Антивирусная индустрия нагнута
Уже три с половиной недели можно публично наблюдать очень забавную вещь. А именно: антивирусная индустрия нагнута. Забавно смотреть на этот шуршащий муравейник.
Одни компании - просто отмалчиваются. Как будто ничего не происходит вокруг. Вообще ничего.
Это все равно, что где-нибудь взорвалась бы АЭС, а в какой-нибудь из граничащих стран люди делали бы вид, что ничего не произошло и не происходит. Они спокойно ездили бы на пикники, гуляли бы и веселились под дождем. Этакий "эффект страуса" или детское закрывание лица ладошками ("я в домике - меня не видно").
Вот так и эти компании. Продолжают писать о rogue antispyware, о каких-то нелепых троянах на Visual Basic, обсуждать о том, как они получили награду "top downloads" или "false positives free" и т.п. Некоторые, все же мельком (и по чужим материалам) обмолвились, вот, мол, существует некая угроза, но от нее можно избавиться без проблем.
Другие компании ("монстры индустрии") - пиарятся как только могут. "Поймали волну". Задача: пока есть возможность - заработать как можно больше дивидендов на происходящем вокруг. В целом, политика нормальная. Это бизнес. Надеюсь, никто не думает, что в том же Касперском, F-Secure (привет Питерскому офису - ну что, все до сих пор смешно еще?), Symantec (Norton Antivirus), McAfee, ESET (NOD) и др. есть какие-то люди, реально, искренне заботящиеся о пользователях, желающие им как-то помочь и т.п.? Сейчас важно как можно больше набрать новых клиентов, и удержать старых, показать насколько технологии АВ-индустрии развиты (а реально это совсем не так) и не показать (т.е. скрыть как только это возможно), что не просто упали лицом в грязь, а их туда успешно ткнули, схватив за шкирку, и помазюкали. Да так, что отмываться придется очень долго. (Не для простых людей, конечно; для большинства это останется незамеченным).
Мониторю сейчас все самые интересные блоги почти в real-time. Смотрю какой уровень опасности стоит, меняется ли он. И вообще, что пишут. Как они друг у друга копируют списки паролей, как хвалятся "разгаданными" алгоритмами генерации доменов и т.п. Как они пишут инструкции по удалению. Эти инструкции размещают на своих же сайтах. Нет, ну они серьезно всех окружающих за идиотов считают или у самих как с головой? Вот сами же пишут, что блокируются домены (и себя в списке могут легко найти), и у себя же на сайтах размещают "подробную инструкцию по удалению". Я уж не говорю, что ее просто не прочитать. Уж не говорю как забавно выглядит "скачайте вот эту утилиту с нашего же сайта". Ну ладно, пусть на другом компьютере кто-то прочитает, скачает. Даже принесет. Но вот чего они все молчат (нигде еще не нашел упоминаний), что их утилиты-то так же заблокированы и блокируются? Т.е. это практически как выложить на сайт unrar.rar, да еще и DNS сайта побить, зароутив его на localhost. "Уважаемый пользователь, скачайте наш де-архиватор, распакуйте его и используйте".
Китаец из McAfee вообще порадовал. Видимо, жжет самолюбие. Сейчас процитирую: "We believe that this can be accomplished by an average programmer who understands the basics of exploitation and has decent programming skills".
Symantec - вообще молодцы. Уже почти "Войну и Мир" по объему написали в своем блоге. Про технические детали, про что, как и почему. Как всегда куча фантазий и предположений о том, что и зачем, и куда все это движется (различные 'suspects' и проч.). А еще больше радуют (точнее - продолжают радовать, ибо они не одиноки) их инструкции. Из разряда "Обновите Ваш Symantec Norton Antivirus". Так и хочется сказать: "Вы прочитайте свое же описание. Там вообще-то вполне четко говорится о том, что практически все ПО по безопасности (в т.ч. и Ваш антивирус) блокируется по вопросу апдейтов, сайтов и т.д.". Но, видимо, трафик в блогах генерировать лучше, чем писать Правду (тут без BHC не обойтись, ясное дело).
Так же они радуют вот таким вопросом-ответом из FAQ. Я даже комментировать это не буду. Просто процитирую полностью. В данном случае даже линк приведу! Вот тут. Цитата:
Q: Can't I just run free antivirus software?
A: Yes, but they're not thorough or comprehensive. While some of the legitimate free antivirus products aren't bad at detecting viruses in files, they only provide basic protection, in general they are weak at detecting modern threats such as drive-by-downloads, malicious web sites and intrusion attempts. Worse, the internet is overflowing with fake free security scanners that actually infect your computer. Fake scanners such as "Antivirus 2008" are difficult to identify and have plagued hundreds of thousands of users around the world.
Про Microsoft и блог Windows Defender пока говорить не буду (может позже) -- там тоже ребята радуют разными вещами. Но им проще, относительно других производителей.
Зато отметился Касперский сегодня. Тоже сделав вид, что "ну как бы так, промежду дел, уделили тут 15 минут, чисто так, особо это не нужно, да и вообще никаких проблем нет". Смотрим набор цитат:
- "13 января мы опубликовали 'оранжевый' (средний уровень опасности) алерт для семейства червей Kido" (Ну да, особых проблем-то нет),
- "Семейству Kido это удалось потому, что его представители распространялись не только с помощью эксплойтов критических уязвимостей, но и взламывая слабые пароли методом подбора, таким образом получая доступ к другим компьютерам в локальной сети. Из-за этого (и по некоторым другим причинам) избавиться от Kido может быть очень сложно" (Ого! Интересно, по каким же? Из-за того, что он "распространяется с помощью эксплоитов" пришлось выпустить утилиту? Не, ну на кого это расчитано, серьезно?)
- "Если вам не помог ваш антивирус, то попробуйте воспользоваться нашей бесплатной утилитой" (А вот это вообще шутка дня - они его хоть разбирали? Ну, или серьезно думают, что данная утилита что-то сделает? Я уж не говорю даже про то, как ее скачают).
В общем, наблюдаем дальше за индустрией. Это очень и очень интересно, как себя проявляют компании. Становятся прозрачны и возможности (технические, по анализу и т.п.), и реальные цели/задачи.
Все всплывает. Все на поверхности.
P.S. На всякий случай: Downadup, Conficker, Conflicker, Kido.
UPDATE:
Полезный индекс по комментариям:
Веселуха в комментариях у F-Secure (к сожалению, только на английском). То, о чем я говорил. Пользователи спрашивают: "Да к черту этику, убейте этот ботнет". И ни одного ответа от F-Secure, почему же они это не могут сделать (ох этика, этика). ;) Или возмущенно: "Каким образом пользователи прочитают, что можно скачать утилиту по IP-адресу, если им недоступен блог на Вашем домене?!!!" (и они правы!) и т.п.
http://www.f-secure.com/weblog/archives/comments.html?PostID=00001589
http://www.f-secure.com/weblog/archives/comments.html?PostID=00001588
UPDATE3:
F-Secure продолжает откровенно врать всей интернет-общественности, что им мешает "этика" уничтожить ботнет. Подробнее - в свежей записи в их блоге (там же есть ссылка на комментарии). На мой взгляд, Mikko должно быть стыдно, что в их блоге, от имени их компании, позволяют нести такую откровенную ересь. Хотя, судя по всему, это именно политика компании и все ответственные и технические специалисты в курсе ситуации. В моих глазах данная компания реально опустилась. Т.е. это далеко не "fair business".
UPDATE4:
По F-Secure все-таки проехались и на вранье указали, забавная переписка там сложилась. Начинать с CommentID:69624 и далее вниз до конца.
И небольшое дополнение по текущим событиям и непонятной радости некоторых людей.
UPDATE5:
Ну чего, у кого "пшик"-то вышел? :) "Пшик" - это те два поста на SB. Что один, что второй. Интересно, какие теперь оправдания у представителей лаборатории Касперского будут? Они же уже крест поставили на могиле ботнета. "Угнали за 60 секунд", м? :-)
Одни компании - просто отмалчиваются. Как будто ничего не происходит вокруг. Вообще ничего.
Это все равно, что где-нибудь взорвалась бы АЭС, а в какой-нибудь из граничащих стран люди делали бы вид, что ничего не произошло и не происходит. Они спокойно ездили бы на пикники, гуляли бы и веселились под дождем. Этакий "эффект страуса" или детское закрывание лица ладошками ("я в домике - меня не видно").
Вот так и эти компании. Продолжают писать о rogue antispyware, о каких-то нелепых троянах на Visual Basic, обсуждать о том, как они получили награду "top downloads" или "false positives free" и т.п. Некоторые, все же мельком (и по чужим материалам) обмолвились, вот, мол, существует некая угроза, но от нее можно избавиться без проблем.
Другие компании ("монстры индустрии") - пиарятся как только могут. "Поймали волну". Задача: пока есть возможность - заработать как можно больше дивидендов на происходящем вокруг. В целом, политика нормальная. Это бизнес. Надеюсь, никто не думает, что в том же Касперском, F-Secure (привет Питерскому офису - ну что, все до сих пор смешно еще?), Symantec (Norton Antivirus), McAfee, ESET (NOD) и др. есть какие-то люди, реально, искренне заботящиеся о пользователях, желающие им как-то помочь и т.п.? Сейчас важно как можно больше набрать новых клиентов, и удержать старых, показать насколько технологии АВ-индустрии развиты (а реально это совсем не так) и не показать (т.е. скрыть как только это возможно), что не просто упали лицом в грязь, а их туда успешно ткнули, схватив за шкирку, и помазюкали. Да так, что отмываться придется очень долго. (Не для простых людей, конечно; для большинства это останется незамеченным).
Мониторю сейчас все самые интересные блоги почти в real-time. Смотрю какой уровень опасности стоит, меняется ли он. И вообще, что пишут. Как они друг у друга копируют списки паролей, как хвалятся "разгаданными" алгоритмами генерации доменов и т.п. Как они пишут инструкции по удалению. Эти инструкции размещают на своих же сайтах. Нет, ну они серьезно всех окружающих за идиотов считают или у самих как с головой? Вот сами же пишут, что блокируются домены (и себя в списке могут легко найти), и у себя же на сайтах размещают "подробную инструкцию по удалению". Я уж не говорю, что ее просто не прочитать. Уж не говорю как забавно выглядит "скачайте вот эту утилиту с нашего же сайта". Ну ладно, пусть на другом компьютере кто-то прочитает, скачает. Даже принесет. Но вот чего они все молчат (нигде еще не нашел упоминаний), что их утилиты-то так же заблокированы и блокируются? Т.е. это практически как выложить на сайт unrar.rar, да еще и DNS сайта побить, зароутив его на localhost. "Уважаемый пользователь, скачайте наш де-архиватор, распакуйте его и используйте".
Китаец из McAfee вообще порадовал. Видимо, жжет самолюбие. Сейчас процитирую: "We believe that this can be accomplished by an average programmer who understands the basics of exploitation and has decent programming skills".
Symantec - вообще молодцы. Уже почти "Войну и Мир" по объему написали в своем блоге. Про технические детали, про что, как и почему. Как всегда куча фантазий и предположений о том, что и зачем, и куда все это движется (различные 'suspects' и проч.). А еще больше радуют (точнее - продолжают радовать, ибо они не одиноки) их инструкции. Из разряда "Обновите Ваш Symantec Norton Antivirus". Так и хочется сказать: "Вы прочитайте свое же описание. Там вообще-то вполне четко говорится о том, что практически все ПО по безопасности (в т.ч. и Ваш антивирус) блокируется по вопросу апдейтов, сайтов и т.д.". Но, видимо, трафик в блогах генерировать лучше, чем писать Правду (тут без BHC не обойтись, ясное дело).
Так же они радуют вот таким вопросом-ответом из FAQ. Я даже комментировать это не буду. Просто процитирую полностью. В данном случае даже линк приведу! Вот тут. Цитата:
Q: Can't I just run free antivirus software?
A: Yes, but they're not thorough or comprehensive. While some of the legitimate free antivirus products aren't bad at detecting viruses in files, they only provide basic protection, in general they are weak at detecting modern threats such as drive-by-downloads, malicious web sites and intrusion attempts. Worse, the internet is overflowing with fake free security scanners that actually infect your computer. Fake scanners such as "Antivirus 2008" are difficult to identify and have plagued hundreds of thousands of users around the world.
Про Microsoft и блог Windows Defender пока говорить не буду (может позже) -- там тоже ребята радуют разными вещами. Но им проще, относительно других производителей.
Зато отметился Касперский сегодня. Тоже сделав вид, что "ну как бы так, промежду дел, уделили тут 15 минут, чисто так, особо это не нужно, да и вообще никаких проблем нет". Смотрим набор цитат:
- "13 января мы опубликовали 'оранжевый' (средний уровень опасности) алерт для семейства червей Kido" (Ну да, особых проблем-то нет),
- "Семейству Kido это удалось потому, что его представители распространялись не только с помощью эксплойтов критических уязвимостей, но и взламывая слабые пароли методом подбора, таким образом получая доступ к другим компьютерам в локальной сети. Из-за этого (и по некоторым другим причинам) избавиться от Kido может быть очень сложно" (Ого! Интересно, по каким же? Из-за того, что он "распространяется с помощью эксплоитов" пришлось выпустить утилиту? Не, ну на кого это расчитано, серьезно?)
- "Если вам не помог ваш антивирус, то попробуйте воспользоваться нашей бесплатной утилитой" (А вот это вообще шутка дня - они его хоть разбирали? Ну, или серьезно думают, что данная утилита что-то сделает? Я уж не говорю даже про то, как ее скачают).
В общем, наблюдаем дальше за индустрией. Это очень и очень интересно, как себя проявляют компании. Становятся прозрачны и возможности (технические, по анализу и т.п.), и реальные цели/задачи.
Все всплывает. Все на поверхности.
P.S. На всякий случай: Downadup, Conficker, Conflicker, Kido.
UPDATE:
Полезный индекс по комментариям:
- "Неэтично" лечить пользователей захватом ботнета. Реально - нет технической возможности.
- Незаконно? Публичное лицемерие! АВ-компании не раз публично показывали результаты своего НСД.
- Истиное лицо АВ-индустрии. Про реальную "заботу" антивирусных компаний о пользователях (в лице ESET NOD и др.).
Веселуха в комментариях у F-Secure (к сожалению, только на английском). То, о чем я говорил. Пользователи спрашивают: "Да к черту этику, убейте этот ботнет". И ни одного ответа от F-Secure, почему же они это не могут сделать (ох этика, этика). ;) Или возмущенно: "Каким образом пользователи прочитают, что можно скачать утилиту по IP-адресу, если им недоступен блог на Вашем домене?!!!" (и они правы!) и т.п.
http://www.f-secure.com/weblog/archives/comments.html?PostID=00001589
http://www.f-secure.com/weblog/archives/comments.html?PostID=00001588
UPDATE3:
F-Secure продолжает откровенно врать всей интернет-общественности, что им мешает "этика" уничтожить ботнет. Подробнее - в свежей записи в их блоге (там же есть ссылка на комментарии). На мой взгляд, Mikko должно быть стыдно, что в их блоге, от имени их компании, позволяют нести такую откровенную ересь. Хотя, судя по всему, это именно политика компании и все ответственные и технические специалисты в курсе ситуации. В моих глазах данная компания реально опустилась. Т.е. это далеко не "fair business".
UPDATE4:
По F-Secure все-таки проехались и на вранье указали, забавная переписка там сложилась. Начинать с CommentID:69624 и далее вниз до конца.
И небольшое дополнение по текущим событиям и непонятной радости некоторых людей.
UPDATE5:
Ну чего, у кого "пшик"-то вышел? :) "Пшик" - это те два поста на SB. Что один, что второй. Интересно, какие теперь оправдания у представителей лаборатории Касперского будут? Они же уже крест поставили на могиле ботнета. "Угнали за 60 секунд", м? :-)