Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Антивирусная концепция для почты
 
Читал я здесь статьи и обсуждения на антивирусные темы и вдруг меня посетило озарение, как бороться с почтовыми вирусами еще на самых ранних стадиях эпидемии. Сам я не специалист в теме, поэтому возможно идея эта совсем не новая. Не стесняйтесь...

Если бы почтовые сервера примитивно анализировали содержание присоединенных файлов (имя, длина, формат, контрольная сумма, откуда, куда) а затем сбрасывали эту статистику на общий (в мировом масштабе) сервер анализа, то обнаружить и локализовать эпидемию стало бы значительно проще, и поручить это можно было бы автоматической экспертной системе. В случае срабатывания детектора все письма с тревожным вложением кладутся в отстойник на карантин или снабжаются предупреждающей оберткой: "Будьте осторожны. Вирусная опасность!". Конечно в такой схеме возможны и ложные срабатывания, но польза очевидна.

P.S. Пользуясь случаем хочу передать привет модератору [TSS] :)
 
Никто не даст тебе гарантии, что кроме6 вышеперечисленного, эти программы не будут снимать также и содержимое писем, отправляя его в компетентные органы.
Кроме того трудно даже представить ущерб, в случае компрометации этого "сервера анализа".

/*moderatorial
Тема уходит в "общение".
end of moderatorial*/
 
Цитата
koras пишет:
Никто не даст тебе гарантии, что кроме6 вышеперечисленного, эти программы не будут снимать также и содержимое писем
При использовании любого ПО с закрытым кодом, никто не дает никакой гарантии по определению. Откуда вы знаете, что современные SMTP сервера не делают именно это? Не знаете, но привыкли.

Цитата
koras пишет:
отправляя его в компетентные органы.
Кроме того трудно даже представить ущерб, в случае компрометации этого "сервера анализа"
Я не написал сначала, т.к. мне это казалось очевидным, но на сервер анализа надо пересылать только числа или хэш-коды, что компактнее и конфиденциальнее. Таким образом на сервере не будет ничего, что могло бы кого-либо скомпрометировать, а с математической точки зрения он даже не будет "знать" что обрабатывает.

Вообще-то, я хотел узнать у сообщества, насколько эта концепция нова или может она уже где-то обcуждалась?
 
А то, что современные вирусы в состоянии отправлять
неидентичные письма тебя не смущает ? Как минимум разные
имена вложенных файлов сгенерят разные хеши. А специально
для такого случая авторы вирусов добавят что-нибудь случайное
во вложение, например дату-время. Я уже не говорю, что
откуда-куда уже сейчас подставляется абсолютно произвольныи
образом.
 
не могу представить себе сервер который бы выдержал такой трафик.
представляю какая бы битва была между разведками мира за право обладания таким сервером  

пока есть методы обычные, которые к сожалению не применяются администраторами:
- запрещать перенаправлять почту через себя на чужой домен. принимать только почту своего домена.
- включать аутентификацию на сервере. без нее не отправлять почту от клиента.
- проверять действительно ли сервер который передает почту клиенту имеет MX запись.
 
Цитата
Nemoy пишет:
А то, что современные вирусы в состоянии отправлять неидентичные письма тебя не смущает ? Как минимум разные имена вложенных файлов сгенерят разные хеши.
Смущает. Но хеши и анализ могут быть УМНЫМИ и не работать по жесткой логике.

Цитата
Nemoy пишет:
А специально для такого случая авторы вирусов добавят что-нибудь случайное во вложение, например дату-время. Я уже не говорю, что откуда-куда уже сейчас подставляется абсолютно произвольныи образом.
Верно. Но суть предложения в системном подходе к решению задачи, которая не решается для отдельного элемента системы. Можно не анализировать сам вирус, а можно анализировать характер его распространения.

Например: пользователь никогда не отправлял ехе-шников и вдруг начал отправлять, причем те кому он их отправил тоже начали отправлять их. Уже на тертьей пересылке это должно стать подозрительным. Сервер анализа по принципу своей работы должен напоминать систему распознавания образов в которой ищутся "образы эпидемий".

Цитата
ksiva пишет:

не могу представить себе сервер который бы выдержал такой трафик.
Погоду же анализируют. Сервера можно локализовать по регионам. Сама задача экономически оправдана для государства, т.к. экономический ущебр от каждой эпидемии - это сотни тысяч долларо ущерба и недополоченных налогов.

Цитата
ksiva пишет:
представляю какая бы битва была между разведками мира за право обладания таким сервером
А зачем им база хеш-кодов. База мобильных звонков, например, намного инфорамативнее, и никого не смущает что ей спецслужбы спокойно обладают.
 
Цитата
Dr.Lightman пишет:
Смущает. Но хеши и анализ могут быть УМНЫМИ и не работать по жесткой логике.
поясните.


Цитата
Dr.Lightman пишет:
Например: пользователь никогда не отправлял ехе-шников и вдруг начал отправлять, причем те кому он их отправил тоже начали отправлять их. Уже на тертьей пересылке это должно стать подозрительным. Сервер анализа по принципу своей работы должен напоминать систему распознавания образов в которой ищутся "образы эпидемий"..
ложные срабатывания 100% обеспечены.

Цитата
Dr.Lightman пишет:
Погоду же анализируют. Сервера можно локализовать по регионам. Сама задача экономически оправдана для государства, т.к. экономический ущебр от каждой эпидемии - это сотни тысяч долларов ущерба и недополоченных налогов.
а вы знаете сколько стоит анализировать погоду? я не знаю. потому что даже представить не могу.

И потом, извините, сам по себе Интернет это халява. Если кто-то уж так много денег теряет пользуясь сетью Интернет (что как правило лишь громкие слова) то пусть не пользуется этой сетью. Пусть создает свою сеть на базе того же TCP/IP и там уже точно спама не будет. А раз пользуется Интернет - значит ему выгоднее получать спам, чем строить свою сеть. И не надо говорить про миллионные ущербы. Про миллионные доходы я верю, а вот про ущербы - вранье все это.

Цитата
Dr.Lightman пишет:
А зачем им база хеш-кодов. База мобильных звонков, например, намного инфорамативнее, и никого не смущает что ей спецслужбы спокойно обладают.
Согласен, хеш-коды не нужны.
Но Вы предложили собирать имя файла, откуда, куда. Разве это менее интересно чем номер телефона?
Наверное им интересно будет знать с кем переписывается интересный им человек и что присылает: doc, jpg или wav файлы.
 
Не забывайте, что отправляемое сообщение помечается(шифруется) не всё полностью, а как некая "выжимка", что ли, и соответственно обладает устойчивостью кэш-функции.
Если я ошибаюсь, внесите поправку.
 
Цитата
Lada пишет:
Не забывайте, что отправляемое сообщение помечается(шифруется) не всё полностью, а как некая "выжимка", что ли, и соответственно обладает устойчивостью кэш-функции.
Если я ошибаюсь, внесите поправку.
Не могу понять что вы сказали.
 
Предложение - полная чухня.
При помощи такого сервака я могу задосить практически всю почту в интернет. Беру, регистрирую MX и начинаю пробамбливать этот сервак значениями хешей последовательно. Вуаля :-)

Тривиальный блэкслит и тот уже серьезная опасность.
Были подобные идеи по борьбе со спамом, дык спамеры довольно быстро начали рандомизировать мессаги. И фсякие хэши обламились.

Плюс, как вы себе представляете проверку письма - мне оно приходит, я генерирую хэш, отсылаю серваку, а он мне говорит - зя или низя? а если он в дауне? что делать - отсылать дальше или блокировать?
если отсылать, то первое что будет делать новый вирус - досить этот сервак через 20 минут после установки :-)
если блокировать - то вообще тоска... где-то там упал сервак, а у нас пошта не работает...
а от слов "автоматическая экспертная система" меня вообще в дрож бросает. Посмотрите на любой контент-фильтр. От без одного очень важного атрибута - оператора, практически не работоспособен. и как мы будем решать, что вирус что нет - голосовать? а кто будет управлять? добрый дядя в интернете? нет уж, спааасииибооо!

Не. по мне хванит корпоративного\провайдерского антивиря. а кто не спрятался - сам дурак.
 
Цитата
ksiva пишет:
поясните.
Умно это значит, на вероятностной основе. Как принимают решение экспертные системы? В простейшейм случае на основании веса ранжированных признаков.

Цитата
ksiva пишет:
ложные срабатывания 100% обеспечены.
Ложные срабатываения обеспечены абсолютно любой системе принятия решений. Вопрос только состоит в том, эффективна ли система вцелом. Математически это выглядит так: (ущерб предсказанных/предотвращенных системой аварий) - (затраты на работу системы) - (ущерб от неправильных решений). Если выражение больше нуля, значит система эффективна...

Цитата
ksiva пишет:
Если кто-то уж так много  денег  теряет пользуясь  сетью  Интернет (что как правило лишь громкие  слова) то пусть не пользуется этой сетью. Пусть создает свою сеть
В столь безапеляционных и не очень обоснованных выражениях я обычно склонен видет недостаток знаний, знаний фактов и теории. Не обижайтесь, а посторайтесь понять то, о чем я говорю и почитать об этом что-нибудь фундаментальное.

Умный бизнесмен не станет создавать Интернет-2 только из-за того, что Интернет-1 несовершенен. Есть один закон, если не ошибаюсь из "Законов Мерфи", который гласит: "Борьба с ошибками в программе продолжается до тех пор, пока ее цена не превысит ущерб от самих ошибок.".

Цитата
ksiva пишет:
Пусть создает свою сеть на базе того же TCP/IP...
К слову сказать, TCP/IP не очень удачный протокол, и вряд ли бы он попал бы в Интернет-2.

Цитата
ksiva пишет:
там уже точно спама не будет.
Спам будет всегда и везде, вопрос только в количестве.

Цитата
ksiva пишет:
Про миллионные доходы я верю, а вот про ущербы - вранье все это.
Вот простой пример из практики средней региональной оптовая компания. Рядовой клиентский ПК имеет оборот 1000$ в день, выход его из строя лишает предприятие прибыли 200$ в день, плюс потери от неиспользуемых
активов в виде кредитных ставок 2$, плюс оплата оператора 3$, плюс оплата штатного компьютерщика 6$, если аппартная поломка, то плюс усредненно 5$, плюс оплата административного ресурса 2$, если произошла потеря данных, которую придется восстанавливать в ручную
плюс в среднем 3$. Итого 21$ прямого и 200$ косвенного убытка в день на каждый ПК. Если это сервер, то умножте в среднем на 10. Если нет штатного компьютерщика, то умножте еще на 5. Если система администрировалась безграмотно, то умножить на 3. Это я еще не считаю
стратегический ущебр для имиджа и потерю клиентов.

Цитата
ksiva пишет:
Но Вы предложили собирать имя файла, откуда, куда. Разве это менее интересно чем номер телефона?
Хэш-код не содержит информативной в этом смысле информации. Кроме того, анализ спецслужбами почты уже ведется, только с вирусами они не борятся.

Цитата
Lada пишет:
Не забывайте, что отправляемое сообщение помечается(шифруется) не всё полностью, а как некая "выжимка"
Совершенно верно. Для экспертной системы "выжимки" достаточно, главно хоршо подобрать аглоритм выработки хеш-кода.

Цитата
offtopic пишет:
Предложение - полная чухня.
При помощи такого сервака я могу задосить практически всю почту в интернет. Беру, регистрирую MX и начинаю пробамбливать этот сервак значениями хешей последовательно. Вуаля :-)
Бомбите на здоровье, но главную мысль вы не уловили. Эта технология не реагируют на отдельные письма или отдельные компьютеры, она реагируюет на состояние почтовой системы в целом. И наиболее она устойчива к "последовательным значениям хэшей", в силу их равномерного распределения. И не очень она реагируюет на точечную атаку, т.к. у отдельной точки слишком маленький вес для принятия решения, а массовую атаку она предотвращает в корне.

Цитата
offtopic пишет:
Плюс, как вы себе представляете я генерирую хэш, отсылаю серваку, а он мне говорит - зя или низя? а если он в дауне? что делать - отсылать дальше или блокировать?
Да, я вроде написал это в начале, к тому же это не принципально. Я обсуждаю способ детектирования, а не способ борьбы с вирусом.

Спасибо offtopic'у, навел меня на еще одну идею! Если в заголовок письма почтовый сервер добавит специальный тэг, то с его помощью можно организовать распределенное вычисление, что позволит децентрализовать сервер анализа и атаковать его станет не возможно. По идее, мы получим здоровенную нейронную сеть с самоформирующейся функцией иммунитета. Надо что-нибудь почитать на эту тему...
 
>Спасибо offtopic'у, навел меня на еще одну идею! Если в заголовок письма почтовый сервер добавит специальный тэг, то с его помощью можно организовать распределенное вычисление, что позволит децентрализовать сервер анализа и атаковать его станет не возможно. По идее, мы получим здоровенную нейронную сеть с самоформирующейся функцией иммунитета. Надо что-нибудь почитать на эту тему...

Welcome to Matrix :-)
Не, я пока антивирем обойдусь.
 
если _просто_ посторить систему атуентификации взаимной почтовикоф (например на ssl) уже жить легче станет. причем весьма.
где-то был флейм уже на секлабе в обсуждении статей где спаммер захватывает кампупер пользователей.
Зачем придумывать многомудрые рышения, когда нериализованы _даже базовые_ средства безопасоти, и большинство сетевых служб, работает без аутентификации, как если мы в 70х годах с 10тью машинами в интеренете...
 
Цитата
koras пишет:
Welcome to Matrix :-)
Не, я пока антивирем обойдусь.
Я бы сказал "Meet Matrix", послкольку мы все время находимся в ней, но большинство предпочитает синюю таблетку (об этом надо поговорить отдельно). Ваша настороженная ирония по поводу "здоровенной нейронной сети" возникла и у меня. Это естественная биологическая реакция на непонятное и более крупное. (продолжение ниже...)
 
Dr.Lightman, я как человек с инженерным образованием и соотвествующим взглядом на жисть спрашиваю: назовите мне хоть один "экспертный систем" или "нейронный сеть" реально используемый сейчас в какой системе информационной. я не говорю уж в связанной с безопасностью.
я в свое время довольно плотно занимался ЭС и иммитационным моделированием, поэтому готов поспорить о приминимости подобных систем в данной области и уж для решения этой конкретной проблемы темпаче. хотя не, не готов. сейчас пообедою и злоба пройдет.

Если вы про системы раннего обнаружения и предупреждения вирусных атак, так они существуют, как в примитивном варианте, например у кафи Аутбреак манагер в антивирусах, так и в глобальных - у семантика или вот

[quote] "послкольку мы все время находимся в ней"... </qoute>
помоему юпитеру больше не наливать.
 
Цитата
offtopic пишет:
если _просто_ посторить систему атуентификации взаимной почтовикоф... Зачем придумывать многомудрые решения, когда нериализованы _даже базовые_ средства безопасоти
Базовые средства безопасности настраивать надо, но речь не о них.

Я уже обсуждал в форуме с [TSS] тему диалектического перехода количества в качество на примере ПО. Здесь я пытаюсь применить тот же эффект, приведу отвлеченный пример. На http://www.computerra.ru/ есть статья о том, как снимали фильм "Властелин колец 3". Для имитации поведения армии применили алгоритмы "стайного поведения", которые основаны на примитивных принципах: а) не приближайся ни к кому слишком близко б) держись середины стаи в) согласуй вектор движения с вектором соседей. Как вы понимаете назвать эти принцыпы "интелектом особи" нельзя, но сама стая при этом уже проявляет разумное поведение. Таким образом, мы получаем переход от большого количества неразумных особей к новому качеству разума стаи.

Теперь вернемся к почте. Изначально идея состояла в том, чтобы анализировать качественное состояни почтовой системы для выявления состояния "эпидемия" с тем чтобы перевести систему из обычного состояния в настороженное. Дополнительная идея состоит в том, чтобы децентрализовать принятие решения. И в том и в другом случае используется переход количества в качество. Отдельный ящик или сервер как особь стаи продолжает оставаться уязвимой и неразумной, а толерантность и разумность проявляется на более высоком абстрактном уровне стаи, т.е. почтовой системы в целом. Цель не предотвратить заражения, а предотвратить или задержать эпидемии.
 
Ок, пиши, я тебе даже логи буду поставлять после деперсонизации :-)
 
Цитата
offtopic пишет:
назовите мне хоть один "экспертный систем" или "нейронный сеть" реально используемый сейчас. в какой системе информационной. я не говорю уж в связанной с безопасностью.
Если верить выставкам, то промышленные роботы давно используют нейронные сети для распознания образов. Я даже видел систему распознававшу положение и ориентацию гайки в куче мусора на вибростенде. Если верить слухам, то FineReader построен на экспертной системе с элементами нейронных сетей.

Цитата
offtopic пишет:
сейчас пообедою и злоба пройдет.
А по какому поводу злоба. Вы против антивирусных систем?

Цитата
offtopic пишет:
Цитата
Dr.Lightman пишет:
"поскольку мы все время находимся в ней"...
помоему юпитеру больше не наливать.
Ваша предыдущая реакция как раз демонстрирует привязанность к Матрице. Скажите что мы обсуждаем? Некоторую многоуровневую абстрактную теорию о том, как перенаправить заряды электронов в гипербольшом массиве полупроводников. Как вам удалость синтезировать из этого злобу - объект абстрактного уровня эмоций в ионном обмене сверхбольших органических систем. Непонятно :)

По поду Матрицы вам "как человеку с инженерным образованием и соотвествующим взглядом на жисть" следует ознакомиться с современным состоянием квантовой физики и с ее офицальными заявлениями о несуществовании реальности. Кроме того, если вы ознакомитесь с современной транзакционной психологией и НЛП, то узнаете много нового про свою Матрицу. В ней может не будет железных спрутов, но "целый мирок надвинутый на глаза..." - чистая правда.
 
Мы обсужаем, как я понял "Антивирусная концепция для почты". А пошли какие-то глюки.

PS. тут блин со стеком протоколов TCP/IP разобраться не могу, а вы - "квантафая физика", и другие слофа
непонятные...
 
2Dr.Lightman: Вы тут неоднократно упоминали мое "имя", посему скажу следующее:

1) "Если бы почтовые сервера примитивно анализировали..."
Если бы все сервера это делали, то толку от этого было бы мало, кроме тормозов. Повторю слова offtopic-а, легко было организовать подделку инфы и устроить бардак во всей почтовой системе интернета

2) "...то обнаружить и локализовать эпидемию стало бы значительно проще..."
Факт, но не неоспоримый. Обнаружить эпидемию (адрес сервака) может и сможешь, а толку-то ? Как оценить, эпидемия это или нет (см. ниже)

3) "... поручить это можно было бы автоматической экспертной системе..."
на данный момент я не представляю масштабы системы, позволяющей в realtime-е обрабатывать данные такого масштаба. А если только раз в сутки пересчитывать, то эпидемия расползется дай боже, особенно на крупных узлах.

4) "... В случае срабатывания детектора ..."
Ага, типа biohazard. Hotmail втыкает во все письма заголовок X-Spam-test, типа проверка на спам. Много ли народа обращает внимаение на это ? Или сколько программ это показывает ? Уж сколько раз твердили миру -- не запускайте незнакомые вложения, и что ? Вири как были, так и остались.
Кстати, в Outlook XP вшили запрет на открытие файлов с раширениями .exe, .com, etc., однако вопросов "как снять сию фигню" было задано немало (включая этот форум).

5) "... Конечно в такой схеме возможны и ложные срабатывания, но польза очевидна..."
Польза будет только от оперативности работы системы. Нет оперативности -- "поезд ушел".
Страницы: 1 2 След.
Читают тему