`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Возможны ли open source антивирусы?

+33
голоса

Вопрос может быть и праздный, но возник не на пустом месте. Похоже, произошла серьезная утечка кода защитных продуктов Symantec. Насколько это опасно?

Своим "успехом" похвасталась хакерская группа Dharmaraja. Им вроде бы удалось взломать серверы индийской военной разведки (!) и найти там исходные коды разных программных продуктов, а первыми они опубликовали ряд документов Symantec.

Естественно, точной информации о том, что именно попало им в руки нет, однако Symantec уже подтвердила изданию SecurityWeek утечку кода Symantec Endpoint Protection 11.0 и Symantec Antivirus 10.2 (это корпоративные продукты).

Оба не новые. Антивирус уже, кажется, снят с поддержки. Текущая версия SEP - 12.1, 11-я выпущена четыре года назад, хотя наверняка еще используется. Конечно, от версии к версии базовый код вряд ли меняется кардинально. Но вроде бы похоже, что тех, кому может угрожать опасность, не очень много. А какая, собственно, опасность?

Какой-то независимый эксперт высказался в том смысле, что, поскольку антивирусы в основном применяют сигнатурный анализ, то противодействие ему и так является основной задачей злоумышленников, и, следовательно, много нового они для себя не откроют.

Однако проблема может быть совсем иного плана. Не случайно сегодня большинство антивирусов применяют механизмы самозащиты. Знание принципов их работы и, возможно, недочетов в реализации может дать в руки хакерам метод их полной деактивации, и тогда бороться с сигнатурным движком даже не потребуется. И такие инциденты уже случались, я лично был свидетелем одного из них и как раз с продукцией Symantec (правда, довольно давно).

Вот отсюда и вопрос, вынесенный в заголовок сообщения. Мне полноценные антивирусы с открытыми исходниками неизвестны. ClamAV - только сканер. Есть еще пара менее известных, но в основном это исследовательские проекты и наверняка тоже только сканеры. Вопрос можно поставить и шире: всюду ли хорош или даже уместен подход open source?

+33
голоса

Напечатать Отправить другу

Читайте также

> Возможны ли open source антивирусы?

Clamav уже давно существует, может и другие есть.

Попробую отработать Кассандрой.
Ничего не произойдет. Ну, разве что, несколько повысится доля антивирусов Symantec в корпоративном секторе.

Грубая аналогия - конструкция танков известна хорошо (ну очень хорошо тем, кто интересуется). И чем лучше известна (а конструкторы еще и наперебой хвастают на выставках), тем их лучше покупают (само собой, при прочих равных характеристиках) - потому как не кот в мешке...

О полноценных антивирусах с открытыми исходниками.
Если речь идет о Microsoft Security Essentials - это невозможно. В том смысле, что MSE с открытым кодом. По ряду причин, к коду MSE отношения, в общем, не имеющих.
Может ли быть Symantec Antivirus 10.2 с открытым кодом - не знаю. Не знаком с политикой фирмы. Но начало вроде бы положено...

Думаю - но я не профессионал - что если представить (чисто теоретически!) открытие кода этих программ, на их работоспособности это вроде бы не должно отразиться. Хотя кто знает... может там есть совершенно секретные датчики открытости - открыл код, бац! срабатывает светодиод и все, полпрограммы нет, а в другой 10% умножений стали приблизительными и число Пи=от 2.12 до 3.62.
И он уже не антивирус, а торрент-клиент...

Почему ClamAV только сканер? а почему он, при его обычном способе использования на альтернативных ОС для поиска Windows вирусов в проходящем трафике, должен быть чем-то иным? есть технические основания?

Кстати, откуда информация о том, что коммерческие антивирусы есть нечто большее чем сканеры? так говорят те, кто их продают? Вы это серьезно? А ведь код закрыт, проверить слова невозможно, а реверсный инжиниринг либо незаконен, либо легко опровергается словами - "... так Вы имели дело с нелицензионной версией, что ж Вы хотите!". Нет, я отчаянно склонен верить людям на слово, иногда даже раньше - но в данном случае просто не вижу предмета обсуждения.

Не берите в голову. Вон (Конец света)-2012 отменили, а тут какие-то антивирусы. И вообще, с вероятностью (доверительной) процентов 80 это скорее всего PR ход Semantec. Красивый ход. Грамотный. Конем по голове.

С Новым годом!

так говорят те, кто их продают?

о чем вы?!
сканеры работают только по вашему запросу.
"полноценные" - автоматически.
озаботьтесь лучше своей головой. и если нет предмета - не обсуждайте.

сканеры работают только по вашему запросу.
"полноценные" - автоматически.

А если "запрос" - не мой? А если запрос осуществляется автоматически по некоему событию или расписанию - ClamAV столь же "автоматически" перестает быть "просто сканером" и становится "антивирусом"? Вот есть у меня пару серверов, где тот же ClamAV в паре со спамассасином работает - я лично его ни о чем не прошу, честно-честно. А вот mail-queue, просит -проверить письмо и аттач, например.
Вообще странное деление - "антивирус" это "против вирусов", если кто забыл. А как оно там "против" работает, это уже детали. Если отдельные производители в "антивирус" ухитряются воткнуть все, что можно и еще чуть-чуть того, что совсем не нужно - то это совсем не значит, что остальные, с меньшим количеством "свистелок" перестали быть "антивирусами".

не важно, чем запрос.
здесь речь идет о клиентских программах.
соответственно, автоматически - на уровне ОС, в ответ на файловые операции. как-то создание, копирование, запуск программы. это стандартная классификация.
вам действительно не о чем больше поспорить?

это стандартная классификация

Я не знаю, что такое "стандартная классификация" применительно к антивирусам. Что, и комитет соответствующий есть, международный?
Поинт был в том, что любой антивирус - это прежде всего сканер, а уж что вокруг этого сканера "накручено" - дело даже не третье. "Самостоятельность" и "автоматизм" любого "клиентского" АВ под виндами обеспечивается все теми же внешними модулями/фильтрами/драйверами, и абсолютно не важно, писал эти модули тот же, кто и сканер, или третье лицо.

здесь речь идет о клиентских программах.

ClamAV это "просто антивирус". Безо всякой маркетинговой шелухи вроде деления на клиентскй/серверный/домашний/корпоративный.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT