» »

Why AV companies failed

Why AV companies failed

«
1
2

denial ::

SELECT finger FROM hand WHERE id=3;

RejZoR ::

To je tolk fail kot če se nek profesionalec spravi vdirat v banko in zaobide vse varnostne sisteme in vlomi v trezor. Proti zlikavcu, ki zahteva denar pri okencu. Ciljanih napadov ne moreš preprečit, ker ljudje za napdom preverijo stvari, da jih nihče ne zazna ter zadevo toliko časa obdelujejo, da enkrat pač rata nezaznavna.

Btw, edina večja antivirusna firma v Belarusiji je VBA32, čeprav je ne omenjajo neposredno. Hm...
Angry Sheep Blog @ www.rejzor.com

denial ::

Hočeš reči, da je tisto "detecting known and unknown malware" zgolj zavajanje potrošnikov?
SELECT finger FROM hand WHERE id=3;

cen1 ::

Ahm, ne vem če sem neumen al kaj ampak prebral sem cel članek, naslov je "Why Antivirus Companies Like Mine Failed to Catch Flame and Stuxnet" in v celotnem članku NE POVE zakaj ga niso detektirali. Pove da so imeli sample ne pove pa ZAKAJ stvar ni bila javljena kot virus. Če je bilo to samo zaradi sqlite, ssh, ssl knjižnic potem pa.. *facepalm*

BlueRunner ::

denial je izjavil:

Hočeš reči, da je tisto "detecting known and unknown malware" zgolj zavajanje potrošnikov?

Definitivno. Edina postena izjava bi bila "detecting most known and some unknown malware".

To je recimo razlog zakaj je AV zascita v splosnem uporabna nekako toliko kot kondom. Super, da omeji verjetnost prenosa bolezni, ki so najbolj pogoste in vsem znane, vendar pa ti pri kaksni eksotiki zelo verjetno ne bo cisto nic pomagal.

Najboljsa in najucinkovitejsa resitev je tako (ce naj ohranim metaforo) kombinacija kondoma, vzdrznosti in ob prvih nenavadnih simptomih nemudoma obisk pri zdravniku. Vsi ostali pristopi se obnesejo samo, ce si sam zdravnik.

Tear_DR0P ::

BlueRunner je izjavil:

To je recimo razlog zakaj je AV zascita v splosnem uporabna nekako toliko kot kondom.


morda je moj komentar offtopic, ampak kondom je precej učinkovita zaščita pred okužbami. Oziroma kondom je bolj enak izklopu računalnika iz komunikacijskih omrežij.

Uporaba antivirusnikov in ostalih consumer grade malware zaščit, pa je enaka uživanju kombinacije vitaminov, zdravil s paracetamolom in (ali ostalih over the counter zdravil), v upanju da ne boš nikoli staknil HIVa, TBC, kolere in podobno nemarne zalege ali jo celo preživel, ne glede na to, po kako osvinjanem okolju se giblješ.

AV podjetja seveda smejo stuxnet, flame in podobne napade občutiti kot fail, sploh če je njihov moto "zaščita pred vsem". Verjamem pa, da tale citat dovolj dobro predstavi težavo in rešitev.

And while we try to improve on this all the time, there will never be a solution that is 100 percent perfect. The best available protection against serious targeted attacks requires a layered defense, with network intrusion detection systems, whitelisting against known malware and active monitoring of inbound and outbound traffic of an organization’s network
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

BlueRunner ::

Tear_DR0P je izjavil:

BlueRunner je izjavil:

To je recimo razlog zakaj je AV zascita v splosnem uporabna nekako toliko kot kondom.


morda je moj komentar offtopic, ampak kondom je precej učinkovita zaščita pred okužbami. Oziroma kondom je bolj enak izklopu računalnika iz komunikacijskih omrežij.

Problem metafor je ta, da v njih vsak vidi svoje argumente in ima pri tem neodvisno od katerih koli drugih argumentov vedno prav. Poskusam se drzati stran od njih, kadar pa jih uporabim pa mi je praviloma zal. Zato, ker osnovno sporocilo ni prislo skozi.

Tvoja interpretacija moje metafore tako nima cisto nic z mojo interpretacijo. Zato raje se enkrat brez metafor:


Danasnja AV zascita, ki primarno deluje s pomocjo razpoznave vzorcev, zazna vecino siroko znanih nevarnosti - siroko znanih zato, ker je moralo podjetje dobiti primerek zlonamerne kode, ga prouciti in implementirati vzorec za njegovo razpoznavo.

Nekatere zascite nudijo in imajo tudi vkljuceno t.i. hevrsiticno zaznavanje potencialno zlonamerne kode, ki pa ima tezave tako iz vidika signal-sum (prevec suma in uporabnik bo to komponento preprosto izkljucil ali zacel ignorirati), kot tudi iz vidika precejsnje razsirjenosti sicer legalnih aplikacij, ki pa ima objektivno gledano vse lastnosti zlonamerne kode (modifikacija kode v pomnilniku, namestitve prikritih gonilnikov, povezovanje na "master server", ipd.). Kar je znova faktor, ki povecuje sum.

Koncen efekt je tako, da te namescen AV solidno sciti pred obcasnimi napakami, ki jih ljudje vsake toliko storimo in najpogostejsimi vektorji sirjenja (drive-by sirjenje - lahko tudi preko zlorabljenih spletnih strani).

Nikakor pa to ne pomaga pri ciljani zlonamerni kodi (prvi test za to kodo je tako ali tako "pognati skozi vse znane AV produke") oziroma kodi, ki je se dovolj sveza, da se ni bila izolirana, proucena in zpakirana v vzorce za prepoznavanje.

Zato je bistveno, da se ne zanasa na delujoc AV produkt - katerikoli AV produkt, temvec se ga jemlje kot minimalno varnostno mrezo, ki pomaga takrat, kadar pozornost pri odpiranju neznane e-poste, ali klikanju po zavajajocih slikah pogovornih oken nekoliko popusti. Tveganje zmanjsuje, nikakor ga pa ne odpravlja.

Tear_DR0P je izjavil:

And while we try to improve on this all the time, there will never be a solution that is 100 percent perfect. The best available protection against serious targeted attacks requires a layered defense, with network intrusion detection systems, whitelisting against known malware and active monitoring of inbound and outbound traffic of an organization’s network

And none of this helps one iota with Joe User sitting at home and thinking about who the heck is this Adaobi Nwaubani and why does she need to get her riches out of the country so fast.

RejZoR ::

denial je izjavil:

Hočeš reči, da je tisto "detecting known and unknown malware" zgolj zavajanje potrošnikov?


In kako je to zavajujoče? Sej samo navajajo, da pač zaznava znane in neznane zajedalce. Bolj bi bilo sporno če bi bila uporabljen "100%", ki so ga nekoč kar uporabljali pa potem opustili ravno zaradi tega ker nič na svetu ni 100%.

Kdor pa govori da je fail če antivirusne družbe ne zaščitijo uporabnikov pred enim takim strainom, kaj pa so potem farmacevtske družbe? Isto fail, ker te s cepivi ne morejo zaščititi pred vsemi 5000 sevi gripe oz bi bil fail če njihova standardna cepiva ne bi znala ubraniti ljudi pred laboratorijsko modificiranim virusom, ki bi bil spremenjen ravno zato, da cepiva ne bi učinkovala? Kaj je to kaj drugačen primer? Prav nič.
Tud antivirusne družbe dobijo dnevno po 10.000 unikatnih samplov, nobena firma ne gleda v luft in imajo vedno polne roke dela, in če se nekdo zapiči naredit zajedalca, ki ga nihče ne bo zaznal in ga pustijo v dost low profile stanju je verjetnost, da ga bo kdo zgolj po naklučju odkril in dodal zelo majhna.
Delam že dost dolgo na tem področju, da mi je to povsem jasno. Ampak je treba naredit v novicah senzacijo, vsi so polni bullshita, nakoncu pa vse potihne, ker nihče od teh glasnih ni imel nič pametnega za povedat, še manj pa kakšno napol delujočo rešitev, ki bi to vsaj delno omilila (za odpravo niti ne upam, ker je nemogoča). Facts ppl, facts!
Angry Sheep Blog @ www.rejzor.com

fosil ::

Kondomi imajo 98% učinkovitost.
Enako cifro dosegajo najboljši AV programi.
Če želiš boljšo zaščito, moraš zadevo kombinirati z uporabo dodatne zaščite.
In tudi to velja v obeh primerih.
Tako je!

denial ::

More flame on water.

Facts ppl, facts!
AV companies are businesses and like all businesses their primary concern is their own financial interests. those interests don't align with the security interests of their customers or the public at large and no amount of hand wringing or foot stomping is going to change that. i don't see any way that the industry can drive the change that's needed while serving their own interests, and i'm not going to hold my breath waiting for them to sacrifice their own interests for the common good.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

RejZoR ::

To je tko kot bi rekel, da je edini interes policije pobiranje prometnih kazni in popolnoma nobenega interesa za varnost javnosti. Pa vsi vemo da temu ni tako, da pač ne morejo preprečiti vseh kriminalov niti nimajo neomejeno sredstev za tako početje. Pa gre za državne organe, ki imajo načeloma dost bolj proste roke kot pa privatna firma, katere preživetje je izključno odvisno od financ. Zato ne flancaj nekaj v tri dni no...
Angry Sheep Blog @ www.rejzor.com

dëych ::

Ali pa naredis OS/sistem, ki ima že po defaultu vgrajene backdoore. Vmes pa postaviš AV podjetja, ki se špilajo policaje in ustvarjajo nekakšen "wannabe secure environment" za povprečno tajnico in travničarja.

NeMeTko ::

Antivirusna industrija se že kar lep čas zaveda, da čedalje bolj izgublja bitko z malware-om. Zgodba s Flame je zgolj dokaz, da se pri tem ne motijo.

Fail pri vsem tem je v bistvu zgolj to, da je Flame ostal toliko časa neodkrit.

Kdor kaj spremlja AV industrijo, je morda opazil, da so se proizvajalci pospešeno lotili v svoje proizvode integrirati tzv. Application Whitelisting tehnologijo.
Bit9 ki je zaenkrat edini, ki si upa trditi, da je dokazano uspešno blokiral večkratni poskus okužbe s Flame, je zagotovo dokaz za to, da je Whitelisting prava pot.

Žal so AV proizvajalci s svojo Whitelisting tehnologijo šele v povojih in bodo potrebovali še kar nekaj časa, da bodo v svojih paketih ponudili nekaj, kar bi bilo primerljivo z Bit9.
Žal zato, ker je Bit9 fokusiran izključno na velika podjetja z najmanj 100 računalniki (v ZDA najmanj 500!), tako da si z njihovo rešitvijo domači uporabniki in mala podjetja ne morejo pomagati.

Vprašanje pa je tudi, če se bodo domači uporabniki navdušili nad Application Whitelisting-om. Bistvo te tehnike je v tem, da ne dovoliš računalniku zagnati ničesar, kar nisi eksplicitno dovolil.
Če se še spomnite prvih firewall programčkov za windows-e, ki so neprestano tečnarili, ali bos temu pa temu programu dovolil komunicirati in kako ste se bili naveličani tega tečnarjenja, potem najbrž razumete zakaj sem skeptičen nad akceptanco Whitelistinga.

Zaostanek AV podjetij na tem področju je posledica tega, da so se leta in leta zbirala izključno informacije o škodljivi kodi. Za najboljšega je od nekdaj veljal tisti proizvajalec, ki si je zbral najbolj učinkovito zbirko signatur škodljive kode.

Bit9 pa se nikoli ni ukvarjal s škodljivo kodo. Njihov pristop je vedno bil 'kar ne poznamo, to bomo blokirali'. Od samega začetka so zbirali informacije o preverjeno 'dobri' kodi in tako zgradili največjo bazo hash kod 'dobrih' programov, ki adminu bistveno olajša definiranje, katere programe smejo in katere ne smejo računalniki izvajati.

Vem da Sophos in McAffee zagreto delata na Whitelisting-u, zagotovo pa tudi drugi proizvajalci ne mislijo zaspati na tem področju. Bi pa po mojem mnenju lahko že Microsoft sam vgradil v Windowse ustrezno osnovo (tako kot imamo Windows Firewall), ki bi že po default prepoznala vse Microsoftove proizvode in nam tako prihranil klikanje na 'dovolim zagon programa'.

RejZoR ::

Kdaj boste dojeli, da targeted napadov skoraj nič ne ustavi? Tle nima fail AV industrije nobene veze. Če se nekdo spravi resno naredit ciljan napad ti lahko vdre preko SmartTV aplikacije skozi router pa v sistem. Ampak vedno stoji za tem neka vrednost napada. Tvoj sistem ni vreden pol K zato ga nihče ne bo šel napadat niti nihče ne pričakuje, da bojo AV-ji ščitili pred tem. So pa preklemano dobri proti globalnim generičnim napadom. In tle je ta razlika.
Angry Sheep Blog @ www.rejzor.com

denial ::

Kdaj boste dojeli, da targeted napadov skoraj nič ne ustavi?

Dej najprej poglej kakšen targeted napad od blizu preden pokaš bučke. Največkrat gre za spear-phishing s kakšnim 0-day exploitom (Flash/PDF/Word). Čeprav gre za 0-day so uporabljene metode izkoriščanja znane (heap/JIT spraying, ROP). Če je nekaj znano, potem lahko tudi preprečiš. EMET to odlično počne, AV pač ne.

Tvoj sistem ni vreden pol K zato ga nihče ne bo šel napadat niti nihče ne pričakuje, da bojo AV-ji ščitili pred tem.
Aja? Potem postav RDP + objavi svoj IP in geslo, pa da vidimo če je tvoja kišta res tko neuporabna.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

RejZoR ::

Ne, ne in ne. Gre se za trud/rezultati ratio. Vlamljat v moj sistem za nekaj brezveznih slik in nekaj pr0na pač ne odtehta par ur mučenja z exploitanjem. Če pa par ur zajebavanja pri banki pomeni 50.000 številk kartic je pa mal drugačen rati ane? O tem tud govorim že celo večnost ko folk flanca kako varen je Linux. Varen ali ne, ratio je enostavno preslab, da bi se kdo resno ukvarjal s tem. Stvar je bolj kot ne proof of concept in hobi za zagnaneže. Nikakor pa ni nekaj kar bi lahko rekel, da je vredno velikega truda.

Zdej če se vam AV industrija zdi fail, good for you. Ostali pač nimamo takega mnenja...
Angry Sheep Blog @ www.rejzor.com

denial ::

So pa preklemano dobri proti globalnim generičnim napadom.

A bi mal razložil tole "genericen napad"? Kolikor sem seznanjen AV-ji niso zanesljivi pri 0-day exploitih in obfuscated kodi (packers, crypters), pa me zanima kje sploh so zanesljivi? Prosim navedi kakšen primer.

Aja, BO2K menda odkrijejo brez težav. Flame bojda tudi, ampak to itak nima veze za home userje, ker je Flame spooky-targeted-napad-koda-for-suppa-duppa-boxes-only.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

denial ::

@Rejzor:
Tisto z Linuxom se začuda celo strinjam s teboj. Ampak to sedaj nima veze.

Kakšnih par ur mučenja z exploitom? Kvečjemu par minut. Glej, dejstvo je, da lahko neki tajnici pošljem PDF z obfuscated n-day exploitom in imam precej velike možnosti, da njen AV tega ne bo odkril. Right?
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

NeMeTko ::

Ne se kregat fanta :)

Če govorimo o tem, kateri OS je najbolj ranljiv, so razni UX sistemi verjetno celo bolj ranljivi, kot redno posodabljan Windows sistem. Pa ne zato, ker bi UX sistemi bili 'slabi', temveč zato, ker hudo malo Linux, freeBSD, itd. lastnikov zares OBVLADA sistem, ki si ga je namestil. Dvomim, da kaj dosti več kot 1/4 linux uporabnikov ve, kaj imajo v /etc ali v /dev, kaj šele, da bi kdaj sami kakšen kernel prevajali. To pa pomeni, da je 3/4 linux sistemov potencialno ogroženih.

Nasploh moramo ločiti med različnimi tipi vdorov, napadov in okužb, vsega se preprosto ne more metati v isti koš.
Če je uporabnik delal neumnosti v konfiguraciji in s tem stvar odprl na stežaj, pravzaprav še o vdoru v pravem smislu ne moremo govoriti, prej o 'povabilu'. V takem primeru 'povabljenec' ne potrebuje niti posebna orodja, ne kakšne posebne tehnike, da bi se razgledal po naših diskih.

Veliko ljudi je prepričanih, da njihov računalnik takointako nima nič takega nameščenega, da bi lahko bilo zanimivo za kogarkoli in si zato ne delajo nobenih skrbi glede posodabljanja in zaščite. Ko bi vedeli, kako zanimiv je tudi njihov računalnik za barabe, ki na medmrežju nastavljajo pasti. En napačen klik, pa se tvoj računalnik pridruži njihovi čredi botov. Res te 'napadalce' ne zanima dosti, kaj imaš na diskih, zato pa lepo zasužnijo tvoj računalnik, da v svet razpošilja spam in sodeluje v DDOS napadih. Če imaš pa smolo, ga lahko še celo zlorabijo za distribucijo 'materialov', zaradi katerih ti lahko nekega dne na vrata potrka policija.
V teh primerih gre v ponavadi za okužbo, najpogosteje 'drive by download', ki ga lahko nehote staknemo tudi na kakšni 'resni' spletni strani in ne le na straneh s sumljivo vsebino.

Naslednja nespodobnost je kakšen spear phishing. Pri tem baraba vsaj na približno sluti, kateri finti boš nasedel, da boš odprl priponko, ki jo zagotovo nebi odprl, če bi vedel, kaj se v njej skriva. Če baraba recimo ve, da ste imeli prejšnji teden sindikalno zabavo, pošlje mail z lažnim naslovom nekoga iz podjetja, v subject napiše 'slike z zabave', pa stvar pošlje na vse znane naslove v podjetju. Kdo se bo uprl in ne bo odprl priponke?

Klasične 'brut force' napade ne vem, če danes še kdo uporablja, saj so bistveno premalo učinkoviti. Ko govorimo o 'vdiranju' se pogosto srečamo s kakšnim buffer overflow, pa tudi z raznimi SQL injiciranimi kodami. Če preko teh metod uspeš dobiti command line napadenega sistema, je ta že tako dobro kot tvoj. Ko potem še ukradeš datoteko z gesli in jo na kakšnem sistemu s parimi grafičnimi karticami 'obdelaš' (sem se igral s tistimi hashi od linkedin, pa nisem mogel verjet, kako to leti - I7 je polž proti grafični), imaš pogosto ne samo dostop do vseh računalnikov na napadenem omrežju, ampak tudi do marsikaterega zasebnega accounta zaposlenih na gmail itd.
Tisti, ki ve kaj dela, se lahko v 3 minutah dokoplje do datoteke z gesli. Kakšen mulc, ki zraven gleda na youtube, kaj mora vtipkati, pa rabi malo dlje...

Kar sem v bistvu hotel povedati, je to, da je VSAK računalnik lahko potencialna tarča internetnih barab. Kdor misli, da se barabe res matrajo, da bi vdrli v računalnik, ta se precej moti. Ponavadi jih kar lepo sami povabimo s klikanjem po spletnih straneh. Če imamo računalnik posodobljen (pa ne samo Windowse, ampak VSE programe na njemu), nameščen in posodobljen AV in vključen firewall, smo nekoliko manj izpostavljeni, ampak 100% zaščiteni pa tudi s tem nismo.
Največji problem pa je v tem, da zaščite pred človeško neumnostjo ni. Sem že videl takšne reči, da bi se zjokal - pa so jih naredili takšni 'profesionalci', od katerih tega nikdar nebi pričakoval.

RejZoR ::

Jah sej je vse lepo in prav ampak ustvarjanje črede botov pač ni targeted napad in v takih primerih se prej ali slej odkrije zalego. Sploh cloud sistemi okoli katerih so v drugi temi vpili da je vse to že videno in da je samo en navaden buzzword. Pa ni. Tud prednost cloud sistemov je da so zelo nepredvidljivi za barabe in jih ne morejo zlorabljat na tak način kot lokalni scan engine katerega so na svojem računalniku "nadrkali" in predelali golazen, da je nič ne zazna. Cloud sistem pa je po vseh testih ne zazna, po releasu v javnost pri ustvarjanju botov pa se lahko hitro zgodi, da bojo cloud sistemi preko statističnih in analitičnih metod zadevo prepoznal in začel dvigovat alarme na server strani, torej pri AV razvijalcih. Mogoče ni idealno ampak je pa vsekakor bolj zajebano za barabe, da bi tak sistem exploital. Edina slabost je, da ni res globalnega sistema, ki bi ga bili deležni vsi. Tko se lahko zgodi, da ga bo avast!-ov cloud zaznal in zaščitil, Panda Cloud pa mogoče ne. Ali obratno.
Angry Sheep Blog @ www.rejzor.com

NeMeTko ::

Če bi obstajal 'en globalni sistem', potem bi šele bili v riti. Če je več sistemov, je konkurenca, kar pomeni več kakovosti in nižje cene. Če govorimo o virusih, pa na nek način, navkljub tekmovalnosti, na koncu vendarle imajo vsi proizvajalci informacije o najbolj sveže odkritih nadlogah. Ni mi pa jasno, zakaj kljub temu taka razlika v učinkovitosti med posameznimi proizvajalci.

fosil ::

Whitelisting pa res ni v povojih.
Comodo defense+ na primer je zunaj že leta in je tudi brezplačen.
Pa tudi drugi proizvajalci imajo v security suite paketih podobne sistema. V samo AV programih pač ne.
Je pa res da zna bit zadeva nekoliko zoprna, sploh za neukega uporabnika.
Tako je!

RejZoR ::

Lahko bi že vedel da programa, ki je striktno antivirus kot tak ne obstaja že like 15 let... Antivirusi do nekje polovice devetdesetih, ko so se začel pojavljat črvi in ostala golazen. Od takrat naprej so dejansko anti-malware ampak se je prvotni naziv obdržal še do danes.
Whitelisting pa tud že leta in leta ni več bavbav niti ni omejen na security suites ampak se ga uporablja vsepovsod. Predvsem za izogib false positivom.
Angry Sheep Blog @ www.rejzor.com

NeMeTko ::

fosil je izjavil:

Whitelisting pa res ni v povojih.


Mišljeno je bilo, da je whitelisting v 'tipičnih' AV proizvodih v povojih. Če je bilo razumeti, da je whitelisting na splšno v povojih, sem se moral nekje slabo ali dvoumno izraziti. Koneckoncev je tudi windows firewall ipd. whitelisting tehnologija, samo pač za tcp in ne za datoteke.

fosil ::

Whitelisting pa tud že leta in leta ni več bavbav niti ni omejen na security suites ampak se ga uporablja vsepovsod. Predvsem za izogib false positivom.

No, v klasičnih AV-jih ga vendarle ni, vsaj ne tistega "pravega", bi ti zablokiral vsak neznan program.
Tako je!

RejZoR ::

Mogoče zato ker to sploh ni fora whitelistinga? To pol ni ne antivirus in ne antimalware ampak zgolj white/blacklist program.
Angry Sheep Blog @ www.rejzor.com

NeMeTko ::

RejZoR je izjavil:

Mogoče zato ker to sploh ni fora whitelistinga? To pol ni ne antivirus in ne antimalware ampak zgolj white/blacklist program.


Pa sej ravno za to se je šlo - antivirus/antimalware se je prevečkrat izkazal za neučinkovitega za 0day grožnje, medtem ko je dobro postavljen whitelisting ravno pri teh najbolj učinkovit (v primerjavi z AV). Zato bomo po vsej verjetnosti v bodoče whitelisting našli v vsakem malo bolj spodobnem AV/malware proizvodu - vprašanje pa je, če bodo proizvajalci znali zadevo implementirati na način, da bomo uporabniki to opcijo tudi uporabljali in se nam ne bo zdela zgolj nadležna, ko nam bo blokirala programe, ki jih še nismo konfigurirali kot 'dovoljene'.

Tu sem tudi omenil Microsoft, ki bi lahko za svoje lastne proizvode vgradil osnovno whitelisto že v sam operacijski sistem, tako kot danes vgrajuje Windows Firewall.

RejZoR ::

Hja tud whitelisting ni tko fajn kot misliš. Veš koliko softwara je na svetu? Koliko se ga vsak dan posodobi in posledično whitelist ne velja več? Whitelist kot samostojna zadeva enostavno ne more funkcionirat, ker nihče nima resourcov, da bi imel pod nadzorom vse kar obstaja. Je pa fajn zadeva za asistenco drugim tehnologijam.
Angry Sheep Blog @ www.rejzor.com

jype ::

RejZoR> Hja tud whitelisting ni tko fajn kot misliš. Veš koliko softwara je na svetu? Koliko se ga vsak dan posodobi in posledično whitelist ne velja več? Whitelist kot samostojna zadeva enostavno ne more funkcionirat, ker nihče nima resourcov, da bi imel pod nadzorom vse kar obstaja. Je pa fajn zadeva za asistenco drugim tehnologijam.

To ni mišljeno za otroke, ki namestijo vse kar jim pride pod roke.

fosil ::

RejZoR je izjavil:

Hja tud whitelisting ni tko fajn kot misliš. Veš koliko softwara je na svetu? Koliko se ga vsak dan posodobi in posledično whitelist ne velja več? Whitelist kot samostojna zadeva enostavno ne more funkcionirat, ker nihče nima resourcov, da bi imel pod nadzorom vse kar obstaja. Je pa fajn zadeva za asistenco drugim tehnologijam.

Lahko funkcionira in tudi funkcionira, probaj defense+ od comodo.
Je pa res da zadeva ni za povprečnega uporabnika.
Tako je!

NeMeTko ::

In kaj sem jaz zgoraj pisal? Nisi prebral, da bo znal biti 'nadležen'?

Ravno tako sem v enem prejšnjih postov omenjal Bit9, ki ima ogromno bazo 'dobrega' programja, kar bistveno olajša konfiguracijo whiteliste. Prej ali slej bodo tudi drugi proizvajalci morali zgraditi podobne baze.
Obstajata pa še dve bazi, ki ju bodo zagotovo uporabili tudi drugi proizvajalci: National Institute of Standards and Technology's (NIST) in Department of Justice Hashkeeper database.

fosil ::

Napisal si, da je zadeva v povojih in da zadevo uporablja samo ena firma.
Zadeva ni v povojih, uporablja jo veliko firm in vse imajo svoje baze dobrih programov.
Je pa seveda precej odvisno kako imaš zadevo nastavljeno.
Tako je!

NeMeTko ::

fosil je izjavil:

Napisal si, da je zadeva v povojih in da zadevo uporablja samo ena firma.
Zadeva ni v povojih, uporablja jo veliko firm in vse imajo svoje baze dobrih programov.
Je pa seveda precej odvisno kako imaš zadevo nastavljeno.


Ne obračaj mojih besed. Če govorimo o neki industriji na splošno, potem je neka stvar definitivno v povojih, če jo v neki obliki implementirajo le trije ali štirje od več sto proizvajalcev AV rešitev. Ko bo zadevo implementiral vsak drugi AV proizvajalec, bomo pa lahko govorili o zrelem mehanizmu, ki se je dokazal in postal industrijski standard za AV rešitve.

Tudi firewall rešitve so nekoč bile sprva samostojno orodje (zagotovo nisi nikoli slišal za @Guard, ki je bil prvi tak komercialni proizvod?). Ko ga je Symantek kupil in vključil v svoj paket, je bilo tudi to nekaj, kar je bilo v povojih, kasneje pa je postalo standard. Nazadnje je tudi Microsoft ugotovil, da je stvar koristna, tako da imamo danes vsi neko varianto firewall-a na svojih računalnikih.

Nekaj podobnega je z whitelistingom, ki se danes šele nahaja na prvi stopnici, tam kjer ga pričnejo AV proizvajalci smatrati za nekaj, kar morajo v neki obliki vključiti v svoje rešitve, vendar je to trenutno uspelo šele peščici, pa še ti ne morejo konkurirati samostojnim whitelisting rešitvami z desetletno tradicijo. Je pa nek začetek, zato več kot upravičeno lahko rečemo, da je zadeva še v povojih, hkrati pa lahko pričakujemo, da se bo na tem področju v bodoče še veliko dogajalo.

fosil ::

Desetletno tradicijo?
Govorimo o panogi računalništva.
Tukaj se čas ne meri v desetletjih, ampak v mesecih.

Več sto proizvajalcev AV rešitev?
Kje pa si jih našel toliko?

Whitelisting ni v povojih. Vsi večji proizvajalci varnostnih rešitev ga v različnih oblikah uporabljajo že leta.
In v računalništvu tehnologija, ki se uporablja že leta ne velja za v povojih.
Ne moreš pa primerjat whitelistinga v velikih podjetjih z izdelano varnostno politiko, kjer lahko enostavno blokiraš vse kar ne požegna admin in se noben nima kej za pritoževat in whitelistinga v domačih računalnikih, kjer vsi hočejo imeti vse pravice.
Tako je!

NeMeTko ::

@fosil ali nočeš, ali pa nisi sposoben prebrati, kar ti nekdo lepo napiše in razloži?

Če ti je namen spodjebavanje, potem to povej, da bo vsem jasno. Če pa želiš kaj konstruktivnega k temi doprinesti, pa ne obračaj besed in ne glumi funkcionalno (ne?)pismeno osebo.

fosil ::

Torej če se nekdo ne strinja s tvojim mnenjem potem gre za zajebavanje?
Whitelisting je zrela tehnologija in uporablja jo velika večina pomembnejših AV proizvajalcev.
Če imaš zastarele informacije je pa to druga zgodba.
Tako je!

Zgodovina sprememb…

  • spremenil: fosil ()

NeMeTko ::

@fosil na Wikipediji boš našel seznam 70ih AV proizvodov, ki je daleč od tega da bi bil popoln, saj manjkajo mnoge rešitve, ki se ponujajo le na nekem ožjem lokalnem področju.

Če po tvoje ima whitelisting implementirana VEČINA rešitev, ti torej ne bo teško našteti 35 (komaj polovico - kar je precej manj kot večina) AV rešitev, ki imajo implementiran whitelisting.

fosil ::

Prej si govoril o proizvajalcih, sedaj pa obrnil ploščo na proizvode?
Jaz že od začetka govorim o proizvajalcih.
In na tem seznamu ni 70 proizvajalcev, saj se večina proizvajalcev pojavi večkrat.
Kot sem že omenil in bom omenil še enkrat, ker očitno površno bereš.
Proizvajalci imajo tehnologijo whitelistinga že dobro razvito, vendar je na voljo v plačljivih, oziroma dražjih proizvodih, security paketih.
V brezplačnih oziroma osnovnih paketih pa je ni, ker pač za dodatno plačilo morajo ponudit neko dodano vrednost.
Tukaj torej ne gre za to da bi bila tehnologija v povojih, ampak za cenovno politiko proizvajalcev.
Tako je!

NeMeTko ::

Dal sem ti link na 70 proizvodov, ti pa ves čas navajaš samo enega konkretnega proizvajalca (ob tem, da sem jaz prej navedel še McAffee in Sophos), pa še kar vztrajaš na trditvi, da VEČINA to ponuja.

In ne izmotavaj se, na seznam - če se vsaj malo potrudiš, boš našel še kup proizvajalcev in proizvodov, ki v navedenem seznamu niso navedeni.

Torej izziv še vedno velja - da ti olajšam stvar, recimo da sledimo tvoji predpostavki, da je na svetu največ 50 AV proizvajalcev. Torej bi pomenilo, da 'večina' predstavlja cca. 40 proizvajalcev, ki so že implementirali to tehnologijo. Torej ti ne bo teško našteti vsaj 20 proizvajalcev (komaj polovica), ki to imajo? Vsaj 15? 10? Čeprav bomo pri desetih že bližje moji trditvi, da je stvar še v povojih, kot pa tvoji, da je to implementirala večina AV proizvajalcev....

Če na vso silo skušaš izpodbijati trditev, ki jo je nekdo postavil, potem to tudi argumentiraj in prosim ne govori kar na pamet. Sploh pa mi ni všeč, če nekdo steguje jezik, samo zato, da nebi nekdo drug izpadel 'preveč pameten'. Tu naj bi svoje znanje in izkušnje delili za to, da se lahko od nas poduči nekdo, ki se na določeno področje ne spozna, ne pa da bi se šli, kdo je zdej bolj pameten in kdo manj. Če se zmotiš, je popravek vsekakor zaželjen, ne zdi se mi pa pošteno do tistih, ki bi se radi o nečem podučili, da se nekdo za vsako ceno vsaja, nima pa niti argumentov, ne dokazov za svoje trditve.
Tudi jaz se kdaj zmotim, pa pri kakšni reči mimo užgem - vendar nimam nobenih problemov svojo zmoto priznati, če mi nekdo pride z argumenti. Kar na pamet pa lahko vsak nekaj govori, pa če se mu kaj sanja o določeni tematiki, ali pa nič.

fosil ::

Ker si tak ekspert, ki se nikoli ne zmoti in vedno prizna svoje napake, bi za začetek prosil, če mi lahko navedeš vir za tvojo trditev da je na svetu več sto proizvajalcev AV programov. Ne produktov, ampak proizvajalcev.
Tako je!

NeMeTko ::

Če nisi prebral, sem ti znižal kriterij, da izhajajva iz števila 50 proizvajalcev (menda ne pričakuješ resno, da bom dve uri brskal po spletu in sestavljal seznam vseh, tudi najmanjših lokalnih proizvajalcev, ki prodajajo zgolj na trgu Peruja, itd.?)

NeMeTko ::

Da ne boš trdil, da sem prestrog, ko sem ti postavil kriterij 50 proizvajalcev, ti prilepim na hitro izbrskan seznam s 100+ proizvajalci:

001 Agnitum (Outpost)
002 AhnLab Inc.
003 Aladdin Knowledge S...
004 Antiy Ghostbusters
005 ArcaBit
006 Auslogics Antivirus
007 Authentium (Command)
008 AvailaSoft
009 Avanquest
010 AVAST Software (avast!)
011 Avertive
012 AVG Technologies
013 Avira GmbH
014 Beijing Jiangmin New Science and Technology Company, Ltd.
015 BitDefender
016 Bkis BKAV
017 BLC
018 BullGuard
019 CA
020 Celeritas
021 Central Command (Ve...
022 Check Point (ZoneAlarm)
023 ClamAV (open source)
024 Clearsight
025 Commtouch
026 Comodo Security Solutions, Inc.
027 Coranti
028 Cybersoft (VFind/VTSK)
029 Defenx
030 Digital Defender
031 Doctor Web
032 eEye Digital Security (Blink)
033 Emsisoft
034 eScan
035 Eset spol. s.r.o.
036 ESTsoft ALYac
037 Ewido
038 F-Secure
039 Filseclab (Twister)
040 Finport
041 Fortinet, Inc.
042 FRISK
043 G DATA Software, AG
044 GeCAD
045 GFI Software LTD
046 Ggreat
047 Greatsoft
048 H+BEDV
049 Hauri (ViRobot)
050 IBM ISS (Proventia)
051 Ikarus
052 Intego (Mac specialist)
053 Iolo
054 iolo technologies, LLC
055 K7 Computing
056 Kaspersky Lab
057 Keniu
058 Keyguard
059 Kingsoft
060 Lavasoft
061 Leprechaun
062 Lightspeed Total Tr...
063 Logic Ocean Gprotect
064 Lumension EMSS
065 McAfee, Inc. (formerly Network Associates)
066 Microsafe
067 Microsoft
068 MicroWorld Software (eScan)
069 MKS
070 Mongoosa
071 Moon Secure (open source AV for Windows project)
072 Netgate
073 NETGEAR, Inc.
074 New Technology Wave Inc. (VirusChaser)
075 Nifty
076 Norman Data Defense Systems
077 Optenet
078 Panda
079 PC Booster
080 PC Tools AntiVirus
081 PCRenew
082 Per Systems
083 Preventon
084 Proland Software (Protector Plus)
085 ProtectMac (Mac specialist)
086 Qihoo
087 Quick Heal Technologies
088 Redstone
089 Returnil
090 Rising
091 Roboscan
092 Secure Resolutions
093 SecureMac (MacScan)
094 Security Coverage
095 SGA (VirusChaser)
096 Sofscan
097 Sophos Plc
098 SpyBot - Search & Destroy
099 Sunbelt Software (CounterSpy, Vipre)
100 SureGuardian
101 Symantec Corporation (Norton)
102 Tencent
103 TGSoft VirIT eXplorer
104 Total Defense Consu...
105 Trend Micro Inc.
106 Troppus Software
107 TrustPort
108 Unasoft
109 UnThreat
110 UtilTool
111 VirusBlokAda (VBA32)
112 VirusBuster
113 VIRUSfighter Plus
114 Webroot
115 Zeobit

fosil ::

Nekateri izmed teh sploh niso več aktivni, nekateri so tako marginalni da jih je brez veze sploh omenjat.
Nekateri pa sploh niso realtime AV programi, ampak so samo malware čistilci.
Tako da smo še daleč od več sto.
Dejansko je realna številka okrog 50, morda še manj, česar se očitno zavedaš tudi sam, ampak nočeš priznat, čeprav po tvoje vedno priznaš svoje napake.
Če nato apliciramo še paretovo pravilo 80/20, nam ostane 10 resnih AV programov, ki jih uporablja 80% uporabnikov.
Od teh vem da whitelisting uporabljajo Kaspersky, Norton, Comodo. Seveda security suite paketi, ne samo goli AV programi.
Ostalih v zadnjem času nisem testiral, tako da ne morem reči ali uporabljajo ali ne.
Vsekakor gre za zrelo tehnologijo, ki je preverjena in se uporablja že leta.
Gola statistika pa nikakor ni merilo.
Če damo eno drugo primerjavo, tržni delež win7 je manjši od winxp, in pod 40%, torej so po tvoje win7 še v povojih?
Tako je!

NeMeTko ::

fosil je izjavil:

Če damo eno drugo primerjavo, tržni delež win7 je manjši od winxp, in pod 40%, torej so po tvoje win7 še v povojih?


Pa ti sploh veš, kaj pomeni pojem TRŽNI DELEŽ ?!?

Če tako razumeš ostale stvari, kot razumeš tržni delež, potem mi je vse jasno.

NeMeTko ::

Še druga interpretacija 'v povojih' - ki jo boš morda bolje razumel (očitno si edini, ki mu še vedno ni jasno)

Koliko ljudi ima danes doma firewall na računalniku? 90%? 99%? Temu se reče ZRELA tehnologija
Koliko ljudi pa poznaš, ki bi imeli na svojem računalniku whitelisting? 0%? 1%?

Če po vsem pisanju še zmeraj nisi sposoben dojeti, da ni govora o tehnologiji kot taki, temveč o tem v kolikšni meri je implementirana, nameščena in v uporabi, potem ti tudi bog ne more pomagat.

NeMeTko ::

Sicer pa nima smisla s tabo diskutirati o zrelosti ali nezrelosti application whitelistinga v AV proizvodih v primerjavi z dolga leta vodilnim specializiranim application whitelisting proizvodom - ki ga še nikoli nisi imel v roki.

Primerjava je približno taka, kot če bi primerjal paint in photoshop - ali drugače povedano, nasproti si stoji 10 let fokusiranega razvoja whitelistinga in 2-3 leta razvoja 'ene od opcij' obsežnejšega AV paketa. Mislim, da ni potrebno biti genij, da bi razumel, da ne moremo govoriti o enakovrednih rešitvah, ampak o rešitvah, ki so zrele in rešitvah, ki so še v povojih. Pri čemur 'v povojih' pomeni, da lahko od AV industrije še veliko pričakujemo, da se bo whitelistingu v teh proizvodih v bodoče dodalo še ogromno funkcionalnosti, da bi se čimbolj približali specializiranim rešitvam.

Ampak o tem sem pisal že v prvem postu, samo enim moraš napisat 10x, narisat, pa še ne razumejo. Vedno pa se pri teh primerih sprašujem, ali nočejo razumeti, ali ne zmorejo razumeti.

RejZoR ::

Verjetno polovica od napisanih zgolj uporablja OEM pogon enega izmed večjih razvijalcev. Večina na spisku uporablja BitDefender in Kaspersky.

Edini, ki sami praktično v celoti razvijajo svoje engine so avast!, AVIRA, AVG, Microsoft, Kaspersky, BitDefender, Symantec, McAfee, Trend Micro, Sunbelt, Rising in Kingsoft. Pol pa se že počasi zaključi zadeva.
So še ostali samostojni ampak imajo tako majhen delež da skor niso vredni omembe. Oz niso dosegli nekih opaznih rezultatov...
Angry Sheep Blog @ www.rejzor.com

NeMeTko ::

@Rejzor - sej se sploh ni šlo za to, oz. to sploh ni bilo bistvo.

Prvotno je bilo govora o kvazi failu AV industrije, ker več let ni uspela odkriti Flame.

V tem okviru sem poskusil prikazati pomen, ki ga bodo v bodoče imele whitelisting tehnologije, ki jih AV industrija pospešeno uvaja v svoje proizvode. Govora je bilo o tem, da AV proizvajalci intenzivno delajo na razvoju lastnih whitelisting tehnologij, pri čemur sem poskusil prikazati, da lahko na tem področju še veliko pričakujemo od AV proizvajalcev, saj so njihove rešitve še v povojih (ali z drugimi besedami nepopolne) v primerjavi s specializiranimi whitelisting proizvodi, ki so se pričeli razvijati že pred desetimi leti.

Tu je pa fosil začel iskat dlako v jajcu, saj več kot očitno ni razumel bistva, ki sem ga hotel povedat - namreč da se AV industrija dobro zaveda, da je vse bolj nemočna z blacklisting pristopom (kar v bistvu klasični AV proizvod je) in da mora v bodoče v svojih paketih ponujati tudi whitelisting pristop, da bi lahko učinkovito zaščitili računalnike svojih kupcev.

Koliko AV proizvajalcev in proizvodov na svetu dejansko obstaja, pri vsem tem nima prav nobenega pomena - tudi če bi obstajal zgolj eden, bi zgornja trditev še vedno veljala.

Bit9 Parity Suite velja za defacto najbolj popolno implementacijo whitelisting tehnologije. Zadevo so začeli razvijati pred desetimi leti in se nikoli niso ukvarjali z ničemur drugim. Kdor je imel priliko ta proizvod testirati, mu je popolnoma jasno, kaj vse bodo morali AV proizvajalci še vse vgraditi v svoje rešitve.
Ker je Bit9 Parity Suite na voljo izključno za velika podjetja, so domači uporabniki in mala podjetja odvisni od tega, kako dobro bodo stvar implementirali AV ponudniki. Ker pa ti prodajajo tudi v velika podjetja in želijo Bit9 in drugim specialistom na tem področju odvzeti kos pogače, bomo na ta račun profitirali tudi domaču uporabniki in mala podjetja. Zato se veselim, da se tu razvoj še zdaleč ni zaključil (kar zaman skušam dopovedati fosilu).

RejZoR ::

Whitelisting je IZJEMNO neprijazen casual uporabnikom. V firmi je pravi drek če je whitelistano samo kar določi admin, vse ostalo pa je lahko na blacklisti. Comodo je dejansko prvi masovni white/blacklist consumer izdelek, ki pa je še vedno dost neprijazen uporabnikom. CIS 6 naj bi imel to krepko izboljšano ampak bomo videli enkrat ta mesec (avgust), ko naj bi izšla prva javna verzija...
Angry Sheep Blog @ www.rejzor.com

fosil ::

@NeMeTko
Ti pač propagiraš en proizvod. Verjetno z razlogom.
Okolja v velikem podjetju in doma sploh ni mogoče primerjat.
V podjetju je enostavno implementirat whitelisting, ker imaš varnostno politiko in se programi nameščajo in posodabljajo v skladu s politiko, vse ostalo pa je zablokirano.
Ta produkt ki ga propagiraš pravzaprav ne prinaša nič novega, vse to se da nastavit z security policy. 10 let nazaj ko so začeli, se morda ni dalo, danes pač.
Tukaj gre očitno samo za neko bolj user friendly zadevo za admina.
Sicer pa kakor vidim ta izdelek sploh ni AV program.
Tako je!

Zgodovina sprememb…

  • spremenil: fosil ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

V Ukrajini ogromne težave zaradi izsiljevalskega virusa, ki se že širi na Zahod (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5324233 (20374) SeMiNeSanja
»

Turčija blokira Tor (strani: 1 2 )

Oddelek: Novice / NWO
6419359 (16031) matijadmin
»

Locky Virus (strani: 1 2 )

Oddelek: Informacijska varnost
8825648 (22664) Manna
»

avast! 7.0 je zunaj!

Oddelek: Informacijska varnost
335380 (4214) RejZoR
»

Večina emailov še vedno spam

Oddelek: Novice / Varnost
354741 (3330) Dragi

Več podobnih tem