Недавний релиз джейлбрейк от Geohot'а¹ для устройств на базе Apple A4² вызвал большой резонанс в кругах Dev Team³. Большинство разработчиков упрекало Джорджа Хотца в эгоистичности его намерений, тщеславии и недальновидности. Почему же это произошло?

limera1n — untethered джейлбрейк от Geohot использует вторую известную уязвимость в bootrom всех новых iOS устройств. Ранее, в сентября этого года, члены Dev Team pod2g и posixninja раскопали и частично документировали первую известную уязвимость в bootrom Apple A4 устройств. Теперь Apple известно о существовании обоих уязвимостей, которые, вероятно, будут закрыты со следующей аппаратной ревизией устройств.

Все дело в том, что bootrom (или SecureROM) — это небольшой загрузчик, который вызывается iPhone/iPad как только вы включаете устройство. Bootrom обычно прошит в read-only NAND (флеш-память), который прошивается на заводе при изготовлении устройства. Все последующие обновления iOS никак не затрагивают этот участок памяти: обновить bootrom возможно только с новой аппаратной ревизией устройств. Вот почему все найденные уязвимости в данном участке кода стратегически важны.

В процессе публикации последней части цикла статей «Ложь, большая ложь и антивирусы» выяснилась катастрофическая необразованность хабра-аудитории в области антивирусных песочниц, что они собой представляют и как работают.

Что самое смешное в этой ситуации — в Сети практически начисто отсутствуют достоверные источники информации по данному вопросу. Лишь куча маркетоидной шелухи и текстов от не пойми кого в стиле «одна бабка сказала, слушай сюды». Придётся мне восполнять пробелы.

• Определения
• Методы принятия решения о помещении под защиту
• Режимы использования антивирусных песочниц
• Заключение

Что управляет этим миром? Пресса? Телевидение? Монстроидальные корпорации? Нет — экономика! Именно она управляет людьми, которые хотят денег. А люди, которые хотят денег, составляют подавляющее большинство всех тех людей, которые вообще хоть чего-то ещё хотят и готовы действовать ради этого.

Откуда берётся экономика на зловредном программном обеспечении? А берётся она из положительного сальдо между украденными у простого пользователя ресурсами минус стоимость обхода средств защиты. Всё очень просто и логично, не так ли?

Какова же стоимость обхода современных антивирусных средств? Учитывая, что эпидемии случаются регулярно, а большинство пользователей всё же имеют антивирус с регулярно обновляемыми сигнатурными базами, то результат неутешителен — стоимость обхода современного антивируса достаточно низка, чтобы экономика на зловредном программном обеспечении не имела возможности существовать.

Ровно недели назад, антивирусная компания ESET сообщала о статистика самых распространенных интернет-угрозах в августе 2010 года, где также был составлен рейтинг о десять самых распространенных угроз в мире.

Но так как в отчёте было написано лишь имя вредоносов, сегодня, хочу предоставить Вашему внимаю краткое описание десять самых распространенных угроз в мире в августе 2010:

1. INF/Autorun
2. Win32/Conficker
3. Win32/PSW.OnLineGames
4. Win32/Tifaut
5. INF/Conficker
6. Win32/Agent
7. JS/TrojanClicker.Agent.NAZ
8. HTML/ScrIngect.B
9. Win32/Autorun.IRCBot.CX
10. Win32/TrojanDownloader.Bredolab

Средства безопасности — это чёрные ящики для их пользователей. Простой обыватель не способен понять, какова эффективность той защиты, которую он купил или собирается. Нужны тесты. Тесты, организуемые профессионалами.

До последнего времени, было всего два вида тестов средств защиты от заражений– прямой и ретроспективный тест сканирующего антивирусного движка. Больше ничего. Вообще.

Прямой тест — когда берётся коллекция из, примерно, миллиона образцов, непонятно как и где собранные, с неизвестным количеством мусора, который вообще не запускается, и на всё это безобразие напускают сканирующий движок. Дёшево и сердито. Ретроспективный тест — это тест с «замороженными» сигнатурными базами. Они перестают обновляться несколько недель, а потом на свежепоступившее мясо натравливают тот же антивирусный сканер.

Как видите, в таких тестах нет места для инновационных подходов к предотвращения заражения. Тестируется только сканирующий движок, как будто ничего другого вообще не существует. Однако у большинства современных антивирусов появился поведенческий блокиратор и фильтр URL, тестировать которые старыми методами невозможно.

Когда-то на советском пространстве были популярны «Вредные советы» Григория Остера. В них автор рекомендовал юным читателям прямо противоположное тому, что надо делать, в расчете на то, что они из вредности сделают как раз то, что нужно. Сегодня вредные советы пригодятся всем пользователям социальных сетей. Из тех же соображений.

1. Ни в коем случае не закрывайте свой профайл.
2. Добавляйте в друзья всех подряд.
3. Щелкайте по любой ссылке, которая придет.
4. Тролльте всех и каждого.
5. Обязательно пишите в статусах о всех своих действиях.
6. Непременно указывайте все контакты и места пребывания.
7. Везде указывайте самые модные кафе, самые дорогие марки и самых крутых людей, с которыми вы общаетесь.
8. Устанавливайте все приложения подряд и тратьте на них все деньги.

Антивирусная компания ESET, сообщает о самых распространенных интернет-угрозах, выявленных специалистами Вирусной лаборатории ESET с помощью технологии раннего обнаружения ThreatSense.Net в августе 2010 года.

Статистические данные вредоносного программного обеспечения в прошедшем месяце претерпели значительные изменения. Резкое падение активности червя Conficker привело к тому, что угрозой номер один в мире стало уже давно известное семейство злонамеренных программ INF\Autorun. Данный класс программного обеспечения использует для проникновения на компьютер пользователя функцию автозапуска Windows Autorun и распространяется на сменных носителях. Доля заражений INF\Autorun составила 7,76% по миру, что на 1,86% больше показателей августа. Наиболее подверженными этой инфекции стали ЮАР (10,48% от общего количества угроз), Израиль (5,66%), Австрия (3,58%) и Словакия (3,45%).

На втором месте рейтинга мировых угроз расположился червь Conficker. К концу лета его активность начала снижаться, и в августе доля распространения достигла абсолютного минимума за все время его присутствия в десятке – 4,89%, что на 7,58% меньше, чем месяц ранее. Основные очаги инфекций сохранились на Украине (6,98%), в ОАЭ (3,83%) и Польше (2,48%).

Замыкают тройку лидеров кейлогеры Win32/PSW.OnLineGames, используемые хакерами для кражи аккаунтов игроков многопользовательских online-игр. Уровень распространения этой угрозы составил 3,82%, что на 0,17% выше показателей прошлого месяца. В числе пострадавших от заражения пользователи из Словакии (3,36%) и Турции (4,09%).

Чем одна социальная сеть становится популярнее, тем больше привлекает внимание киберпреступников. Именно так случилось и с социальной сети Facebook, чьи пользователи часто становиться жертвами злоумышленников.

Избежать взлом своего аккаунта, кража личной информации или другие неприятные моменты, можно с помощью настройками уровня приватности и инструменты защиты, которые местами очень непохожи на, например, «В Контакте».

О безопасности и конфиденциальности Facebook — в сегодняшнем переводе «Руформатора».

Ложь, большая ложь и антивирусы. Часть третья. «Это бизнес, детка!». Ну ладно, все такие инертные — и пользователи, и журналисты. Но почему крупные производители антивирусов ничего, фактически, нового не предлагают потребителям? Им что, всё равно?

Может быть, это странно звучит, но для крупных производителей средств защиты оные — лишь средство ведения бизнеса. Кто-то производит и продаёт Кока-Колу, кто-то — антивирусы. И разницы между этими бизнес-процессами нет.

Это мелкие производители средств защиты, неистощимые энтузиасты, оперируют такими понятиями как «надёжность средства защиты», «адекватность модели угроз» и, может и банально, но «профессиональная гордость». Крупные производители оперируют лишь одном термином — ROI. ROI — это «уровень возврата инвестиций». Если ты вложился в производство сигнатурного движка сканирования, то сначала деньги нужно вернуть с прибылью, поделиться ею с акционерами, высшим менеджментом, а уже потом, может быть, сделать или закупить что-нибудь новенькое.

В первой части, Ложь, большая ложь и антивирусы, мы затронули аспект инерции сознания в выборе типа средств защиты от заражения зловредным программным обеспечением, зачастую ложно идентифицируемыми обычными пользователями как «вирусы».

Ну хорошо, скажете вы, мы тут такие все инертные, ничего нового не ищем. Но ведь есть компьютерные издания, журналисты которых должны следить за интересными новинками и писать о них. А они не пишут. Значит, новые технологии защиты плохие?

Да нет, всё не так однозначно. Когда кто-то создаёт новый, инновационный продукт для рынка, где нет устоявшихся «хороших практик», технологий и лидеров, о нем, безусловно, напишут. Но если это не так, то никто ничего писать не будет.

Эксперты по информационной безопасности антивирусной компании PandaLabs, представили список самых распространенных сетевых мошеннических схем за последние 10 лет. Эти основанные на легковерии трюки все еще используются, позволяя киберпреступникам выманивать у своих жертв суммы от пятисот до несколько тысяч долларов.

Сценарий у таких атак чаще всего один и тот же:

1. первоначальный контакт осуществляется через электронную почту или социальные сети
2. затем потенциальную жертву могут попросить держать связь по почте, телефону и т.д.
3. в ходе общения мошенники стремятся войти в доверие к людям
4. и в конечном итоге просят у них деньги под тем или иным предлогом