Wednesday, February 18, 2009

Нас снова обманывают?

Хотел сделать подборочку ссылочек, но потом подумал, что это очевидно, - стандартный аргумент в пользу перехода на более новые версии ПО: они более безопасны. Про Windows Vista даже писали, что код ее написан заново и по этой причине все старые проблемы к ней не относятся. А что мы имеем по факту? Практически все обнаруживаемые новые уязвимости относятся ко всем версиям того или иного продукта Microsoft, т.е:

  • не стоит верить, что код нового продукта написан с нуля, даже в случае, когда об этом явно указывается;
  • если даже это так, то это только ухудшает ситуацию, поскольку сложный код, который, как мы видим на практике, достигал зрелости годами, нельзя написать сразу без ошибок;
  • не стоит верить в то, что новая версия безопаснее, поскольку практически все новые уязвимости характерны для всех версий ПО и не важно что у вас Windows 2000, XP, Vista или 7.

Monday, February 2, 2009

О "неправильном" вредоносном ПО

Системы обнаружения зафиксировали странные попытки подключения на 69.46.18.49 по порту 14001/TCP. Google привел вот на эту статью. "Дело в шляпе", - подумал я. Поскольку с нашим антивирусом достаточно часты случаи ложного несрабатывания, у меня уже есть алгоритм, заключающийся в том, что надо "заловить" образец и послать его моему антивирусу вместе с отчетом от virustotal.com. Образец легко нашел (он называется services), получил отчет от Virustotal.com, кстати, вот он:

Видно, что подавляющее большинство антивирусов (в том числе те, кому я традиционно доверяю, отечественного производства) считают моего "подопечного" трояном, и действительно из описания следует именно это. Но McAfee считет это "потенциально нежелательным ПО", а Microsoft вообще считает это утилитой для аудита!
Не буду скрывать, что я - пользователь McAfee, и моему негодованию нет предела, поскольку перед вот этим монстром McAfee осавил меня беззащитным, и бедные ребята из службы поддержки пользователей (helpdesk) вынуждены удалять его вручную из всех мест, где он себя создает.
Поддержка McAfee, кстати, предложила мне прикупить дополнительный модуль, "Anti-Spyware Enterprise", который сможет удалить эту нечисть, ну и подобную. Таков печальный итог.

Вообще, конечно, - это идея для нечестных производителей антивирусов, не успевающих во время выпускать сигнатуры, придумывать загадочные классификации вредоносного программного обеспечения и под каждый из придуманных классов выпускать модуль, за который требовать с покупателя отдельную плату. Действительно, купив банку кетчупа ее можно значительно более выгодно продать порциями по чайной ложке, автомашину, которая уже давно сама не перемещается, все еще можно разобрать на запчати и продать с ненулевой прибылью и т.п. Но давайте не будем давать себя обманывать: вредоносное ПО - это то, что имеет некую составляющую, способную навредить вашим данным, даже потенциально (понятно, что надо взвешивать пользу и вред и отъявленные философы (типа меня самого) могут заявить, что любое ПО всегда имеет опасную и полезную составляющие и вопрос лишь в том, что для вас важнее, но сейчас не о том речь), а все остальное не имеет значения. И не стоит вредоносное ПО пытаться на практике классифицировать: virus, trojan, backdoor, spy, *wire, пр - оставим эту тематику для научных трудов студентов специализированных вузов в качестве возможности написать что-то новое на уже сто раз перепаханном поле борьбы с вирусами. Соответственно, производителям Антивирусного ПО тоже не следует заниматься этой ерундой, особенно, если это влияет на безопасность, цель, ради достижения которой мы покупаем их продукты, как в случае, что я здесь описал.