Существование бизнеса на вредоносных программах,

[kos1nus]

Прочел интересный пост на хабре.

Раскрывающийся текст:

Мифы живут своей, особенной жизнью. Некоторые из них умирают, так и не успев толком родиться. Некоторые из них влачат жалкое существование где-то на окраинах человеческого сознания. Но некоторые овладевают умами масс настолько, что перевешивают всяческие разумные доводы против мифа.

 

Вы когда-нибудь слышали от своих родных, знакомых или просто встречных людей о том, что пожарные сами поджигают здания, которые затем бесстрашно тушат? Однако, каждый раз, когда люди, очень далёкие от сферы информационной безопасности узнают, что я работаю в данной области, обязательный вопрос, который я неизменно слышу, звучит примерно следующим образом: «это правда, что антивирусные компании сами делают вирусы?».

 

 

 

Почему так? В чём дело? Ведь ни пожарных, ни представителей иных профессий в подобном «вредительстве» не отмечают. Только представителей антивирусной индустрии. Ответ, я полагаю, в следующем. Антивирусная индустрия в своём нынешнем состоянии не желает бороться с бизнесом на зловредном программном обеспечении в том объёме, который необходим. Конечно, можно вспомнить про недавнее выключение компанией Microsoft управляющих центров ботнета Rustock, равно как и усилия компании Arbor в этом же направлении. Но знаете ли вы прецеденты, когда успешными контратаками выигрывались современные войны? На памяти автора таких случаев не было…

 

Вот смотрите – у мистера X на его рабочем компьютере стоит «хороший» антивирус Y, который ему посоветовал продавец крупного магазина. Об этом антивирусе он уже читал в своей любимой ежедневной газете, да и на новостных форумах данный бренд неоднократно упоминался. Антивирусная подписка оплачена, операционная система легальна и постоянно обновляется. Мистер X абсолютно уверен в том, что с его документами и фотографиями ровным счётом ничего не случится, ведь они под надёжной защитой антивируса Y, как его уверяли продавец и газета и.т.п.

 

Но, однажды, включив компьютер, мистер X пришёл в полное недоумение, граничащее с шоком. Все важные документы и фотографии оказались зашифрованными, а на рабочем столе появилась маленькая записочка (грамматика и пунктуация сохранены) «Все твои доки пошифрованы. Расшифравать их не палучится. Если хочешь получить всё назад прешли 1000 WMR на кошелёк Rxxxxxxxxxxxxxx и я прешлю тебе дешефровщик». Антивирус горит зелёным огоньком и сообщает, что ничего вредоносного на компьютере не найдено. «Как же так! Этого не должно было случиться! Мои документы! Фотографии! Почему антивирус промолчал?! Он же хороший, он не должен был такое допустить!»– думает мистер X– «значит, этот вирус написали конкуренты из другой антивирусной лаборатории для того, чтобы продать мне собственный продукт, который, разумеется, этот вирус уже ловит. Это логично». Да, мистер Х, это звучит очень логично. Но это неправда. А знаете, почему? Потому что в вашу логику закрались три ошибки, которые обычному обывателю, коим вы являетесь, не видны.

 

Ошибка в логике мистера Х номер раз. А почему вы, собственно, уверены, что антивирус X надёжен? Равно как и все его конкуренты на рынке? Насколько вообще надёжны современные антивирусы? Обратимся к фактам. Факт: «Eurostat: антивирус не гарантирует защиту. Eurostat, официальный отдел Евросоюза, занимающийся сбором статистики, опубликовал очень интересные данные. Оказывается в 2010 году 84% европейцев (участвовавших в опросе) использовали то или иное программное обеспечение из сферы компьютерной безопасности.

 

При этом 31% отвечавших признал, что столкнулся с фактом инфицирования системы компьютерным вирусом (или другими вариантами вредоносного кода).» Правда, всегда можно возразить, что опрос- вещь субъективная. Факт: динамический тест от одной из самых уважаемых тестовых лабораторий, AV–Comparatives href=http://chart.av-comparatives.org/chart2.php. Лучший антивирус из представленных на момент написания статьи (июнь 2011) имеет рейтинг защиты 99,3%. Простому обывателю может показаться, что это хороший результат. А вот любому специалисту в области антивирусной безопасности очевидно, что это полное фиаско. Почему?

 

Давайте займёмся несложными подсчётами. Каждый день в мире производится, по разным оценкам, примерно от 30 до 70 тысяч уникальных зловредным модулей в сутки. Да, это так, согласно недавней информации центра безопасности компании Microsoft, время жизни зловредного модуля находится примерно в районе 4 часов, далее срабатывают облачные компоненты антивирусных решений и данный образец, с точки зрения теневого бизнеса, теряет всяческое значение. Считаем по минимальным оценкам: 30'000 * 0,7% = 210 вирусов, которые проникают сквозь защитные барьеры антивирусов и наносят ущерб пользователям персональных компьютеров, в день. При этом, учитывая экспоненциальный рост количества вредоносных файлов каждыый год, что будет лет, эдак, через пять, подсчитать не составит труда всякому человеку, знакомого с основами математического анализа.

 

В год имеем 76650 вирусов, наносящих вред. По максимальным оценкам, цифра возрастает в два раза до 178850 угроз в год. Таким образом, даже самые лучшие представители антивирусного программного обеспечения вряд ли могут быть признаны сколь-нибудь надёжными в современных реалиях. Лично для меня, особо показателен был тест–прогон образцов вирусов–вымогателей, которых поймали буквально за несколько минут после их выхода в свет, против антивирусных защит: http://malwareresearchgroup.com/2011/07/26...-test-26072011/

 

Ошибка в логике мистера Х номер два. Для того, чтобы обойти любой антивирус, не нужно быть профессионалом в программировании и особенностях реализации операционной системы. Вполне достаточно просто быть хорошим студентом и не спать на лекциях и практических занятиях. Ничего запредельно сложного в этом нет. Только практика и отладчик.

 

Ошибка в логике мистера Х номер три. Распространение зловредного программного обеспечения (известного также как компьютерные вирусы)– это высокоприбыльное дело. И построено оно так же, как и любой другой бизнес в области информационных технологи – офис, инвесторы, разработчики, менеджеры, дистрибьюторы, аффилиаты, партнёрские программы. Только это дело незаконное, подсудное. Какой смысл заниматься такими вещами «белой» антивирусной компании, рисковать своей репутацией, если прибыльность продаж антивируса нисколько не меньше, а то и больше прибыльности бизнеса на зловредном программном обеспечении, при этом всё легально и ночью в дверь с ордером на обыск стучаться не будут?

 

Складывается абсурдная ситуация со стороны отстранённого наблюдателя. Простой пользователь уверен, что вирусы разрабатываются антивирусными компаниями, при этом продолжает пользоваться их продукцией и платить за неё, прямо или косвенно, отдавая, параллельно, «дань» деньгами и вычислительными ресурсами теневому бизнесу на компьютерных вирусах, от которых антивирусы неспособны защитить. Сюр, чистый сюр, не так ли?

 

Сам факт существования бизнеса на зловредном программном обеспечении в условиях практически тотального проникновения антивирусных решений на рынке доказывает их недееспособность. Однако, маркетинговые отделы антивирусных компаний продолжают петь осанну своей продукции. Было бы очень странно, если бы они этого не делали, кушать–то всем хочется. И, до тех пор, пока мистер Х продолжает покупать антивирусы, для него ровным счётом ничего не изменится. Может, он даже мигрирует с антивируса Y на конкурирующий продукт Z, только через некоторое время история с заражением компьютера повторится.

 

Антивирусным средствам уже исполнилось 25 лет, они морально устарели. Но зачем антивирусным компаниям что-то кардинально менять, если старые методы и средства разлетаются с полок магазинов как горячие пирожки? Новые подходы к защите от зловредного программного обеспечения уже стучатся в дверь, показывая недостижимые для антивирусов (и столь желанные пользователями) результаты.

 

Например, тест MRG Effitas по предотвращению заражения 0-day вредоносными программами (http://malwareresearchgroup.com/malware-tests/flash-test-results/) чётко показывает, что единственная участвующая в данном тесте песочница легко обошла все остальные средства защиты. Что говорит о том, что включение постоянной, включённой по умолчанию песочницы в состав решений класса Internet Security способно резко уменьшить норму прибыли для «бизнесменов на вредоносах» до уровня, когда депозит в банке будет выгоднее, чем вложение денег в разработку и продвижение компьютерных вирусов.

 

 

Ну и как обычно комменты интересны не менее самой статьи тынс

 

Кто что думает?

[Umnik]

http://www.anti-malware.ru/forum/index.php?showtopic=19666

Всего два слова: Илья Рабинович.

[Lacoste]

И здесь это запостили.

[kos1nus]

И здесь это запостили.

ну а почему бы и нет?

[CSerg]

Кто что думает?

Если все доктора всея земли не сумели победить все болезни, это не свидетельствует о бесполезности прилагаемых ими усилий. Получается, врачам выгодно, чтобы у них было больше пациентов? В первую очередь это касается врачей скорой помощи. Вероятно, они делают всё, чтобы как можно больше людей вызывали неотложку.

 

Самый убедительный контраргумент. Респект, Umnik

Изменено 23 сентября, 2011 пользователем CSerg

[kos1nus]

Если все доктора всея земли не сумели победить все болезни, это не свидетельствует о бесполезности прилагаемых ими усилий. Получается, врачам выгодно, чтобы у них было больше пациентов? В первую очередь это касается врачей скорой помощи. Вероятно, они делают всё, чтобы как можно больше людей вызывали неотложку.

Во первых о врачах. Если кто не знает всей ситуации, то платные врачи не брезгуют так делать. Да им именно выгодно чтоб пациент пробыл у них как можно дольше, потому что оплата производиться за сеанс а не за результат. Слава богу платных пожарных нет, а то . . . но не будем увлекаться паранойей. Во вторых врачи борются с природой, а антивирус с творением человеческим. не надо больше развивать эту тему, а то мы уйдем не туда.

 

Самый убедительный контраргумент. Респект, Umnik

тут надо уточнять для кого.

 

http://www.anti-malware.ru/forum/index.php?showtopic=19666

Всего два слова: Илья Рабинович.

Umnik . . .*глубокий вздох и пауза* . . . этот ответ понятен только тебе и группе лиц, которые понимают о чем идет речь. Я к сожалению не вхожу в это число, уж простите меня. Так что хотелось бы ответы поконкретней.

 

Несмотря на мои довольно скудные знания в области ИБ, у меня есть свое мнение на этот счет (да бывает и так). И это мнение в некоторых моментах находит отражение в данной статье. Я не буду сейчас конкретно кого то в чем то обвинять, но я скажу так - если б хотели изменить ситуацию с зловредами, ее бы изменили. Это факт.

 

Нынешние антивирусы это тупик. Всегда будут появляться новые виды угроз, за ними будут появляться новые виды защит. Где тут развитие? это тупик. И в принципе этот тупик устраивает участников рынка. А если их это устраивает, зачем им что то менять?

Изменено 23 сентября, 2011 пользователем kos1nus

[Umnik]

Umnik . . .*глубокий вздох и пауза* . . . этот ответ понятен только тебе и группе лиц, которые понимают о чем идет речь. Я к сожалению не вхожу в это число, уж простите меня. Так что хотелось бы ответы поконкретней.

Хорошо. Если у меня завтра останутся силы и время после похода в Мегу, будет на Хабре от меня пост.

Несмотря на мои довольно скудные знания в области ИБ, у меня есть свое мнение на этот счет (да бывает и так). И это мнение в некоторых моментах находит отражение в данной статье. Я не буду сейчас конкретно кого то в чем то обвинять, но я скажу так - если б хотели изменить ситуацию с зловредами, ее бы изменили. Это факт.

 

Нынешние антивирусы это тупик. Всегда будут появляться новые виды угроз, за ними будут появляться новые виды защит. Где тут развитие? это тупик. И в принципе этот тупик устраивает участников рынка. А если их это устраивает, зачем им что то менять?

Все вот это - твое личное заблуждение. Это я тоже поясню в посте (Господи, дай мне сил).

[CSerg]

Во первых о врачах. Если кто не знает всей ситуации, то платные врачи не брезгуют так делать. Да им именно выгодно чтоб пациент пробыл у них как можно дольше, потому что оплата производиться за сеанс а не за результат. Слава богу платных пожарных нет, а то . . . но не будем увлекаться паранойей. Во вторых врачи борются с природой, а антивирус с творением человеческим. не надо больше развивать эту тему, а то мы уйдем не туда.

Платные медицинские услуги, пожарные, правоохранительные органы...

 

Мы оба не имели в виду шарлатанов и поддельных докторов?

К паранойе мой вопрос не имеет никакого отношения.

 

Версия первая. Стеб.

Версия вторая. Зарождение недоверия к продукции.

Версия третья. Троллинг.

 

Какую, kos1nus, ты предпочитаешь

Изменено 23 сентября, 2011 пользователем CSerg

[kos1nus]

CSerg, спасибо за то что стал развивать дискуссию, не относящуюся к теме, несмотря на мою просьбу.

[Umnik]

Черновик отправил на Хабр. Сегодня проснусь, оформлю и опубликую.

[Umnik]

http://habrahabr.ru/blogs/infosecurity/129100/ или http://www.anti-malware.ru/node/4682

[kos1nus]

Umnik, для начала я хочу выразить тебе слова благодарности за твой пост. Видно что ты действительно подошел к этому со всей серьезностью (Скажи честно - это ведь не по собственному желанию писалось?). Я никогда не сомневался в том, что ЛК принимает все усилия для разработки новых механизмов противодействия, но . . .

1) Я не говорил конкретно про ЛК;

2) Обратимся к злой тетке - статистике.

 

2008 год. 2009 год. 2010 год.

Тут представлены самые разные цифры. И проследить тенденцию не сложно - количество атак, а следовательно и заражений становится больше год от года. поэтому я прошу прочесть мои пост еще раз:

Нынешние антивирусы это тупик. Всегда будут появляться новые виды угроз, за ними будут появляться новые виды защит. Где тут развитие?

это мне напоминает ситуацию когда пытаются вычерпать воду из дырявой лодки. Черпак улучшают:делают его больше, удобнее. Но это ничего не решает, так как воду вычерпать все равно не получается. А что надо делать? Надо дырки заделать, а не просто тупо воду вычерпывать.

 

Тут даже слепой увидит что несмотря на все новые барьеры защиты атак и заражений не становится меньше. А поскольку атаки имеют место быть, то это кому то выгодно, значит какая то часть достигает намеченной цели, иначе вирусмейкеры давно бы уже подохли с голоду.

 

Идеально будет когда в году эдак 2030, изучая информатику, дети могли бы прочитать историю информационной безопасности, мол:

с становлением ПК и интернета общедоступным проблема информационной безопасности встала очень остро (люди страдали от вирусов и бла бла бла), но потом осознав свою ошибку, научный мир принял %Верное решение% и ситуация координальным способом поменялась.

Я почему то уверен что под %верное решение% скрывается не еще одна супер-пупер крутая антивирусная технология. мы уже поняли что ни одна антивирусная технология не может изменить ситуацию вообще никак.

 

ЗЫ Я уверен если всю ответственность за заражения (читай дырявость) винды возложить на МС, то они бы под страхом денежных потерь быстро бы что нибудь придумали.

Изменено 27 сентября, 2011 пользователем kos1nus

[Umnik]

kos1nus, я разочарован, что ты не увидел сути - нынешние IS дают очень высокую защиту. Это пользователь к ней не готов, к сожалению. Как 99,9% (статистика выдумана) ставят распоследние версии Офиса, хотя используют все то, что было даже в 97-ом, как столько же ставят Фотошоп, хотя даже возможности Paint.Net с плагинами для них избыточны. Так и IS.

 

Да и возможности ОС дают неплохую защит. Для тех, кто умеет ею пользоваться.

[C. Tantin]

Umnik, лови заслуженный плюс за статью. Интересно читать было даже мне.

 

это мне напоминает ситуацию когда пытаются вычерпать воду из дырявой лодки. Черпак улучшают:делают его больше, удобнее. Но это ничего не решает, так как воду вычерпать все равно не получается. А что надо делать? Надо дырки заделать, а не просто тупо воду вычерпывать.

 

Тут даже слепой увидит что несмотря на все новые барьеры защиты атак и заражений не становится меньше. А поскольку атаки имеют место быть, то это кому то выгодно, значит какая то часть достигает намеченной цели, иначе вирусмейкеры давно бы уже подохли с голоду.

kos1nus, я на это могу ответить только очень избитой и очень банальной фразой:

Самая большая уязвимость в информационной системе - пользователь.

Сотни раз встречался со случаями, когда очень умные и образованные люди выключали антивирус, который "не давал скачать книгу". После моих объяснений ситуации и вопроса "зачем?!" обычно был фейспалм.

Вот пусть мне Илья Рабинович объяснит, почему, ну вот почему, как так происходит, что ни на домашней машине, ни на работе (уточняю - по вине средств защиты) за N лет - ни одного, ни одного заражения? Почему-то это не вписывается в "основы математического анализа" г-на Рабиновича.

 

Сейчас я развенчаю главный миф, который упорно отказывается развенчать г-н Рабинович. "Программа может защитить пользователя"

Так вот, это - миф. Это - невозможно. Никакая программа не сможет нивелировать разницу между IT-специалистом (или даже специалистом по ИБ) и домохозяйкой. Пока домохозяйка не будет знать, как пользоваться средствами защиты, и что можно делать, а что нельзя - никакая программа её не спасёт. Никакая.

Именно поэтому нужно просто работать в направлении совершенствования средств защиты, помогая домохозяйке не тупить. Хоть и я лично считаю этот путь тупиковым (ибо он даже в теории не ставит цель создать абсолютную защиту), но другого реализуемого пути пока никто не видит, включая г-на Рабиновича.

[kos1nus]

я разочарован, что ты не увидел сути - нынешние IS дают очень высокую защиту.

Ну извини. было бы странно если бы я так просто взял и согласился. Это бы означало что я не достаточно уверен в своих убеждениях. В свою очередь убеждения я подкрепляю статистикой, по которой можно проследить тенденцию.

 

Это пользователь к ней не готов, к сожалению.

Честно сказать я не совсем понял сравнение с "всегда ставят самое лучшее, даже если это и не требуется". Я кстати тоже использую почти всегда лучшее из возможного, даже если мне это и не надо. такая психология человека

 

Ты хотел сказать что люди не используют функционал на "полную катушку"?

 

Самая большая уязвимость в информационной системе - пользователь.

прости за грубый вопрос, но да, и что?. Мы так устроенны и от этого никуда не деться, и нет смысла даже говорить об этом. поэтому все остальное надо подстраивать под людей.

 

Честно говоря хотел тут понаписать много всякой ерунды, но не буду. Вообщем мое мнение (которое вряд ли измениться, но я просто хочу его озвучить): лучше строить безопасность на системе прав доступа(ограничений). в этом случае зараза, которую подхватили на сайте, худшее что может это сломать сам браузер либо плагин, используя уязвимость которого, вредонос смог запуститься. Чтобы сделать что то большее вредоносу необходимо получить больше прав.

 

Я всегда удивлялся читая сводки с антивирусного фронта, когда сообщалось о том что зайдя на сайт человек подхватывал вредонос, который смог запустить свой код на ПК. Да как такое вообще стало возможно? По-моему эта дырка не в безопасности софта, а в голове разработчиков, которые сделали такой софт. Почему они вообще заложили такой функционал (неважно для каких целей)?

 

Мне очень нравится система безопасности в "мире свободного ПО". Я правда не знаю насколько это эффективно. для этого надо добиться популярности этого самого по.