V snahe o vysoký stupeň detekcia kybernetických hrozieb v priemysle informačná bezpečnosť na túto tému sa často nezaslúžene zabúda. Ide totiž o veľmi nepohodlnú tému, ktorú sa niektorí vývojári snažia ignorovať (alebo ju riešiť pochybnými spôsobmi) – až do prvého vážneho incidentu, ktorý by mohol paralyzovať prácu zákazníkov. Bohužiaľ, takéto incidenty sa stávajú. A žiaľ, až potom príde pochopenie, že kvalitu ochrana pred kybernetickými hrozbami nie je len o prevencii, ale aj o nízkej miere falošných poplachov.
Napriek zdanlivej jednoduchosti témy minimalizácie falošných poplachov má v skutočnosti veľa ťažkostí a úskalia ktoré si vyžadujú značné investície, technologickú vyspelosť a zdroje od vývojárov.
Dva hlavné dôvody falošných poplachov sú (i) softvérové, hardvérové a ľudské chyby na strane vývojára, (ii) rôznorodosť právnych („čistých“) softvér ktorá je kontrolovaná bezpečnostným systémom. Posledný dôvod vyžaduje objasnenie. Programy skutočne píšu milióny ľudí s rôznou kvalifikáciou (od študenta po profesionála) na celom svete pomocou rôznych platforiem a štandardov. Každý autor má svoj vlastný jedinečný štýl, pričom „rukopis“ programový kód skutočne niekedy pripomína škodlivý súbor, na čom fungujú ochranné technológie, najmä na základe analýzy správania a strojové učenie.
Bez zohľadnenia týchto špecifík a bez implementácie špeciálne technológie na minimalizáciu falošných poplachov vývojári riskujú ignorovanie zásady „neškodiť“. A to zase vedie k obludným následkom (najmä pre firemných zákazníkov), porovnateľným so stratami zo samotného malvéru.
Spoločnosť Kaspersky Lab už viac ako dvadsať rokov vyvíja vývojové a testovacie procesy, ako aj vytvára technológie na minimalizáciu falošných poplachov a zlyhaní používateľov. Sme hrdí na jeden z najlepších výsledkov v odvetví pre tento ukazovateľ (testy AV-Comparatives, AV-Test.org, SE Labs) a sme pripravení povedať vám viac o niektorých funkciách našej „vnútornej kuchyne“. Som presvedčený, že tieto informácie umožnia používateľom a firemným zákazníkom robiť informovanejšie rozhodnutia o bezpečnostných systémoch a vývojárom softvéru zlepšiť svoje procesy v súlade s najlepšími svetovými postupmi.
Na minimalizáciu falošných poplachov používame trojúrovňový systém kontroly kvality: (i) kontrola úrovne návrhu, (ii) kontrola uvoľnenia metódy detekcie a (iii) uvoľnená kontrola detekcie. Zároveň sa systém neustále zlepšuje vďaka rôznym druhom preventívnych opatrení.
Pozrime sa bližšie na jednotlivé úrovne systému.
Ovládanie na úrovni dizajnu
Jednou z našich hlavných zásad pri vývoji je, že každá technológia, produkt alebo proces by mal a priori obsahovať mechanizmy na minimalizáciu rizík falošných poplachov a súvisiacich porúch. Ako viete, chyby na úrovni návrhu sú najnákladnejšie, pretože ich úplná oprava môže vyžadovať prepracovanie celého algoritmu. Preto sme v priebehu rokov vyvinuli vlastné osvedčené postupy na zníženie pravdepodobnosti poruchy.
Napríklad pri vývoji alebo zlepšovaní technológie na odhaľovanie kybernetických hrozieb na základe strojového učenia dbáme na to, aby učenie technológie prebiehalo na významných zbierkach. čisté súbory rôzne formáty... Pomáha v tom naša znalostná báza o čistých súboroch (whitelisting), ktorá už presiahla 2 miliardy objektov a je neustále aktualizovaná v spolupráci s výrobcami softvéru.
Dbáme tiež na to, aby sa v procese práce, školenia a testovacie kolekcie každej technológie neustále aktualizovali. relevantnéčisté súbory. Produkty majú vstavané mechanizmy na minimalizáciu falošných poplachov na súboroch kritických pre operačný systém. Okrem toho pri každom zistení produkt používa sieť Kaspersky Security Network (KSN) na prístup k databáze whitelistingu a službe reputácie certifikátu, aby sa uistil, že nejde o čistý súbor.
Okrem technológií a produktov je tu však aj notoricky známy ľudský faktor.
Vírusový analytik, expertný systémový vývojár, dátový analytik sa môže pomýliť v ktorejkoľvek fáze, takže tu existuje priestor pre rôzne blokovacie kontroly, ako aj rady / varovania / zákazy v prípade nebezpečných akcií zistených automatickými systémami.
Kontrola pri uvoľnení metódy detekcie
Nové metódy zisťovania kybernetických hrozieb prechádzajú pred doručením používateľom ešte niekoľkými fázami testovania.
Najdôležitejšou ochrannou bariérou je infraštrukturálny systém falošne pozitívnych testov, ktorý pracuje s dvomi kolekciami.
Prvá kolekcia (kritická sada) pozostáva zo súborov populárnych operačné systémy rôzne platformy a lokalizácie, aktualizácie týchto operačných systémov, kancelárske aplikácie, ovládače a naše vlastné produkty. Táto sada súborov sa pravidelne aktualizuje.
Druhá kolekcia obsahuje dynamicky generovaný súbor súborov zložený z najpopulárnejších na tento moment súbory. Veľkosť tejto kolekcie bola zvolená tak, aby sa našla rovnováha medzi objemom naskenovaných súborov (v dôsledku toho počtom serverov), časom takejto kontroly (a teda časom potrebným na doručenie metódy detekcie pre používateľov) a maximálne potenciálne škody v prípade falošne pozitívneho výsledku.
Obe zbierky teraz obsahujú viac ako 120 miliónov súborov (asi 50 TB údajov). Ak vezmeme do úvahy, že sú skenované každú hodinu pri každom vydaní aktualizácií databázy, môžeme povedať, že infraštruktúra denne skontroluje viac ako 1,2 Pb údajov na falošné poplachy.
Pred viac ako 10 rokmi sme ako jedni z prvých v odvetví informačnej bezpečnosti zaviedli metódy detekcie bez podpisu založené na behaviorálna analýza, strojové učenie a ďalšie sľubné zovšeobecňujúce technológie. Tieto metódy sa ukázali ako účinné najmä v boji proti zložitým kybernetickým hrozbám, vyžadujú si však obzvlášť prísne testovanie na falošné poplachy.
Detekcia správania vám napríklad umožňuje zablokovať škodlivý program, ktorý počas prevádzky vykazoval prvky škodlivého správania. Aby sme predišli falošným pozitívam na správanie čistého súboru, vytvorili sme „farmu“ počítačov, ktoré implementujú rôzne používateľské scenáre.
„Farma“ predstavuje rôzne kombinácie operačných systémov a obľúbeného softvéru. Pred uvedením nových metód detekcie bez podpisu sú na tejto „farme“ testované dynamikou v typických a špeciálnych scenároch.
Nakoniec nemožno nespomenúť potrebu kontroly falošných poplachov pre skener webového obsahu. Nesprávne zablokovanie webovej stránky môže viesť aj k prerušeniam práce na strane zákazníka, čo je pri našej práci neprípustné.
Aby sa tieto incidenty minimalizovali automatizované systémy Každý deň sťahujú relevantný obsah z 10 000 najobľúbenejších internetových stránok a skenujú ich obsah pomocou našich technológií, aby skontrolovali falošné poplachy. Na dosiahnutie čo najpresnejších výsledkov sa obsah sťahuje skutočnými prehliadačmi najbežnejších verzií a na vylúčenie poskytovania obsahu závislého od geografickej polohy sa používajú aj proxy.
Kontrola uvoľnených detekcií
Metódy detekcie poskytované používateľom sú pod nepretržitým dohľadom automatických systémov, ktoré sledujú anomálie v správaní týchto detektorov.
Faktom je, že dynamika detektora, ktorý spôsobí falošný poplach, sa často líši od dynamiky skutočnej detekcie. škodlivé súbory... Automatizácia takéto anomálie monitoruje a ak vznikne podozrenie, požiada analytika, aby ich urobil dodatočná kontrola pochybný detektív. A v prípade dôveryhodných podozrení automatizácia automaticky vypne túto detekciu cez KSN, pričom o tom urgentne informuje analytikov. Okrem toho tri tímy vírusových analytikov v službe v Seattli, Pekingu a Moskve nepretržite monitorujú situáciu v zmenách a promptne riešia vzniknuté incidenty. V akcii.
Okrem abnormálnych detekcií, inteligentný automatické systémy sledovať ukazovatele výkonu, chyby modulov a potenciálne problémy na základe diagnostických údajov odoslaných od používateľov prostredníctvom KSN. To nám umožňuje skoré štádia odhaliť potenciálne problémy a opraviť ich skôr, ako sa ich vplyv stane viditeľným pre používateľov.
Ak dôjde k incidentu a nemožno ho uzavrieť vypnutím samostatnej metódy detekcie, prijmú sa naliehavé opatrenia na nápravu situácie, ktoré vám umožnia rýchlo a efektívne vyriešiť problém. V tomto prípade môžeme databázy okamžite „vrátiť späť“ do stabilného stavu a to nevyžaduje ďalšie testovanie. Pravdupovediac, túto metódu sme v praxi nikdy nepoužili – nebol dôvod. Len počas cvičenia.
Mimochodom, o učení.
Prevencia je lepšia ako liečba
Nie všetko sa dá predvídať, a aj keď sme všetko predvídali, bolo by dobré vedieť, ako budú všetky tieto opatrenia fungovať v praxi. Aby ste to urobili, nemusíte čakať na skutočný incident - môžete ho simulovať.
Pravidelne vykonávame interné cvičenia, aby sme preverili pripravenosť personálu a účinnosť metód na predchádzanie falošným poplachom. Cvičenie sa scvrkáva na plnohodnotnú simuláciu rôznych „bojových“ scenárov s cieľom overiť, či všetky systémy a experti fungujú podľa plánu. Cvičenia zahŕňajú niekoľko oddelení technických a servisných oddelení naraz, sú naplánované na víkend a prebiehajú na základe dôkladne premysleného scenára. Po cvičení sa analyzuje práca každého oddelenia, zlepšuje sa dokumentácia a vykonajú sa zmeny v systémoch a procesoch.
Niekedy počas procesu učenia sa môžu identifikovať nové riziká, ktoré boli predtým prehliadané. Pravidelné brainstormingové stretnutia umožňujú systematickejšiu identifikáciu takýchto rizík. potenciálne problémy v oblasti technológií, procesov a produktov. Technológie, procesy a produkty sa totiž neustále vyvíjajú a každá zmena prináša nové riziká.
Nakoniec, pre všetky incidenty, riziká a problémy, ktoré cvičenia odhalili, systémová práca nad odstránením základných príčin.
Netreba dodávať, že všetky systémy zodpovedné za kontrolu kvality sú duplikované a nepretržite podporované tímom správcov. Porucha jedného prepojenia vedie k prechodu na redundantnú a promptnú nápravu samotnej poruchy.
Záver
Je nemožné úplne sa vyhnúť falošným poplachom, ale môžete výrazne znížiť pravdepodobnosť ich výskytu a minimalizovať následky. Áno, vyžaduje si to značné investície, technologickú vyspelosť a zdroje od developera. Ale tieto snahy poskytujú plynulý chod užívateľov a firemných zákazníkov. Takéto úsilie je nevyhnutné a je súčasťou povinností každého dôveryhodného dodávateľa kybernetickej bezpečnosti.
Spoľahlivosť je naším krédom. Namiesto spoliehania sa na jedinú bezpečnostnú technológiu používame viacúrovňový systém bezpečnosť. Ochrana proti falošným poplachom je usporiadaná podobne – je tiež viacúrovňová a mnohokrát duplikovaná. Iná cesta nie je, pretože nám ide o kvalitnú ochranu infraštruktúry zákazníkov.
Zároveň sa nám darí nájsť a udržať optimálnu rovnováhu medzi najvyššou úrovňou ochrany pred kybernetickými hrozbami a veľmi nízky level falošne pozitívne. Dokazujú to výsledky nezávislých testov: koncom roka 2016 získala spoločnosť Kaspersky Endpoint Security osem ocenení od nemeckého testovacieho laboratória AV-Test.org, vrátane „Najlepšej ochrany“ a „Najlepšej použiteľnosti“.
Na záver podotýkam, že kvalita nie je jednorazová dosiahnutý výsledok... Toto je proces, ktorý si vyžaduje neustále sledovanie a zlepšenie, najmä v prostredí, kde je cena možná chyba- porušenie obchodných procesov zákazníka.
Pravdepodobnosť falošných poplachov pre antivírus rastie spolu s počtom nových hrozieb a podpisov v databázach antivírusového softvéru. Niekedy falošné poplachy vedú k hroznejším následkom ako infekcia. Špecialisti v bezpečnosť siete zatiaľ nenašli spôsob, ako úplne eliminovať možnosť nevhodného správania bezpečnostných programov.
Chyba aktualizácie antivírusové databázy McAfee, ktorý vo štvrtok havaroval desaťtisíce počítačov po celom svete, je možno najjasnejším príkladom toho, aký zlý môže byť antivírusový program, keď môžu byť falošne pozitívne. Program si pomýlil systémový proces svchost.exe, ktorý je kľúčový pre fungovanie systému Windows XP, s červom, v dôsledku čoho sa desaťtisíce počítačov na univerzitách, školách, policajných staniciach a v spoločnostiach v Spojených štátoch, kde McAfee nainštalovaný bezpečnostný softvér, prešli dlhými cyklickými reštartmi.
McAfee drží rekord v oblasti falošných poplachov, pričom McAfee AntiVirus Plus 2010 bol vo februári 61-krát falošne pozitívny, podľa nezávislej organizácie av-comparatives.org. Výsledkom je, že antivírus obsadil 12. miesto v hodnotení. Iní známi dodávatelia bezpečnostného softvéru tiež zaznamenali falošné poplachy, ale oveľa menej často: Symantec Norton Anti-Virus 2010 mal 11 pozitívnych; pri Kaspersky Anti-Virus 2010 - päť; Eset NOD32 Antivirus 4.0 má dva; pri bezplatný Microsoft Bezpečnosť Essentials-- tri.
Nebezpečenstvo falošných poplachov však veľmi závisí od konkrétnej situácie. Falošné poplachy najčastejšie nespôsobujú počítaču veľké škody: prístup k niektorým čistým súborom je zablokovaný, prevádzka stroja sa trochu spomalí a obmedzí. Pre jedného používateľa sú to menšie a ľahko opraviteľné problémy. Ale pre veľké spoločnosti, falošné poplachy vedúce k masívnym výpadkom počítača, firemné siete a stránky - ide o významnú dočasnú, peňažnú stratu a stratu dobrého mena.
V iný čas falošné poplachy hlásili takmer všetci poprední predajcovia antivírusového softvéru.
Minulý august Kaspersky Anti-Virus zakázal svojich používateľov, aby pracovali s webovou stránkou banky HSBC a informovali ich, že internetový zdroj je infikovaný trójskym koňom HTLM-Agent-CE. Stránka v skutočnosti nepredstavovala žiadnu hrozbu, no používatelia nejaký čas nemohli využívať služby internetového bankovníctva. Chybu odhalili špecialisti Kaspersky Lab v ten istý deň, keď sa o falošnom pozitíve dozvedeli, no poškodenie dobrého mena banky už bolo napáchané.
Skôr, v novembri 2008, populárny antivírus AVG omylom prijaté súbory Adobe Flash, ako aj kritické pre Windows funguje systémový súbor user32.dll pre malvér. V októbri toho istého roku ten istý antivírus identifikoval populárny firewall CheckPoint Zone Alarm ako trójskeho koňa. Ako kompenzáciu za spôsobené nepríjemnosti musela spoločnosť AVG vyplatiť: dotknutí používatelia dostali bezplatná licencia AVG budúci rok.
V polovici marca 2006, po aktualizácii antivírusových databáz svojich zákazníkov, Symantec zablokoval celý prichádzajúca premávka od jedného z najväčších amerických poskytovateľov internetu AOL. Antivírusové programy spoločnosti Symantec si pomýlili rozsah adries poskytovateľa internetových služieb ako zdroje útoku a zablokovali prenos z nich.
Týždeň pred touto udalosťou McAfee nejaký čas falošne reagoval na programy Macromedia. Flash Player a Microsoft Excel.
A to sú len niektoré z antivírusových chýb, ktoré sa obrátia na antivírusové spoločnosti a ich zákazníkov.
Podiel falošných poplachov na celkovom objeme počítačové hrozby malý - niekoľko percent. Ich počet však rastie spolu s množstvom reálnych hrozieb. Antivírusové spoločnosti sa takýmto incidentom snažia vyhnúť, no vzhľadom na povahu boja proti malvéru to nie je vždy možné.
„Aktualizácie akéhokoľvek antivírusového produktu sa spravidla vykonávajú niekoľkokrát denne,“ vysvetlila stránka zástupcu jednej z antivírusových spoločností, ktorý si neželal byť menovaný. - Dôvodom je pridávanie nových záznamov do databáz na základe detekcie nových škodlivých programov (alebo už nových úprav známe vírusy). Stáva sa, že aktualizácie prebiehajú niekoľkokrát za hodinu. Niekedy sa vyskytujú zrážky. Najmä vtedy, keď je čistý súbor zamenený za infikovaný. Ale častejšie - keď sa nahrávanie na zistenie infekcie robí tak, že chytí aj čistý súbor. Akákoľvek aktualizácia je pred vydaním testovaná príslušnou skupinou, jej práca je dôkladne kontrolovaná. Ale niekedy dôjde k zlyhaniam."
"V prípade McAfee, falošne pozitívne." systémový komponent Svchost.exe je spôsobený skutočnosťou, že mnoho malvérových programov ho používa na skrytie svojej činnosti v adresnom priestore tohto systémový proces- povedal vedúci stránky Centra pre výskum a analýzu vírusov spoločnosti ESET Alexander Matrosov. "A červ Wecorl, ktorý riešenia McAfee videli po fatálnej aktualizácii, nie je výnimkou."
Podľa odborníka sú falošné poplachy vo väčšine prípadov spojené s nedostatkami v technológiách testovania podpisových báz pred ich vydaním, ako aj s chybami v heuristických detekčných algoritmoch. Kvôli týmto nedostatkom je takmer nemožné vylúčiť možnosť vzniku takýchto hrozieb.
„Neexistuje stopercentný spôsob, ako sa zbaviť falošných poplachov, pretože samotné metódy testovania softvéru sú založené na empirických odhadoch a majú pravdepodobnostný charakter,“ povedal Alexander Matrosov. - Antivírusový softvér deteguje škodlivý súbor na základe niektorých častí škodlivého softvéru. Podpis môže napríklad obsahovať niektoré jedinečné vlastnosti škodlivého súboru heuristické algoritmy zahŕňajú vlastnosti pre celé rodiny škodlivých programov. Preto neexistuje 100% záruka, že tieto vlastnosti nebudú nájdené v legálnom spustiteľnom súbore."
Adresy pre správy o falošných pozitívach antivírusov
Predstavte si, že ste napísali program, ktorý je neškodný, neškodný a bezplatný.
Používali ste ho šesť mesiacov a potom sa ho váš obľúbený antivírus rozhodol odstrániť
alebo: Stiahli ste si pomôcku a zo zvyku ste ju skontrolovali na VirusTotal.com, Jotti alebo VirSCAN.
Výsledok: 3 zo 41 odpovedí, že ide o vírus.
Máme nasledujúce možnosti:
- buď je vírus nový a ešte nevstúpil do zvyšku databáz;
- alebo je falošne pozitívny.
Ak ste si istí, že ide o falošnú pozitivitu, vzorku posielame do antivírusového laboratória.
buď opatrný: často existujú 2 rôzne adresy formulárov alebo e-maily:
- pre správy o nových vírusoch;
- pre správy o falošných pozitívach (práve o nich hovoríme v tomto vlákne).
Prečo sa vyskytujú falošne pozitívne výsledky?
Nový malvér sa objaví tak rýchlo, že človek nie je schopný samostatne analyzovať každý prípad. Dôvera padá na HIPS expertné systémy ktoré analyzujú súbor podľa viacerých kritérií v automatickom režime.
Takéto systémy môžu často poskytnúť falošné poplachy pre špeciálne packery, sekvencie funkcií API a kombináciu iných faktorov. Niektorí prisahajú jednoducho kvôli zriedkavému používaniu programu a jeho nedostatku zmysluplné štatistiky na ňom.
V dôsledku toho sa softvér dostane do databáz malvéru / podozrivých súborov.
Aký je správny spôsob odoslania programu do laboratória na opätovné testovanie?
Každý dodávateľ antivírusu má vyhradenú adresu Email(alebo formulár na webovej stránke), kde môžete poslať vzorku.
Poznámka, v každom prípade je veľmi dôležité prečítať si pravidlá služby:
- do akého typu archívu má byť vzorka zabalená
- aké heslo nastaviť (zvyčajne vírus alebo infikovaný)
- čo Ďalšie informácie nahlásiť v liste. Toto je zvyčajne:
- Slová: Falošne pozitívne podanie
- Heslo k prílohe je heslo, ktorým je archív zašifrovaný
360 internetová bezpečnosť (Úplná bezpečnosť) (Qihoo-360)
Mail: [e-mail chránený](archív v ZIP. Názov témy: "Falošne pozitívne podanie")
Formulár (ruština): Odoslať súbor na kontrolu - 360 Total Security
Formulár (oficiálna stránka): 360 杀毒 _ 样本 上报 (vyberte 误报 文件)
Odoslanie prostredníctvom formulára v archíve Formát RAR, ZIP, 7Z bez šifrovania. Súbor musí byť menší ako 20 Mb.
avast!
Formulár podpory: Avast Kontaktujte nás
V samotnom antivíruse: na karte karanténa.
Email: [e-mail chránený]
Zabaľte súbory do archívu ZIP s infikovaným heslom. Do predmetu uveďte „Falošne pozitívne podanie“.
IKARUS
V samotnom programe: na karte karanténa.
Email: [e-mail chránený]
Zabaľte súbory do archívu ZIP s infikovaným heslom. V liste uveďte "False-Positive detection" a heslo pre archív.
[e-mail chránený]
Kaspersky v archíve zip / rar s heslom „virus“ alebo „infected“
Formulár: Kasperky Virus Desk (vyberte „Vyčistiť“).
Email: [e-mail chránený] v predmete uveďte „Možná falošne pozitívna odpoveď“.
Ak máte licenciu - prostredníctvom žiadosti na tie. podpora (z osobného / firemného účtu).
Palo altové siete
Vytvorte vlákno na fóre pomocou tejto šablóny.
Sophos
Formulár: Odošlite vzorku
Email: [e-mail chránený]
Spybot Search & Destroy
Forma: Forenzné laboratórium – Spybot Anti-malware a Antivirus
Email: [e-mail chránený]
v zip archív s heslom „infected“, ak chcete poslať e-mail, potom v riadku predmetu uveďte „False Positive Submission“.
V samotnom liste uveďte: Heslo pre prílohu je infikované
SUPERantiSpyware
Fórum: Falošné pozitíva
(alebo použite špeciálny formulár v samotnom programe)
Hacker (TheHacker)
Email: [e-mail chránený]
(Neoverené)
ThreatTrack
Formulár:
Tencent
Existuje len fórum. V tejto sekcii môžete vytvoriť motív.
Ak sa chcete prihlásiť, musíte sa najskôr zaregistrovať prostredníctvom služby qq výberom možnosti E-mailový účet.
V budúcnosti používajte e-mailovú adresu ako prihlasovacie meno.
Totálna obrana
Email: [e-mail chránený]
v zip archíve s heslom „infected“, ak chcete poslať e-mail, potom v riadku predmetu uveďte „False Positive Submission“.
V samotnom liste uveďte: Heslo pre prílohu je infikované
Trapmín
Formulár: TRAPMINE Inc. - Kontakt
Email: [e-mail chránený](neoverené)
Trend Micro
Formulár: Odblokovanie webovej stránky – Podpora preklasifikovania IP adresy – Trend Micro USA
Pozor: formulár pošlite zabalený v RAR alebo ZIP s heslom. V liste uveďte heslo. Vo vnútri archívu musí mať súbor príponu EXE.
Formulár: http://esupport.trendmicro.com/srf/srfemea.aspx?en-jm&locale=en-gb&ic=Virus False Alarm (iba používatelia Trend Micro))
Vyberte názov produktu " Homecall Hosted Edition“, ostatné polia sú ľubovoľné údaje.
Email: [e-mail chránený](Iba zákazníci Trend Micro)
Pošlite súbor v archíve ZIP alebo RAR s heslom „virus“. Veľkosť súboru by nemala presiahnuť 50 Mb.
TrojanHunter
Email: [e-mail chránený]
v zip archíve s heslom „infected“, ak chcete poslať e-mail, potom v riadku predmetu uveďte „False Positive Submission“.
V samotnom liste uveďte: Heslo pre prílohu je infikované
Trojan Remover / jednoducho super softvér
Email: [e-mail chránený]
v zip archíve s heslom „infected“, ak chcete poslať e-mail, potom v riadku predmetu uveďte „False Positive Submission“.
V samotnom liste uveďte: Heslo pre prílohu je infikované
Úprimne povedané, prvé pochybnosti o „výskumných“ údajoch
sa objavil v mojej záhrade "Hermitage", kde špecialisti "LK" s nadšencom
nám povedali o tom, ako vytvorili profil 13-ročného dievčaťa, a potom si viete predstaviť ...
ako to padlo! Neskôr sa na nešťastné dievča vrhli pedofili a zvrhlíci
sekúnd po registrácii na Vkontakte!
Nájdite známky porna v špecialistoch "My World" Mail.Ru a Odnoklassniki
Kaspersky Lab zlyhal. No, takmer neúspešne.
Rozhodli sme sa skontrolovať, či je všetko naozaj tak a stvorené
profil roztomilého dievčaťa Sashe. Tiež 13 rokov.
Ale o tom neskôr. Po prvé, o spoľahlivosti informácií,
ktorý bol šírený médiami.
Rozhodol som ja (Maxim Makarenkov).
na objasnenie niekoľkých bodov s tlačovou službou LC poslal list so žiadosťou. A
dostal odpoveď takmer okamžite. Citujem to (frázy sú zvýraznené mnou): „Maxim,
dobré ráno.
O čom to rozprávaš
experiment, ktorý odborníci spoločnosti Kaspersky Lab vykonávali približne rok späť... Odborníci vytvorili v r
rôzne účty sociálnych médií v mene dospievajúceho dievčaťa. Účelom experimentu je
zistite, aké hrozby na sociálnych sieťach číhajú na mladých používateľov. Experimentujte
trvalo to asi týždeň. Počas nej sa ukázal „Vkontakte“.
najnebezpečnejšia sociálna sieť. Okrem tohoto ľahký prístup na obsah pre dospelých
štúdia zistila:
- pokusy o SMS podvod;
- nevyžiadaná pošta;
- phishing;
- požiadavky na profil s obscénnymi návrhmi;
- zastrašovanie a vyhrážky (kyberšikana).
ale
Chcel by som ešte raz zdôrazniť, že nejde o formálne štúdium.
Bol to druh „zážitku“, ktorý umožnil získať určitý rez hrozieb
pre deti v rôznych sociálnych sieťach “.
Ojoj Potom načo šmýkať úradníka
prezentácia sa nazýva „Výskum
sociálne siete"?
Prečo počas prezentácie v záhrade Ermitáž
nebolo upresnené, že "experiment" bol vykonaný pred rokom? Použite údaje
pred rokom posúdiť stav internetových projektov... Poviem to mierne - na
spôsobuje mi to mierny zmätok.
Na základe tohto záveru ihneď tlač
spustí vysielanie nasledujúcich správ:
Dajme slovo opäť laboratórnym špecialistom
Kaspersky. Píše nám vedúca tlačovej služby Kaspersky Lab Julia
Krivosheina:
"To nie je
o formalizovanej štúdii, ale o týždňovom experimente, ktorý vykonal
od špecialistov spoločnosti Kaspersky Lab. The
experiment nesledoval úlohu určiť, ktorá zo sociálnych sietí
je najnebezpečnejšia alebo najbezpečnejšia a nemôže slúžiť ako základ pre
zodpovedajúci záver. Jeho cieľom bolo len
demonštrovať určitú časť hrozieb, ktorým možno čeliť
dieťa na rôznych sociálnych sieťach."
To je, samozrejme, úžasné. Len prečo
potom som sa nestretol s jediným vyvrátením nepravdivé informácie ktorý
šíriť médiá? Tu je dokonca ťažké obviniť novinárov zo zvyku
neprofesionalita. Je tam napísané „výskum“, úprimne napísali „výskum“.
Boli napísané „závery“ a odvysielali závery.
Pre špecialistov spoločnosti Kaspersky Lab
srdečné pozdravy.
Na tomto mieste by mali byť závery, ale máme ich
sa ukázalo byť také konšpiračné, že sme sa rozhodli uviesť len zoznam definícií.
A vy sami usporiadajte v príslušnom poradí: „zlá viera“, „odborníci“, „úvod“.
zavádzajúce „,“ prispôsobenie výsledku „,“ neprofesionalita“.
Sasha prichádza na svet
A čo bezpečnosť? Napríklad s
najbezpečnejšia sieť - My World Mail.Ru?
Rozhodli sme sa skontrolovať, a naša stálica
autor vytvoril účet pre roztomilé dievča Sasha v rovnakých troch sociálnych sieťach.
Na účty bolo použitých niekoľko skutočných fotografií dievčaťa,
získala so súhlasom seba a svojich rodičov. Nastavenia vo všetkých troch
sociálne siete zostali nezmenené – nie dodatočné obmedzenia, okrem
nainštalované samotnou službou, neboli. Účty boli prepojené pomocou mobilu
telefón a e-mail podľa požiadaviek sociálnych sietí.
Počas týždňa experimentu iba na experimentálnej sieti Vkontakte
Istý občan napísal „dievčatku“ s obscénnym návrhom.
V sociálna sieť"Odnoklassniki" za pár dní
mladý chalan juhoázijského pôvodu sa pokúsil pridať ako priateľa. On
Chcel som sa len stretnúť a porozprávať. Bohužiaľ, jeho znalosti v ruštine
zostalo veľa želaní.
Video súbory na požiadanie "porno" v sociálnej sieti "Môj svet"
sa naozaj nedá zistiť. Avšak prekvapivo aj napriek tomu, že nám
hľadáme pomocou účtu 13-ročného dievčaťa (vek je uvedený v profile), my
ponúknuť vyhľadávanie na internete.
Skvelé, všetko je na očiach. Najzávažnejšia punkcia, pretože
bolo možné zablokovať nielen Výsledky vyhľadávania ale aj samotná možnosť
Vyhľadávanie.
Hľadajte v sekcii "Video" na "Odnoklassniki" iba
neškodné videá. Vyhľadávanie podľa skupiny prinieslo výsledky podobné ako „My
svetu ".
Vyhľadávanie na internete poskytlo rovnakú stránku vyhľadávacieho nástroja Mail.ru. To je mimoriadne prekvapujúce vzhľadom na skutočnosť, že portál
spolupracuje s Ligou bezpečný internet„A pravidelne to vyhlasuje
filtruje výsledky vyhľadávania. Dôvody, prečo v takej zrejmé
V tomto prípade neboli prijaté žiadne opatrenia na ochranu dieťaťa pred pornografiou.
V predvolenom nastavení sieť Vkontakte vyhľadáva v „zabezpečených
vyhľadávanie “, v ktorom je takmer nemožné nájsť pornografiu.
Túto možnosť však môžete zakázať jedným kliknutím myši.
Pekné klamstvo, lebo v testovacom profile je to už naznačené
vek - 13 rokov. Súhlasíme.
Dostávame videá vystrihnuté z rôznych televíznych relácií.
Treba priznať, že napriek absencii explicitných scén takéto produkty
možno prirovnať k pornografii, aspoň čo sa týka
umelecký význam. V skutočnosti sa ukazuje, že nájdenie pornografie na Vkontakte je
nie veľmi ľahké.
Ale povedzte, 13-ročné dievča sa v prvom rade ponáhľa
hľadáš porno? Poď!
Ale určite sa chce stretnúť a porozprávať. Uver mi
rodičia so skúsenosťami.
A v MyMir ideme na vyhľadávanie podľa skupín. Vyberáme dojemnú položku „Zoznamovanie a láska“.
Nie je potrebné hľadať porno. Tu si vás nájde sám. A,
ďalej, stačí mať čas obrátiť sa. A to ešte neilustrujeme výsledky.
hľadať ľudí ... Stačí jazdiť v slove "bi", aby ste sa naučili veľa nových vecí. Oddelene
Označme Android aplikáciu MyMir. Tam začne hľadanie ľudí fungovať ako
zadávanie slov. To znamená, že veľmi "bi" sa začne okamžite nachádzať. Automat.
Z nejakého dôvodu nie sú moderátori „Môj svet“ ničím
na takýchto fotografiách nevidia nič odsúdeniahodné. Aj široká verejnosť
mlčí, možno je to spôsobené menšou popularitou sociálnej siete
v porovnaní s gigantom Vkontakte.
S týmito obrázkami však, samozrejme, nemá nič spoločné
zoznamka. Bohužiaľ, niektorí používatelia uverejňujú svoje vlastné
fotografie, ktoré, mierne povedané, vyvolávajú otázky. Niektoré z nich sú skryté pod
pečiatka "18+", ale ako pri hľadaní videa "Vkontakte", môžete bezpečne
sfalšovať vek uvedený v profile.
A aj tak je skrytá len časť. Napríklad sme narazili
účet dievčaťa, ktorého vek bol uvedený - 3 roky. A vytvorené fotografie
aby sme sa hlboko zamysleli.
Pripomeňme si príbeh detských módnych skupín na Vkontakte. Pozrime sa, čo MoiMir ponúka tínedžerom.
Závery) ukázali vec, a tak je to každému zrejmé. Porno a "iné radosti" môžete
nájsť na akejkoľvek sociálnej sieti.
Vkontakt nie je ani zďaleka najnebezpečnejšia sociálna sieť.
Len on a MyMir majú rozdielne publikum a obyvatelia týchto sociálnych sietí konajú
rôznymi metódami.
Ďalším úplne zrejmým záverom je, že
skutočne pochopiť, aké hrozby čakajú na používateľa v konkrétnej sociálnej sieti,
nie sú potrebné „experimenty“, ale pravidelný výskum s jasnými metódami a
jasné kritériá.
Je pravda, že je zaujímavé, že žiadna z bezpečnostných spoločností
počuli sme už o výsledkoch takýchto štúdií?
Tu by som rád odovzdal ďalší srdečný pozdrav Lige
bezpečný internet.
Myslíte si, že nikto z jej špecialistov nevie, že:
1.MyWorld má obrovský
počet virtuálov. Napríklad muži vytvárajúci účty pre ženy? Čo je tam
veľký počet transsexuálov? (do vyhľadávania zadajte ľudí TS alebo TS)
2.MyWorld má veľa
účty vytvorené výhradne na propagáciu hier alebo akýchkoľvek služieb? Mať
takýchto virtuálov je niekoľko desiatok tisíc, sú neustále online a
viesť aktívne krmivo
3.V mojom porno svete
nehľadáte podľa slov „porno“ a „erotika“, ale podľa iných dopytov? Rovnako ako vo Vkontakte,
Mimochodom.
Na to, aby ste vedeli ktoré, vám stačí aspoň trochu
zaujímať sa o dospievajúce subkultúry. Mimochodom - hentak k tým
nepatrí na prvé miesto.
V rovnakom "Vkontakte" pravdepodobne nájdete svoje pod vodou
prúdy a tieňová spoločnosť. Stačí sa pohrabať trochu hlbšie a ukázať
záujem o predmet. Potom však zmizne možnosť senzačných odhalení.
Drak, ktorého sa treba báť, zmizne a začne sa normálna pokojná práca
s jedným z prejavov života spoločnosti. Postoj "špecialistov" zo známej firmy a známej
Ligi zatiaľ hovorí, že takúto prácu nepotrebujú. Zaujímalo by ma prečo?
Výrobcovia softvéru ponúkajú obrovský výber antivirusový softvér... Antivírusy sú čoraz zložitejšie, vývojári prichádzajú s čoraz viac technológiami na detekciu „nežiaduceho softvéru“. V dôsledku toho často vzniká opačný problém – falošné poplachy, ktoré sa vyskytujú periodicky a postihujú všetkých výrobcov softvéru. Žiadny vývojár antivírusov sa nemôže pochváliť, že ich produkt nikdy nevyvolal falošné poplachy. Antivírusové spoločnosti sa snažia poskytnúť riešenia takýchto chýb v čo najskôr, no napriek tomu sa niektorým používateľom podarí trpieť každým takýmto prehliadnutím.
Komentár poskytol technický manažér projektu Zillya! Oleg Sych:
« Falošné pozitíva antivírusový softvér je veľký bolesť hlavy všetkých antivírusových spoločností. Antivírus často niektoré odstráni užitočný súbor systém alebo softvér používaný pre používateľa je horší ako to, že antivírus vynechá nejaký trójsky kôň. Aby sme minimalizovali prípady falošných poplachov našich antivírusových produktov, neustále zvyšujeme kapacitu testovacie centrum antivírusové laboratórium, v ktorej sa pred zahrnutím do aktualizácie antivírusovej databázy testujú všetky vírusové záznamy."
Nesprávna činnosť antivírusového programu je chybná detekcia čistých súborov ako škodlivých. Táto chyba sa vyskytuje, keď súbor obsahuje časti kódu alebo pracuje podľa typického algoritmu malvér... Inými slovami, časť kódu obsiahnutá v čistom súbore je podobná kódu vo víruse. Heuristická analýza nemôže vždy rozpoznať kód vírusu kvôli jeho šifrovaniu. V tomto prípade môže byť efektívne spustenie analýzy správania.
K falošne pozitívnemu výsledku môže dôjsť aj vtedy, keď program vykoná akcie, ktoré antivírusový analyzátor správania považuje za akcie charakteristické pre vírus. Napriek šifrovaniu vírusu budú jeho akcie analyzované a ak budú vyzerať vírusová aktivita, činnosť programu bude zablokovaná.
Ak antivírus považuje súbor zriedka používaného alebo nekritického programu za vírus, jeho činnosť nebude predstavovať veľký problém- program je možné obnoviť, samotný systém bude naďalej fungovať. Avšak, pokiaľ ide o falošné poplachy na systémových súboroch, používateľ môže čeliť oveľa vážnejšiemu problému, vrátane potreby preinštalovať systém.
Antivírusový program, ktorý omylom odstránil súbor, nie veľmi dobre populárny program ktorý je prítomný na desiatich počítačoch, nespôsobí také problémy, ako keď vymaže systémový súbor z desiatok miliónov počítačov.
Relevantnosť problému falošných poplachov potvrdzuje dostupnosť testov na takéto chyby, ktoré vykonávajú svetové laboratóriá pre počítačovú bezpečnosť. Jedna taká štúdia bola nedávno vykonaná čínskym testovacím laboratóriom PC Security Labs. Hlavnou činnosťou organizácie je vykonávať pravidelné testovanie softvéru, ktorý poskytuje počítačová bezpečnosť a vývoj noriem na vykonávanie takéhoto testovania. Posledná práca tento súkromný nezávislý výskumná organizácia testoval 33 populárnych antivírusových programov na falošné poplachy. Testovanie prebiehalo v dvoch smeroch antivírusovej prevádzky: statické poplachy pre čisté súbory a falošné poplachy proaktívnej ochrany. Je dôležité, aby výsledky tohto testu nepreukázali kvalitu detekcie škodlivých súborov, ale iba mieru falošnej pozitivity testovaných antivírusov.
Testu sa zúčastnili najnovšie verzie antivírusové programy s naj najnovšie aktualizácie antivírusové databázy.
Testovanie pozostávalo z analýzy databázy čistých súborov, ako aj kontroly blokovania procesu inštalácie a spúšťania najčastejšie používaných programov. Zaujímavé výsledky priniesla analýza programov, ktorých spúšťanie a používanie najčastejšie vedie k falošným pozitívam antivírusov. Podľa správy 26,32 % falošných poplachov pochádza zo softvéru pre cenné papiere. Detektívi herné programy tvoria 21,05 % falošne pozitívnych výsledkov. 13,16 % falošných poplachov je vydaných pri programoch pre prístup na internet a mediálnych programoch. Špecializované priemyselné a bankové programy prevzali každý 10,53 % antivírusových chýb a zvyšných 5,26 % pochádzalo z počítačového bezpečnostného softvéru.
Výsledky výskumného laboratória PC Security Labs prezentovali v podobe množstva ocenení s rozdelením do kategórií: päť, štyri a tri hviezdičky. Zverejnený je aj zoznam produktov, ktoré nezískali žiadne ocenenia, pretože mali príliš veľa falošných poplachov.
Najvyššou hodnotou je päťhviezdičkové ocenenie, ktoré získal antivírusové produkty s dvomi alebo menej falošne pozitívnymi výsledkami. Sú to produkty spoločností BitDefender, MicroWorld, F-Secure, Jiangmin, KingSoft a Microsoft... Získanie štvorhviezdičkového ocenenia znamenalo, že produkt dal tri alebo štyri falošne pozitívne výsledky. Toto ocenenie získali antivírusové riešenia od nasledujúcich vývojárov: NETGATE, Qihoo, Rising a Trend Micro... O trojhviezdičkový krok sa podelili antivírusy vývojárov AVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya! a ArcaBit, ukázali päť alebo šesť falošne pozitívnych výsledkov.
Je tiež potrebné poskytnúť zoznam softvérové produkty ktorí sa zúčastnili testovania, no na základe výsledkov nezískali ocenenia - testom neprešli. Zoznam obsahuje spoločnosti AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira a Coranti... Údaje získané z tohto testu využijú laboratóriá PC Security Labs pri budúcich testoch softvéru obľúbeného v čínskom regióne.
Hodnota avatarov v psychológii
Hodnota avatarov v psychológii
Ako zdôrazniť písmeno v MS Word
Čo to znamená, ak je avatar osoby
Ako si vytvoriť svoj vlastný Twitter moment