Исследователи из компании RACK911 Labs обратили внимание на то, что почти все антивирусные пакеты для Windows, Linux и macOS были уязвимы для атак, манипулирующих состоянием гонки (race conditions) во время удаления файлов, в которых обнаружено вредоносное ПО...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52779

• Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 12:57 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,gogo, 20:35 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,КО, 12:59 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Tita_M, 13:43 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Она их, 14:09 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 06:20 , 22-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Z, 16:44 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:03 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,bOOster, 16:17 , 26-Апр-20
• Большинство антивирусов подвержены атаке через символические...,Аноним, 13:07 , 21-Апр-20
  • Большинство антивирусов подвержены атаке через символические...,Tita_M, 13:59 , 21-Апр-20
    • Большинство антивирусов подвержены атаке через символические...,Timoteo Cirkla, 15:21 , 21-Апр-20
      • Большинство антивирусов подвержены атаке через символические...,Tita_M, 18:15 , 21-Апр-20
        • Большинство антивирусов подвержены атаке через символические...,и.о.К.О., 19:24 , 21-Апр-20
          • Большинство антивирусов подвержены атаке через символические...,annual slayer, 05:00 , 23-Апр-20
  • Большинство антивирусов подвержены атаке через символические...,Она их, 14:04 , 21-Апр-20
  • Большинство антивирусов подвержены атаке через символические...,псевдонимус, 19:05 , 21-Апр-20
    • Большинство антивирусов подвержены атаке через символические...,Аноним, 20:50 , 21-Апр-20
  • Большинство антивирусов подвержены атаке через символические...,и.о.К.О., 19:23 , 21-Апр-20
  • Большинство антивирусов подвержены атаке через символические...,Аноним, 20:49 , 21-Апр-20
    • Большинство антивирусов подвержены атаке через символические...,Аноном, 00:50 , 22-Апр-20
• Большинство антивирусов подвержены атаке через символические...,Аноним, 13:09 , 21-Апр-20
  • Большинство антивирусов подвержены атаке через символические...,КО, 13:24 , 21-Апр-20
    • Большинство антивирусов подвержены атаке через символические...,Аноним, 14:46 , 21-Апр-20
      • Большинство антивирусов подвержены атаке через символические...,Аноним, 16:35 , 21-Апр-20
        • Большинство антивирусов подвержены атаке через символические...,Аноним, 16:43 , 21-Апр-20
        • Большинство антивирусов подвержены атаке через символические...,Лол, 18:15 , 21-Апр-20
          • Большинство антивирусов подвержены атаке через символические...,getfr, 13:10 , 23-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,нона, 13:34 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 13:42 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 14:47 , 21-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,mfa, 15:11 , 21-Апр-20
        • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 17:21 , 21-Апр-20
          • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:06 , 21-Апр-20
            • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 19:44 , 21-Апр-20
              • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 21:33 , 21-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 16:17 , 21-Апр-20
        • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 17:48 , 21-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 16:34 , 21-Апр-20
        • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 17:57 , 21-Апр-20
          • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:11 , 21-Апр-20
            • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:49 , 21-Апр-20
            • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 22:08 , 21-Апр-20
          • Большинство антивирусов оказались подвержены атаке через сим...,Michael Shigorin, 14:54 , 22-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Урри, 16:55 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Anonymouse, 13:36 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,ффф, 15:37 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,тигар, 22:43 , 21-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 00:00 , 22-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 13:39 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,ryoken, 13:40 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 16:45 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Лол, 18:17 , 21-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,ryoken, 08:27 , 22-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,vitalif, 13:45 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 14:36 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 05:11 , 22-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 10:09 , 22-Апр-20
        • Большинство антивирусов оказались подвержены атаке через сим...,Michael Shigorin, 14:56 , 22-Апр-20
          • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 11:41 , 25-Апр-20
            • Большинство антивирусов оказались подвержены атаке через сим...,bircoph, 10:52 , 27-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 17:54 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 21:31 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 14:11 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 14:50 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,An, 14:26 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:49 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,evkogan, 14:50 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,snmp agent, 16:15 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 16:31 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Аномномномнимус, 19:30 , 21-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 20:03 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,vz_2, 15:02 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,vz_2, 15:05 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:01 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:26 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,JL2001, 11:54 , 22-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:47 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,robot228, 15:57 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Ordu, 16:22 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 16:41 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Ordu, 02:07 , 22-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 13:39 , 22-Апр-20
        • Большинство антивирусов оказались подвержены атаке через сим...,Ordu, 18:54 , 22-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 16:45 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 16:53 , 21-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 17:26 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,КО, 20:19 , 21-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 20:32 , 21-Апр-20
        • Большинство антивирусов оказались подвержены атаке через сим...,КО, 20:58 , 21-Апр-20
          • Большинство антивирусов оказались подвержены атаке через сим...,Ordu, 01:59 , 22-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 16:49 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 10:14 , 22-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 13:40 , 22-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:25 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Ordu, 01:58 , 22-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:44 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 17:34 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:26 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:51 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 22:04 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,snmp agent, 23:00 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Iron_Bug, 18:38 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 20:01 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,K50, 20:50 , 21-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 09:17 , 22-Апр-20
      • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 09:18 , 22-Апр-20
        • Большинство антивирусов оказались подвержены атаке через сим...,Michael Shigorin, 15:00 , 22-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 18:56 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 19:09 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 19:56 , 21-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 21:28 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Суп из потрошков, 18:56 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,и.о.К.О., 19:34 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 20:08 , 21-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 21:24 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 22:03 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 01:14 , 22-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Daemon, 23:49 , 21-Апр-20
  • Большинство антивирусов оказались подвержены атаке через сим...,Michael Shigorin, 15:07 , 22-Апр-20
    • Большинство антивирусов оказались подвержены атаке через сим...,Daemon, 20:02 , 25-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Аноним, 00:38 , 22-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,Аноним2, 06:17 , 22-Апр-20
• Большинство антивирусов оказались подвержены атаке через сим...,sazh, 01:27 , 23-Апр-20

Речь идёт о символьных ссылках, а не указателях на ячейки памяти, то есть кривописатели не проверяют, ссылка ли перед ними аль файл, поэтому вопросы все к кривописателям, а не языку программирования.

Тролль. Не кормите его )

Как страшно жить...
Веба как всегда в списке нет ну и поф.

Нет потому что не уязвим? Или потому что не популярен?

Все антивирусу - это от лукавого. Полная фигня.
Забросил эту ахинею несколько лет назад, не установлено ни одного АВ. Никакой разницы нет. Что с ним не знал, где люди вирусы берут, что без него. А некоторые дебилоиды по несколько установят и сидят корячатся. И все равно умудряются поймать трипе... вирусняк.

> Все антивирусу - это от лукавого. Полная фигня.
> Забросил эту ахинею несколько лет назад, не установлено ни одного АВ. Никакой
> разницы нет. Что с ним не знал, где люди вирусы берут,
> что без него. А некоторые дебилоиды по несколько установят и сидят
> корячатся. И все равно умудряются поймать трипе... вирусняк.

Ну, судя по тому, что "В Linux и macOS показано как таким способом непривилегированный пользователь может удалить /etc/passwd или любой другой системный файл" в данном случае эти антивирусы не только бесполезны, но ещё и вредны, с ними ещё хуже выходит.

Они запрещают тестирование и публикацию результатов тестирования со своим антивирусом

Так тут не о тестировании речь.

Че за чушь???

Касперский все равно что McAffee, и ничего он не защищает, а вот взлом Касперского, когда я стдел на Винде было уже несколько раз! Причем, те дыры, которые есть в Винде, позволяют с легкостью отключить Касперский из трея. Да и обновления базы Касперского ничего не дают, плохо они справляются с поиском вирусов. В основном удаляют те файлы, которые не содержат вирус. А зараженные вылечить не в состоянии.

У Касперского нужно настройки паролем защищать к тому же у них вроде даже нету защиты от эмуляции действий пользователя, т.е. через всякие программы удалённого доступа можно отключить антивирус. Мне нравиться как сделано в Доктор Вебе. Там чтобы изменить настройки нужно перейти в программе в специальный режим администратора, т.е. нужно знать пароль от админа компьютера так что пользователь машины если он работает под юзерской учёткой не сможет отключить антивирус или изменить настройки в отличие от Касперского. Плюс к этому имеются стандартная парольная защита и запрет на эмуляцию действий пользователя.

На самом деле нет. При любом удалённом доступе кошмарский недоступен для того, кто подключился к компьютеру удалённо.

А каким образом тогда его удалённо отключают всякие жулики? Не понимаю.

Для жуликов у касперского есть специальное API.

доступное по премиальной подписке для разработчиков

Взломать можно всё! На каждый антивирус найдётся свой буравчик.

Касперский это как женские лобковые волосы: прикрывает, но не защищает :-)

А вообще абсолютно любой антивирус является трояном.

Даешь крестовые походы против антивирусов!

>Причем, те дыры, которые есть в Винде, позволяют с легкостью отключить Касперский из трея.

К чему эти сложности, касперский отлично отключается через его собственные дыры.

Каспер сливает данные ФCБ, а Макафи АНБ. Выбирай из многих сортов, сынок.

Каспер не такой клёвый и пищит как свинья, выбор очевиден: https://www.youtube.com/watch?v=bKgf5PaBzyg (всё равно они _все_ плюс минус бесполезны, этот хотя бы всегда стильный интерфейс имел).

Никто и не смнивался, что в антивирусной отрасли большинство "сапожников без сапог". Ещё нужно хорошо взвесить, что важнее защита от вирусов или угрозы от компрометации антивирусного ПО.

Важнее лишняя производительность

Некоторые антивирусные решения предполагают, что компьютер пользователя предназначен только для поиска и удаления вирусов.

Чем медленнее работает браузер тем меньше вирусов им получится скачать.

В этом плане современные браузеры достаточно защищены, чтобы обходиться без антивирусов.

Вирусы то как-раз накачаются в фоне, а юзер даже зависшим курсором пошевелить не сможет чтоб что-то сделать. Так себе секьюрность🤣🤣🤣

юзер может всегда выдернуть вилку из розетки. И пусть качаются после этого.
После выключения отрубаются устройства коммуникации и чистится

Тоже новость, security продуктами управляют самые хитропопые продажники. Качество соответствующее. На внутрянки всяких WAF без слез нельзя смотреть.

Так если продажи итак идут зачем им заморчиваться?

Нормальная убогая логика старого компьютерщика: работает - не тронь.

ненормальная логика малолетнего дебила - построить неработающее вместо сломанного работающего.

Как раз не малолетнего. Малолетние по всей Америке коболистов ищут.

Ну-ка, покажи фотку столба с объявлением о поиске в качестве пруфа.

Гугель - поиск - кобол сша

Там чё-то жёлтое без ссылок на источники. Ты столб, столб покажи.

Зачем ломать то что работает? Только потому что ты молодой "компьюторщик?"

Это недостаточная причина?

Этот твой антипаттер называется "преждевременная оптимизация" можешь погуглить что это значит.

Кнут? Так там и сказано - старого компьютерщика. А чтобы решиться всё сломать, когда перспектива работающего (пока что) решения туманна и сделать заново - надо быть Джобсом, Королёвым, Лавочкиным.

Предположим, у тебя математическая библиотека на фортране. Твои действия? Оставить как есть или переписать на С? 20 000 строк на С (без хедеров) - это реально много.

Сам с собой ведешь беседу? Но ответ такой ничего не трогать пока работает. Перестало работать/поддерживаться/что_угодно/упало_в_проде начинаешь переписывать до этого ничего не трогаешь.

Предположим библиотека или предположим на фортране? С какой целью ты собираешься переписывать на медленном языке то, прекрасно работает на быстром?

> А чтобы решиться всё сломать [...] - надо быть Джобсом

Вот уж кого не жалко -- так это человека, угробившего запасы индия на планете почём зря.  Повторю вчерашнюю ссылочку до кучи: http://youtu.be/SbmgV7Oyp0w

> Королёвым, Лавочкиным.

Вы бы ещё Гейтса в тот же ряд посадили, хам.

Леня, перелогиньтесь.

ADinf32 не подвержен, пронесло

Adinf не антивирус, а дисковый монитор. А вот aidstest - антивирус :)

ухты. олдафги в треде.
жили у бабуси три веселых гуся - лоз, данилов и касперский, я от них тащууууся

Лозинский - дуб, аидстест - горбуха!

Красиво

Как ни смешно, а G-Data в списке дуршлагов не нашёл :D.

Самые безопасные — антивирусы Попова и Бабушкина. На них ни одного CVE нет!

лучший антивирус это хоть изредка включающийся мозг.

> лучший антивирус это хоть изредка включающийся мозг.

так щас народ им не комплектуют

Офигеть, сколько антивирусов под линукс существует, а мужики-то не знают!

То есть ClamAV оказался единственным, кто нормально себя ведёт?

Нет, просто он не умеет мониторить ФС, поэтому ничего автоматом не удаляет.

А нахрена ее мониторить? Искать винчих в /usr/bin? Задача антивирусов под Linux - мониторить файлопомойки, которыми пользуются несчастные пользователи винды. Хук на аплоад по http/ftp/smb всегда можно повесить.

> А нахрена ее мониторить?

ХЗ, ФСТЭК говорит — надо.

>> А нахрена ее мониторить?
> ХЗ, ФСТЭК говорит — надо.

Это беда, да.  Кстати, надо будет попробовать спросить с отсылкой к таким вот случаям -- мафия (антивирусная) мафией, но надо же и совесть знать.

Мониторить фс и сканировать файлы при доступе надо. ClamAV умеет мониторить и блокировать доступ при обнаружении виря через fanotify.

Файловый антивирус в GNULinux необходим для сканирования изменяемых разделов диска и получаемых через сеть файлов. /home, /tmp, /var/tmp надо сканировать при доступе. Настроить кеш с md5 сумами сканированных файлов и деятельность ClamAV станет неощутима.

> Файловый антивирус в GNULinux необходим для сканирования изменяемых разделов диска и получаемых через сеть файлов. /home, /tmp, /var/tmp надо сканировать при доступе.

Зачем? Жизнеспособных вирусов для Linux нет. Это не значит, что нет иных методов взлома, но защищаются от них вовсе не антивирусами.

> Настроить кеш с md5 сумами сканированных файлов и деятельность ClamAV станет неощутима.

md5 коллизии легко подбираемы, так что настраивайте.

Да, это же форк антивируса Попова

Comodo 02.2013 на qt4 - последняя версия. Не знаю, кто и ка на нём эти тесты проводил.

Эх... вот если бы антивирусник весь хоум пользователя перемещал бы в каталог quarantine - это был бы номер, прям в тему.

Зачем, если кое-какие популярные ОС сами это делают при обновлении.

Ну красавчики же )

Хoмячки, которые спонсируют вирусописателей (и по совместительству создателей антивирусов) - должны страдать.

Отсутствие всяких drweb и др. в списке это скорее всего не тестировали.
Но в списке нет TrendMicro. А это один из самых распространенных в мире.
Хотя странная подача материала, дать список уязвимых и не дать списка тестированных

Реклама стоит денег )

>всяких

Несколько раз сталкивался, что вирусы видел только drweb (ни нод, ни каспер не справились). Впрочем, ещё больше случаев было, когда он ничего не смог, и успешным оказался один из нод и каспер (но не оба, один из них постоянно пропускал). Что действительно странно, так это то, что нет самого распространённого от МС.

Базы пробовал обновлять?) Пока drweb самый адекватный из всех что я пробовал. А история общения с ним ещё со времён drweb for dos на 80486dx.
Кошмарский конечно впереди... по файлс-позитивам. Нод до сих пор не привычно считать антивирусом. Но конечно лучше чем вагон и тележка какого-то вообще неведомого троянизированного недософта которого десяток лет ещё даже не видел никто и который фальспозитивит ещё чаще чем кошмарский и единственное что они исправно делают - всякие кряки и активаторы выносят. Трояны/вирусня/майнеры - только по праздникам.

Угу, нод и каспер были лицензионные и обновлённые, а дрвеб самый свежий бесплатный cureit. Я не люблю чистить компы от малвари, поэтому не повторял, там просто надо было локалочку привести в порядок. И файлы выцепил для теста: запускаешь их, они заражают тебя криптолохерами и шпионами. Могу добавить только, что аваст ещё бесполезней нортона и мкафи (все обновлённые угу).

Подозрительно, в списке нет Windows Defender.

Вернее уже Microsoft Defender

Намёк?

Есть же.

> Есть же.

это для макоси который?

Винда не нужна.

не ав а помойка какая-то ну разве что каспер может претендовать на звание подручный фсб т.е. наверное знали об этом но не исправляли целенаправленно.
почему нету нода дрвеба и от мс - загадка.

А как антивирус может избежать такого? Мне в голову приходит только что-то в стиле:

chdir(downloads_dir_name);
if(av_check(downloaded_file_name)) {
    unlink(downloaded_file_name);
}

Но довольно уродливо жеж:

1. chdir надо делать, фактически манипулируя глобальным состоянием процесса, что сакс.
2. антивирь висит фоновым процессом, и если он делает chdir в другую файловую систему, то хрен её отмонтируешь, пока он оттуда не свалит, что тоже минус
3. race-condition не убирается полностью. В смысле уязвимость устраняется, но а если кто-нибудь в это время сделает mv, и заменит файл? Первый файл будет удалён этим mv, а мы удалим то, что придёт на замену.

Можно подключить inotify, но мне кажется это не спасёт полностью.

1) вместо chdir + unlink можно сделать unlinkat
2) см. 1. Чтобы отмонтировать, по-моему, достаточно закрыть за собой дескриптор директории
3) гонка внутри директории не убирается, но хотя бы есть гарантия, что файл удаляется из нужной директории, а не из /etc

> 1) вместо chdir + unlink можно сделать unlinkat

То есть передавать ядру абсолютный путь удаляемого файла, и если между av_check и unlink/unlinkat злоумышленник заменит директорию на симлинк, то мы удалим /etc/passwd.

> 2) см. 1. Чтобы отмонтировать, по-моему, достаточно закрыть за собой дескриптор директории

Нет, ежели у процесса текущая директория на разделе, то его не отмонтировать. Приходится выяснять что за процесс и прибивать его.

> 3) гонка внутри директории не убирается, но хотя бы есть гарантия, что
> файл удаляется из нужной директории, а не из /etc

Да, я согласен. Но всё равно интересно. По-моему без API позволяющего лочить директории или пути на уровне ядра, не получится писать без race condition.

> То есть передавать ядру абсолютный путь удаляемого файла, и если между av_check и unlink/unlinkat злоумышленник заменит директорию на симлинк, то мы удалим /etc/passwd.

Я ничего не говорил про абсолютный путь до файла. Я имел в виду это:

int dirfd = open(path_to_dir, O_DIRECTORY);
int file = openat(dirfd, filename);
if(av_check(file) == INFECTED) {
    unlinkat(dirfd, filename);
}
close(file);
close(dirfd);

А, круто-круто.

Запоминать иноду проверяемого файла и удалять по ней? И после удаления убеждаться, не появилось ли чего на месте удалённого? Сабж из новости не баг, а фича, как же бесит софт, файлы которого не переместить в другое место подобным образом.

А как удалить файл по inode? unlink принимает путь, а не inode

> А как удалить файл по inode? unlink принимает путь, а не inode

debugfs емнип

>Запоминать иноду проверяемого файла и удалять по ней?

Если в ФС есть такое понятие. :)

А вообще уязвимость чисто синтетическая. Вредоносу надо:
1. Успеть попасть на атакуемую систему.
2. Запустится
3. Подсунуть себя сканеру
4. устроить гонку.
5. поменять ссылку.
6. победить.

Еще как способ школьнику снести антивирус в классе, как-то. И то надо суметь успеть гонку сделать.

Так там можно мониторить, кто и когда к тебе обращается, поэтому не так и сложно. А то и попросить разбудить, когда тебя кто-то трогает. Что до проникнуть… Сейчас кончено всё больше через жит в браузерах, раньше можно было постучаться в закрытый порт и попроситься в духе "виндоус, дорогая, пусти меня, пожалуйста, мне тут надо проникнуть" и всё. Не так и давно это было.

А схожее понятие вроде же есть везде? Я не специалист по фс, но, как мне видится, без уникального идентификатора ничего бы не работало.

>Так там можно мониторить, кто и когда к тебе обращается, поэтому не так и сложно

Сначала надо при работающей проактивной защите выполнить пункты 1-2. Попытаться перехватить операции к ФС раньше АВ ибо с работающим он не позволит (жадный). Ну и угадать со временем (подстроясь под конкретный с конкретным набором баз).

>>Так там можно мониторить, кто и когда к тебе обращается, поэтому не так и сложно
>  Сначала надо при работающей проактивной защите выполнить пункты 1-2. Попытаться перехватить
> операции к ФС раньше АВ ибо с работающим он не позволит
> (жадный). Ну и угадать со временем (подстроясь под конкретный с конкретным
> набором баз).

av запрещает прикладным программам пользоваться inotify?

И ещё насчёт 3 — не уверен, что делается именно так, но антивирус может проверить файл на вирусы, и если он заражён, поместить в свою внутреннюю директорию с карантином, в которой настроены нужные права и которой он управляет единолично. В ней уже можно сверить номер inode с номером inode заражённого файла — если совпадают, удалить, если нет — восстановить.

Только для этого надо иметь отдельный карантин для каждой точки монтирования. Кто-то реально так делает?

Да, именно так и делают.

1. Вместо chdir можно использовать абсолютный путь.
2. Насколько это критично для /home?
3. Нужно работать не с путевым именем, а файловым дескриптором.

> 1. Вместо chdir можно использовать абсолютный путь.

Проблема которую надо устранить -- это возможность для злоумышленника поймать момент когда av_check запущен, а unlink ещё не сделан, удалить одну из директорий этого абсолютного пути и заменить её на симлинк на /etc.

> 2. Насколько это критично для /home?

А если это не /home? Я допустим после неоднократных переездов с одного диска на другой пришёл к раскладу где /home/me содержит много чего, но все downloads, torrents, porn и прочие объёмные хранилища на отдельном разделе. Так проще переезжать и проще добавить туда ещё диск. И в случаях когда диск переполняется, переполняется не /home/me, а вот та помойка.

То есть, я не думаю, что это критично -- антивирус и прибить можно, если что, -- но всё равно это такая вещь, которой хотелось бы избежать.

> 3. Нужно работать не с путевым именем, а файловым дескриптором.

Как удалить файл через файловый дескриптор?

Легко может избежать, если ты его не поставишь!

POSIX устарел - нужно менять его

Уже заменили на SUS.

Fucsia OS не POSIX-совместимая.

гугловцы же не наркоманы. Написали, что хотели под задачу. Они уже порядком подзадолбались участвовать в ненужных обсуждениях.

Да, проблема по идее не новая:
https://www.linux.org.ru/forum/security/14137656

Интересно, как это фиксили те, кто пофиксил. У них какой-нибудь модуль ядра или просто усложнили эксплуатацию, приблизив проверку к месту вызова unlink?

Фрактал, запомни раз и навсегда - главная дырень находится в твоей голове. Это раз. И второе - ты не программист.

Сказал специалист во всех сферах

Ньюфaг детектед!!1

Сам такой. Я на ЛОР-е чалюсь с конца 12

С конца 2012 года, в смысле

> С конца 2012 года, в смысле

Гм, а я оттуда ушёл в 2003.  Но #71 -- строго по существу.

Офигеть... Откуда они все взялись? Можно и в консоль пердолиться, и гуи есть, и модуль ядра, и еще много чего...

И руководство классное:
> ядро ОС должно быть собрано со включением следующих опций...
> ...библиотеку glibc версии 2.13 или новее.
> наличие графической подсистемы X Window System и любого менеджера окон
> для корректного отображения индикатора в... Unity... библиотека libappindicator1.
> Для повышения привилегий... требуется...: su, sudo, gksu, gksudo, kdesu, kdesudo.
> Для корректной работы... необходимо, чтобы... использовался механизм аутентификации PAM.
> может конфликтовать с другими брандмауэрами: Shorewall и SuseFirewall2, FirewallD
> ...если в состав ОС включен NetFilter версии младше 1.4.15... внутренней ошибкой в реализации NetFilter: при выключении... нарушается работа сети.
> не совместим с подсистемой улучшения безопасности SELinux

!!!Хорошая видать штука этот SELinux!!!

И вишенка на торте:
> Работа... в... «параноидальном» режиме с предварительной блокировкой доступа к еще не проверенным файлам возможна только через fanotify и при условии, что ядро ОС собрано с активной опцией CONFIG_FANOTIFY_ACCESS_PERMISSIONS.

Этот, интересно, будет подвержен?

Это разве не странно, зачем программе, которая исключительно только показывает страшные картинки и визжит, имитируя бурную деятельность, столько всего? Хотя в новые версии встроили алгоритмы поиска интересных документов и отправки их на сервера всех заинтересованных, но для это ведь тоже это всё не нужно?

> зачем программе, которая исключительно только показывает страшные картинки и визжит, имитируя бурную деятельность, столько всего?

Требования все адекватные. Для отображения графики нужна графика, для проверки файловой активности используется fanotify, для проверки сетевой активности тоже нужны средства мониторинга сетевых соединений и возможность настройки файерволла. Все там нормально с требованиями...

Другой вопрос - кому вообще потребовался АНТИВИРУС в линуксе? Были хорошие и востребованные решения типа livecd с антивирусником: загрузился и проверил наличие вирусов в файлах. Но там только диски сканируются (причем offline).

А для работы online - ну тут уже видно: нужно грамотно настроить файерволл, а тот же SELinux прекрасно блокирует активность антивируса... с таким же успехом он заблокирует и активность вируса ;) Изменения в системных файлах (даже сделанные каким-то хакером) прекрасно видит пакетный менеджер (сравнивая размер и контрольные суммы файлов в пакетах и на диске).
Польза от антивирусника становится сильно сомнительной, если руки из правильного места растут.

> кому вообще потребовался АНТИВИРУС в линуксе?

Задай этот вопрос ФСТЭКу.

> SELinux прекрасно блокирует активность антивируса

Скажу по большому секрету: ни фига он не блокирует.

Оу, значит встроенный антивирус виндоуз не подвержен. Хорошо.

у него другая беда. файловые операции замедляет в 17 раз.
копирование диры с множеством файлов
без антивирусов выполняется за 2 секунды,
с ним за 33.
с касперским "всего" за 24.

Ура, теперь мы будем знать как Доктор Вэб и Касперский следят за нами.

Лучший антивир - его отсутствие. В крайнем случае - когда его не слышно.

Когда его не слышно, он всё ещё тормозит и шпионит. Удаляет файлы (актуально для любителей игрушечек -- пока авторы не пожалуются в каждый антивирус, у всех покупателей будут проблемы) и генерирует глюки в софте.

Надеюсь всех этих кaсперов и прочих прeдaтeлей Poдины отдадут под трибyнaл.

А нефига сидеть под админом/root`ом. Исключение только разве что BSD. Там со времен Морриса ничего не появилось. Так что можно смело под root сидеть.

> Исключение только разве что BSD. Там со времен Морриса ничего
> не появилось.

А это померещилось? -- http://www.nixp.ru/news/12639.html

> Так что можно смело под root сидеть.

Мальчик, никогда взрослые дяди не говорили, почему именно работать рутом -- плохая примета?  Что такое privsep не только в сервисах, а и в повседневной работе?..

Понимаю, что умных дядь в окрестности могло просто не оказаться -- одни олухи с криками про "ляликс" (порой в майках win2k, как Dear Never).  Но это тоже не повод головой-то совсем не думать.

> А это померещилось? -- http://www.nixp.ru/news/12639.html

Во первых 2014 год. Во вторых PHP и LAMP/BAMP стек дырявый как дуршлаг. Базовую систему это не затрагивает.

> Мальчик, никогда взрослые дяди не говорили, почему именно работать рутом -- плохая
> примета?  Что такое privsep не только в сервисах, а и
> в повседневной работе?..
> Понимаю, что умных дядь в окрестности могло просто не оказаться -- одни
> олухи с криками про "ляликс" (порой в майках win2k, как Dear
> Never).  Но это тоже не повод головой-то совсем не думать.

Мальчик скоро дедушкой станет :) 53 как никак :)

Предпочитаю не лазить лишний раз в настроенные сервера вообще. А сидеть на инструментальной машине, где собираешь/пишешь под рутом ничего зазорного не вижу. Дирректива NOPASSWD в sudo не сильно уступает руту. Упадет - бэкап + git. Дома на мультимедиа-компе да - юзер. Но там и sudo разве что для reboot вводить если в очередной раз после apt update все упало )))))

То есть, чтобы подхватить вирус на линукс, нужно поставить антивирус?)

Вообще, у всех вменяемых антивирусов модульная архитектура с проверкой целостности собственным файлов. Там что, чтобы антивирус вынести полностью - это нам нужен зловред, который под конкретный АВ создаст штук 5-6 таких обманок, чтобы вырубить АВ полностью и безвозвратно. То есть, нам нужен некий главный троянец, который будет плодить мелких зловредов с их подменой на ссылки, исходя из детектируемого АВ, чтобы далее, после убийства АВ, загрузить либо троян для скачивания чего-нибудь ценного, либо шифратор для крипто-вымогательства. Я плохо представляю, чтобы АВ пропустил такое светопредставление у себя под носом.

Причем довольно интересный момент "в Windows атака ограничена только удалением файлов, которые в текущим момент не используются другими приложениями" - то есть уже запущенный АВ эта атака выгрузить и не сможет, а значит он вполне себе забьёт тревогу, что его файлы удаляют, что даст пользователю возможность как-то среагировать (выдернуть шнур:)). Про Linux не говорю, так как там и АВ, и вирусы - это из разряда мифологии. :)

В общем, мне кажется вендоры подзабили, так как реально этим воспользоваться слишком сложно. В видео человек в консоли команды отдает, но это синтетика в чистом виде. Нагляднее было бы показать, как некий рандомный файл, например, из почты, скачанный на ПК и запущенный райткликом сможет сделать что-то действительно критическое для системы или пользовательских данных, используя данную уязвимость.

П.С. Пользуюсь Eset-ом на оффтопике, как очень удобным и наглядным фаерволом с минимальной нагрузкой на систему. Закрыл все лишнии сетевые активности, настроил правила для контроля автозагрузки и доступа к рабочим файлам. Доволен и спокоен. Необходимости в чем-то более мощном на Windows не вижу, а на Linux и тем паче.

Я понял одно что антивирус на линуксе зло в двойне умножено на куб))