А я разве говорил про "подсесть на канал"? Процитируй, где я такое говорил. Я говорил про канал облако-антивирусный агент, а не про инет-канал от агента к облаку и обратно. Это значительно более широкое понятие, которое включает в себя, в том числе, и логику принятия решений самим агентом, которая никакими "криптографическими методами" не защищена. И вообще, если всё так красиво, как ты говоришь, то почему клиенты "облачных" антивирей продолжают заражаться в промышленных масштабах?
rav Еще раз КТО будет контролировать трафик на чистой машине? Еще раз, если машина чиста, на сети ни кто не сидит, КТО тогда в конце концов контролирует трафик? =)
Не понимаю вопроса. Он, вообще, к чему? Обсуждение ведётся о падающей эффективности традиционных эвристических подходов. Причём здесь чистые машины?
737061 кроме общей базы хешей и фильтрации входящего трафика не вижу никаких отличий в возможностях облачных антивирусов по сравнению с установленными на дестопах.
нуну, в облаке можно хоть виртулку с полноценной хп ставить, или вы аверам сейчас тоже предлагаете так делать? просто таскать с собой чтото вроде VMware с образом XP А я не понимаю вот этого бреда, отравление кем? чем отравление? вы будете покупать лицензию(!!!) только чтобы забить вычислительные возможности аверских облаков? так они рады будут. Или если (внимание!!!) использовать компьютер жертвы, то он должен быть уже заражен, если нет то кто отравлять то в конце концов будет?
Короче, диагноз ясен- срочно читать историю InDuc, ту его часть, которая повествует про выкидывание Bit9 хешей заражённых файлов из своих облачных белых списков. Вердикт на неизвестный файл из облака всегда приходит с опозданием, интервал времени на анализ заранее неизвестен, поэтому та красивая сказка, что ты расписал, в реальности не работает. И ты так и не ответил на самый главный вопрос, раз ты у нас такой весь из себя прошаренный. Как так происходит, что люди продолжают заражаться в промышленных масштабах вне зависимости от производителя антивируса, если облачные вердикты уже давно как реальность?
Этот вопрос нужно задавать антивирусникам, а не мне. И ты так и не ответил на самый главный вопрос. Если всё так чудесно, как тут описывал, почему пользователи облачных продуктов продолжают заражаться?
rav > И ты так и не ответил на самый главный вопрос. Если всё так чудесно, > как тут описывал, почему пользователи облачных продуктов продолжают заражаться? потому, что чудес не бывает. облака решают одни проблемы, порождая каскад других и они лишь одно из средств обороны. сейчас энтерпрайз использует три стратегии: 1) репутация сайтов (баны по url, IP, etc) -- понятное дело, что тупизм, но 90% малвари идут с одних и тех же IP, которые хакерам тяжело менять, это ведь не доменные имена. протокол общения малвари с малварью так же закодирован в url и его менять не получается просто так. в общем, хоть и тупизм, но основные очаги заражения он ликвидирует. ес-но тут без облаков никак. как только хацкеры введут новый IP в строй -- так его тут же баннят; 2) сандбоксы -- ну тут все понятно. запускаем файл на виртуалке и смотрим чего он творить будет. в основном работает для exe, с документами большие проблемы (трудно подобрать нужное окружение для успешной эксплутации), да и exe может детектить виртуалку или просто спать минут полчаса ничего не делая -- так что это не панацея, но ~90% заразы она ловит; 3) эвристика -- тут дело темное, но в то же время светлое. короче так. тут линия терминатора узкая и отвесная. если хакер играет в открытую, то его палят как поионера, поскольку всем ясно, что он намеревается сделать. как только хакер пытается зашифроваться -- ловится сам факт попытки сокрытия чего-либо. и чем активнее хакер прячется, тем быстрее он ловится. как мы видим, все три механизма детекции атак несовершены и покрывают дааалеко не 100% малвари. есть достаточно надежные решения (в частности, мимо нашего pdf-сканнера не прошмышнул ни один хомяк, даже когда хакеры неожиданно стали распылять кучу посредством встроенных изображений размером с рессору от трактора беларусь -- мы это захавали, хотя там вообще скриптов не было, а только один картинки, но нам на это ложить с прибором. и фэлс позитивов у нас нет... и все было бы хорошо, если бы не одно но --- сканирование одного файла на экспериментальной установке занимает до 40 сек, т.е. ресурсов банально не хватает для продвижения продукта на рынок). но это мы отвлеклись. так вот -- облачная технология это не волшебная лапа алладина, это просто еще одна технология из длинного списка, начиная от сигнатур и кончая черт знает чем. и у этой технологии куча недостатков, однако, по другому сейчас бороться с малварью уже невозможно. ЗЫ. вы в курсе, что сейчас есть _три_ zero-day для полностью пропатченного IE8? и все три из дикой природы? два -- стабильные, а третий... капризный какой-то, но благо падающий в одном и том же месте, хотя и с 30% ~ 50% вероятностью. так о чем это я? ага. значит, три zero-дня на сегодняшний день для полностью обновленного IE8 (тестировалось под XP SP3 Pro со всеми обновлениями -- другие не проверял), плюс одна модификация авроры, которую не ловит никто на вирус тотале. но хрен с той авророй. забавно, что IE6 рабоатет там, где IE8 имеет дыры. вы все еще используете IE?! тогда хакеры идут к вам.
Понятно. Любая лягушка после поцелуя становится прекрасной принцессой, а если не становится- это проблемы производителей.
kaspersky 99% современных вм, включая жс, жаба, вб, флэш, тюрьма (питоны - пхп - перлы), представляют собой форт машины. реализация форт машины на обычном (х86) процессоре не очень оптимальна. изза разных архитектур опять же, изза архитектуры, форт машина гораздо компактнее циск. есть куча софт(-хард) реализаций (пример. возможно, более интересный пример), есть несколько чисто хард реализаций (пример. 144 ядра в камне. $20 камень, толи $200, толи $400 дев борда) возможно, не получится выиграть на параллелизме в рамках 1й задачи, но можно будет запустить много задач в параллель.
