Начало конца эвристики

Тема в разделе "WASM.HEAP", создана пользователем ECk, 16 мар 2011.

  1. t00x

    t00x New Member

    Публикаций:
    0
    Регистрация:
    15 фев 2007
    Сообщения:
    1.921
    737061
    о каких файлах идёт речь?
     
  2. 737061

    737061 New Member

    Публикаций:
    0
    Регистрация:
    3 авг 2007
    Сообщения:
    74
    t00x
    какие файлы проверяют ав? правильно те которые с большей вероятностью несут вредоносный код, те ехе, длл и прочие PE, а также "рискованные" те док, пдф и флеши. И какая разница где будет идти проверка? просто в облаке больше возможностей.
     
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    ну как сказать... в принципе до полноценных облаков еще далеко... но... на самом деле сейчас многие государственные организации и многие топовые коммерческие организации охотно обмениваются сигнатурами и более того образцами пойманной у себя малвари... вот так и получается, допустим запалился бот в одной стране, а снесли его со всех стран соседей по облаку, а в замен несколько десятков ханипотов... я вообще говоря вижу очень большие перспективы у этих технологий... не завтра, но через несколько лет...
     
  4. t00x

    t00x New Member

    Публикаций:
    0
    Регистрация:
    15 фев 2007
    Сообщения:
    1.921
    737061
    если вынести в облако только антивирус (и не выносить все остальные задачи), то после падения канала интернет "белый список" останется на недоступном облаке... помимо этого у пользователей есть ещё мобильные накопители.

    737061
    Rel
    у потенциальных пользователей облачных сервисов есть ещё "корпоративные правила".
    это правила, например, запрещающие пересылать файлы через интернет в открытом виде, можно только в шифрованном архиве и т.д.
    в общем, разве что поднять такой облачный сервис в локальной сети, а "белым списком" делится между такими "локализованными облаками".., но всё равно на каждой локальной машине должен стоять антивирус.
     
  5. 737061

    737061 New Member

    Публикаций:
    0
    Регистрация:
    3 авг 2007
    Сообщения:
    74
    t00x
    белый список затем и водился чтобы при падении интернета у пользователя осталось хоть что-то (те он хранится у клиента, ваш кэп). А без интернета новую заразу разве что с флешек можно занести.

    нуну, от идиотов ни какой антивирус не защитит, они и format c: напишут.

    Начали с неэффективности, кончали правилами корпоративными.

    PS так и не понял че хочет сказать t00x, и не понял чебы не заюзать комбинированный вариант.
     
  6. t00x

    t00x New Member

    Публикаций:
    0
    Регистрация:
    15 фев 2007
    Сообщения:
    1.921
    737061
    не на чем выполнять это что-то, ага...
    точно. особенно точно это тогда, когда они получают администраторские права.
    Вы играетесь в "непроходимую защиту", а все остальные работают в реальных условиях.
     
  7. 737061

    737061 New Member

    Публикаций:
    0
    Регистрация:
    3 авг 2007
    Сообщения:
    74
    походу кто-то вообще не представляет как устроены облачные антивирусы, у них есть клиент который у пользователя.

    "работают в реальных условиях", это вы про себя? :derisive: нуну, особенно радует что как раз классика в реальных условиях уже не справляется, просто не успевают шлепать сигнатуры и методы, для все новых криптов. Для облака эта задача частично решена, надо менять не только код но и поведение в целом.
     
  8. rav

    rav New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2004
    Сообщения:
    159
    Адрес:
    Москва
    А кто-то ещё сомневается?
     
  9. rav

    rav New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2004
    Сообщения:
    159
    Адрес:
    Москва
    Эти маркетоидные сказки тут не прокатят. Любое чёрносписочное решение уже давным-давно неадекватно существующей модели угроз, любой уважающий себя профессионал это понимает.
     
  10. Hexxx

    Hexxx New Member

    Публикаций:
    0
    Регистрация:
    15 июл 2008
    Сообщения:
    10
    Скажите пожалуйста, а что эти ваши облака начнут делать когда в них начнут намеряно присоединяться компы ботнета чтобы слать заведомо ложную информацию о том что малварь-то не малварь. Reputation based security от симантека и прочие идеи очень красиво могут разбиться. Так же как была засрана e2dk сеть, так же засрут имхо и эту.
     
  11. Hexxx

    Hexxx New Member

    Публикаций:
    0
    Регистрация:
    15 июл 2008
    Сообщения:
    10
    Облака состоят из компов куда добровольно установлен антивирус. Антивирус собирает инфу о файлах на компе юзера и отправляет ее в центр обработки. Исходя из этой инфы составляется рейтинг насколько вероятно что такой файл малварь. Т.е. сколько хомячков посчитало что это файл не малварный. Что мешает отреверсить протокол и намеряно слать инфу о том, что моя малварь - это чистый файл? Имхо ничего. А чтобы нельзя было блочить по IP можно расставить засиралку по компам ботнета. В какой части моей идеи начинается бред?
     
  12. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    в той, что облако безоговорочно доверяет клиенту... возможна например такая схема: перед запуском каждого файла сигнатура (хеш или называйте как хотите) файла отсылается облаку, облако проверяет переданные ей данные и отправляет назад является ли этот файл зловредным... если сигнатура не известна облаку, то облаку отправляется весь файл и сигнатура там появляется... в принципе уже существуют реализации, которые соизмеримы по времени выполнения с пропуском файла через эмулятор антивируса... в этом случае компрометация возможно лишь на линии связи между клиентом и облаком, но это уже другой разговор...
     
  13. 737061

    737061 New Member

    Публикаций:
    0
    Регистрация:
    3 авг 2007
    Сообщения:
    74
    вы забываете что анализ подозрительных файлов тоже идет в облаке, а там совершенно другие возможности чем у десктопных ав.
     
  14. Hexxx

    Hexxx New Member

    Публикаций:
    0
    Регистрация:
    15 июл 2008
    Сообщения:
    10
    http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99&tabid=2 я руководствуюсь этой инфой.

    Что забирают с энтерпрайзов - хз. Но я очень сомневаюсь что какая-то контора, которая пишет софт будет рада тому, что их бинари будут уходить в облако, только потому что хэш не был найден. Сомневаюсь что они собирают с энтерпрайза бинари вообще. А вот с tens of millions of Norton Community Watch members - это запросто. Смотрим что пишется про условия работы в Norton Community Watch:
    Ключевая фраза that are identified as malware.

    То есть малвареписатель, создает новую малварь, которая не детектится, и инфа о ней в облако не уходит. Потом мы спамим облако инфой о том, что этот файл есть у многих пользователей, и он GOOD. А потом начинаем раздавать. У?
     
  15. rav

    rav New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2004
    Сообщения:
    159
    Адрес:
    Москва
    Угу, вот только сначала туда отправляется хеш. И если облако сообщает, что файл неизвестен, только в этом случае, да и то не всеми вендорами, файл будет заброшен в облако на анализ. Так что хватит писать глупости, выдавая их за истину в последней инстанции. Hexxx всё правильно говорит, отравление канала агент-облако недостоверными данными вполне возможно, равно как и самого облака. Домашнее задание для тех, кто не в теме- курить историю InDuc до полного просветления.
     
  16. 737061

    737061 New Member

    Публикаций:
    0
    Регистрация:
    3 авг 2007
    Сообщения:
    74
    rav
    мдец. Кто будет на не зараженной системе контролировать трафик? А для любителей подсесть на канал уже давно придумали защиту в виде криптографических методов. А если машина уже заражена ( иначе еще раз спрашиваю КТО будет подменять траффик? ) то уж извиняйте, тогда вам уже не что не поможет не облачный не обычный антивирус, только руками чистка.
     
  17. Hexxx

    Hexxx New Member

    Публикаций:
    0
    Регистрация:
    15 июл 2008
    Сообщения:
    10
    Его не будут подменять, его будут генерировать. Так же как сейчас засоряют сеть Edonkey, также как сейчас засоряют спамом поисковые запросы. Пока что облачные антивирусы = неуловимый джо. Как только они начнут мешать распространению малвари, найдутся те, кто начнет засорять.
     
  18. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    хех, ребят, какие то у вас странные облака))) я на презентации одной компании видел такую схему, щас поподробнее опишу... есть офис, в нем есть несколько пользователей, они подключены к "локальному серверу облака" (в локальной сети офиса)... на локальном сервере есть большая база хешей исполняемых файлов, которая синхронизируется с глобальным сервером облака (в интернете) раз или два в сутки... при запуске каждого исполняемого файла клиентом посылается хеш на локальный сервер, если этот хеш есть в локальной базе, то клиенту возвращается зловреден файл или нет... если хеша в локальной базе нет, то идет запрос в глобальную базу, если в глобальной базе не оказывается хеша, то весь бинарь отправляется облаку на проверку, и результат спускается обратно для клиента... то есть на клиенте не происходит проверка исполняемых файлов... проверка программ, которые уже запускались внутри облака происходит за доли секунды, проверка новых по времени соизмерима с прогоном файла через эмулятор антивируса... вполне сносная схема на мой взгляд... как в данной реализации засорять локальный или глобальный сервер облака?
     
  19. Hexxx

    Hexxx New Member

    Публикаций:
    0
    Регистрация:
    15 июл 2008
    Сообщения:
    10
    Все одно и тоже да одно и тоже. Я уже показывал как это работает у симантека. Файл шлется только если есть подозрение что он - малварь, а не просто так, потому что у облака хэш не нашелся.
     
  20. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    еще раз... есть схема, которую я описал... любой исполняемый файл с неизвестным хешем отправляется на проверку облаку... вопрос: