LINUX.ORG.RU
ФорумTalks

Как антивирусы следят

 , ,


2

2

Почитываю я значит в журнальчике Хакер за декабрь этого года интервью с главным антивирусным экспертом «Лаборатории Касперского» Александpом Гocтевым. Интересное интервью с человеком, увлеченным своей работой, судя по всему настоящим специалистом. И вдруг вижу кое-что особенное, процитирую немного:

Вирусная лаборатория занимается входящим потоком угроз. Это тысячи вредоносов, что каждый день валятся к нам от пользователей, наших систем сбора, Kasрersky Sеcurity Network (наше облако КSN, в котором агрегируются обезличенные метаданные с миллионов компьютеров) и так далее.

Скажем, если пользователь попадает на некий сайт, где используется цифровой сертификат для SSL, что мы делаем? При помощи КSN смотрим - тот ли самый сертификат получают и другие пользователи? И если мы видим, что если у этого человека сертификат такой, а у миллионов людей - другой, значит это атака. Такие сертификаты мы смотрим, анализируем.

Например, авторы Stuxnet и Duqu очень любили имена файлов, начинающиеся с ~d. Соответственно, в конкретном регионе нужно было искать подозрительные файлы, которые имеют вот такое название, являются исполняемыми и специфичными. Для этого мы просто запустили соответствующее правило в КSN - почти сразу эти файлы у нас и вылезли. Именно с наибольшим распространением в Иране: этих файлов больше нигде в мире нет, а там есть.

Я раньше про КSN не слышал (или не запомнил), а тут думаю, что любопытная штука, оказывается она фактически позволяет ее оператору искать файлы и другую информацию (SSL-сертификаты хотя бы) на миллионах частных компьютеров. Такого даже гугл просто так не умеет :) Полез в интернет за подробностями. На офсайте о ней написано, действительно есть такая технология для ускорения реакции на угрозы и атаки, улучшения защищенности, для этого собирает самую разнообразную информацию, по сути обо всем, что пользователь делает на своем компьютере, но все разумеется выглядит пристойно. Передача данных в КSN включается в настройках только по желанию пользователя, данные обезличиваются и т.д.

Хе-хе-хе. Но есть и другая информация, один блогер раскопал, что даже выключение КSN очень похоже, что не останавливает передачу кое-какой информации, которой ее владельцы могут и поделиться с «кем надо». О чем и пишет в своем блоге:

http://xoxmodav.com/?p=8618

Заметил я это довольно давно и совершенно случайно (http://xoxmodav.com/?p=7415) — выяснилось, что с отключенным КSN, но с подключением к сети Интернет, проверка on-demand длится в два раза дольше нежели чем таковая без доступа к сети Интернет. Сотрудники техподдержки сначала попытались свалить это на обновлённые и улучшенные (!!!) технологии и выдали перл о том, что при отключении КSN данные перестают передаваться куда-то, а только принимаются из облака. Вот скриншот официальной переписки с техподдержкой (в блоге есть скриншот)

Но глупо было бы верить «товарищам» из ЛК, у которых приём информации из КSN осуществляется волшебным образом — без отправки каких-либо запросов. Сами представьте процесс проверки файла, принесённый знакомым на флешке, Антивирусом Каспеpского без КSN:

  • запускаете проверку файла
  • Каспеpский проверяет файл с помощью сигнатурных баз и эвристического анализатора
  • из КSN прилетает информация о том, что файл в заражённых не числится и вообще всё «Ол райт»

Но как Каспеpский догадался о том, что именно этот файл я проверяю в данный момент и что именно о нём мне внезапно должна поступить информация из КSN, где по заверениям сотрудников ЛК хранится информация о более чем 200 миллионов только «чистых» файлах? Ответ прост — сначала в КSN отправляется всё та же информация — имя файла, путь к файлу, хеш файла и IP-адрес компьютера, на котором производится проверка. И вот только после этого приходит ответ из КSN. Но отправленный в КSN запрос уже никуда не пропадает и продолжает храниться неизвестное количество времени на серверах ЛК. А раз антивирус с включённым Интернетом всё равно продолжает обращаться к КSN для проверки резидентных и нерезидентных проверяемых модулей/программ/объектов, то вся информации исправно продолжает падать в логи. В тоже запросе сотрудник техподдержки ЛК пообещал, что в новых версиях продукта всё исправят и отключение КSN починят:

Но мы то прекрасно понимаем, что это скорее был вежливый посыл в пешую эротическую прогулку :) и ничего в результате не изменится, разве только в худшую сторону. )))

А вот к чему, привела работа КSN у этого блогера: http://xoxmodav.com/?p=9633

Жене в роддом позвонили из областного УФCБ и сообщили, что с её IP-адреса (договор на услуги Интернет заключен на неё) несколько недель назад осуществлялась атака на посольства и государственными органы РФ и других иностранных государств. Поэтому факту производится расследование и надо бы оказать всестороннюю помощь в его проведении. Жена, недолго думая (и зная о моих экспериментах), перенаправила их на меня. Во время личной встречи с майором УФCБ (да-да, документы оказались весьма реальными, как и их владелец ))) ) выяснилось несколько интересных фактов.

Майор вкратце объяснив, что производится масштабное расследование кибератаки на ряд государственных органов различных стран, попросил произвести посекторное копирование всех жёстких дисков компьютера, на котором был обнаружен образец того самого «кибероружия». Но, узнав, что дисков у меня несколько, да и их общий объём превышает несколько терабайт (представьте сколько по времени будет вестись такое дейтсво), слегка огорчился.

После чего он озвучил путь к этому самому сэмплу и мне внезапно всё стало понятно — путь вёл к тому самому каталогу, в который я поместил частичную копию своей коллекции для вышеописанного теста. Вот тут то я и объяснил, что компьютер заражён не был, ни в каких атаках не участвовал, а виной всему товарищи из Лаборатории Касперского, которые ответственно заявляют о том, что никакая информация, позволяющая идентифицировать конкретного пользователя, их продуктом не собирается. Ну и, понятное дело, тут я пообещал добровольно сотрудничать в проведении данного расследования (интересно же узнать как проводятся подобные расследования :) ). После этого сотрудник УФCБ взял мой контакт в Skype и пообещал, что со мной в ближайшее время свяжется сотрудник ФCБ из Москвы. После этого мы расстались и о данном инциденте на несколько недель было забыто (потом выяснилось, что московский сотрудник ФСБ был не то в зарубежной командировке, не то в отпуске за рубежом).

Позже на меня через сотрудника ФСБ вышел … угадайте кто? :) А вот и не угадали ))) — ведущий антивирусный эксперт «Лаборатории Каспеpского» Bитaлий Кaмлюк. Пообщавшись с ним по скайпу, я скинул указанный сэмпл, а также полный перечень адресов, с которых производил закачку зловредов в тот день. На этом история с данным сэмплом закончилась и больше никакой информации мне не предоставили — всё было покрыто покровом тайны.

В теме я написал про антивирусы вообще, потому что не думаю, что ЛК здесь уникальна. Может быть даже отстает от мировых тенденций.

★★★★★

Последнее исправление: CYB3R (всего исправлений: 2)

Касперскопроблемы.

Юзаю Avira Free. В ней тупо нет такой фичи. В сеть без спросу не лезет, фаер детектирует активность в основном при обновлении, и то там почти нет отправки.

Sadler ★★★
()
Последнее исправление: Sadler (всего исправлений: 1)

So wat? Виндолюбы должны страдать.

NeverLoved ★★★★★
()
Ответ на: комментарий от emulek

а что это говно делает на моём ЛОРе?

Вот-вот.

Sadler ★★★
()

Почитываю я значит в журнальчике Хакер

Страшно подумать что ты накопипастишь сюда после прочтения Playboy.

mbivanyuk ★★★★★
()

Ну шо я могу сказать...

Не пользуйтесь пропиетарным ПО. Не пользуйтесь интернетом. Отключите компьютер от сети и вообще от окружающего мира. Заприте компьютер в изолированном забетонированном помещении с экранированием от электромагнитного излучения. Подавайте на него питание через систему преобразователей. Заведите журнал, где вы будите фиксировать все действия с защищенным компом. Никогда не выносите данные с защищенного компа.... И шапочки из фольги обязательно используйте, чтобы дядя Сэм ваши мысли не читал.

Inuyasha
()

Только Windows Defender, только хардкор!

fenris ★★★★★
()

Почитываю я значит в журнальчике Хакер за декабрь

Почитай что-нибудь от Криса Ксперски этак 8 летней давности - толку больше будет.

fornlr ★★★★★
()
Ответ на: Ну шо я могу сказать... от Inuyasha

До шапочек всё вполне разумно. Только нужно ещё использовать сертифицированную по определённому классу опечатанную технику и периодически проверять помещение на наличие жучков. А то ведь могут и по шуму клавы восстановить вводимый текст.

Sadler ★★★
()
Ответ на: комментарий от a1batross

Иди на винфак какой-нибудь

Тут процент пользователей Windows ничуть не меньше. Не удивлюсь если скоро переименуют в WOR.

mbivanyuk ★★★★★
()
Ответ на: комментарий от mbivanyuk

Меня удивляет зацикленность на своей песочнице, тем более, что антивирус Каспеpcкого есть и для Linux, а его (или другого антивируса) установка на сервер (даже линуксовый O_o ) есть непременное условие многих заказчиков, особенно из госструктур.

praseodim ★★★★★
() автор топика

KSN
не думаю, что ЛК здесь уникальна

Symantec (Norton) SONAR

Kuzz ★★★
()

После этого сотрудник УФCБ взял мой контакт в Skype и пообещал, что со мной в ближайшее время свяжется сотрудник ФCБ из Москвы.
Skype

Серьезно...ФСБ...Скайп...

Deleted
()
Ответ на: комментарий от praseodim

антивирус Каспеpcкого есть и для Linux

Рекомендую тебе антивирус Попова. Ещё можно DrWEB под wine поставить, но обязательно крякнутый, иначе это не true.

mbivanyuk ★★★★★
()
Ответ на: комментарий от praseodim

Мне антивирус не нужен, если что

А зачем прости за нескромный вопрос ты тогда напостил всё это? Ты думаешь среди пользователей линукс антивирус Касперского - наипопулярнейшая вещь?

mbivanyuk ★★★★★
()
Ответ на: комментарий от emulek

а что это говно делает на моём ЛОРе?

Секурити ИТ - один из значимых топиков ЛОР. То что «Касперский» контролирует крупнейший легальный фишинговый ботнет в полной кооперации с авторитарным государством РФ (и работающий в том числе на серверах под линукс контролируя потоки информации с серверной стороны) - это важный факт ИТ секурити.

Логика то очень простая и очевидная. И то, что вы не желаете ее понять, вызывает закономерные вопросы - либо об вашем интеллекте, либо об ангажированности. :D

kernel ★★☆
()
Ответ на: комментарий от mbivanyuk

Ты думаешь среди пользователей линукс антивирус Касперского - наипопулярнейшая вещь?

Вообще то да. Большая часть «пользователей» линукса, особенно крикливых - обыкновенные вендузятники в 80% случаев использования компа. На работе то венда.

А в значительном числе контор «касперский» стоит в принудительном порядке.

kernel ★★☆
()
Ответ на: комментарий от kernel

То что «Касперский» контролирует крупнейший легальный фишинговый ботнет в полной кооперации

Так оно и есть. Дальше что? Или это из серий разоблачения <забыл как его> о том, что разведка занимается разведкой?

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 2)
Ответ на: комментарий от praseodim

антивирус Каспеpcкого есть и для Linux

Антивирус есть, пользователей нет.

metrokto ★★
()
Ответ на: комментарий от fornlr

То есть об этом говорить не надо, так?

praseodim ★★★★★
() автор топика
Ответ на: комментарий от fornlr

То что «Касперский» контролирует крупнейший легальный фишинговый ботнет в полной кооперации

Так оно и есть. Дальше что?

Дальше то, что когда об этом говорили ранее,внезапно появлялась толпа неизвестныхз людей с датой регистрации этого года которые поднимали этот тезис насмех. А другие рассказывали про слухи. Теперь же я смотрю избрали другую тактику, «зачем это на лоре».

На ЛОРе, юноша, это затем что бы увеличить осведомленность людей об угрозах информационного общества на основании конкретных проверяемых вещей. А не на основании коспирологии и прочих снов разума, на которые обычно дрочат люди заявляющие «и так все известно, все за всеми следят».

kernel ★★☆
()
Ответ на: комментарий от mbivanyuk

А зачем прости за нескромный вопрос ты тогда напостил всё это?

kernel в принципе ответил на этот вопрос, тема безопасности в ИТ всегда была важной частью ЛОРа.

praseodim ★★★★★
() автор топика
Ответ на: комментарий от fornlr

Или это из серий разоблачения <забыл как его> о том, что разведка занимается разведкой?

Хохохо, так вы я смотрю и <забыл как его> не любите. Суть разоблачений <забыл как его> не в том что «разведка занимается разведкой», а в разоблачении конкретных действий за которые сотрудники «разведки» должны сидеть. Всем кагалом.

kernel ★★☆
()

Да, гугл реально сосет в сравнении с тотальностью касперского.

v9lij ★★★★★
()

Как обычно, в "ненужно" прочитал статью "ненужно" про "ненужно", которое совершенно не нужно.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от roman77

Ну, и это тоже, правда теперь только на ноуте и сервере =)

Sadler ★★★
()

Я просто не пользуюсь антивирусами. У меня ведь Linux.

Знакомых и друзей добровольно-принудительно перевожу на Linux (или им приходится искать кого-то ещё, кто поставит или почистит им винду, но некоторые таки обламываются часто платить за это, и они соглашаются на Linux).

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от kernel

крупнейший легальный фишинговый ботнет

Завидовать — карму портить :)

это важный факт ИТ секурити.

Важный факт — 80% окружающих — полные дебилы. И начинать надо отсюда, а не призывать к революции.

aristocraft
()
Ответ на: комментарий от Sadler

Юзаю Avira Free.

Годный спартанский антивирус для оффтопика, сам пользовался, подсадил на нее друга и рекомендую всем «экономистам» :)

RedEyedMan3
()
Ответ на: Ну шо я могу сказать... от Inuyasha

Не пользуйтесь пропиетарным ПО.

Этого достаточно.

Сюда можно добавить соблюдение безопасности в интернете, не размещать в социальной сети и прочих общественных ресурсах важную информацию, такую как фактический адрес, номер карточки, номер телефона, счет в банке, ID ЯД или WM и т.д. и т.п.

И конечно же пользоваться простыми моделями телефонов (без доп. функций).

И кстати я эти правила соблюдаю. Осталось придумать пароль посложнее и из 15 символов (буквы и цифры) :)

RedEyedMan3
()

ВНЕЗАПНО

Извините за грубый сарказм.

alltiptop ★★★★★
()
Ответ на: комментарий от RedEyedMan3

пароль посложнее и из 15 символов

Только четырёхкилобайтные сертификаты, только хардкор!

Xellos ★★★★★
()

Новости с другой планеты.

Deleted
()

Иди на shitdows со своими антивирусами, ТС

toney ★★★★★
()

касперский обрастает новыми фичами

kto_tama ★★★★★
()

tl;dr

Пользователи проприетарщины ВНЕЗАПНО обнаружили, что проприетарщина сливает их данные. Скандалы, интриги, расследования.

vurdalak ★★★★★
()

А власти-то скрывают... А если по-делу,то информация не нова,подобными делишками сейчас грешит большинство антивирусных контор.

lithops
()
Ответ на: комментарий от vurdalak

Немного не так. Некоторые «эксперты» обнаружили в трояне функции трояна.

fornlr ★★★★★
()
Ответ на: комментарий от echo123

Что это делает здесь?

Это как «Международная панорама» о текущем положении дел в зангивающем мире проприетарщины.

Umberto ★☆
()

пользователь попадает на некий сайт... ...мы... ...При помощи КSN смотрим

Интересный подход у парней.

Шаг вправо, расстрел на месте?

Deleted
()

как хорошо придумали

x905 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.