Фейк-обновления, возможно ли? , Возможна ли подмена и как бороться?

1
RSS
Доброе время суток.
Вопрос мой, затрагивает как не оффициальную сторону продуктов ESET, так и вполне оффициальную, вплодь до ответа "комерческая тайна":
Возможна ли ситуация на не оффициальном сервере обновлений и с продуктом (антивирусом) у конечного пользователя:
Фальсификация\фейк\подделка сигнатур (файлов содержащих обновления\сигнатуры) и публикация их как новейшие\актуальные, пользователь скачивает их, и т.к. сигнатуры теряют своё свойство, антивирус не в состоянии защитить компьютер пользователя.
Более точные вопросы:
1) Возможна ли модификация сигнатур, с целью нарушения защиты на компьютере пользователя?
2) Как поведёт себя антивирус?
Прошу ответить не за тех кто "модифицирует" и "пользуется" нелегальными обновлениями, а за возможное или не возможное поведение ПО - т.е. Антивируса.
P.S. Я пониманию и знаю, что Вы ответите примерно следующим, что в таком случае не отвечаете за продукт и не оказываете поддержку, а так же, что вообще это может быть наказуемо по отношению к модификатору и пользователю, но вопрос не в этом.

Благодарю за внимание и оказание поддержки в данном вопросе.
С уважением, Евгений.
Изменено: ZeLiK ZLK - 01.04.2010 10:04:53
А разве сигнатуры не имеют цифровой подписи?
1. Возможно

2. Может не обновиться или обновиться, далее - неизвестно
stopudof,
Если честно, то я не знаю тонкостей данного вопроса, в связи с чем обратился. Не смотря на возможность отказа - "комерческая\"авторская" тайна".

Алексей,
Благодарю за ответ. Я, думаю, в таком случае можно попробовать (как понимаю, такого ещё нет) защититься "самозащитой", т.е. Антивирус должен сам как-то проанализировать эти файлы с сигнатурами. Но опять же вопрос: либо заводить вторую базу, чтоб с её помощью проверять сигнатуры - что, простите, бред, либо иметь какой-то минимум сигнатур в наличии, но и его же, скорее всего, можно будет обмануть :(
Я полагаю данная ситуация может возникнуть в любом защищающем компьютер ПО и с этим, видимо, нельзя бороться, а точнее не возможно, т.к. нарушается "жизненно важный цикл" программы по оказанию защиты.
Цитата
ZeLiK ZLK пишет:
Возможна ли ситуация на не оффициальном сервере обновлений и с продуктом (антивирусом) у конечного пользователя:
... подделка сигнатур (файлов содержащих обновления...) и публикация их как новейшие ...
Более точные вопросы:
1) Возможна ли модификация сигнатур, с целью нарушения защиты на компьютере пользователя?
2) Как поведёт себя антивирус?
Цитата
Алексей пишет:
1. Возможно

2. Может не обновиться или обновиться, далее - неизвестно
А если антивирус словит трояна, который подменит официальный сервер обновлений? )
crank69, что значит словит? 1) Антивирус поймает\обнаружет\нейтрализует троян ИЛИ 2) Троян подчинит\сломает\нарушит работу антивируса...? Судя по фразе "который подменит", делаю вывод, что верно п.2.
Если верно п.1, то второго быть не может.
Если верно п.2, то возвращаемся к моему вопросу (#1) и ответу уважаемого Алексея (#3). Имхо.
Цитата
ZeLiK ZLK пишет:
Возможна ли ситуация на не оффициальном сервере обновлений и с продуктом (антивирусом) у конечного пользователя ...

Прошу ответить не за тех кто "модифицирует" и "пользуется" нелегальными обновлениями, а за возможное или не возможное поведение ПО - т.е. Антивируса.
P.S. Я пониманию и знаю, что Вы ответите примерно следующим, что в таком случае не отвечаете за продукт и не оказываете поддержку, а так же, что вообще это может быть наказуемо по отношению к модификатору и пользователю, но вопрос не в этом.
ZeLiK ZLK, вопрос из поста #1 заключался в том, насколько я его понял, - как поведет себя НОД, если пользователь сам (!) будет обновлять его с серверов, не принадлежащих ESET. Меня же интересует другое. Возможна ли ситуация, когда лицензионный (!) НОД пропускает трояна, который изменит официальный сервер обновлений и модифицирует сигнатуры? И если да, то каковы возможные последствия?
Что значит, изменит официальный сервер обновлений? Это, по сути, взлом антивируса и недоработки программистов. Какие возможные последствия: все что угодно.
Повторюсь: нет универсальных средств защиты системы, правда, есть разнообразные песочницы и программы теневой загрузки системы, но их использование ставит ряд других проблем.
Что сказать: многим выгодно, чтобы продолжались разнобразные проявления кибер-войны, на ней можно сделать неплохие деньги без риска быть убитым. Плюс тотальная компьютерная безграмотность людей по всему миру, при этом непосредственно с компами работающих, делает возможным практически любые взломы и атаки. И адекватного решения подобных проблем нет, как известно, разруха есть лишь в головах, с лечения головы надо и начинать)
crank69, Да, Вы верно поняли. Пример (один из не многих): Выдать в качестве новых баз, ужасно старые.
Я займу позицию "отчаянного халявщика", в вопросе о лицензионности, скажу так, если взять у "соседа" лицензионное ПО, оно будет так же прекрасно работать и у меня, но: я нарушаю права\закон, и мне не обязаны оказывать поддержку etc. Программа же по прежнему "чиста и верна" - без "инъекций", т.е. работоспособна :) Имхо, далее будет долгий спор))
Предполагаю, что при наличии пароля на доступ к настройкам ПО, и при включённой самозащите - сменить сервер давольно проблемотично.
- Внести изменения через ПО, блокируеться паролем, если его нет - не знаю.
- Внести изменения в реестр не даст самозащита. Пароль, насколько я помню от ПО, тоже храниться в реестре, и думаю, тоже защищён. Единственный ход трояну, загрузиться в Безопасном режиме ОС.
- Модифицировать сигнатуры скаченные\зеркала, думаю, возможно, если не контроллируются самозащитой.
p.s. Надеюсь вышеописанное не будет расценяно как инструкция к действию, плагиат, х@к и т.д. По мне логичные мысли, жаль мат. части не хватает.
1
Читают тему (гостей: 1)