t00x какие файлы проверяют ав? правильно те которые с большей вероятностью несут вредоносный код, те ехе, длл и прочие PE, а также "рискованные" те док, пдф и флеши. И какая разница где будет идти проверка? просто в облаке больше возможностей.
ну как сказать... в принципе до полноценных облаков еще далеко... но... на самом деле сейчас многие государственные организации и многие топовые коммерческие организации охотно обмениваются сигнатурами и более того образцами пойманной у себя малвари... вот так и получается, допустим запалился бот в одной стране, а снесли его со всех стран соседей по облаку, а в замен несколько десятков ханипотов... я вообще говоря вижу очень большие перспективы у этих технологий... не завтра, но через несколько лет...
737061 если вынести в облако только антивирус (и не выносить все остальные задачи), то после падения канала интернет "белый список" останется на недоступном облаке... помимо этого у пользователей есть ещё мобильные накопители. 737061 Rel у потенциальных пользователей облачных сервисов есть ещё "корпоративные правила". это правила, например, запрещающие пересылать файлы через интернет в открытом виде, можно только в шифрованном архиве и т.д. в общем, разве что поднять такой облачный сервис в локальной сети, а "белым списком" делится между такими "локализованными облаками".., но всё равно на каждой локальной машине должен стоять антивирус.
t00x белый список затем и водился чтобы при падении интернета у пользователя осталось хоть что-то (те он хранится у клиента, ваш кэп). А без интернета новую заразу разве что с флешек можно занести. нуну, от идиотов ни какой антивирус не защитит, они и format c: напишут. Начали с неэффективности, кончали правилами корпоративными. PS так и не понял че хочет сказать t00x, и не понял чебы не заюзать комбинированный вариант.
737061 не на чем выполнять это что-то, ага... точно. особенно точно это тогда, когда они получают администраторские права. Вы играетесь в "непроходимую защиту", а все остальные работают в реальных условиях.
походу кто-то вообще не представляет как устроены облачные антивирусы, у них есть клиент который у пользователя. "работают в реальных условиях", это вы про себя? нуну, особенно радует что как раз классика в реальных условиях уже не справляется, просто не успевают шлепать сигнатуры и методы, для все новых криптов. Для облака эта задача частично решена, надо менять не только код но и поведение в целом.
Эти маркетоидные сказки тут не прокатят. Любое чёрносписочное решение уже давным-давно неадекватно существующей модели угроз, любой уважающий себя профессионал это понимает.
Скажите пожалуйста, а что эти ваши облака начнут делать когда в них начнут намеряно присоединяться компы ботнета чтобы слать заведомо ложную информацию о том что малварь-то не малварь. Reputation based security от симантека и прочие идеи очень красиво могут разбиться. Так же как была засрана e2dk сеть, так же засрут имхо и эту.
Облака состоят из компов куда добровольно установлен антивирус. Антивирус собирает инфу о файлах на компе юзера и отправляет ее в центр обработки. Исходя из этой инфы составляется рейтинг насколько вероятно что такой файл малварь. Т.е. сколько хомячков посчитало что это файл не малварный. Что мешает отреверсить протокол и намеряно слать инфу о том, что моя малварь - это чистый файл? Имхо ничего. А чтобы нельзя было блочить по IP можно расставить засиралку по компам ботнета. В какой части моей идеи начинается бред?
в той, что облако безоговорочно доверяет клиенту... возможна например такая схема: перед запуском каждого файла сигнатура (хеш или называйте как хотите) файла отсылается облаку, облако проверяет переданные ей данные и отправляет назад является ли этот файл зловредным... если сигнатура не известна облаку, то облаку отправляется весь файл и сигнатура там появляется... в принципе уже существуют реализации, которые соизмеримы по времени выполнения с пропуском файла через эмулятор антивируса... в этом случае компрометация возможно лишь на линии связи между клиентом и облаком, но это уже другой разговор...
вы забываете что анализ подозрительных файлов тоже идет в облаке, а там совершенно другие возможности чем у десктопных ав.
http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99&tabid=2 я руководствуюсь этой инфой. Что забирают с энтерпрайзов - хз. Но я очень сомневаюсь что какая-то контора, которая пишет софт будет рада тому, что их бинари будут уходить в облако, только потому что хэш не был найден. Сомневаюсь что они собирают с энтерпрайза бинари вообще. А вот с tens of millions of Norton Community Watch members - это запросто. Смотрим что пишется про условия работы в Norton Community Watch: Ключевая фраза that are identified as malware. То есть малвареписатель, создает новую малварь, которая не детектится, и инфа о ней в облако не уходит. Потом мы спамим облако инфой о том, что этот файл есть у многих пользователей, и он GOOD. А потом начинаем раздавать. У?
Угу, вот только сначала туда отправляется хеш. И если облако сообщает, что файл неизвестен, только в этом случае, да и то не всеми вендорами, файл будет заброшен в облако на анализ. Так что хватит писать глупости, выдавая их за истину в последней инстанции. Hexxx всё правильно говорит, отравление канала агент-облако недостоверными данными вполне возможно, равно как и самого облака. Домашнее задание для тех, кто не в теме- курить историю InDuc до полного просветления.
rav мдец. Кто будет на не зараженной системе контролировать трафик? А для любителей подсесть на канал уже давно придумали защиту в виде криптографических методов. А если машина уже заражена ( иначе еще раз спрашиваю КТО будет подменять траффик? ) то уж извиняйте, тогда вам уже не что не поможет не облачный не обычный антивирус, только руками чистка.
Его не будут подменять, его будут генерировать. Так же как сейчас засоряют сеть Edonkey, также как сейчас засоряют спамом поисковые запросы. Пока что облачные антивирусы = неуловимый джо. Как только они начнут мешать распространению малвари, найдутся те, кто начнет засорять.
хех, ребят, какие то у вас странные облака))) я на презентации одной компании видел такую схему, щас поподробнее опишу... есть офис, в нем есть несколько пользователей, они подключены к "локальному серверу облака" (в локальной сети офиса)... на локальном сервере есть большая база хешей исполняемых файлов, которая синхронизируется с глобальным сервером облака (в интернете) раз или два в сутки... при запуске каждого исполняемого файла клиентом посылается хеш на локальный сервер, если этот хеш есть в локальной базе, то клиенту возвращается зловреден файл или нет... если хеша в локальной базе нет, то идет запрос в глобальную базу, если в глобальной базе не оказывается хеша, то весь бинарь отправляется облаку на проверку, и результат спускается обратно для клиента... то есть на клиенте не происходит проверка исполняемых файлов... проверка программ, которые уже запускались внутри облака происходит за доли секунды, проверка новых по времени соизмерима с прогоном файла через эмулятор антивируса... вполне сносная схема на мой взгляд... как в данной реализации засорять локальный или глобальный сервер облака?
Все одно и тоже да одно и тоже. Я уже показывал как это работает у симантека. Файл шлется только если есть подозрение что он - малварь, а не просто так, потому что у облака хэш не нашелся.
еще раз... есть схема, которую я описал... любой исполняемый файл с неизвестным хешем отправляется на проверку облаку... вопрос:
