Kris Kaspersky - видео

Flasher
> kaspersky, зря Вы этот пресловутый "FireEye" упомянули неоднократно,
> Клерк вить обойдет и выложит на зло Вам, а плохо будет аверцам из FireEye ))
то бишь конкурентам хотя этого не произойдет все равно. FireEye это коробка. ее по сети не скачаешь. а клерк к fireeye устраиваться не хочет. а то бы, панимаешь, был бы у виросопсателей своей человек в индустрии. вот никак не хочет клерк получить доступ к закромам. какаие тут закрома... да блин... мне присылают файлы на проверку. в том числе и mp4. в том числе и с порно сайтов. а що? сижу на работе, проверяю файл на вирусы. так, судя по писе - у нее явно герпис II. файл заражен!!! ну вот где бы я еще порно смотрел на халяву за казаенный счет в рабочее время и еще бы получал за это деньги?!

 

newbie
>> а в англии по слухам еще меньше.
> угу. ты уши развешивай побольше
был я в англии. ну и що? там много нэйтивов? не смешите.

 

kaspersky
насчёт недокументированных функций, я там отступ делал, в смысле что вопрос общий.
приятно что именно Вы на него развёрнуто ответили, просто не подумайте что "некоторые люди"
это про Вас.

я дырами называю, к примеру, баги в реализации AdobeAcrobatReader. и их доблестно защищает модуль
Вашего соседнего тима. так что получается антивирус от дыр защищает
самый эксплуатируемый и не предсказуемый браузер IE, стандартный компонент винды. и чисто логически
это опять-же дыра винды. и Вы лично занимаетесь детектом и предотвращением этой эксплуатации.
опять антивирус от дыр защищает а то что "она и без дыр может" это само собой.
а лет 8-13 назад была колосальная эпидемия какого-то вируса поражающего MS OutLock, стандартно всем
навязываемого вместе с виндой. опять на дыре винды.
тогда помню в новостях показывали дядю Била, с не естественным цветом лица, говорящего, что он готов
заплатить 3млн$ за ту сволоч, которая это натворила))

это у них типа пробы пера пока. по Вашему мнению для чего им нужен проект Security Essentials ?

 

я там жил несколько лет. это вы не смешите =)

 

английский криса пойдет раз его понимают, то большего и не требуется - к чему эти навороты в зоопарке
имхо проблемы вирусов воще для меня надуманы - под моей 95 никаких современных вирусов и руткитов просто не идет а старые 100% ловятся докторвебом

 

wsd

Он, верно, пошутил. Если бы Билли и правда проплатил заказ, "ту сволочь" подали бы ему на блюдечке и с яблоком в зубах.

 

CyberManiac

оффициально не продали. может у него не продажные товарищи по партии, а может просто хорошо шифровался.

 

Билу нужна была именно оффициальность, что бы публично брутально расчитаться с гадом, что бы другим не повадно было.

 

wsd
> Билу нужна была именно оффициальность, что бы публично
> брутально расчитаться с гадом, что бы другим не повадно было.
что-то не видно очереди желающих сесть за три ляма. там же зубами рвать не будут. и даже посадить под вопросом, особенно если это будет подросток лет 12 ~ 14. вполне достаточно чтобы претендовать на авторство зловреда, но до взрослых статей не дотягивает. так что билли устроил чистейший пиар, хотя три ляма мог бы и выплатить, но... это тут же бы превратилось в бизнес. тут серийные убийцы намного меньше получают, а мы тихим сапом ищем дыры, чтобы их заюзать...

> оффициально не продали. может у него не продажные товарищи по партии, а может просто хорошо шифровался.
а кому реально нужно было его искать? он чем-то отличается от остальных? это какой-то особенный хакер с экстраординарными способностями? он готов оплатить иск? у него есть что взять (кроме яиц)? если же нужно показать, что от возмездия не уйдешь и карающая рука достанет -- достаточно схватить первого попавшегося. общественность ведь все равно не узнает, что это не он.

newbie
> я там жил несколько лет. это вы не смешите =)
и вы никогда там не слышали you is, you has ? или шмотками там уже торгуют коренные англичание, а официантками чиста лорды и сэрухи? и немногие оставшиеся носители языка вам никогда не плакались на то, что "попал английский, совсем пропал"? и вы не были потеряны в ирландском акценте? сравните уличный английский в англии и израиле. в израиле он правильный (в своей массе). и если практиковаться в английском, то только в израиле. да блин, даже в том же амстердаме говорят на более правильном английском чем сами англичане. да что там амстердам... вовсе не столичный норвежский берген и то образец более правильной речи. или мы были с вами в разных англиях. я если что, то был только в лондоне. или лондон это "понаехали тут", а вы были в каком-то историческом заповеднике? ну вам оттуда виднее.

wsd
> насчёт недокументированных функций, я там отступ делал, в смысле что вопрос общий.
ну я понял, что это не про меня. недокументированными функциями я не злоупотребляю -- уже есть опыт наступания на грабли.

> я дырами называю, к примеру, баги в реализации AdobeAcrobatReader.
так антивирус от них точно не защищает... всякие там DEP, ASLR, SafeSEH пытаются, но не очень успешно. а антивирус ловит уже извстных зловредов по сигнатурам, ну или эвристикой, однако, эвристик в свою очередь так же должен заранее знать, что он вообще ищет. эвристические алгоритмы могут быть выражены языком регулярных выражений (продвинутым) и потому фактически все сводится к сигнатурам (проактивка она из другой оперы), только в случае эвристики сигнатуры становятся сликшом общими. скажем, если файл больше чем наполовину состоит из вызовов скачать файл и его запустить, то можно предположить, что это троян. конечно, такой поиск сложнее, чем просто взять фрагмент из окрестностей EP и почекать MD5. тут надо и поток управления реконстрировать и разобраться что за API вызовы идут... но по сути после реконструкции алгоритма мы получаем те же сигнатуры, т.е. ищем уже известные вирусы. атака принципиально нового типа не может быть обнаружена эвристиком. скажем, зараза во флешь, т.е. ActiveScript. причем даже не в самом AS, а в коде который сгенерит JIT.

так что антивирь от дыр не защищает

> и их доблестно защищает модуль Вашего соседнего тима.
это в смысле который HIPS? ну так HIPS и антивирус это разные технологии и разные продукты. проактивка может намного больше, хотя опять-таки она защищает не от дыр, а просто распознает определенные типы паранорманльной активности и блокирует их.

> самый эксплуатируемый и не предсказуемый браузер IE, стандартный компонент винды.
FireFox ксатати не только дырявый, но еще и трактующий стандарты непостижимым уму способом. тут уже вам приводили код типа 123[''+<_>ev</_>+<_>al</_>](''+<_>aler</_>+<_>t</_>+<_>(1)</_>); вам смешно, а мне нужно уметь его выполнять на своем эмуле. и главное, что ведь ни в каких спекках это не написано. это как бы не дыра, но как бы и дыра, потому что при наличии реальной дыры, она позволяет морфить код так, что его не словят никакие сканеры. ну те, которые не знают о таких трюках. а таких трюков у фокса много.

> и чисто логически это опять-же дыра винды.
что есть винда? ядро или весь дистр? а если винда позволяет ставить фокса - это дыра или нет?

> и Вы лично занимаетесь детектом и предотвращением этой эксплуатации.
> опять антивирус от дыр защищает а то что "она и без дыр может" это само собой.
антивирус ищет уже известных зловредов. дыры от не затыкает и они остаются. более того, 99% атак реализуются без участия дыр. атаки, юзающие дыры, это вообще-то редкость, но зато они "пробивают" даже более квалифицированных юзеров. скажем, если вам пришлют по почте exe, то вы его если и запустите то только под виртуалкой. а если вы нагуглите pdf или ppt? или это будет эксель (типа финансовый отчет от ваших партнеров). или это mp4 ? ну ладно-ладно. это будет просто файл с расширением с. или асм. и вы его откомпилируете. думаете, что вы ничем не рискуете, его компилируя? ах как бы не так... вашей системе может сильно поплохеть. от чистого асма. на этапе трансляции. про make и трояны в них я вообще молчу, ибо тут все тривиально. дал команду make и не досчитался /home

> а лет 8-13 назад была колосальная эпидемия какого-то вируса поражающего MS OutLock,
> стандартно всем навязываемого вместе с виндой. опять на дыре винды.
проблема в том, что в других продуктах так же есть дыры. и ms не самая дырявая из всех.

>> а с кем он конкурирует-то? уж точно не с нами.
> это у них типа пробы пера пока. по Вашему мнению для чего им нужен проект Security Essentials ?
хз. я общался с антивирусными парнями из ms. похоже ms собирает таланты и там много умных людей работает. посмотрим во что это выльется.

 

Знай же границы шутовства, ведь читают тебя и дети, хотя это конечно поприличнее сосисек под хвостом.

Заодно у тебя появился бы повод написать где-то: взяли по дешевке студента на неполный рабочий день.

 

Не слышал. Если у вас такая позиция, то можно про любую страну так же рассуждать. Бред.

Вы стало быть еврей?

 

kaspersky

Значит про это мне и знать ничего не нужно. Эту софтину никто на планете не юзает(хз что это, судя по вашему описанию гдето в закрытых конторах используется), посему это не актуально и не представляет абсолютно никакого интереса. Чем вы там в своём тиме код отлаживаете мне не интересно. Если тулза миру не известна, то она не существует для него.
-
Привидите паблик примеры достойной внимания защиты. Всякие приватные виртуальные машины и хардварные барьеры даже не упоминайте.
J0E

Мне пофиг что вы там думаете. Ваше мнение не имеет никакого веса.

 

Clerk А мне пофик имеет ли мое мнение вес, или нет, ведь я практически копи-пастил мнение КК

 

J0E
Ну в таком случае молчите.)

 

kaspersky
убедили) действительно у меня была слишком вольная трактовка термина
антивирус. считал что ловить зверей юзающих дыру = защищать от этой дыры.
но теперь соответствует международным стандартам!

так как ядро отдельно не продаётся - также весь пакет навязанных программ.
ну это в минимальной поставке. разширенные типа IIS не в счёт.
это ИМХО.

а какая разница часовых поясов с Москвой?

 

Clerk, ха-ха, а с чего это твое право высказываться о двуличности стало монопольным

 

wsd

Ну так может и клиент неофициально уж десять лет как плавает в бетонных кедах по... Что там в Редмонде протекает?

Это ещё более фантастика. В России в аналогичном случае заинтересованные лица нашли бы требуемого человека за весьма ограниченное время. Для этого даже не нужно знать, какой кнопкой включается компьютер, достаточно уметь физически работать с людьми.

Публичное ...доханье злыдня бейсбольной битой даже Билли вряд ли сошло бы с рук. Хотя сейчас, наверное, уже сошло бы, если прикупить недвижимость в Гуантанамо.

 

wsd
> читал что ловить зверей юзающих дыру = защищать от этой дыры.
допустим, есть эксплоит big_balls.pdf, который юзает дыры в util.printf, JBIG2, FLASH и, возможно, что-то еще. антивирус может его опознать по сигнатуре (для упрощения считаем MD5 всего файла) или же если распакует JS, найдет там вызов util.printf и убедиться, что переполнение имеет место быть. первый способ вообще ничего не знает ни о каких дырах. второй - тормозной и ненадежный, зато позволяет ловить даже вновь написанные сплоиты, если, конечно, атакующий не запрячет вызов util.printf подальше, но тут очень тонкий баланс. как мы только начинаем что-то прятать - появляются следы обфускации и антивирь имеет законное право ругнуться.

но дыра -- открытая. защитить от дыры может проактивка. например, банальный патч да-да, патч это самый лучший антивирь. правда, он не может распознать попытки атак, а чтобы их распознать -- можно перехватить вызов util.printf и валидировать аргументы, но это уже извраты получаются и хрен знает как их валидировать... сколько там векторов атак...

антивирусы вообще призваны лишь остановить эпидемию (что, к сожалению, отказывается понять клерк). позиция антивирусов -- от чумы умерло три тысячи человек. фигня! главное что остальные три миллиарда спасены. а в отсутствиии антивируса эпидемия продолжалась бы ну очень долго и ее последствия были куда как более печальные. поэтому, в планетарном масштабе антивирусы спасают миллионы юзеров, а по факту они никакого не защищают.

ну вот такая аналогия. милиция нас ведь ни хвоста не стережет. даже персональные телохранители лишь уменьшают вероятность нападения. и любой падонок может дать нам по башке или угнать мерина. или и то, и другое сразу. означает ли, что милиция бесполезна? вовсе нет, если бы милиции не было, преступности было еще больше. ("милиция" в данном контексте термин условный. братки, к которым можно обратится за помощью, чтобы восстановили понятия и остановили беспредел вполне попадают под эту категорию).

> так как ядро отдельно не продаётся - также весь пакет навязанных программ.
> ну это в минимальной поставке. разширенные типа IIS не в счёт. это ИМХО.
а кто мешает банально снести все ненужное? даже если не сносить. ставим себе лиса и забываем про дыры в IE. сносим акробата, ставим FoxIt и нас теперь так просто не возьмешь (хотя дыры есть и в FoxIt).

> а какая разница часовых поясов с Москвой?
москва +3, у нас -5. не такая уж и разная разница

Clerk
> Значит про это мне и знать ничего не нужно. Эту софтину никто на планете не юзает
никто -- это сильно сказано. тем более, что там облачная технология. так что юзают. и очень плотно. она нацелена на борьбу в ботнетами. попробуйте поднять ботнет который она не обнаружит. централизрванные ботнеты отпадают сразу. если хотя бы один из узлов ботнета пропалится и стукнет на C&C -- последний тут же возьмут за яйца.

> (хз что это, судя по вашему описанию гдето в закрытых конторах используется),
http://www.fireeye.com/ используется кучей провайдеров. ну и в закрытых конторах так же.

> посему это не актуально и не представляет абсолютно никакого интереса.
ну я понял вашу позицию. все, что нельзя взломать нахрапом, не представляет никакого интереса. а что же тогда представляет интерес? обойти домашнюю версию антивируса для блондинок и возрадоваться?

> Чем вы там в своём тиме код отлаживаете мне не интересно.
> Если тулза миру не известна, то она не существует для него.
закрытые тулзы -- это вообще отдельная песня, но они есть. и чтобы атаковать противника, юзающего такую тулзу, приходится либо добывать о ней информацию окольными путями, либо действовать вслепую, надеясь, что нас не пропалят.

коммерческие тулзы, которые нельзя скачать по иннету на шару, -- они стоят чуть ли не на каждом предприятии (серьезном). так же они стоят у многих провайдеров. так же они работают как спайдеры. ес-но, ничего нового (с точки зрения технологий) в них нет, т.к. чудес не бывает и все технологии так или иначе описаны. однако, особенности реализации закрытых продуктов наперед неизвестны, что затрудняет их обход.

> Привидите паблик примеры достойной внимания защиты.
ок, давайте начнем с этого: http://portswigger.net (оно кстати даже халявное. не скажу что самое лучшее в своем классе, но внимая уж точно достойное. во всяком случае, поставил себе по совету одного спеца и щас доволен как бобик).

> Всякие приватные виртуальные машины и хардварные барьеры даже не упоминайте.
в какое степени (не)приватные? ну в принципе понятно, что из опен-соурса в области защит ничего путного нет. из решений, ореентированных на домохозяеек -- тем более. а все, что представляет интерес, -- это как минимум масштаб предприятия и там вместо интерфейса с большой красной кнопкой куча всего непонятно и требующего обучения.

ЗЫ. я все про то, что "обход" антивирусов -- это борьба с ветряными мельницами. эвнистика, распаковка и все такое -- это типа бонуса. сработает -- хорошо, не сработает -- ну и ладно. словить нового зловреда принципиально невозможно на сегодняшнем уровне технологий. а написать его можно хоть на си, хоть на шарпе. кстати, скриптовые языки представляют дофига возможностей в плане морфигнга и уже есть реальные упаковщики тех же жабаскриптов, которые после упаковки занимают меньше места, а, значит, быстрее передаются по тырнету. про шифровку я вообще молчу. куча скриптов зашифрованы, в том числе коммерческх. а вот чтобы их расшифровывать нужно очень много трудиться и писать в разы больше кода, чем для эмулятора ЦП.

 

Детектировать- невозможно, защититься от него- вполне.

 

kaspersky

ОндэграундЪ строчил бы закладные друг на друга прямо у кассы с биллиными баксосами? Было бы забавно

Авер-киллеры... Йоу, а это стильно! Так прямо и вижу: амбалы в глухих плащах колесят по городам и весям в ч0рных бобонах, и сурово мочат в упор из автоматических дробовиков всяческих нарушителей компьютерного спокойствия. Да, в фантастических книжках такого сюжета вроде ещё не было. Надо зацопыригхтить.

Если бы всё было так просто, "органы" всей планеты достигли бы 100% раскрываемости просто хватая первого попавшегося прохожего.