Лидеры форума

К слову: а если нажимать на "жалоба" у сообщения, то это не сильно достает модераторов\админов? Просто я когда вижу спамера, то нажимаю у какого-нибудь его сообщения на эту кнопку... То, что во втором сообщении данной темы жирно намекнули на супер-модератора и на еще одного модератора - это скорее мнение одного-трех лиц, а не всего коллектива форума. На мой взгляд, с модераторским составом на АМ все в порядке. Ну, тут российский сегмент Симантека явно проиграет, т.к у ЛК тут даже количественное превосходство налицо: сам форум, фан-клуб, клтест, ав-скул, блог Гостева, секурелист... Эээ... Так что пообщаться на любые темы - есть где. Один только Гостев чего стоит - с трудом могу назвать хотя бы двух современных журналистов с таким же ярким и точным языком. Поэтому тут каждый может найти общение под себя, а все вместе они - чувствуют себя семьей. Так?.. А по поводу спокойствия и осеннего обострения - "съехать крыша" может, в принципе, у каждого - нужно уметь отдыхать. Советую немного отдохнуть от технических проблем и окунуться в "гуманитарный мир" - прочитать какую-нибудь художественную книжку, посмотреть фильмы - сам неделю этим занимался - вроде отдохнул

Лично мне жалко, что не получилось взять в тест NIS2010 - очень хотелось посмотреть сонар2 в действии ... несомненно результат был-бы гораздо лучше ... надеюсь тест будет со временем все улучшаться и улучаться

http://www.antivir.com.tr/cebit/premium/ http://www.antivir.com.tr/cebit/premium/ а вот действительно свежачок от турков на 3 месяца. налетай ,пока не прикрылось! оригинал акции: http://wongsk.blogspot.com/2009/10/free-av...or-92-days.html

Такой вариант устраивает.

угу Никак. Линки на зараженные сайты и эксплоиты поступали в тест динамикой - есть линка, она анализируется, проверяется бинарник и если на него нет более чем 3-4 детекта отправляется тестеру. тестер пытается взять в тест линк как можно быстрее, причем непосредственно перед взятием сверяет md5 и детект по вирустоталу. Если детект увеличился со стороны тестируемых - линка из теста выкидывалась. В тестирование и шли в основном сплоит-паки. Причем шли в соответствии с распространенностью на момент тестирования: это были Fragus, Eleonore, YES и др. Все они активно развиваются и поддерживаются на текущий момент. Так же обращалось внимание на активно распространяемые rogue, например FakeSmoke. Касаемо 0-day - были такие на китайских хостах, но мне не удалось отловить выдачу бинарного файла с низким детектом. Особенно учитывая чем пакуют Перед принятием в тест был детальный разбор - самого скрипта, загружаемого бинарника, проверка его на детект и работоспособность. Кол-во линок идущих на тест можно сильно увеличить, если не обращать внимание на детект, а пускать все подряд. Не думаю, что так было бы лучше. Все продукты тестировались почти одновременно - последовательно в течение 1-2 часов с каждой линкой. Угу Данный тест не может быть по своей сути воспроизводим. На то он и динамический. Но вендоры сами могут убедиться в результатах сверя дату поступления семпла по md5 и выхода обновления с детектом. Проактвиные технологии так же возможно проверить имея бинарник.

Да, кстати, тут уже многие заметили, что тест не дождался новых версий продуктов. Так вот, предлагаю ориентироваться на лидеров рынка, а остальных просто не ждать. Ибо если всех ждать, то теста никогда не будет. Предлагаю это учитывать при каждом тестировании. Правда сначала необходимо собрать информацию когда у кого что выходит

Русский фейс есть, берётся всё отсюда:http://www.softsphere.com/rus/

Нужно больше людей и больше 0day семплов. Если с 1вым проблем нет, то второе приходилось долго ждать Сначала обновлялись продукты, где то в пределах 1 часа а затем уже серфились ссылки. Обновлялись сначала в алфавитном порядке, на следующем семпле в обратном. Естественно идеально было бы иметь 20 машин, на которых одновременно запускалось бы обновление. Так же детект сравнивался с результатами virustotal и не было семплов, где он сигнатурно брался, а по тесту феил.

Хочу сказать несколько слов относительно данного теста. Надеюсь, что тестировщики учтут мои замечания: 1) "Тест проводился в период с 7 июля по 22 октября 2009 года". Ну это не серьезно совершенно, нужно больше людей. 2) 0day на то и 0day, что во-первых, новый. А во-вторых, 0day обычно живет не долго (иначе он уже не 0day). Как это коррелирует с первым пунктом? 3) Выборка сэмплов совершенно мне непонятна. Рандом. Я бы рекомендовал обращать внимание прежде всего на сплоит-паки, которые быстро обновляются И это хорошо для теста. Также я рекомендовал бы обращать внимание на совсем новые уязвимости. Например на те, для которых еще нет патча и они только появились ItW. Это позволит узнать насколько хорошо вендор разработал проактивную защиту (сигнатура выйдет позже и это важно). 4) Выборка сэмплов мало того, что непонятная мне (методология? см. п6), так еще и очень маленькая. Возможно необходимо более детально разбирать что же там на сайте все-таки лежит. Одиночный ли сплоит, пак или вообще непонятно что 5) И еще смотрите какая простая штука. Моделировалась ситуация, когда обыкновенный пользователь серфит в сети. Получает обновления для антивируса. А теперь получается так, что во время тестирования первых выбранных антивирусных продуктов сигнатуру никто еще не сделал, однако, следующие антивирусы в тесте уже добавили сигнатуру в базу (на сплоит, на урл, на сэмпл и т.д.) и их будут тестировать уже с добавленной сигнатурой. То же самое можно сказать и о сплоит-паках, которые обновляются. Сегодня мы тестировали один сплоит-пак с несколькими выбранными АВ, а завтра уже тот же, но обновленный сплоит-пак, который пробивает все остальные АВ. Нечестно как-то получается, не находите? Как решалась эта ситуация? Ведь реальные пользователи различных антивирусов в реальной жизни находятся в равных условиях с обновлениями и т.д. 6) Мне кажется, что методология должна быть полнее, чтобы не возникало вот таких вот вопросов. P.S. И еще мне интересно, откуда в методологии появилась цифра в 20%? От балды?

я вот просто удивлен "щедростью" касперского по отношению к студентам пока майкрософт раздает Windows Seven за ~9к рублей бесплатно, лаборатория касперского делает такие "щедрые" акции. забавно смотрятся на этом фоне..

Лучше поставить вопрос иначе: система должна быть полностью пропатченная на момент теста или же непатченная (например, голый XP SP2)? Если первый вариант - на эксплоитах можно не тестировать - будет нулевый пробив и как бы все продукты защиты получат плюсы (или ось? ) Ну если только в друг 0-day не появится ). Надо прежде всего отталкиваться, что заражаются через веб только пользователи не патченных машин (при условии, что они сами не содействуют заражению, запуская приложения пришедшее по емейлу, например). Поэтому мое предложение - использовать голый SP2. Плюс самых поставить самые распространенные приложения, на которые часто приходится атака - старый флеш-плеер, акробат 8-ой, winzip старый, AOL, QuickTime 4 . Это где такая статистика? Можно линку глянуть?

жестоко, записывать проведение эксперемента. хоть кто либо так делал вообще? Приложить зловреды - невозможно. Исхдоников эксплойтов никто не даст нам... Если принцип работы некоторых, можно оценить по внешним проявлениям, то у части, только после изучения кода.