Перейти к содержимому


Фото
- - - - -

Запоминать контрольную сумму файла в исключениях

Feature request

  • Please log in to reply
10 ответов в этой теме

#1 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 287 Сообщений:

Отправлено 25 Октябрь 2019 - 12:58

Внесение файла в исключения и настраивание доступа приложений в превентивке в нынешнем виде является дырой в безопасности, т. к. файл опознается исключительно по расположению на диске. Соответственно, чистый файл может быть заражен / заменен вредоносное программное обеспечениеным, и DrWeb по-прежнему будет его игнорировать. Предлагаю дополнить механизм исключений отслеживанием контрольной суммы файла в исключениях. При несовпадении либо обращаться с файлом так, как если бы он был не в исключениях ("запрещать"), либо "спрашивать", что делать: обновить контрольную сумму или обращаться с файлом так, как если бы он был не в исключениях, либо обновлять контрольную сумму автоматически ("разрешать", как сейчас). Эти настройки (запрещать/спрашивать/разрешать) должны быть отдельны для каждого исключения / приложения.

 

Дополнительно при загрузке настроек, в которых определены исключения для файлов и/или настройки доступа для приложений, DrWeb должен искать соответствующие файлы и, если найдены и есть несовпадение контрольных сумм, спрашивать, не стоит ли их обновить - при любом состоянии настроек для конкретного исключения / приложения.



#2 VVS

VVS

    The Master

  • Moderators
  • 17 480 Сообщений:

Отправлено 25 Октябрь 2019 - 13:15

Внесение файла в исключения и настраивание доступа приложений в превентивке в нынешнем виде является дырой в безопасности, т. к. файл опознается исключительно по расположению на диске. Соответственно, чистый файл может быть заражен / заменен вредоносное программное обеспечениеным, и DrWeb по-прежнему будет его игнорировать.

Стоп, стоп...

В превентивке Вы указываете, какие действия для приложения Вы игнорируете.

А сам этот файл доктор игнорировать не будет.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#3 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 287 Сообщений:

Отправлено 25 Октябрь 2019 - 13:45

Это не важно. Я хочу, например, чтобы приложению разрешался низкоуровневый доступ к диску, т. е. говорю Доктору: "Окей, с этим приложением все нормально, пусть работает с диском низкоуровнево". А потом какой-нибудь злоумышленник, получив доступ к моей машине, заменяет файл этого приложения на свой. Замечу, что для этого может быть и не обязательно иметь админский доступ к системе.


Сообщение было изменено GCRaistlin: 25 Октябрь 2019 - 13:47


#4 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 855 Сообщений:

Отправлено 25 Октябрь 2019 - 17:09

А если изменился не файл, исключенный в превенте, а DLL?

#5 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 287 Сообщений:

Отправлено 25 Октябрь 2019 - 17:19

Понятно, что дыра все равно останется. Но размер ее будет сильно меньше, чем сейчас.



#6 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 855 Сообщений:

Отправлено 25 Октябрь 2019 - 23:00

ИМХО, тут половинчатых решений не будет.

#7 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 287 Сообщений:

Отправлено 25 Октябрь 2019 - 23:11

Абсолютное решение тут невозможно в принципе. Но то, как исключения реализованы сейчас, с точки зрения безопасности неудовлетворительно совершенно.



#8 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 101 Сообщений:

Отправлено 28 Октябрь 2019 - 14:03

любое исключение дыра в безопасности
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#9 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 287 Сообщений:

Отправлено 28 Октябрь 2019 - 14:17

Поэтому давайте оставим все как есть? Удобно.

Однако замечу, что компьютер существует для работы, а не для того, чтобы DrWeb считал, что тот надежно защищен. А так как представления DrWeb'а о подозрительной активности иногда отдают паранойей (типа "hosts должен быть умолчальным и никаким иным"), то исключениями пользуются и будут пользоваться. Соответственно, позиция "Раз пользуетесь исключениями, то ССЗБ" рождает парадокс: те пользователи, которые как раз заботятся о безопасности, при наличии альтернативы уйдут на антивирус, в котором эти самые контрольные суммы запилены. Так что кому от нее хорошо - загадка.



#10 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 747 Сообщений:

Отправлено 28 Октябрь 2019 - 15:00

Предложение нормальное и логичное по своей сути. Более того, в фаерволле уже сделано так, если выставлена галочка на проверку хеша.

 

Другой вопрос, насколько распространен кейс в реальной жизни.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#11 SergSG

SergSG

    The Master

  • Posters
  • 12 362 Сообщений:

Отправлено 28 Октябрь 2019 - 15:12

Другой вопрос, насколько распространен кейс в реальной жизни.

Это  https://bugs.drweb.com/view.php?id=149267покажет.  :)





Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых