25 Января, 2013

Непредвзятость

InfoWatch
Ваш покорный слуга при всём должном и заслуженном уважении к компании "Group-IB" и её сотрудникам должен заметить, что они вступили в нехорошую субстанцию. Зажмите нос и почитайте вот это:
«Корпорация Microsoft совместно с Group-IB проанализировала вероятность неблагоприятных последствий для пользователей интернет-банкинга, которые пытаются найти и скачать в интернете нелицензионное программное обеспечение.»
Этот тезис, что пиратские копии якобы несут вирусы, я помню ещё с начала 1990-х. Уже тогда у него была во-о-от такая борода и торчали во-о-от такие уши. Ещё тогда его неоднократно выгоняли пинками из всех приличных компаний за ненаучность и передёргивание. Однако компьютерный мир постоянно пополняется свежими пользователями, которым можно впарить несвежую пропаганду.

Как-то раз недалёкие политики одного государства поставили вне закона все алкогольные напитки. А потом стали убеждать граждан: дескать, смотрите, спиртным торгуют мафиози. А в целом ряде других государств запрещён свободный оборот оружия. И как вы думаете, кто его распространяет: достойные люди или преступники? Вот, наркотики тоже запрещены. В итоге – грязь, обман, завышение цен и ужасное несоблюдение санитарных норм при продаже товара.

Контрафактное программное обеспечение нельзя скачать в чистых и финансово прозрачных интернет-магазинах. Естественно, его распространение уходит туда же, куда все прочие незаконные или аморальные дела – в места не столь чистые и не очень прозрачные. Два следствия одной причины.Корреляция – налицо. Но причинно-следственная связь – отсутствует.

"Кручу-верчу" со стороны пропаганды Майкрософта воспринимается как-то спокойно. Ну, бизнес у них такой. С пиратами бороться надо ( иногда ). А участие в чисто пропагандистском исследовании "Group-IB" с её авторитетом среди специалистов...

Кроме того, стоит оценить методику подсчёта:
«Анализ результатов по запросам "скачать Windows" и "скачать Office" на первых 10 страницах поисковых систем показал, что из ресурсов с работающими ссылками на дистрибутивы операционных систем 38% — потенциально вредоносны, 40% — содержат модифицированные дистрибутивы, еще 14% — предлагают раздачи, которые не гарантируют пользователю получение "чистого" образа дистрибутива. В целом, загружая пиратские программы из интернета, с вероятностью 92% пользователь отдает в распоряжение мошенников собственный компьютер и свою персональную информацию»
Замечательно, блин! 38 + 40 + 14 = 92. "Потенциально вредоносны" || "модифицированы" || "нет гарантии" = "мошенничество". Только не говорите мне, что вы всё честно указали мелким шрифтом на странице 51 отчёта, а процитированное безобразие – упрощение журналистов. Вы прекрасно знали, с кем связываетесь.

или введите имя

CAPTCHA
Мимокрокодил
25 Января, 2013
Минуточку, минуточку. В теме исследования чётко указано: анализируется вероятность неблагоприятных последствий для юзеров ДБО, шарящихся по варезникам. Вы ведь не будете спорить с тем, что эта самая вероятность огрести какого-нибудь троянчика выше для тех, кто по варезникам шарится, нежели для тех, кто не шарится? Даже если предположить, что на варезниках заражены всего 5% сборочек, риск уже становится заметным. Знаете, в моей практике встречались люди, которые, будучи зазомбированными воплями "интернет эксплорер - решето, используйте мозиллу" умудрялись ввести в поисковую строку фразу "браузер мазила", щёлкнуть по первой же ссылке, скачать перепакованный фаерфокс, требующий платную смс для установки, и отправить эту самую смс. Исходя из этого, я не допускаю мысли, что сколь-либо заметное количество пользователей варезников будет проверять скачанное в песочницах или хотя бы антивирусами. А значит, основной вывод доклада - "шарящиеся по варезникам имеют более высокий риск" - верен. p.s. ОС с ДБО вообще должна иметь SRP, запрещающую использование любого софта, кроме собственно ДБО и её обвязки. Про права на установку софта и тем более доступ в интернет на эти самые варезники я и вовсе промолчу.
0 |
Гость
25 Января, 2013
Ну вообще-то получить "троянчика" можно и шатаясь по варезникам. Уже дано на первом месте по завирусованности - вполне респектабельные ресурсы вроде форумов домохозяек. И исследование чем-то напиминает известно исследование "о вреде огурцов", в котором убедительно доказано, что все беды современности именно от употребления огурцов. И тезис, что те, ко качает с варезником не соблюдает предосторожностей - неверный. Проблема есть только в том, что некоторые антивирусные компании из-за сговора к заразе относят чистые кряки, что вносит определенную проблему, так как оказывается не очень прости отличить чистую кряку от завирусованной.
0 |
Мимокрокодил
25 Января, 2013
По большей части Вы правы. Однако, я бы поспорил с Вашим высказыванием о том, что тезис о несоблюдении предосторожностей пользователями варезников неверен. Как я уже писал в постскриптуме, если на машине с ДБО разрешено делать что-то кроме как пользоваться ДБО, безопасность операций уже является сниженной. Совсем просто: если юзер может запустить что-то кроме банк-клиента и зайти куда-то кроме как на сайт банка, безопасность уже под угрозой. И не столь важно, где юзер цепанёт заразу: на сайте некропедозоофилов, на варезнике, на предельно респектабельном ресурсе, или воткнув флешку с принесённой из дома игрушкой. Неважно также, какие действия он произведёт и насколько осозанно. Юзер может допустить заражение своей активностью - и этим всё сказано. И спасти от этого может только "белый список" для действий юзера и запускаемых им программ, жёстко ограничивающий его активность исключительно выполнением рабочих обязанностей. p.s. я в своё время наблюдал, как юзер выключал антивирус, предупреждавший юзера о троянце в "упаковке смайликов". Наш с ним диалог выглядел так: - ты чего делаешь? Не видишь, антивирус сообщает о вирусах? - да это этот ваш кашпировский дерьмо просто, вот у меня авира дома, она молчит. И вообще, мне насрать, ЯХАЧУЭТИСМАЙЛИКИААААА Вот и всё... Если юзер может налажать хоть где-то, значит, эта самая лажа обязательно произойдёт. Единственное средство защиты - лишение самой возможности налажать.
0 |
Гость
26 Января, 2013
Вообще-то по-хорошему на машине с ДБО ничего лишнего быть не должно, а доступ в Интернет на все не-ДБО'шное должет быть заблокировн на уровне входного маршрутизатора.
0 |
Мимокрокодил
28 Января, 2013
Про что я и пишу. Только в идеале не просто ничего лишнего быть не должно, но и в принципе запуск не-ДБОшного софта (вообще любого) должен быть запрещён.
0 |
Егор
26 Января, 2013
А для этого нужно...
Либо специализированный компьютер, который умеет только ДБО исполнять/на сайт банка заходить, с немодифицируемой (Read-Only) областью устройства хранения данных, в которой содержится ПО, системное и прикладное, либо такой же компьютер - но исполненный в форме Live-CD/DVD/USB/... - и также с защитой носителя от записи, с блокированием запуска стороннего ПО, посещения сторонних ресурсов. Ключи ДБО в таких компьютерах должны быть электронными, подключение к Интернет - через GSM-модемы...
0 |
Мимокрокодил
28 Января, 2013
А LiveCD-дизайн и GSM-модемы-то зачем?! "Одноразовая" LiveCD-подобная загрузка имеет больше минусов, чем плюсов (начать хотя бы с серьёзных затруднений в патч-менеджменте), GSM-модем вообще не имеет никаких преимуществ перед выделенным подключением...
0 |
Михаил
27 Января, 2013
Федотов реально уже не знает, что сказать, то пост про собственные возбужденные фантазии, то про Group-IB, то про Microsoft, лучше бы сказал, что у Infowatch DLP - гавно глючное ))))))
0 |
28 Января, 2013
Ну, Ваша-то DLP всяко лучше, верно?
0 |
Михаил
31 Января, 2013
нет, у нас DLP нет, особенно такой гавняной как Infowatch
0 |
Пессимист
27 Января, 2013
Всё сложнее
Для пользователей нелицензионного ПО проблема доверенного дистрибутива стоит достаточно остро. Пользователей лицензионного ПО компания производитель обеспечивает дистрибутивами. Эти дистрибутивы имеют известные уязвимости. Но все знают что нужно делать с известными уязвимостями. Для нелицензионного ПО ситуация иная. Есть много сборок, гарантировать отсутствие бэкдора в них никто не может. Кроме того, не вредоносное известное ПО может выполнять функции бэкдора. В качестве примера одна из старых популярных сборок с включенным по умолчанию radmin и паролем из шести цифр.
0 |
Мимокрокодил
28 Января, 2013
Как говорится, "плюс стопицот". Более того, даже если образ самого ПО "чистый" и по хэшам совпадает с лицензионным, стоит весьма конкретный вопрос метода его активации. Приложенный серийник в текстовике - одно. Кейген, который способен сгенерировать активационный ответ, будучи запущенным в виртуалке - немного другое (всё же не все додумаются запустить его в "песочнице" или виртуалке). Патчер, требующий прав администратора для "залома" или приложенные в комплекте "вылеченные" файлы - совсем третье, за их чистоту поручиться нельзя вообще, поскольку даже отсутствие детекта антивируса после отправки в антивирусную лабораторию не обязательно говорит о чистоте файла: и аналитик (робот или живой) ошибиться может, и, вполне вероятно, саму лабораторию могут попросить не делать детект...
0 |