Хакеры будущего

Андрей Каролик

Спецвыпуск: Хакер, номер #055, стр. 055-088-4

Алексей Лукацкий: "А эта проблема будет актуальной всегда, как и противостояние брони и снаряда. Раньше акцент делался на реактивном подходе, то есть на защиту от известных угроз, для которых разработаны сигнатуры. Если сигнатуры нет, то и обнаружить такую атаку было нельзя. Сейчас акцент сместился в сторону проактивного подхода и обнаружения еще не известных угроз. Сейчас это направление активно развивается и будет развиваться и дальше. Однако, к сожалению, уже давно доказан факт создания вируса, который не будет со 100% вероятностью обнаружен. Поэтому всегда остается шанс, что система защиты, какие бы методы она ни использовала, не сможет обнаружить вредоносную программу. Более эффективной является защита от уязвимостей, их своевременное обнаружение и устранение. Тогда многие атаки окажутся просто нереализуемыми".

Павел П.: "Разве? Посмотри на ситуацию с компанией Microsoft в апреле 2005 года. Сначала появились обновления безопасности и общие описания уязвимостей. И только после этого начали создаваться эксплойты, реализующие опубликованные уязвимости. Озвученная проблема для антивирусов возникает из-за того, что до сих пор основной метод многих антивирусных систем - это сигнатурный подход к обнаружению вирусов. Ситуация будет меняться с применением методов обнаружения и предотвращения вредоносной активности эвристическими методами или по анализу поведения".

3APA3A: "Да, ситуация достаточно интересна. Я много раз сталкивался с мнением, что вирусы и черви пишут разработчики антивирусов. Это, конечно, не так, но в какой-то степени в том, какая складывается ситуация, есть немалая вина разработчиков антивирусов. Технология антивирусных программ применяется в той области, в которой от нее мало прока. Вспомни, для чего создавались антивирусные программы. Ты копируешь на дискетку игрушку с чьего-то компьютера, затем копируешь на свой компьютер, запускаешь ее. В игрушке оказался вирус. И нет никакой возможности защититься от этого вируса, кроме как проверить по известным сигнатурам, нет ли его в скопированной игрушке. Время, когда программы "распространялись" через подобные "пиринговые" дискетные сети, ушло, и с ним практически исчезла проблема компьютерных вирусов. Но производители антивирусов хотят кушать. И такая же сигнатурная технология обнаружения (что бы ни кричали производители антивирусов, любая "эвристика" - это всего лишь расширенная сигнатура) стала применяться для защиты от червей, троянских программ, а потом и от шпионского программного обеспечения. Хотя здесь эта технология неприменима. Обнови систему, удали антивирус, отними у пользователя административные права, запрети выполнение файлов для корневой папки диска и профиля пользователя, защити локальную зону в Internet Explorer - и походи по интернету с поиском по ключевым словам porno и warez, соглашаясь со всеми выскакивающими предупреждениями. После этого ты не найдешь у себя никаких троянцев, порнодилеров и шпионов. Окажется, что такая защита (то есть защита за счет правильной настройки встроенных средств операционной системы) намного эффективнее любого антивируса. Но для этого надо уметь пользоваться теми технологиями, за которые ты заплатил, когда покупал систему. Антивирус же хорош как средство контроля. Но ты же его не купишь, если тебе не сказать, что он тебя защищает... А пока тебя защищает антивирус, ситуация не изменится".