SecuRRity.Ru » Статьи » Ложь, большая ложь и антивирусы. «А король-то голый!»
Ложь, большая ложь и антивирусы. «А король-то голый!»
автор: Administrator | 29 сентября 2010, 08:30 | Просмотров: 10325теги: антивирусы, вирусы
Что управляет этим миром? Пресса? Телевидение? Монстроидальные корпорации? Нет — экономика! Именно она управляет людьми, которые хотят денег. А люди, которые хотят денег, составляют подавляющее большинство всех тех людей, которые вообще хоть чего-то ещё хотят и готовы действовать ради этого.
Откуда берётся экономика на зловредном программном обеспечении? А берётся она из положительного сальдо между украденными у простого пользователя ресурсами минус стоимость обхода средств защиты. Всё очень просто и логично, не так ли?
Какова же стоимость обхода современных антивирусных средств? Учитывая, что эпидемии случаются регулярно, а большинство пользователей всё же имеют антивирус с регулярно обновляемыми сигнатурными базами, то результат неутешителен — стоимость обхода современного антивируса достаточно низка, чтобы экономика на зловредном программном обеспечении не имела возможности существовать.
Происходит это потому, что все антивирусы реализуют «чёрносписочный» подход к обеспечению безопасности. Это значит «я знаю, что это плохой модуль (плохое поведение программы), я его блокирую». Достаточно замаскировать модуль, сбив сигнатуру и притвориться «хорошо себя ведущей» — всё оборона прорвана. Пока информация доползёт до производителя, пока там среагируют... Можно действовать, никого и ничего не опасаясь. А чтобы антивирус больше не мешал, взять, да и выключить его. Ничего сложного в этом нет. Немного расходов — и дальше только выгода, выгода и ничего кроме выгоды. Король-то голый!
И только принципиально иные подходы способны настолько увеличить стоимость обхода средства защиты, что продолжать бизнес на зловредном программном обеспечении станет вообще невыгодным. Почему? Давайте смотреть экономику пробоя новых средств защиты.
Если брать не-«чёрносписочные» подходы, то их всего два основных:
Чистые белосписочние решения неприменимы в массовом продукте, поскольку пользователю очень тяжело ими пользоваться. Такого типа программы будут «ругаться» при обновления используемого программного обеспечения, например, пока они не попадут в центральную базу, хранящую контрольные суммы «хороших» модулей.
Кроме того, практически все подобные решения имеют врождённые недостатки в виде проблем в работе с файлами, содержащими скрипты, поскольку скрипт — это лишь набор текстовых строк, а интерпретируют эти строчки команды к действию вполне себе легитимные (зачастую — системные) исполняемые файлы. Так что обойти их либо достаточно тривиально, либо практически невозможно (но и работать с ними, при этом, также будет практически очень сложно).
Если же рассматривать песочницы, то нахождение дыр в тех из них, которые уже достаточно давно на рынке, достаточно нетривиальная задача. Задача, посильная разве что профессиональному хакеру, время которого стоит достаточно дорого. Стоимость обхода хорошей песочницы может вылиться заказчику в тысячи долларов и довольно продолжительный период ожидания.
Стоимость закрытия подобной дырки на стороне разработчика песочницы — несколько десятков долларов, полчаса времени (хорошо, с тестированием — ну пара часов максимум). Причём, поскольку старая дырка уже закрыта, то для обхода защиты нужно искать новую, что снова требует больших денег и времени. Причём, поскольку все очевидные уязвимости, обычно, выбираются первыми, то дальше стоимость и время нахождения новых только увеличиваются.
Получается, что при использовании либо решений на белых списках, либо песочниц бизнес на зловредном программном обеспечении становится всё менее и менее рентабельным, с каждой следующей итерацией защита становится всё крепче, а обход её всё дороже. И однажды будет пройдена «точка невозврата», когда такой способ заработка денег станет, банально, невыгодным. А что это, если не 100% защита от вирусов и прочих зловредных приложений?
Хочу отметить, что это пятая и последняя часть серию статей автора Илья Рабинович, посвящённую некоторым аспектам так называемой «антивирусной индустрии»:
Откуда берётся экономика на зловредном программном обеспечении? А берётся она из положительного сальдо между украденными у простого пользователя ресурсами минус стоимость обхода средств защиты. Всё очень просто и логично, не так ли?
Какова же стоимость обхода современных антивирусных средств? Учитывая, что эпидемии случаются регулярно, а большинство пользователей всё же имеют антивирус с регулярно обновляемыми сигнатурными базами, то результат неутешителен — стоимость обхода современного антивируса достаточно низка, чтобы экономика на зловредном программном обеспечении не имела возможности существовать.
Происходит это потому, что все антивирусы реализуют «чёрносписочный» подход к обеспечению безопасности. Это значит «я знаю, что это плохой модуль (плохое поведение программы), я его блокирую». Достаточно замаскировать модуль, сбив сигнатуру и притвориться «хорошо себя ведущей» — всё оборона прорвана. Пока информация доползёт до производителя, пока там среагируют... Можно действовать, никого и ничего не опасаясь. А чтобы антивирус больше не мешал, взять, да и выключить его. Ничего сложного в этом нет. Немного расходов — и дальше только выгода, выгода и ничего кроме выгоды. Король-то голый!
И только принципиально иные подходы способны настолько увеличить стоимость обхода средства защиты, что продолжать бизнес на зловредном программном обеспечении станет вообще невыгодным. Почему? Давайте смотреть экономику пробоя новых средств защиты.
Если брать не-«чёрносписочные» подходы, то их всего два основных:
- На основе «белых списков». То есть, запрещаем запуск всего того, про что мы не знаем, что оно заведомо хорошее, незловредное.
- На основе модели «песочницы», изолируя потенциально опасные процессы от всех остальных и операционной системы.
Чистые белосписочние решения неприменимы в массовом продукте, поскольку пользователю очень тяжело ими пользоваться. Такого типа программы будут «ругаться» при обновления используемого программного обеспечения, например, пока они не попадут в центральную базу, хранящую контрольные суммы «хороших» модулей.
Кроме того, практически все подобные решения имеют врождённые недостатки в виде проблем в работе с файлами, содержащими скрипты, поскольку скрипт — это лишь набор текстовых строк, а интерпретируют эти строчки команды к действию вполне себе легитимные (зачастую — системные) исполняемые файлы. Так что обойти их либо достаточно тривиально, либо практически невозможно (но и работать с ними, при этом, также будет практически очень сложно).
Если же рассматривать песочницы, то нахождение дыр в тех из них, которые уже достаточно давно на рынке, достаточно нетривиальная задача. Задача, посильная разве что профессиональному хакеру, время которого стоит достаточно дорого. Стоимость обхода хорошей песочницы может вылиться заказчику в тысячи долларов и довольно продолжительный период ожидания.
Стоимость закрытия подобной дырки на стороне разработчика песочницы — несколько десятков долларов, полчаса времени (хорошо, с тестированием — ну пара часов максимум). Причём, поскольку старая дырка уже закрыта, то для обхода защиты нужно искать новую, что снова требует больших денег и времени. Причём, поскольку все очевидные уязвимости, обычно, выбираются первыми, то дальше стоимость и время нахождения новых только увеличиваются.
Получается, что при использовании либо решений на белых списках, либо песочниц бизнес на зловредном программном обеспечении становится всё менее и менее рентабельным, с каждой следующей итерацией защита становится всё крепче, а обход её всё дороже. И однажды будет пройдена «точка невозврата», когда такой способ заработка денег станет, банально, невыгодным. А что это, если не 100% защита от вирусов и прочих зловредных приложений?
Хочу отметить, что это пятая и последняя часть серию статей автора Илья Рабинович, посвящённую некоторым аспектам так называемой «антивирусной индустрии»:
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Панель управления
Настройки страницы
помощь: С помощью данных кнопок Вы можете изменить расположение информационных блоков по горизонтали, а также настраивать яркость и размер шрифта.
Для этого, в Вашем браузере должен быть включён JavaScript и браузер должен принимать файлы cookie нашего домена.
Все изменения автоматически сохраняются в cookie-файле Вашего браузера в течение 365 дней со дня изменений настроек.
Подписка на сайт
Календарь
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
---|---|---|---|---|---|---|
Популярные новости
Облако тегов
Microsoft Windows Антивирус БРАУЗЕР Безопасность ВРЕДОНОСНЫЕ Вредоносные программы ДАННЫЕ ЗАЩИТА ИНФОРМАЦИЯ Интернет КОМПЬЮТЕР НОВОСТИ ПО ПРОГРАММА САЙТ СТАТЬИ США Система Софт ТРОЯН Термины УЯЗВИМОСТИ Уязвимые сайты ФАЙЛ Хакер ЧЕРВЬ безопасности взлом вирус доступ злоумышленник информационная безопасность программы сайты сервер спам уязвимость файлы хакеры
Последние комментарии
» Написал: Павел
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO