программа начала перехерачивать все подряд файлы. Ну уж приостанови и спроси у юзера — «правда, это так и задумано?» Ну 80% жамкнут «ОК» не задумываясь. Но 20% должны среагировать-то.

Ладно, по поводу неработающей эвристики - беспредметный разговор, на самом деле. Что бы перевести его в какую-то практическую плоскость, надо собирать стенд, документировать политики АВЗ и ОС, брать конкретное малваре и тестить. Без этого - КМК, словоблудие.

Гадость, как Вы правильно написали - целевая атака (или на немного хостов), будет годами жить, и никто о ней не будет знать.

Ну, не все так плохо. 0day и целевые атаки да, живут долго, но не годами. ЕМНИП, текущая статистика по выявлению целенаправленной атаки на компанию - около полугода, после чего злодеев таки находят. К сожалению, иногда после того, как слитые данные оказываются на черном рынке.

Но и, на самом деле, секурити-вендора сами тоже не сидят сложа руки, раскидывают большие honey-network и мониторят активность на черном рынке, где продают эксплойт-паки и данные об уязвимостях. Да и сами их ищут и добавляют методы детектирования в свои решения.

Так что, да, все плохо, но не на столько =)

Но в *nix даже самого жуткого зловреда можно найти более легким путем. В отличии от шинды. Вот и разница.

Не буду спорить о том, где проще поймать малваре. И то, и другое - мегасложная система, контролировать ВСЕ параметры которой - нетривиальная задача. Да и сравнивать уровень защищенности ОС в вакууме - безблагодатная тема для срача. Где-то слышал умную фразу о том, что «плохо настроенный Linux не будет более безопасным, чем хорошо настроенный Windows», и полностью с этим согласен.

Примерно так они и палятся. Вроде, у CheckPoint-а или Symantec-а была фича специально для борьбы с шифровальщиками.

Ну и большая часть таких громких бабахов с криптолокерами - это те организации, где на ИТ и ИБ немного забивают. Тот же Maersk, как показало расследование, поимел такие проблемы из-за того, что, во-первых, банально не обновлял ОСи (хотя патчи уже были), не ограничивал права пользователей (все сидели под админами) и даже не везде АВЗ имел. С больничками американскими та же история.

Пока не совсем ясно, что было с заводами Honda, но там малваре как-то попало в промышленную сеть, куда безопасников с их антивирусами почти никогда не пускают.

замена clamav