A Dr. Solomon's antivírus megalkotója nem hisz a vírusirtókban, biztonsága érdekében inkább Linuxot használ

A Dr. Solomon's Anti-virus Toolkit jól ismert - talán a legismertebb - termék volt a maga idejében. Főként a DOS felhasználók körében volt népszerű. 1998-ban felvásárolta a Network Associates több mint fél milliárd dollárért. A Dr. Solomon's Anti-virus Toolkit megalkotója, Dr. Alan Solomon a napokban blogján kommentálta a Symantec egyik vezetőjének mostanában elejtett szavait. Brian Dye, a Symantec egyik rangidős alelnöke azt mondta a minap, hogy az "az antivírus halott". Solomon szerint Dye Ratnert csinált (Ratner-effekt).

Solomon a téma kapcsán szólt néhány keresetlen szót napjaink antivírus megoldásairól és azok hatékonyságáról. A blogbejegyzésben és a kommentekben megjegyezte, hogy régóta felhagyott az antivírus termékek használatával, mert szerinte a világ nagyot változott és az AV termékek egyszerűen használhatatlanok. Az antivírus termékek a mai malware felbukkanási ütem mellett (Solomon napi 100-200 ezer új malware mintát említ) egyszerűen nem tudják tartani a lépést. Solomon szerint régen, amikor az antivírus termékek indultak, egészen más idők jártak, de azt az időt el lehet felejteni.

Solomon a blogon megosztotta, hogy az antivírus termékekkel való vesződés helyett inkább Linuxra váltott. Linuxon kevesebb malware-t lát. Hogy ennek mi az oka, az nem érdekli. Utoljára több mint egy évtizeddel ezelőtt kapott vírust, amikor Windowszal meglátogatta a The Register weboldalt. Akkor nem telepítette újra a Windowst, hanem Linuxra váltott. Megtette, működik neki ez a megoldás, azóta nincsenek gondjai.

A blogbejegyzés itt olvasható. További részletek itt.

Hozzászólások

Én nem látom ebben a Ratner-effektust.

Van egy termék, ami a jelen formájában egyre kevésbé használható. Ezt a cég felismerte, és még a cikk szerint is pontosan ugyanabba az irányba mozdult, mint a piac többi szereplője. A cégeknek - ha jól értem - ipari méretű ethical hacking szolgáltatást kíván nyújtani, a telepített szoftverbázist pedig egyfajta szondaként akarja használni annak eldöntésére, hogy melyik támadástípussal kell komolyan foglalkozni.

Hol van ebben a Ratner-féle eszetlenség?

---
Science for fun...

Ha jól értem, ezen a piacon mindenképpen paradigmaváltás készül, következésképp a bevételek így vagy úgy de esni fognak. Nemcsak az ő bevételeik, de a versenytársaiké is.

Ennek megfelelően ennek az embernek két választása volt. Lapul a fűben, és hagyja, hogy a vásárlói maguktól jöjjenek rá a nyilvánvalóra, hosszú időre elveszítve ezzel a bizalmukat. A másik lehetőség az volt, amit tett. Kiállt, elmondta értelmesen, hogy rajtuk kívül álló okok miatt ugyan, de helyzet van, viszont dolgoznak rajta, tehát lesz megoldás. Ezzel megnyugtatta a befektetőit és becsületes vállalkozás látszatát keltette a vevői előtt.

Ratner ezzel szemben - saját elmondása szerint - szart csinált, és nem rajta kívül álló okok miatt, hanem mert ezzel lehetett sokat keresni.

---
Science for fun...

Mondtam egy konkret peldat, ami bizonyitja, hogy hulyeseg, amit mondtal. Erre te elkezdtel filozofalni, hogy milyen szep dolog az oszinteseg. Az uzleti elet nem arrol szol, hogy mennyire oszinte es rendibendi tudsz lenni masokkal, hanem epp ellenkezoleg. Nem tudom, mit akarsz meg ezen ragozni. Felolem eld csak a kis idealista eleted :)

Ez nem vilagnezeti kerdes, ezek puszta tenyek. Ha szerinted az uzleti verseny arrol szol, hogy mindenkit segitek, ahogy tudok, akkor de, alomvilagban elsz. Es ez nem azt jelenti, hogy nekem ez az ertekrendem; nem ertem, miert teszel egyenlosegjelet a vilag mukodese meg az en ertekrendem kozott.

Sot, tortenetesen ez az egyik ok, amiert valoszinuleg soha nem lesz sajat cegem, mivel undorom van tole. En lehetek barmilyen oszinte meg egyenes, kitorolhetem vele a seggemet, ha atgazolnak rajtam.

Vicces, hogy tényként próbálod előadni azt, hogy szerinted hogyan működik az üzleti világ, miközben bevallod, hogy nincs is saját céged. Elárulom neked, hogy az üzleti világ se csak gerinctelen, etikátlan, szar cégekből áll. Ugyanúgy sokfélék, ahogy a cégtulajdonos emberek is. (Csak hogy megelőzzem a kérdésed. Nekem 20 éve van cégem.)
--
♙♘♗♖♕♔

Az uzleti elet nem arrol szol, hogy mennyire oszinte es rendibendi tudsz lenni masokkal, hanem epp ellenkezoleg

ertem, szoval szerinted az uzleti elet arrol szol, hogy mennyire szemet tudsz lenni, ill. atverni a masikat. Kuldd be a fonokodet, hogy elbeszelgessek vele...

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

Igen, szerintem is eleg komoly problemaid vannak, ha negyed eve olyan szinten faj tolem a hasad, hogy az alairasodban valtogatod az idezeteket tolem. Persze mar elotte is sikerult az en es a csaladom eletenek fenyegetesig elmenned, szoval egeszen nyugodt vagyok, hogy nem lottem melle - korabban sem. Mondjuk nem volt tul nehez dolgom, hiszen rendkivul egyszeru, mondhatni primitiv vagy.

teged mindig ennyire felzaklat, ha kritizallak? Legalabbis a gyerekes "visszavagasaid" alapjan. Azert ellenorizd rendszeresen a vernyomasodat, nehogy a vegen megvalami bajod essen a heves forumoLOLzas kozben ... :-)

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

"Hogy ennek mi az oka, az nem érdekli."

Pedig (részben) ugyanaz az oka, mint amiért a természet "föltalálta" az ivaros szaporodást: a sokféleség.
A természetben a soksejtes élőlényekben az osztódáskor végbemenő kromoszámakereszteződés miatt minden egyes testi sejt különböző, hogy a sokféleség megnehezítse a kórokozók terjedését. Szerintem részben a sokféleség okozza, hogy Linux-ra kevesebb kártékony program létezik. Ugyanis a Linux-os rendszerek sokszínűsége, a változékony szoftverkörnyezet miatt sokkal nehezebb gyorsan terjedő kártevőt készíteni, mint Windows-ra. Biztos, hogy nem lehetetlen, csak a Windows-os környezethez képest sokkal nagyobb ráfordítást igényel, sokkal kisebb haszonnal kecsegtet, és emiatt valószínűleg nem vesződnek a Linux-szal a malware készítők.
Ezzel együtt biztos vagyok benne, hogy ha a Windows hirtelen egyik napról a másikra eltűnne, akkor pontosan ugyanennyi kártékony kód készülne Linux-ra is. Tökéletes védekezés biztosan nincs, egyszerűen csak a Windows relatív védtelensége és elterjedtsége garantálja a Linux biztonságát.

Baromsag. Kb. mint a kettovel fentebbi komment is. A linux verziok diverzifikacioja csak abban "nehezit", h maskepp kell a kodot generalni, de ez legfeljebb csak az itt levok egy reszenek a fejeben jelent nehezseget. Boven talalkoztam mar linuxos malware-rel is, valahogy mindegyikben megoldottak az osszes felsorolt problemat. :-)

Windowsra alig par okbol fakadoan van ennyi fereg,

1. pont eleg ideje keszulnek mar, h kesz, kidolgozott technologiak legyenek megvasarolhatoak, '86 ota pont eleg ido telt el. Ezek linuxra es osx-re meg csak most vannak keszulofelben, de nem kell izgulni, szepen haladnak vele. Pont a mostani 23 eves X rootolhato sechole demonstralja azt, h pont eleg kihasznalhato hiba maradt meg igy is. :-)

2. sokkal tobb a kreten juzer akit egy megfeleloen preparalt kornyezettel at lehet venni, nem kell nagy dolog sem, a tobbseguk siman atadja egy programnak meg a bankkartya adatait is. Onkent. Linux alatt - mivel meg mindig nem jott el a linux desktop eve - jobbara olyan kozonseg hasznalja a gepet, akinek meg van nemi sejtese, h hogyan is mukodik egy szamitogep, igy nehezebb oket atverni. Majd ha tomegevel terjednek a linux desktopok, akkor tomegevel lesznek firgek is. Lasd Android.

3. egyszeruen a mennyiseg. Erre az "iparagra" is igaz a megterulesi gorbe. Ha nem igy lenne, akkor mobil platformon nem az Android vezetne a fereggel ellatottsagi listan. Pedig a kommuniti szerint az is csak egy linux disztribucio.

---
pontscho / fresh!mindworkz

Androidhoz nem igazán értek ilyen mélységben, de desktopon a legtöbben a SELinuxot vagy kikapcsolják, vagy defaulton hagyják mindenféle beállítás nélkül. Szerintem baromi kevés ember van, aki tényleg használ SELinuxot, otthon.

Meg ugye, ahogy más is írta, attól hogy van egy telepített és bekapcsolt SELinux, még nem lesz biztonságos a cucc. :)

"attól hogy van egy telepített és bekapcsolt SELinux, még nem lesz biztonságos a cucc"... De :D

Sajnos pont az a gond, hogy enforce esetén néha vannak olyan frissítések, hogy mondjuk egy program már nem fér hozzá a config_home_t-hez. Így aztán el sem fog indulni. :D

Na ekkor jön az okos ember és kikapcsolja az SELinux-ot, ahelyett hogy contextet állítan. Mondjuk szabály íráshoz azért kell egy kis rutin az igaz. :D

Nana, nem attól lesz biztonságos valami, hogy valami lekorlátoz valamit, amiről átlag józsinak fingja nincs, hogy egyáltalán mit, miért és hogyan. :) A SELinux + nulla hozzáértés + nulla biztonságtudatosság kombó nem visz messzire. Persze, jobb mint a semmi, de akkor sem elég.

Manapság pláne, ahol a "nyertél egymilliót, add meg a bankszámlaszámod" gyakoribb attack vector, mint gyakorlatilag bármi más.

> Na ekkor jön az okos ember és kikapcsolja az SELinux-ot, ahelyett hogy contextet állítan. Mondjuk szabály íráshoz azért kell egy kis rutin az igaz. :D
És hát tulajdonképpen pont emiatt lesz otthon teljesen használhatatlan. Mert hacsak nem vagy kifejezetten szakértője a témának, vagy ki lesz kapcsolva, vagy értelmetlen policy-k lesznek benne, vagy arról sem tudsz, hogy van ilyen egyáltalán. :)

A default-ot használom. Egyetlen módosítás, hogy az ssh-t átraktam más portra, és arra is definiálnom kellett azt a szabályt, ami a 22-esre volt, hogy működjön. De ez azért nem igazi új szabály, csak a meglévő alkalmazása máshol.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Első ránézésre mezei desktopra azért nem rossz ez sem: https://wiki.ubuntu.com/Security/Features

Benne vannak a manapság alapnak számító dolgok (NX, különféle ASLR), ha jól értem, -fstack-protector-ral vannak fordítva a cuccok és még ezer jó dolog. Nyilván a Grsec adhatna még hozzá pár dolgot, de egy mai desktopnak így sem tűnik rossznak.

Valóban. Bár annyiban nem teljesen igaz, hogy az MS nem biztosítja, hogy a Firefox stack védelemmel van fordítva, míg az Ubuntu - ha jól értem - így tesz. Az Ubuntu emellett ad AppArmor-t is, ehhez hasonlót az MS nem említ. Nyilván ezer módja van még a hibák kihasználásának, de pár támadási vektort azért megfognak ezek.

Szerk: Lehet, hogy a vírusölők hiánya teszi a Linuxot biztonságosabbá?

Én úgy gondolom, az asztali linuxon legalább 50%-ban a kisebb elterjedtség az oka annak, hogy szimpla hétköznapi felhasználóként kevesebb támadás ér. Nincsenek illúzióim, viszont úgy vagyok vele, hogy ez nekem momentán so far so good.
Hogy manapság a windows már nem az, mint tíz éve volt? Jó, köszönöm szépen, észben fogom tartani, egyelőre elég kényelmes nekem az ubuntu ahhoz, hogy windowshoz csak akkor nyúljak, ha végképp nincs más választásom.

Nem az MS sara, ha a Mozilla nem stack védelemmel fordítja a Firefoxot Windowsra... Ahogy nem a Canonical sara lenne az sem, ha az Ubuntura feltennék egy olyan third party böngészőt, amelyik nincs így fordítva.

Az sem az MS sara, ha a Firefox nem használja ki a Windows által nyújtott más védelmi megoldásokat, mint az integritási szintek, vagy token resztrikciók. A Chrome és IE kihasználják ezeket a lehetőségeket, mégse maradnak talpon egyik évben sem pl. a Pwn2Own versenyen... ahogy SELinux/AppArmor esetén se lenne ez máshogy.

Btw. az meg van, hogy a mobil malwarek száma exponenciálisan növekszik és a 99%-a Androidra van?

Nincs jelentősége. A példa arról szól, hogy nem a béna MS szar kódja és nem a Windows biztonságtalanságának foka az elsőszámú ok desktopon se a vírusok nagy számának. Ha így lenne, akkor mobilon is a Windows Phonera lenne a legtöbb malware, ott viszont "érdekes" módon nem így van... Pedig ráadásul mobilon is a Windows Phone rendszere az egységes, statikus és az Android a sokféle, sokszínű.

"De mi a helyzet az OSX-szel?"

A) IT-s hozzáállás: lyukas, mint az ementáli, de működik, leszarom.
B) Bő'csészhozzáállás: én egy fotós/grafikus/akármi vagyok, mi az a security?
C) Ugyanez poweruser módban: OSX-re nincs vírus, mert még nem láttam!

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

A felsorolások szinte mindegyike - egy-két kivételtől eltekintve, amelyek viszont szintén a Grsecurity/PaX-ból származnak - a userlandben futó programok hibáinak kihasználása elleni lépéseket takarja. Ugyan még itt is bőven lenne mit fejleszteni (Ubuntu vs. Hardened Gentoo), de a kernel (ön)védelmével kapcsolatban még nagyobb a szakadék és a PaX-ban található megoldások sok évvel előrébb járnak.

Hardened Gentoo egy példa volt, amelyik kernele Grsecurity/PaX patchelt és jelenleg talán még mindig az egyetlen Linux terjesztés, amelyik kompletten PIE binárisokkal szállítja a rendszert. Ha helyette a kedvenc disztribúciódat használod, de Grsecurity/PaX patchelt kernellel, jó konfigurációval és szigorú RBAC szabályokkal, akkor már sok évvel megelőzöd az átlagot biztonságban. Az OpenBSD meg egy vicc, felejtsd el.

Bár emlékeim szerint nem csíped a linuxot, tudsz mondani/ajánlani valami másik disztrót ami alapból minél több mindent belepakol a gr/pax-ból? Gentoo nekem nem jött be.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Androiddal csak az a problémám, hogy mivel nem én telepítem egy töküres háttértárra/gépre (Linuxszal ellentétben), ezért nem az én kezemben van az eszköz root jelszava. Innentől kezdve számomra se nem megbízható, se nem biztonságos. Még akkor sem, ha Linux kernel van alatta.

Lehet idonkent forditva is am. Lasd windows-mindent-adminkent-csinalok Pistike, meg a "mit kerdezget ez a vacak, klikk ok-ok-ok-ok-ok, csak induljon mar, nem erdekel miert sikit allandoan a gep". Az se feltetlen jo, ha a userre van bizva a root/admin/stb hozzaferes. meg ugy altalaban a security dontesek, legtobb user keptelen ezekkel normalisan elni ...

Nekem egy olyan érvem lenne, ami nem biztos, hogy baromság:
- A legelterjedtebb Linux disztribúcióknak van önálló szoftver-központja. (Package manager) Ebből a központból a legtöbb olyan eszköz ingyen letölthető, amire egy átlag felhasználónak szüksége lehet. Így nem kell mindenféle bizonytalan helyekről szoftvereket letölteni.

Persze én is bele tudnék kötni a fenti állításomba, de valószínűleg a legnagyobb probléma akkor is az emberi tényező egy olyan világban, ahol az emberek egy ingyenes csengőhangért az anyjukat is eladják.

Ez sem teljesen igaz. Az ellenanyagok termeléséért, illetve antigén felismerésért is felelős lymphocytákban például teljesen "szándékos", ún. szomatikus rekombináció, bizonyos génekben nagyléptékű mutagenezis zajik. Nagyon leegyszerűsítve ez az alapja annak, hogy az immunrendszerünk képes még egy korábban sosem látott idegen ágens (legyen az: vírus, baktérium, gyógyszer, vegyszer, fehérje, stb.) ellen egy idő után immunreakciót kifejleszteni.

- waiter -

OFF
Még érdekesebb, ami linkelt oldalon nem található meg, ahogy a T-sejtek érése folyik a thymus-ban. Rengeteg fajta T-sejt "készül" el folyamatos mesterséges mutációval, és az első szelekciós körben elpusztulnak azok, amik nem elég aktívak, a második szelekciós körben pedig elpusztulnak azok, amik a szervezet saját fehérjéit is fölismerik. A maradék pedig kimegy a véráramba antigénekre vadászni.

Nem pont témába vág, de a mára már lecsendesülni látszó Snowden-botrány kapcsán gondolkodtam el azon, hogy az NSA csak úgy tudja működtetni a saját "vírusait" vagy malware-eit, ha szorosan együttműködik a vírusirtó szoftverek gyártóival. Nem rég megváltoztak az általam használt vírusirtó szoftver felhasználási feltételei. Miután átrágtam magam a feltételeken, olyan érzésem támadt (érzés, tehát alátámasztani nem tudom), hogy a vírusirtó alkalmazások maguk a legnagyobb malware-ek.

Hát, igen. Akár. Hisz futtatsz egy olyan programot, ami gyakorlatilag mindent meg tud tenni a gépeddel, full jogokkal, akár OS elől elrejtve, tehát elég lenne akár a vírusirtók kumminikációs csatornáiba beleállni és máris van egy szép nagy, szépen összerakott botneted :) Vagy akár úgy tud _bármilyen_ információt kicsempészni a gépedről mint a huzat :) És a vírusirtó sebezhetőség - bug ....

Juj, ez brutálisan durva! A vírusölők admin jogokkal futnak (ez érthető), használnak egy csomó fájl kibontó és egyéb libet, természetesen hibásakat, ráadásul a DEP és ASLR nélkül.

Erről jut eszembe egy történet: Egy cégnél egy megosztott helyre felkerült egy valószínűleg hibás fejlécű fájl. (Kép vagy exe-ben lévő ikon talán.) A lényeg az, hogy a fájlkezelő a könyvtárba lépéskor meg akart a fájlból jeleníteni egy kicsi képet, a vírusölő előbb leellenőrizte, aztán jött a kék halál. Mindenkinél, aki ránézett arra a könyvtárra.

használhatna beost is
No rainbow, no sugar