Skocz do zawartości

Koniec sygnatur?


Rekomendowane odpowiedzi

Będą tylko chmury?

http://www.viruslist.pl/analysis.html?newsid=621

"Najczęściej testowaną funkcją antywirusów, jest tzw. "skanowanie na żądanie", czyli statyczne skanowanie plików na podstawie sygnatur zagrożeń. Jest to metoda prosta, szybka, niewymagająca rozległej wiedzy i wielkiego wysiłku ze strony testera, a jednocześnie pozwalająca tworzyć przejrzyste nieskomplikowane rankingi, na podstawie których nawet najmniej zorientowany użytkownik potrafi wyciągnąć jednoznaczne wnioski. Tutaj wszystko jest czarne lub białe - nie ma miejsca na żadne niuanse, niepewności i światłocienie. Program, który wykrył 100% wirusów jest dobry, program, który wykrył "zaledwie" 90% jest zły - koniec, kropka.

 

Jeśli jednak zastanowić się głębiej nad przydatnością takich testów, okazuje się, że w dzisiejszych czasach jest ona zbliżona zeru. Miały one sens powiedzmy 10 lat temu, kiedy zagrożeń było stosunkowo niewiele, a rekordy w bazach nie przekraczały liczby kilku czy kilkunastu tysięcy. Wtedy większość szkodliwych programów mogła zostać wykryta dzięki sygnaturom, a nowe zagrożenia natomiast pojawiały się na tyle rzadko, że ryzyko infekcji komputera czymś wcześniej nieznanym było znikome. Wyzwania, jakie stały przed producentami programów antywirusowych były niewygórowane, ochrona komputera polegała głównie na regularnym skanowaniu plików, a leczenie systemu - pomijając przypadki bardziej skomplikowanych wirusów infekujących - często sprowadzało się po prostu do usunięcia szkodliwych obiektów.

 

Dzisiaj sytuacja wygląda zupełnie inaczej. Wraz z rozwojem technologii i upowszechnieniem się Internetu pojawiły się nowe możliwości, a pisanie szkodliwego oprogramowania stało się równoznaczne z zarabianiem dużych pieniędzy. Współcześni cyberprzestępcy to świetnie zorganizowani, doświadczeni profesjonaliści, których pomysłowość jest stymulowana przez rozpościerającą się przed nimi wizję "góry złota". Codziennie powstają dziesiątki tysięcy nowych zagrożeń, a niebezpieczeństwo czai się w Internecie niemal na każdym kroku. Program antywirusowy w dzisiejszych czasach nie tylko musi sobie radzić z wykrywaniem i leczeniem coraz bardziej skomplikowanych infekcji, ale także zapewniać codzienną ochronę przed tym, co jeszcze nieznane. Cóż więc z tego, że baza sygnatur zawiera miliony starych wpisów, jeśli program nie jest w stanie wykryć żadnej nowej modyfikacji danego trojana? Cóż z tego, że w bazach sygnatur znajdują się informacje o danym wirusie, jeśli program antywirusowy nie potrafi go wyleczyć ani usunąć szkód, które wyrządził? Wreszcie, jaki pożytek z programu, który zna sygnatury zagrożeń, ale nie potrafi zapobiec ich instalacji w systemie?

 

W tym świetle skanowanie na podstawie sygnatur - choć nadal powszechnie stosowane przez wszystkie rozwiązania antywirusowe - jest tylko kroplą w morzu i samo z siebie nie jest w stanie zapewnić odpowiedniej ochrony. Powoli również staje się jasne, że jeśli nowych zagrożeń będzie wciąż przybywać w podobnym tempie, bazy sygnatur szybko urosną do monstrualnych rozmiarów, a dodawanie nowego rekordu dla każdego z nich stanie się niemal niewykonalne. Już teraz można zauważyć, że środek ciężkości powoli przesuwa się w stronę mechanizmów heurystycznych i ochrony proaktywnej, wchodzą też w życie zupełnie nowe, alternatywne metody protekcji, takie jak na przykład sandboxing, czyli uruchamianie aplikacji w bezpiecznym środowisku. "

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Z tego wynika,że Kaspersky bardzo prawdopodobnie w najnowszych produktach z linii 2012 zastosuję chmurę jak sami piszą o tym problemie typowo sygnaturowej która jest przestarzała.. Są tego plusy, zwiększy się skuteczność jak w przypadku Pandy i to sporo, nie będzie pobieranie dzień w dzień wiele Mb sygnatur. Już teraz ważą nieprawdopodobnie dużo same sygnatury. Na dzień dzisiejszy mimo usunięcia w tym roku prawie 200 k wpisów z bazy samego malware dalej jest dużo 4mln 214 tyś 112. Z roku na rok Av ważą więcej o sporo MB dzięki sygnaturom, które zawalają dysk. A niech jak pisze Jurek będą na serwerach , lepsze wyjście. Skanowanie powinno być jeszcze szybsze, lżejsze jak w chmurze jak w przypadku Hitmana czy prevx. Tylko jest jedno, ale, dzięki technologi w chmurze produkty osiągają dużo FP na tle innych produktów co chmury nie posiadaą. Panda w testach sypie sporo FP, tak samo Prevx a o Hitmanie nie wspomnę. Nie wiadomo czy to przez samą chmurę czy przypadek? Jeśli przez nią nie wiem czy producenci Av zaryzykują ją wprowadzenie z obawy o oblewanie testów przez głupie Fp:) Ciekawe jak zrobią :P

Odnośnik do komentarza

Artykuł...jak artykuł. W sumie rozwodzi się bardziej na temat "jak bardzo programy nie nadążają za powstawaniem malware", a ponad połowa z niego to utyskiwania nad ułomnością testów...w których Kaspersky aż tak wcale nie przoduje. W sumie zgodzę się z autorem, że testów uniwersalnych...idealnych...nie było i nie będzie i chyba każdy sobie z tego sprawę zdaje. Pomijając metodologię (sam sposób przeprowadzania) żadne testy nigdy nie nadążą za powstawaniem malware, których ilości dziennie idą w tysiące,a w okresach szczytowych (święta, wydarzenia medialne, itp.) nawet w dziesiątki tysięcy. Mimo wszystko jednak, wbrew sugestiom artykułu, wcale nie wróżę końca sygnatur i końca pracy tysięcy ludzi, którzy to wszystko starają się pozbierać do kupy w formie aktualizacji dla swojego softu...jakaś baza...jakiś odnośnik...wg mnie musi być, bo sygnatury to to, co mamy u siebie fizycznie na komputerze i to, co nas na pewno ochroni...inna kwestia to, jak bardzo będzie to skuteczne. Chmury to na pewno świetne wyjście i doskonała alternatywa...ale tylko alternatywa. Żeby była skuteczna i na czas wymaga udziału wielu użytkowników, ich rzetelności w ocenie zagrożeń, wymaga niestety też jakiegoś centralnego "spisu "na serwerach producenta czyli sygnatur przecież...a przede wszystkim wymaga połączenia z siecią...szybkiego połączenia. Bez niego cała idea idzie w łeb, a doskonale wiemy, że dostępem do sieci...nie tylko w Polsce...jest różnie. Nawet jak już mamy to łącze, to "chmura" nie jest tak szybka...wystarczy kilka sekund dla malware i mamy "pozamiatane", a w przypadku chmury musimy dodać czas na realizację obustronnego połączenia użytkownik-serwer-użytkownik.

Moduły ochrony heurystycznej i proaktywnej oczywiście, że są i będą rozwijane bez względu na to, jak są ułomne, a może właśnie dlatego, że są ułomne...to konieczne uzupełnienie detekcji sygnaturowej, ponieważ wiele malware jest tylko modyfikacją czegoś, co istnieje i zawsze jest dość wysokie prawdopodobieństwo, że zostanie wykryte na podstawie podobieństwa właśnie. Natomiast ochrona proaktywna...rozumiem, że mają na myśli monitorowanie zachowania się systemu i kontrola zachowań akcji różnych aplikacji (w tym i malware)...sądzę, że mimo wieszczenia końca dla aplikacji typu HIPS (bo to wymaga jakiegoś tam rozeznania już i bywa "mało strawne" nawet dla przeciętnego użytkownika) będziemy zmuszeni wrócić do nich i rozwijać te programy/moduły...będziemy musieli również "nauczyć" się zarówno naszego systemu, jak i tego, co się w nim aktualnie dzieje (komunikaty, które dostajemy od monitorów). Nie ma siły...rozwój malware i programowania zabezpieczającego to klasyczny wyścig "drapieżnik-ofiara"...im bardziej jeden się rozwija, tym bardziej drugi doskonali swoje metody polowania lub ucieczki..."my" - użytkownicy, producenci oprogramowania - też więc musimy się doskonalić w metodach przeciwdziałania atakom :) Nie wspomniano absolutnie nic o wirtualizacji...a danie "na pożarcie" szkodnikom kawałka wydzielonych zasobów systemu w postaci piaskownicy lub wręcz całego nierzeczywistego systemu jest też doskonałym wyjściem...ale to już inna bajka :)

Likwi...softy w chmurze muszą sypać FP...przecież działanie chmury opiera się m.in. na opiniach zwykłych użytkowników przesyłanych do centralnej bazy, a użytkownicy mają różną wiedzę.

Odnośnik do komentarza

Sygnatury jednak muszą być na serwach bo zajmują zbędne miejsce. Kaspersky w wersji 6 zajmował niecałe 30 Mb, a teraz już ponad 100 Mb, strasznie rozrastają się AV:) Za parę lat jak ilość malware wzrośnie jeszcze kilkukrotnie a tak zapewne będzie to jeśli nie przeniosą się na chmurę to będzie antywirus będzie miał z 200-300 Mb, to mija się z celem.Będę musiał pozbyć się jego, kobyły trzymać nie będę :angry: Każdy Av się niesamowicie rozrósł na przestrzeni tylko 3-4 lat przez te sygnatury. :) Co do Fp Ichito, jeśli będzie opierać się na opiniach użytkowników , nie będzie przechodzić wewnętrzną autoryzację przez pracowników firmy / roboty czy rzeczywiście to jest malware czy czysty plik dodany jako malware dla żartu , to też mija się z celem. Baza powinna być stale monitorowana, sprawdzana pod katem fałszywych alarmów, może tak jest, tego nie wiem. Tak samo lub podobnie działa McAfee Site Advisior. Wchodzę na stronę , wyskakuje podczas pobierania pliku ,że to malware ja go mimo tego ściągnąłem i wrzuciłem na Vt i nikt go nie wykrywał. Po uruchomieniu , nic dziwnego się nie działo, więc kompletne Fp:) Ktoś dał opinie dla żartu zapewne. Za bardzo nie ma co ufać , i pozostawić tego samemu . Chmura zwiększy bezpieczeństwo na pewno dzięki pomocy ludzi, ale też niestety Fp wzrośnie , obawiam się,że zdecydowanie. Kiedyś czytałem, nie pamiętam tylko gdzie, czy na jakimś forum przeczytałem, może na avirze czy w jakimś osobnym artykule,że hakerzy łatwo wykorzystają chmurę, dzięki tym,że czyste pliki windowsa będą zgłaszać jako malware i Av będzie świrować, dzięki temu można doczekać się destabilizacji systemu jak dany user usunie ten plik. Nie wiem czy to jest jakoś przed tym zabezpieczone czy nie, ale myczek na dodanie bzdur jako malware jest:)

Odnośnik do komentarza

Prevx 3 SafeOnline: http://programy-za-darmo.tk/?s=Prevx+3+SafeOnline+-+antywirus+w+"chmurze

 

Sophos: http://www.komputerwfirmie.org/article/Kolejny_antywirus_w_chmurze.htm

 

McAfee już w 2008 roku wprowadził technologię aktualizacji sygnatur wirusów Artemis i Online Backup. Niebawem ukarze się "McAfee Cloud Secure": http://www.facebook.com/note.php?note_id=373792169694

Odnośnik do komentarza

Trochę mylicie pojęcia. Czy to w chmurze, czy w innej dziurze zawsze musi być ocena bezpieczeństwa. I to wymaga klasycznych danych.

 

@LikwidatoR: nie wszystkie AV pobierają tyle danych. Niektóre znacznie mniej. To kwestia zorganizowania przesyłania. Co do rozrostu AV. Gdyby Windows rozrastał się w tempie AV, zajmowałby kilkadziesiąt MB i działał setki razy szybciej. A gdyby był sensowniej zaprojektowany (m.in super niebezpieczne zintegrowanie IE z powłoką), Praca AV byłaby znacznie mniejsza. Ale może tak ma być. Zarobić i dać zarobić innym...

Odnośnik do komentarza

Każda ocena musi opierać się na jakiś podstawach. I taką podstawą są sygnatury oraz tworzone na ich podstawie algorytmy heurystyczne. A co do miejsca ich umieszczenia. Gdy są na serwerze to podczas pracy bez internetu w tym uruchamiania systemu nie ma możliwości ochrony. A zagrożenia są także poza internetem.

 

Zgadzam się z poglądem, że ocena bezpieczeństwa kodu w oparciu o sygnatury na serwerze będzie bardzo wolna. Czas komunuikacji po sieci jest o wiele dłuższy od samej oceny.

Odnośnik do komentarza

Każda ocena musi opierać się na jakiś podstawach. I taką podstawą są sygnatury oraz tworzone na ich podstawie algorytmy heurystyczne. A co do miejsca ich umieszczenia. Gdy są na serwerze to podczas pracy bez internetu w tym uruchamiania systemu nie ma możliwości ochrony. A zagrożenia są także poza internetem.

Nie ma sporu...pełna zgoda :) A co zagrożeń poza internetem...trochę dziwi mnie w tym kontekście artykuł...firmy produkujące antywirusy co raz to puszczają w świat informacje (ostatnio coraz częściej) o zagrożeniach przenoszonych przez napędy przenośne - ich ilość stale wzrasta, bo pomijając zwykłe CD/DVD i pamięci USB mamy coraz więcej urządzeń mobilnych, które zabezpieczeń z definicji i konieczności nie posiadają (ktoś sobie wyobraża antywirusa w aparacie fotograficznym? - a tam też jest pamięć...z telefonami komórkowymi jest trochę lepiej), a według ostatnich raportów chyba Pandy, Sophos, McAfee i Eset statystyki coraz bardziej porażają ilością infekcji tą drogą. Ileż zamieszania i popłochu jakiś czas temu było z powodu infekcji plikami *inf z napędów...jak bardzo spanikowano przy infekcji *LNK całkiem niedawno (wystarczyło tylko podejrzeć zawartość katalogu czy przenośnego napędu)...chmura nas w przypadku takich wysublimowanych ataków nie ochroni, bo za dużo czasu musi być przeznaczone na detekcję i odpowiednią reakcję.

Zapora z najlepszym nawet HIPSem też wydaje mi się nie da w takich przypadkach rady...piaskownica - trudno mi powiedzieć...wirtualizacja raczej powinna...ale dla mnie to tylko elementy "płaszcza" zabezpieczeń, które samodzielnie...nawet najbardziej doskonałe...nie dadzą rady. Program posiadający mechanizm obrony na podstawie sygnatur + heurystyka to chyba najbardziej podstawowa baza

A propos USB

http://nt.interia.pl/internet/bezpieczenstwo/news/uwaga-niebezpieczne-usb,1531640

http://di.com.pl/news/33612,0,Tworcy_wirusow_na_USB_ciagle_w_akcji.html

http://di.com.pl/news/33520,0,Zainfekowane_pamieci_USB_nadal_grozne.html

http://www.egospodarka.pl/53065,McAfee-zagrozenia-internetowe-I-kw-2010,1,12,1.html

Odnośnik do komentarza

Zapora z najlepszym nawet HIPSem też wydaje mi się nie da w takich przypadkach rady...piaskownica - trudno mi powiedzieć...wirtualizacja raczej powinna...ale dla mnie to tylko elementy "płaszcza" zabezpieczeń, które samodzielnie...nawet najbardziej doskonałe...nie dadzą rady. Program posiadający mechanizm obrony na podstawie sygnatur + heurystyka to chyba najbardziej podstawowa baza

Wysokiej klasy HIPS (najlepiej z piaskownicą) + wirtualizacja (wirtualizer, piaskownica, wirtualna maszyna) + firewall, w rękach zaawansowanego usera, to zdecydowanie najskuteczniejsza ochrona. Program posiadający mechanizm obrony na podstawie sygnatur + heurystyka, to bardzo zawodne narzędzie. Dziwi mnie Ichito, że jeszcze tego nie zrozumiałeś.

Odnośnik do komentarza

Wysokiej klasy HIPS (najlepiej z piaskownicą) + wirtualizacja (wirtualizer, piaskownica, wirtualna maszyna) + firewall, w rękach zaawansowanego usera, to zdecydowanie najskuteczniejsza ochrona. Program posiadający mechanizm obrony na podstawie sygnatur + heurystyka, to bardzo zawodne narzędzie. Dziwi mnie Ichito, że jeszcze tego nie zrozumiałeś.

Po pierwsze - rozmawiamy o przyszłości technologii chmury w kontekście zabezpieczeń, a nie o najskuteczniejszej z możliwych ochronie,

po drugie - użytkownicy są w większości niezaawansowani lub zaawansowani w stopniu tylko średnim, więc proszę nie dedykuj swoich postów z pozycji "mastera" i tylko dla wąskiego ich grona

po trzecie i w związku z "po drugie" - proszę nie pisz tak protekcjonalnym tonem, bo to dość wkurzające i wyraża brak szacunku do rozmówcy. Możliwe, że tego nie zrozumiałem...proszę wytłumacz w takim razie...ale możliwe, że po prostu nie masz racji.

Odnośnik do komentarza

Po pierwsze Ichito rozmawiamy właśnie o najskuteczniejszej ochronie oraz jej rozwoju. Szkoda, że firmy antywirusowe nadal mają prymitywne spojrzenie na to zagadnienie.

Po drugie, co to ma do rzeczy, że większość użytkowników jest niezaawansowana. przecież my nimi nie jesteśmy a naszym zadaniem nie jest w tej chwili im pomóc.

Po trzecie, mój ton jest bardzo łagodny. Wyrażam tylko moje zdumienie, że dałeś się zamknąć w pułapce tradycyjnych i zawodnych metod. Przecież nie jesteś nowicjuszem czy tępym facetem.

Odnośnik do komentarza

Po pierwsze Ichito rozmawiamy właśnie o najskuteczniejszej ochronie oraz jej rozwoju. Szkoda, że firmy antywirusowe nadal mają prymitywne spojrzenie na to zagadnienie.

Po drugie, co to ma do rzeczy, że większość użytkowników jest niezaawansowana. przecież my nimi nie jesteśmy a naszym zadaniem nie jest w tej chwili im pomóc.

Po trzecie, mój ton jest bardzo łagodny. Wyrażam tylko moje zdumienie, że dałeś się zamknąć w pułapce tradycyjnych i zawodnych metod. Przecież nie jesteś nowicjuszem czy tępym facetem.

ad. "po pierwsze" - w takim razie za bardzo chyba wypuszczamy się w wąsko specjalizowane zagadnienia i gubimy zasadnicze przesłanie artykułu czyli przyszłość chmury

ad. "po drugie" - niestety...a może właśnie "stety"...czytają ten artykuł i nasze komentarze nie tylko zaawansowani...popatrz na statystykę wątku - siedmiu piszących, 19 wypowiedzi (chyba bez mojej ostatniej) i 325 wyświetleń! - jak sądzisz ilu z tych, co przeglądali choć w części zrozumiało nasze "przepychanki"? :)

ad. "po trzecie" - OK...przyjmuję, że to zdziwienie a nie ironia :) Niemniej teraz ja się dziwię, bo dobrze wiesz, że raczej nie daję się "w coś zamykać"...wałkowałem już u siebie chyba wszystko (i stare i nowe) - klasyczne zapory i te z HIPSem, HIPSy/monitory przeróżnej maści, klasyczne AV i te w chmurze, pakiety IS mniej i bardziej rozbudowane, wirtualizację systemu chyba wszystkim, co bardziej dostępne albo i tym, co już "umarło"...jedyne co mnie jeszcze nie przekonało to piaskownica/polityka piaskownicy, choć nie powiem piaskownicę miałem w Norman IS i jakiś czas używałem EdgeGuard Solo od Blue Ridge. Po prostu patrzę realnie i może zbyt "przyziemnie", ale wg mnie "jak chcesz uderzyć psa, to kij zawsze znajdziesz"...jeśli chcesz złamać-obejść zabezpieczenie jest to tylko kwestią czasu :)

Odnośnik do komentarza

Spróbuj Ichito na pewien czas wywalić wszystkie swoje zabezpieczenia. Zainstaluj Defensewall HIPS lub DWPF i Wondershare Time Freeze na żądanie. Nie musisz posiadać zaawansowanego firewalla ani antywirusa. Zobaczysz jakie to proste, wygodne i skuteczne.

Oczywiście w tym materialnym świecie nie ma nic idealnego, ale są rzeczy bliższe i dalsze od ideału :)

Odnośnik do komentarza

A ja ci powiem skoro jesteś zaawansowanym użytkownikiem to nie powinieneś mieć żadnych zebezpieczeń (no chyba że FW - ale bez HIPS'a) - bo jako zaawansowany użytkownik nie powinieneś mieć problemu z "malware" :P

Przypiminam, że ktoś kiedyś (jeszcze na forum Aviry) działał przez jakiś czas bez zabezpieczeń w necie i jakoś czysto u niego było :P

 

Swoją drogą ja miałem tylko SpySheltera po formacie (nie z powodu malware jakby co) i jakoś nie miałem problemu z malware :P

Teraz dołożyłem PE Guard ale tylko do testów tej aplikacji i żeby sprawdzić jej zachowanie przy codziennym użytkowaniu ;)

Odnośnik do komentarza

Anonim2...po odejściu z Aviry stało się z Tobą coś złego :blink:...ogarnęła Cię jakaś obsesja "HIPS-owo-wirtulizacyjna"...

Ja miałem 1,5 roku KIS-a,1 rok NIS-a...i właziłem wszędzie...na wszystkie możliwe warezy...ściągałem i uruchamiałem pełno legalnych :lol: keygenów i innych dopalaczy...i nic mnie nie dopadło.

Przestań straszyć 99% użytkowników komputerów...dobrze wiesz : jeżeli nie klikasz we wszystko,masz zaktualizowane softy i system...to jest mała szansa,że coś ci wpadnie...dlatego nie rozumiem tych Twoich wywodów o "zaawansowanych użytkownikach"...

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
×
×
  • Dodaj nową pozycję...