БЛОГ / КОММЕНТАРИИ

Я правильно понимаю?

софт

26.09.2018 10:45

Комментарии 72

Сто лет не заходил на этот сайт... А тут ЯБ в новостях статейку выдал - дай думаю свои пять копеек вложу... Ан нет. Я ещё и аккаунт умудрился просохатить. Пришлось заново регистрироваться =(.

Так вот, в тему сабжа - в прошлом году окончательно отказался ото всех антивирусов, кроме Defender-a. Он вроде пока не чудит.
А началось всё элементарно. Сижу, никого не трогаю, программку клепаю. Заказчик попросил сделать так, чтобы она в автозагрузку автоматом добавлялась, типа так удобнее им будет. Добавляю код, всё чин по чину - прописывание в стандартной ветке реестра, предназначенной для добавления приложения в автозагрузку - всегда так делал. Запускаю проект - шум, гам, вой и светопредставление! Немного отойдя от шока увидел следующее - радостный антивирь (угадайте какой?) выдаёт что то формата "Хазяин, я тут злостный вирусяк нашёл, но всё хорошо, я его уже грохнул и отправил специалистам, которые его по косточкам разберут и во все базы добавят!". Я сижу, хлопаю глазами. Внезапно. Мало того, что эта хрень на дефолтное добавление в автозагрузку верещит, так ещё и без моего ведома мою разработку отправила этим *** (непечатное слово). Вот так вот походя только что спёрли чужую интеллектуальную собственность (оценочное суждение), и требуют за это благодарности!
Я начал эксперементы (работу то сделать как-то надо). Создал новый проект, с одной кнопкой (думал, может это из-за того, что приложение автоматом в авторан прописалось), по которой шла запись в реестр. Короче говоря, не буду приводить тут кучу попыток, результат один - ни один из легальных методов работы с автозагрузкой не работает. Без разницы как, даже если пользователь сам запустит приложение от админа и нажмёт на кнопку - антивирь начинает верещать.
Поиски в интернете выдали ровно 2 решения проблемы:
1) Прислать приложение в лабораторию касперского, чтобы они его проанализировали во все технические отверстия и добавили в исключения.
2) Купить сертификат, и подписывать им свои приложения.
От обоих решений смердит. По сути, вместо того, чтобы бороться с вирусами, эти гении притесняют разработчиков - одиночек. (оценочное суждение).
После этого я в гробу видел решения от этой лаборатории *** (нецензурное слово). Да и дефендера стандартного хватает за глаза - за всё время ни одной проблемы не наблюдалось.

Zaharator

27.09.18 02:15

0 2

Ладно вы, а заказчик как был? Без Касперского?

Sardanapal

Zaharator

27.09.18 15:22

0 0

С ним, родимым. Потому и пришлось долбаться со всякими извращёнными попытками обойти его. В итоге так и не получилось, к сожалению. Просто потому, что оба способа - полная жэ. Смотрите саами:
1) Допустим мы согласились слить касперам свой софт. Они его проверили, и добавили в свою базу. Что они могут записать? Логично предположить, что хеш исполняемого файла. И тут заказчик хочет поменять иконку, и добавить ещё одну фичу по мелочи. А, где-то через месяц ещё кое-что подправить. Каждый раз хеш приложения будет меняться, что в свою очередь заставит возвращаться к шагу 1.
2) Купить сертификат. В целом - довольно логичное решение, чтобы не связываться со всякими лабораториями. Вот только одна проблема - каждый год прийдётся отваливать по 6-12 к деревянных, просто чтобы твоё приложение работало (если сертификат не будет проплачен всё, начиная от антивируса и заканчивая виндой будет орать на запуск такого приложения). Как по мне - альтернатива та ещё.

Zaharator

Sardanapal

27.09.18 17:07

0 0

Когда, интересно, в РФ купят у китайцев JingWang Weishi и сделают обязательной его предустановку на все смартфоны?

Monteckel

26.09.18 20:25

0 0

Хм.
Если информацию обо мне собирает какая-нибудь ЦРУ, то мне это ничем не может угрожать.
А вот если какая-нибудь ФСБ, то запросто может.

Doctor Notes

26.09.18 19:45

0 3

Doctor Notes

26.09.18 19:45

0 1

А на ноут с FreeDos они как это говно предустанавливать будут?

vanburg

26.09.18 18:24

0 0

Не будет больше никаких FreeDos.
А у кого найдут - привлекут за ..... найдут за что привлечь.

xoxol

vanburg

26.09.18 18:30

0 1

Настоящий смысл и в этой "активности" и во всяких яровых и прочей шняге по "защите" - попил бабла на поставках. Ты главное заплати налог-пошлину, а там похрену какой там у тебя линукс стоит.

AImkI

vanburg

27.09.18 10:54

0 0

Я в этих делах - далеко не спец. Но как-то по весне удалил старый антивирь (при обновлении заглючил), а новый забыл поставить. А потом решил посмотреть. Блин, за полгода - полёт нормальный. И мне кажется, что с вирусами как-то полегче стало. Раньше коллеги флешки несли мешками для "почистить-полечить", банеры-блокираторы и т.д. А сейчас - тишина. Или это моё дилетантство меня обманывает?

Lova_zadoff

26.09.18 17:23

0 0

Конечно, эпидемии все волнами распространяются. Но если вы раньше с антивирусом не ловили ничего (он обычно радостно сигнализирует о пойманном), то и сейчас не должны

Sardanapal

Lova_zadoff

26.09.18 17:36

0 0

А сейчас - тишина

Возможно, у вас клиенты пары десятков ботнетов стоят и тихо-тихохонько ждут команду, отрабатывают, а потом опять затихают.

dime

Lova_zadoff

26.09.18 18:16

0 0

Всегда было интересно, откуда эти ботнеты берут сервера и адреса для управлени? Кто предоставляет им такой сервис?

Sardanapal

dime

26.09.18 18:24

0 0

один из способов - изредка стучаться на псевдорандомный адрес, вроде fvfgfh.hfyfyrg.org. В час Х этот адрес регистрируется и на нём поднимается командный центр. Или командой может быть сам факт регистрации доменного имени.

dime

Sardanapal

27.09.18 00:39

0 2

Ну мог, не значит, что делал. Как в анекдоте про изнасилование.

Senecarus

26.09.18 17:06

0 0

Все этим грешны.

Humanoid

26.09.18 15:24

2 0

Ну вообще говоря KSN (репутационный сервис) Кошмарского именно так и работает, если файла нет в базах, то антивирус спрашивает у облака, не встречался ли уже такой файл и стоит ли ему доверять. Это теоретически позволит среагировать на угрозу, даже если не успели выпустить обновления баз.
Что характерно, есть и Norton Reputation Service (Symantec Insight Network) - репутационный сервис Symantec.
Обычно проверка в таком сервисе проводится по хэшу файлов, но иногда отсылается и тело файла на анализ, вот так и сперли секретный офисный документ 😄.
Забавно, что в организациях ДОЛЖЕН быть специальный прокси сервер, через который файлы на анализ отсылаются в антивирусную компанию, а не каждый комп слал их индивидуально. Тем не менее, файл из американской госконторы утек, что в принципе, архитектуру безопасности американской госконторы не красит.
Кошмарского, если что, ненавижу )))

vitalyoff

26.09.18 15:14

0 0

более забавно, что г-жа Касперская уже за всех все решила - что у кого должно быть, а что не должно.

aag

vitalyoff

26.09.18 15:19

0 0

Объясните, пожалуйста, зачем нужен отдельный прокси, если файл все равно отправляется вовне в конечном счете

Sardanapal

vitalyoff

26.09.18 17:07

0 0

1) Чтобы конечные рабочие станции не имели прямого доступа в инет и сидели в защищенном периметре организации
2) На этом прокси можно настроить что отправлять, а что нет (хэши отправлять, а тела нет, например), кроме того он сам по себе кэширует запросы и репутацию, то есть одна рабочая станция спросила про файл, сервер редиректил запрос, получил ответ, следующая рабочая станция, спросившая про файл уже получит ответ из кэша.
Называется KPSN если интересно.

vitalyoff

Sardanapal

26.09.18 17:31

0 3

Понятно, что централизованное управление имеет некоторые преимущества, но нельзя ли сделать так, чтобы настроить каждого клиента отправлять хэш, а не файл, или это только пример, а прокси позволяет применять и более сложные политики, причем безальтернативным способом?

Sardanapal

vitalyoff

26.09.18 17:43

0 0

Прокси стоит на отдельной специально выделенной машине?

Sardanapal

vitalyoff

26.09.18 17:52

0 0

Тем не менее, файл из американской госконторы утек, что в принципе, архитектуру безопасности американской госконторы не красит.

Он, вроде с лаптопа сотрудника утек из домашней сети.

dime

vitalyoff

26.09.18 18:17

0 0

Да не в том дело, ребята, что продукция касперских или какая-либо иная куда-то стучит. Это даже и сомнений не вызывает. Дело в том, что госпожа президент считает, что ТРЕБОВАНИЕ к установке подобного - логичное.
Следующим, по такой логике, должно быть требование к установке непрерывно логирующих и сливающих вообще все программ: видео, звук, координаты, движения и т.д. Для маркетологов это был бы конечно рай, но цель-то будет в (ну конечно же!) безопасности граждан.

TimeWaster

26.09.18 13:50

0 3

Это просто популярный нынче подход возрождения вахтерства советских времен.
Словами о безопасности страны сейчас можно оправдать все что угодно.
Вон,
"Федеральная антимонопольная служба (ФАС) полагает, что предустановка отечественных программных продуктов на ПК и смартфоны должна стимулировать конкуренцию"

aag

26.09.18 13:42

0 1

я уже год как перестал устанавливать Касперского. По причине, что ничего ни разу не поймал, и по причине, указаной в посте

runcyclexcski

26.09.18 13:16

0 0

Чей ВПН?

Sardanapal

mihakuzmin

26.09.18 17:09

0 0

Может касперский выпустил...

Sardanapal

mihakuzmin

26.09.18 20:33

0 0

Несколько месяцев, аналогично. Ну и когда дурью не маюсь - только vpn

а как впн может защитить от вирусов?

dime

mihakuzmin

27.09.18 00:41

0 0

Следующий "логичный" шаг - предустановка российской ОС.

Black Krok

26.09.18 12:28

0 0

Кстати, если совершенно внезапно ОС начнут кочевряжиться во время работы в Крыму, то весьма вероятен результат отказа от этих ОС по всей России.

jazzpolice

Black Krok

26.09.18 13:28

0 0

да-да, и замена этих ОС на.... на что, на очередной полупереведенный якобы отечественный линукс?

aag

jazzpolice

26.09.18 13:48

0 2

Военные что-то тем не менее как-то реально где-то юзают, может и не на основе линукса, не помню

Sardanapal

aag

26.09.18 17:13

0 0

ОС МСВС. Причём давно, в начале двухтыщных уже точно вовсю юзали.

olyx

Sardanapal

26.09.18 19:07

0 1

военные-то юзают.
Но именно потому что военные. У них задачи специфичные, военные.
И если бы Касперская сказала, что на всех военных компьютерах должен стоять Касперский, я бы сильно удивился, но по другой причине.

aag

Sardanapal

26.09.18 21:21

0 0

Самое забавное, что эффективность его как антивируса - давно уже просто нулевая. Даже самые простые блокировщики и шифровальщики проскакивают эту "защиту" (лицензионную, с распоследними обновлениями) на ура, несколько раз сталкивался. Причём лечить приходилось тоже вручную, вычищая стартовые скрипты профиля пользователя от вирусных "закладок" - антивирус их в упор не заметил. Ну а как можно было к 2017 (вроде тогда последний раз сталкивался) году не научить антивирус соображать, что когда невесть откуда взявшееся приложение начинает перезаписывать все файлы во всех папках - это неправильно, я не понимаю. Даже пользователь тупо по резко возросшей нагрузке на диски это видит, а хвалёный антивирус Касперского - нет.

Ну и до кучи про милые шутки вроде пожирания 146% системных ресурсов через несколько часов работы (особенно феерично на терминальных серверах с кучей пользователей это смотрится, работа превращается в пошаговую стратегию), отстрела добропорядочных приложений и прочие глюки я вообще молчу.

В общем, дешевле оказалось научить пользователей не открывать "левые" письма, чем получить хоть какую-то пользу от приложения, за которое были уплачены нехилые деньги.

Lebedun

26.09.18 12:12

0 2

Помню, в начале 2000-х на цветном принтере (тоже HP) пытался напечатать несколько долларовых купюр (для сценки на корпоратив). Так он, зараза, вместо этого вывел на середине листа надпись, что я нарушаю закон. Надеюсь, хоть не сдал меня.

Аркадий Апломбов

26.09.18 11:48

0 1

Фотошоп отказывается сохранять купюры(даже переделанные) во внутреннем формате. В JPEG, правда, сохраняет.

Black Krok

Аркадий Апломбов

26.09.18 12:37

0 0

хм. Надо попробовать!

runcyclexcski

Аркадий Апломбов

26.09.18 13:42

0 0

в ЧГК давным-давно был вопрос, связанный с невозможностью цветной копии банкнот копирами, насколько я помню, фирмы эпсон. это наверное где-то начало 90-х было.

Jerry77

Аркадий Апломбов

26.09.18 16:13

0 1

Обалдеть, в первый раз слышу. Аналоговые ксероксы всегда все позволяли

Sardanapal

Аркадий Апломбов

26.09.18 17:12

0 0

А еще правда ли, что принтер оставляет уникальные метки в печати, по которым легко отследить источник?

Sardanapal

Аркадий Апломбов

26.09.18 17:14

0 0

Лазерньіе цветньіе - правда.

Пыльный Зебр

Sardanapal

27.09.18 00:05

0 0

Неправда. Отлично сохраняет.

Пыльный Зебр

Black Krok

27.09.18 00:06

0 0

На другом сайте как раз сегодня нашёл. Очень в тему.

Вглук

26.09.18 11:47

0 13

Может у кого есть ссылка под рукой на "исследование"? Там и должна быть методология, по идее.

Sardanapal

Вглук

26.09.18 17:13

0 0

Раньше скрывали, а теперь этим гордятся 😄 Вот у меня на работе плоттер HP стоит, так он прямо предлагает каждый распечатанный чертеж в облако скидывать. В свое время про ксероксы такая байка ходила, будто они каждый документ через спутник в ЦРУ отсылают, нынче же это обыденное дело.

jazzpolice

26.09.18 11:32

0 0

т.е. если уж все равно "стучат" антивирусы, дык пусть хоть кому надо стучат.

Jerry77

26.09.18 11:27

2 0

у меня арч, так что в принципе пох.

Jerry77

icon

26.09.18 14:19

0 0

Интересно, что предлагают в этом случае делать с интегрированным в систему Windows Defender? Ну и риторический вопрос - за чей счет этот банкет? Лично я не очень готов оплачивать Кошмарского, Паутиныча или братсво Нод.

Khul

26.09.18 11:20

0 2

Да? Какая разница? (с)

runcyclexcski

icon

26.09.18 13:43

0 2

НОД - это словаки.

Так все равно не хочу. 😄

Khul

icon

26.09.18 14:00

0 0

Очевидно, здесь ключевое слово - "может".
Любой софт МОЖЕТ собирать что угодно и отсылать куда угодно, будучи наделен достаточными привилегиями.
Антивирус без таких привилегий малоэффективен.
ИМХО единственное, что может вызывать хоть какое-то доверие - открытый код.
Во всех иных случаях остается лишь верить на слово (автору кода, сертифицирующему органу, PVS-Studio, ...) Любому, кто забожится

CAT_bez_sapog

26.09.18 11:06

0 2

ИМХО единственное, что может вызывать хоть какое-то доверие - открытый код.

Сколько лет протоколы SMB лежат опен соурсом? Однако это не спасло в прошлом году от эпидемий Вась и Петь.
Так что открытый код тоже во многом фикция к сожалению.

Khul

CAT_bez_sapog

26.09.18 11:15

0 2

Сколько лет протоколы SMB лежат опен соурсом?

протоколы опенсорсом? О чём вы? Протоколы, как правило, доступны всегда.

Однако это не спасло в прошлом году от эпидемий Вась и Петь.

васи и пети атаковали венду же? С каких пор вендовый код в опенсорсе?

открытый код тоже во многом фикция к сожалению

вы, определённо, не понииаете о чём говорите.

dime

Khul

26.09.18 11:43

1 4

любой антивирус по определению наделен достаточными привилегиями. Иначе он просто не сможет работать.
И антивирусы по понятным соображениям, никогда не будут открывать свой код.

Другой вопрос - ну может, и что? Проблемой является не собирание, и даже не отсылка, а именно отправка несанкционированная (куда угодно), но тут как бы Касперский ничем не лучше Симантека.

aag

CAT_bez_sapog

26.09.18 13:32

1 0

Ну да, в идеале было бы формирование репорта, предъявление его листинга пользователю и отправка только его и только туда, куда указано.
А оупенсоурс позволяет сделать процедуру чуть прозрачнее.
Зы. Я так думаю! (с)

CAT_bez_sapog

aag

26.09.18 14:46

0 0

Неужели все антивирусы в настоящее время отсылают что захотят, и это нигде не отключается? Тут априори есть проблема: приватность обычно если волнует, то только владельца/автора информации, компаниям и другим институтам на нее заведомо плевать. И, конечно, как уже вишенка на торте пофигизма, не более: уровень носителей морали их представителей не обязательно выше такового у пользователей.

Sardanapal

CAT_bez_sapog

26.09.18 17:22

1 0

Т.е. опенсорс антивирусов таки не существует?
Как бы один я точно знаю

IB_temp

aag

27.09.18 00:00

0 0

Как написали выше, любая программа _может_ отсылать что угодно куда угодно
surprise, surprise

IB_temp

Sardanapal

27.09.18 00:02

0 0

Я это понимаю, понимаю, что даже сложно будет внешне фильтровать траффик антивирусов, но всем ли им нужно собирать у ВСЕХ по факту? Все-таки это отключаемая фича должна быть, хотя бы внешне (по факту может быть, конечно, шифрованный траффик от ядра на левый адрес)

Sardanapal

IB_temp

27.09.18 00:26

0 0

А опенсорс-вирусы есть? Это гораздо интереснее )

Sardanapal

IB_temp

27.09.18 00:34

0 0

Не стоит забывать, что Наталья Касперская и компания "Infowatch" уже давно не имеет никакого отношения к Лаборатории Касперского и соответствующему антивирусу.

alexmin

26.09.18 11:05

0 0

Я никогда об этом не забывал. Даже ночью.

Alex Exler

alexmin

26.09.18 11:16

0 10

Зато, очевидно, имеет отношение к другой конторе, которая уже имеет отношение к Лаборатории 😄

dime

alexmin

26.09.18 12:52

0 1

"Всегда помни, Клементина: я извлек из выпивки больше, чем она из меня"

Sardanapal

alexmin

26.09.18 17:33

0 0

Традиционное и боянное рассуждение властей:
"Если мы не будем смотреть ваши данные, это будут делать солдаты НАТО".

alexjfk

26.09.18 11:00

1 4

Солдатам НАТО я доверяю существенно больше, чем российским властям.

Camel1000

alexjfk

26.09.18 12:01

1 10

Солдаты НАТО далеко, а наши тут как тут, в случае чего (тьфу, тьфу, тьфу на них через левое плечо)

Lova_zadoff

alexjfk

26.09.18 17:43

0 0

Насколько я помню, Касперский и не отрицал, что их антивирус отправлял «подозрительные» файлы в их компанию. Но он настаивает, что как только они увидили в Word'овском документе шапку «TOP SECRET», то сразу доложили кому надо.

v1adimir

26.09.18 11:00

0 10

"Антивирус может собрать информацию и потом ее где-то проанализировать"
А ещё куда-надо просигнализировать, забыла добавить Наталья Касперская.

Амбал

26.09.18 10:59

0 8

На воре шапка горит...

Nick-Mgul

26.09.18 10:54

0 5

Предыдущая запись Следующая запись