LINUX.ORG.RU
ФорумTalks

Как антивирусы следят

 , ,


2

2

Почитываю я значит в журнальчике Хакер за декабрь этого года интервью с главным антивирусным экспертом «Лаборатории Касперского» Александpом Гocтевым. Интересное интервью с человеком, увлеченным своей работой, судя по всему настоящим специалистом. И вдруг вижу кое-что особенное, процитирую немного:

Вирусная лаборатория занимается входящим потоком угроз. Это тысячи вредоносов, что каждый день валятся к нам от пользователей, наших систем сбора, Kasрersky Sеcurity Network (наше облако КSN, в котором агрегируются обезличенные метаданные с миллионов компьютеров) и так далее.

Скажем, если пользователь попадает на некий сайт, где используется цифровой сертификат для SSL, что мы делаем? При помощи КSN смотрим - тот ли самый сертификат получают и другие пользователи? И если мы видим, что если у этого человека сертификат такой, а у миллионов людей - другой, значит это атака. Такие сертификаты мы смотрим, анализируем.

Например, авторы Stuxnet и Duqu очень любили имена файлов, начинающиеся с ~d. Соответственно, в конкретном регионе нужно было искать подозрительные файлы, которые имеют вот такое название, являются исполняемыми и специфичными. Для этого мы просто запустили соответствующее правило в КSN - почти сразу эти файлы у нас и вылезли. Именно с наибольшим распространением в Иране: этих файлов больше нигде в мире нет, а там есть.

Я раньше про КSN не слышал (или не запомнил), а тут думаю, что любопытная штука, оказывается она фактически позволяет ее оператору искать файлы и другую информацию (SSL-сертификаты хотя бы) на миллионах частных компьютеров. Такого даже гугл просто так не умеет :) Полез в интернет за подробностями. На офсайте о ней написано, действительно есть такая технология для ускорения реакции на угрозы и атаки, улучшения защищенности, для этого собирает самую разнообразную информацию, по сути обо всем, что пользователь делает на своем компьютере, но все разумеется выглядит пристойно. Передача данных в КSN включается в настройках только по желанию пользователя, данные обезличиваются и т.д.

Хе-хе-хе. Но есть и другая информация, один блогер раскопал, что даже выключение КSN очень похоже, что не останавливает передачу кое-какой информации, которой ее владельцы могут и поделиться с «кем надо». О чем и пишет в своем блоге:

http://xoxmodav.com/?p=8618

Заметил я это довольно давно и совершенно случайно (http://xoxmodav.com/?p=7415) — выяснилось, что с отключенным КSN, но с подключением к сети Интернет, проверка on-demand длится в два раза дольше нежели чем таковая без доступа к сети Интернет. Сотрудники техподдержки сначала попытались свалить это на обновлённые и улучшенные (!!!) технологии и выдали перл о том, что при отключении КSN данные перестают передаваться куда-то, а только принимаются из облака. Вот скриншот официальной переписки с техподдержкой (в блоге есть скриншот)

Но глупо было бы верить «товарищам» из ЛК, у которых приём информации из КSN осуществляется волшебным образом — без отправки каких-либо запросов. Сами представьте процесс проверки файла, принесённый знакомым на флешке, Антивирусом Каспеpского без КSN:

  • запускаете проверку файла
  • Каспеpский проверяет файл с помощью сигнатурных баз и эвристического анализатора
  • из КSN прилетает информация о том, что файл в заражённых не числится и вообще всё «Ол райт»

Но как Каспеpский догадался о том, что именно этот файл я проверяю в данный момент и что именно о нём мне внезапно должна поступить информация из КSN, где по заверениям сотрудников ЛК хранится информация о более чем 200 миллионов только «чистых» файлах? Ответ прост — сначала в КSN отправляется всё та же информация — имя файла, путь к файлу, хеш файла и IP-адрес компьютера, на котором производится проверка. И вот только после этого приходит ответ из КSN. Но отправленный в КSN запрос уже никуда не пропадает и продолжает храниться неизвестное количество времени на серверах ЛК. А раз антивирус с включённым Интернетом всё равно продолжает обращаться к КSN для проверки резидентных и нерезидентных проверяемых модулей/программ/объектов, то вся информации исправно продолжает падать в логи. В тоже запросе сотрудник техподдержки ЛК пообещал, что в новых версиях продукта всё исправят и отключение КSN починят:

Но мы то прекрасно понимаем, что это скорее был вежливый посыл в пешую эротическую прогулку :) и ничего в результате не изменится, разве только в худшую сторону. )))

А вот к чему, привела работа КSN у этого блогера: http://xoxmodav.com/?p=9633

Жене в роддом позвонили из областного УФCБ и сообщили, что с её IP-адреса (договор на услуги Интернет заключен на неё) несколько недель назад осуществлялась атака на посольства и государственными органы РФ и других иностранных государств. Поэтому факту производится расследование и надо бы оказать всестороннюю помощь в его проведении. Жена, недолго думая (и зная о моих экспериментах), перенаправила их на меня. Во время личной встречи с майором УФCБ (да-да, документы оказались весьма реальными, как и их владелец ))) ) выяснилось несколько интересных фактов.

Майор вкратце объяснив, что производится масштабное расследование кибератаки на ряд государственных органов различных стран, попросил произвести посекторное копирование всех жёстких дисков компьютера, на котором был обнаружен образец того самого «кибероружия». Но, узнав, что дисков у меня несколько, да и их общий объём превышает несколько терабайт (представьте сколько по времени будет вестись такое дейтсво), слегка огорчился.

После чего он озвучил путь к этому самому сэмплу и мне внезапно всё стало понятно — путь вёл к тому самому каталогу, в который я поместил частичную копию своей коллекции для вышеописанного теста. Вот тут то я и объяснил, что компьютер заражён не был, ни в каких атаках не участвовал, а виной всему товарищи из Лаборатории Касперского, которые ответственно заявляют о том, что никакая информация, позволяющая идентифицировать конкретного пользователя, их продуктом не собирается. Ну и, понятное дело, тут я пообещал добровольно сотрудничать в проведении данного расследования (интересно же узнать как проводятся подобные расследования :) ). После этого сотрудник УФCБ взял мой контакт в Skype и пообещал, что со мной в ближайшее время свяжется сотрудник ФCБ из Москвы. После этого мы расстались и о данном инциденте на несколько недель было забыто (потом выяснилось, что московский сотрудник ФСБ был не то в зарубежной командировке, не то в отпуске за рубежом).

Позже на меня через сотрудника ФСБ вышел … угадайте кто? :) А вот и не угадали ))) — ведущий антивирусный эксперт «Лаборатории Каспеpского» Bитaлий Кaмлюк. Пообщавшись с ним по скайпу, я скинул указанный сэмпл, а также полный перечень адресов, с которых производил закачку зловредов в тот день. На этом история с данным сэмплом закончилась и больше никакой информации мне не предоставили — всё было покрыто покровом тайны.

В теме я написал про антивирусы вообще, потому что не думаю, что ЛК здесь уникальна. Может быть даже отстает от мировых тенденций.

★★★★★

Последнее исправление: CYB3R (всего исправлений: 2)
Ответ на: комментарий от Deleted

Серьезно...ФСБ...Скайп...

Одному моему другу админу угрожали ФСБ из за того что у прокуратуры не работал ящик на мейл.ру (по его вине, как они считали) через которую оказывается прокуратура вела всякую переписку(видимо еще и секретную) - сам читал что ему там понаписали :D. И от которого ящика мейлру, как выяснилось, зависело функционирование органов госвласти. Такие дела :D

kernel ★★☆
()
Ответ на: комментарий от aristocraft

Завидовать — карму портить :)

Да вы школьнег!!! :)

Важный факт — 80% окружающих — полные дебилы. И начинать надо отсюда,

Проблема в том что вот тут в треде набижавшие казалось бы умные люди, вроде вас, упорно пытаются замять тему. Значит проблема не только в том что «80% окружающих — полные дебилы». А и в «умных» людях :D

а не призывать к революции.

Оппа-оппа, гангнам стайл. Вы считаете что страну от революции удерживает только тотальная слежка за компутерами граждан? как у нас в стране все плохо! А мне говорили что сколен встаем! А тут вотоноче, михалыч :D

kernel ★★☆
()
Последнее исправление: kernel (всего исправлений: 1)
Ответ на: комментарий от kernel

Да вы школьнег!!! :)

Спасибо, это от здорового питания хорошо сохранился :)

Проблема в том что вот тут в треде набижавшие казалось бы умные люди, вроде вас, упорно пытаются замять тему. Значит проблема не только в том что «80% окружающих — полные дебилы». А и в «умных» людях :D

Не-не, я не умный, умный не я. Но есть еще тупее :D

Вы считаете что страну от революции удерживает только тотальная слежка за компутерами граждан?

Я всего лишь имел ввиду что проблема в головах.

В то же время открытой статистики нету, сколько поймали кардеров и террористов только потому, что прослушивали скайп. Казалось бы, опубликуй и можно оправдать миллионы бюджетных тугриков. Казалось бы, всем хочется спать спокойно, чтобы не воровали сраные копейки с кредитки, ездить в метро, не боясь морд лиц кав.национальности с травматом. Это прекрасно, на самом деле, чувствовать что государство заботится о своих рабах. Но когда анальный зонд с тавром частной коммерческой компании, то становится как-то не уютно. И ладно бы они собирали информацию о никнейме, она в открытом доступе, а когда (анти)вирус стоит в госструктурах? Прошлой зимой лично видел на компах государственного нотариуса. Они соберут инфу обо мне, включая паспортные данные, фото, прописку, фактическое место жительства, подпись и прочее, и прочее. А потом сравнят мое прекрасное лицо (спасибо тебе, гугл!) по своим базам, которые слили с других пользователей, и установят мои контакты. <== обычно друзяшки даже не просят фотографироваться на общих фото, но бывают еще родственники например. А потом накроют плотным вниманием и прощай приватность, привет счетам от психолога. Жизнь интересная штука, сегодня ты никто, а через 15 лет кандидат в губернаторы. Нет, я не упорот)

aristocraft
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.