Quale potrebbe essere la ragione per cui un importante software antivirus non rileva una voce DNS dannosa?

Naviga le tue risposte
3

Recentemente ho installato la versione di prova di Kaspersky perché ho sempre avuto una buona impressione delle funzionalità del loro software. Ho anche acquistato una licenza per 1 anno con 1 PC, ma non l'ho ancora sigillata perché mi è successo qualcosa di molto insoddisfacente.

Quando ero su una festa di gioco LAN e ho provato a usare la rete, un semplice frattale dei servizi web era accessibile per nome a dominio. Dopo alcune ricerche e con l'aiuto di altri, abbiamo capito che questo era dovuto a voci sospette come il mio IP primario del server DNS e che probabilmente il server era stato sviluppato senza considerare lo scenario, che era presente sulla LAN, poiché il DNS legittimo l'aveva gestito.

Dopo aver cercato su google l'IP impostato come mio server DNS, quasi tutte le pagine stavano allertando sugli attacchi MITM e sui trojan. E anche il primo post è stato un report nel tracker di Kaspersky dal 2012 al 2012.

Quindi ecco la mia domanda:

Come può essere che un importante software anti-maschile come Kaspersky sia stato informato di questo 4 anni fa e ancora non sia in grado di rintracciarlo?

Da quanto ho capito, questo dovrebbe essere facile da rilevare. Immagino che la cosa più semplice da fare sia aggiungere questo indirizzo IP a una lista nera e controllare semplicemente la voce DNS contro la lista nera. Anche capire come leggere la voce DNS dei sistemi non dovrebbe essere un problema per gli sviluppatori di una compagnia del genere, vero?

Quindi, quali potrebbero essere i motivi per cui Kaspersky non è in grado di tenere traccia di ciò, ad eccezione della semplice opacità del corrispondente dev?

Nota: sono interessato a questo. Non sto cercando di sbraitare. Se questo potrebbe apparire così, si può sentirsi liberi di sostituire il nome del prodotto con uno pseudoproductname.

    
posta Zaibis 24.06.2016 - 12:13
fonte

1 risposta

2

Durante il controllo rapido, ho notato diverse istanze del problema esattamente opposto: Kaspersky bloccava qualsiasi connessione con l'IP del router dell'utente.

La spiegazione più probabile è che Kaspersky blocchi effettivamente gli IP maligni conosciuti (dato che usi il prodotto giusto, ad esempio almeno Kaspersky Internet Security e nessun antivirus autonomo), ma con due prerequisiti principali:

  • Gli IP dannosi devono essere conosciuti: devono essere stati confermati come malevoli dai team di Kaspersky, aggiunti in una lista nera e il tuo software deve aver aggiornato questa lista nera, tuttavia è probabile che l'hacker modifichi gli IP che usano regolarmente,
  • L'IP dannoso deve essere effettivamente dannoso:
    • Spesso questo è solo un host condiviso o compromesso che fornisce anche contenuti legittimi, bloccando completamente l'IP potrebbe avere effetti collaterali indesiderati. Per fare un esempio concreto ci sono blacklist di scarsa qualità su Internet che bloccano regolarmente importanti CDN come Cloudfare perché i loro IP sono stati utilizzati per servire alcuni malware. Una volta applicata tale lista nera diventa impossibile accedere a qualsiasi sito Web facendo affidamento sui servizi Cloudflare ...
    • Oppure il malware sta sfruttando qualche area grigia legale.

Seguendo i tuoi commenti, nel tuo caso, questo sembra essere quest'ultimo caso.

Sembri essere influenzato dal software DNS Unlocker, una società pubblicitaria sul proprio sito web ( http://www.dnsunlocker.com , URL volontario reso non cliccabile) un servizio che consente di aggirare i contenuti geo-limitati ma non propone alcun download per installare effettivamente il loro software ( !).

Spiegano esplicitamente di ottenerlo sostituendo il server DNS standard con uno proprio che sostituirà le risposte per i siti Web filtrati. Mostrano chiare dichiarazioni di termini e privacy, forniscono istruzioni dettagliate e complete sulla disinstallazione (incluso il fatto che la configurazione DNS dovrà essere modificata manualmente), informano che la loro applicazione è supportata dalla pubblicità e fornisce un modulo di contatto.

Sembrano anche collegati a GreenTeam ( http://www.greentm.co.uk , abbastanza onesti da annunciare nella loro pagina "Chi siamo" che si trovano in Israele e non nel Regno Unito ...), precedentemente CloudGuard secondo la mia comprensione, che si basano su lo stesso sistema per filtrare siti Web dannosi (à la OpenDNS quindi, ma con pubblicità e contenuti iniettati ...).

Un anti-virus dovrebbe bloccare un tale tipo di servizi "area grigia"? La domanda è piuttosto difficile, dal momento che stiamo parlando principalmente dell'equilibrio tra libertà e sicurezza. Ecco perché per lo stesso software, purché non sia provato che un servizio fa qualcosa di veramente illegale e dannoso, alcuni antivirus potrebbero classificarlo come malware mentre altri potrebbero adottare un approccio più conservativo.

Purtroppo, nessuno di loro sembra chiedere l'opinione dell'utente, supponendo che l'utente non lo sappia e preferisca non essere invitato a decidere nulla.

    
risposta data 24.06.2016 - 12:50
fonte

Leggi altre domande sui tag

Creazione di sottochiavi per una chiave OpenPGP esistente È necessario PCI come fornitore SaaS quando i pagamenti vengono gestiti su siti di terze parti?