2 октября 2008 Никакой Комментарий2 October 2008 No Comment

люди в symantec отправили кое-что интересное сегодня - Это - Все О Репутации …the folks at symantec posted something interesting today - It’s All About Reputation…

хорошо, они не первые, которые войдут в облако (очевидно, см. панду, тенденцию, mcafee, и т.д), …, и при этом действительно ли они не являются первыми, чтобы пойти с системой репутации (ведите часового, для стартеров), … действительно ли они являются первыми, чтобы поместить систему репутации в облако? я не знаю, возможно, но в этом пункте это все еще не походит на такое грандиозное предприятие …well, they’re not the first ones to go into the cloud (obviously, see panda, trend, mcafee, etc)… nor are they the first to go with a reputation system (drive sentry, for starters)… are they the first to put a reputation system in the cloud? i don’t know, maybe, but at this point it still doesn’t seem like such a big deal…

то, что получает меня, тем не менее, является идеей, что она больше не использует отпечатки пальца … система репутации, которая говорит X, хорошо, Y плох, и Z неизвестен, в основном только комбинация черного списка и whitelist - и это не плохая идея, я говорил, что они служат дополнением друг другу хорошо долгое время теперь, таким образом фактически помещающий обе парадигмы в единственный продукт имеет большой смысл …, черный список - то, что говорит, что Y плох, whitelist - то, что говорит X, хорошо, и так как Z не находится ни в одном списке, это получает названный неизвестный …, вещь - подписи использования черных списков (отпечатки пальца), и их собственным способом whitelists делают к - они имеют к тому, чтобы удостовериться вещь, на которую Вы смотрите, действительно та же самая вещь, которую Вы видели прежде и решили быть хорошим/плохим …, она не может работать без signature/fingerprint/whatever …, эта новая система репутации может использовать различную форму подписей, но она определенно использует их …what gets me, though, is the idea that it’s no longer using fingerprints… a reputation system that says X is good, Y is bad, and Z is unknown is basically just a combination of a blacklist and a whitelist - and it’s not a bad idea, i’ve been saying they complement each other well for quite a while now so actually putting both paradigms into a single product makes a lot of sense… the blacklist is what says Y is bad, the whitelist is what says X is good, and since Z isn’t on either list it gets called unknown… the thing is blacklists use signatures (fingerprints) and in their own way whitelists do to - they have to in order to make sure the thing you’re looking at really is the same thing you saw before and determined to be good/bad… it can’t work without a signature/fingerprint/whatever… this new reputation system may use a different form of signatures, but it definitely uses them…

и что касается того, как это защищает Вас от совершенно новых угроз, поскольку предлагает почта, я могу только предположить, что она работает как это: вещам на черном списке мешают выполнить автоматически, вещам на whitelist позволяют выполнить прозрачно, и вещи, которые не находятся ни в одном списке, заставят пользователя быть данным, "действительно ли Вы уверены?” вызовите … наконец, чье - то помещение perfect.bat solly’s доктора (который спросил пользователя, если просматриваемый файл был вирусом или не) к хорошему использованию … and as for how this protects you from brand new threats as the post suggests, i can only imagine it works like this: things on the blacklist are stopped from executing automatically, things on the whitelist are allowed to execute transparently, and things that aren’t on either list will cause the user to be given an “are you sure?” prompt… finally, someone’s putting dr. solly’s perfect.bat (which asked the user if the file being scanned was a virus or not) to good use…

другим путем это могло бы работать, который является unknowns, автоматически управляются в песочнице некоторого вида … не песочница, предназначенная для malware классификации, возражать против Вас (много продуктов уже делают это), но песочница намеревалась отделить обработку пунктов, которым недоверяют, от системы хозяина, которой доверяют, …, я подразумеваю, так как они уже добавляют 2 из 3 профилактических парадигм в единственный продукт (мы надеемся, легко), не было бы здорово, если бы они добавили 3-ье также? я не буду держать свое дыхание для них фактически осуществляющий это, хотя … the other way it might work is that the unknowns get automatically run in a sandbox of some sort… not a sandbox meant for malware classification, mind you (a number of products already do that), but a sandbox intended to separate the handling of untrusted items from the trusted host system… i mean, since they’re already adding 2 of the 3 preventative paradigms into a single product (hopefully seamlessly), wouldn’t it be cool if they added the 3rd as well? i won’t hold my breath for them actually implementing this, though…