Антон Борисов опубликовал текст беседы с коллективом компании DrWeb.
В интервью освещены следующие интересные моменты: формирование команды разработчиков, тех. процесс, вопросы ценообразования, фильтрация вирусов в squid, решения для защиты от спама, выгодно ли IT-бизнесу наличие вирусов, отношение к ClamAV, планы по пересмотру политики по отношению к ключам,URL: http://www.opennet.me/base/rel/drweb_interview.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=3542
Стоит у меня postfix+RAV, после эпидемии Mydoom заглянул я в карантин RAVа в некоторых письмах в заголовках написано "Checked by Dr.Web (http://www.drweb.net)". Какие будут соображения ?
У меня создалось ощущение, что вирусы маскируются всеми способами, в т.ч. добавляя в заголовок письма и в подпись сообщения о том, что письмо проверено антивирусом.Кроме того, этот сволочной DrWeb в бесплатном варианте не сканирует архивы (даже те, которые создал не пользователь, а сам вирус - т.е. содержащие только вирус). Не сканирует, но тем не енее ставит отметку о том, что письмо проверено (а надо бы писАть "письмо НЕ было проверено, т.к. бесплатная версия не проверяет архивы"). И к тому же не подписывает, на какой машине была произведена эта проверка (а это могло бы помочь отличить поддельную подпись).
Кстати, мне непонятно, где происходит распаковка архива перед проверкой на вирусы - а drweb-smf или в drwebd?
>
>Кроме того, этот сволочной DrWeb в бесплатном варианте не сканирует архивы (даже
>те, которые создал не пользователь, а сам вирус - т.е. содержащие
>только вирус). Не сканирует, но тем не енее ставит отметку о
>том, что письмо проверено (а надо бы писАть "письмо НЕ было
>проверено, т.к. бесплатная версия не проверяет архивы").А вот цитата из отчета drweb'а:
---------
Dr.Web detailed report:
127.0.0.1 [57720] drweb.tmp.SCYrbP - архив MAIL
127.0.0.1 [57720] drweb.tmp.SCYrbP/[text:plain] - Ok
127.0.0.1 [57720] drweb.tmp.SCYrbP/disco.zip инфицирован
Win32.HLLM.Netsky.41984Dr.Web scanning statistic:
Evaluation key used !
Known viruses : 1
---------Как видите, дрвеб отловил вирус в архиве.
Возможно, он ловит только "особо опасные" вирусы? :))
Тада интересно, почему вирусы маскируются таким вот образом, т.е. добавляя в заголовок письма сообщение о том, что проверено именно DrWeb-ом, а никаким-то другим !!!
на форуме drweb'а отвечали на этот вопрос.
как они ответили связано это, если не ошибаюсь, с багом обработки MIME-типов.
хотя imho просто заманушка для покупки антивируса.
просто смешно:(вопрос n9 про ClamAV)
[цитата]
Вряд ли кто-то доверит свой основной ресурс программе, за которую
фактически никто не несет ответственности, потому что она бесплатная.
[/цитата]наверно, из этого должно следовать, что если др.Веб пропустит вирус, то создатели будут нести за это ответственность.
>наверно, из этого должно следовать, что если др.Веб пропустит вирус, то создатели
>будут нести за это ответственность.Может они еще возмут на себя ответственность если машину задосят через кривой .rar в аттаче ?
Но DrWeb мне гораздо больше чем Kaspersky нравится, на последнем лежит вечное несмываемое клеймо http://www.securityfocus.com/bid/2900
ClamAV на высоте из-за того, что аудит кода любой провести может.
возмущает следующее, что представитель коллектива компании DrWeb пытается повесить лапшу на уши, говоря о том, что если ты заплатил 400 баксов, тогда ты от чего-то там защищен и кто-то будет нести какую-то ответсвенность. Своим долгожительством компания Микрософт вполне подтверждает абсурдность слов Представителя.
>возмущает следующее, что представитель коллектива компании DrWeb пытается повесить лапшу на уши,Разработчикам CalmAV может надоесть заниматься благотворительностью и они в праве плюнуть и забросить продукт, вероятность этого намного выше, чем закрытие DrWeb из-за конкурентной борьбы.
вполне возможно, что может надоесть, зато это альтернатива и, кстати, не такая уж и плохая на данный момент. дрвебовцам уже надоело, чему свидельство недавнее резкое повышение цен на их продукт. судя по тону интервью, теперь надоедать им будет еще чаще, так что каждый волен в своем выборе... :)
>Разработчикам CalmAV может надоесть заниматься благотворительностью и они в праве плюнуть и забросить продукткак и любым другим разработчикам опенсорс.
сама идея открытых исходников, по большей части, - благотворительность :)
если продукт хороший и нужный (clam таковым и является), то, в случае забивания на него девелоперов, проект форкнут и будут успещно развивать дальше. как пример - недавняя история с freeswan'ом. так что не надо нас пугать :-))
доверяю. пришлось доверить.
т.к. купить сейчас drweb - ну все в курсе.
и пока знаете-ли доволен.p.s. нашел пару багов: разработчики исправили. ребята молодцы.
Да уж, да уж. ClamAV один из первых отловил MyDoom.Сегодня отловил Snapper. А вышестоящие серверы с Dr.Web и McAfee раскачались только к обеду.
Кстати, да, кламав просто песня по сравнению с ним....
Интересно , а качество отлова вирусов или ответственность за их пропуск возрастет так же как и цена на Dr.Web . А цена возросла на средний сервак в 400-500 пользователей в 7-10 раз. Сомневаюсь...
1. DrWeb не любит отвечать на письма.
2. DrWeb во всяком случае до сего момента имел смешную цену для почтовых служб - по ящикам. Все кто понял, уже смеются. Т.е. если в virtusertabe стоит @strict.spb.ru, то я обламываюсь. Смешна и лицензия по количеству сообщений в день - это что же, в вирусную как раз эпидемию моя защита и кончится?
3. DrWeb имеет умолчательную установку - слать репорт отправителю письма. Шутку поняла, смешно.
4. DrWeb под UNIX громоздок.
5. В очередной раз послушали байку про невыгодность вирусов антивирусным компаниям. Да-да, верим :)
6. DrWeb ставится при прочтении README за чашку кофе, например, на sendmail.
7. DrWeb умеет быть демоном на socket'е что невообразимо респектно.
8. KAV доставляет при установке н
По поводу пункта 2 - я не поленился как-то позвонить им в техподдержку, ответом мне было что лицензии выдаются только на "учётные записи" а не на e-mail. Aliases и virtusertable - фиолетовы....
- Что есть мехос, советник?
- Теперь ты раб его....
(c) VangersА что такое учётные записи? Я MX для сотни доменов и авторизованный SMTP. Что записями-то считать? Что для лицензии высылать? :-/
http://www.drweb.ru/cgi-bin/buy.pl
Я рыдала :(
1) Это про демона или про support?3) Эту же установку имеют все антивирусы. Некоторые ещё и не посылают заголовков - сам догадайся, с какой машины было отправлено, кого лечить нужно. В последних версиях DrWeb есть список вирусов, которые подделывют обратный адрес. До этого я долго пароил им мозги на эту тему - такое ощущение, что на саппорте сидят тупицы.
4) Не заметил.
6) Не сложнее, чем Касперский, у которого документация (книжка) про SendMail предлагала запускать Exim, причём так, что при выполнении указанных действий он бы слетал после перезагрузки.
7) А тут какие претензии?
8) Согласен. Поэтому надо не просто ругать DrWeb, а предложить лучшую альтернативу.
PS: Вот к чему у меня претензии - так это к тому, что бесплатный DrWeb не просматривает архивы и по умолчанию пропускает почту, которую не смог проверить, да ещё и стави отметку "проверено", не говоря, на какой машине это было сделано. Думаю перейти на ClamAV - коммеранты его ругают, =>, стОит обратить внимание.
>1) Это про демона или про support?И про саппорт, и про sales.
>3) Эту же установку имеют все антивирусы. Некоторые ещё и не посылают
>заголовков - сам догадайся, с какой машины было отправлено, кого лечить
>нужно. В последних версиях DrWeb есть список вирусов, которые подделывют обратный
>адрес. До этого я долго пароил им мозги на эту тему
>- такое ощущение, что на саппорте сидят тупицы.Честно скажу - даже голову не забиваю. Похоже, это плохо работает, так что никаких репортов никому не шлю.
>4) Не заметил.
Немного, но есть.
>6) Не сложнее, чем Касперский, у которого документация (книжка) про SendMail предлагала
>запускать Exim, причём так, что при выполнении указанных действий он бы
>слетал после перезагрузки.Это был + drweb :) Кашпировского ниразу не удалось поставить с чашкой кофе - только с матюгами.
>7) А тут какие претензии?
Это не претензии - это респект :) Это супер!
>8) Согласен. Поэтому надо не просто ругать DrWeb, а предложить лучшую альтернативу.
Пока, видимо, clamav
>PS: Вот к чему у меня претензии - так это к тому, что бесплатный DrWeb не просматривает архивы и по умолчанию пропускает почту, которую не смог проверить, да ещё и стави отметку "проверено", не говоря, на какой машине это было сделано.
Это их "мы хотим показать рынку"... что они хотят показать рынку - надо додумать в зависимости от воображения.
>Думаю перейти на ClamAV - коммеранты его ругают, =>, стОит обратить внимание.
Да, скорее всего те, кто использует drweb без льготных условий поддержат именно clamav. Думаю, даже деньгами.
8. KAV доставляет при установке на почтовую систему столько гемора в любом варианте установки, что неконкурентен DrWeb в принципе.
Уважаемый stricty, а давно ли Вы ставили KAV? И ставили ли вообще? Последний KAV вполне конкурент DrWebу.
Ставила. Никакой конкуренции. Сделано всё через одно место и документация не догоняет версии. У DrWeb'а всё достаточно plug&play, надо отдать им должное. Маркетинговая политика расстраивает. Платить надо за всё, это правильно, я бы даже за почту заставила, копейки, но платить, но это не повод для ценового экстремизма, как это происходит в случае drweb. Передаю предсказания нашего шамана - несколько крупных коммерческих систем просто сейчас поддержат clamav и DrWeb получит конкурента, вместо сколько-ниюудь денег. Яркий пример - системы топика :)
> Уважаемый stricty, а давно ли Вы ставили KAV? И ставили ли вообще?
> Последний KAV вполне конкурент DrWebу.Их Unix версия -- это Windows версия собранная под Unix без учета особенностей. Да еще и криво собранная...
С DrWeb'ом точно не конкуретнет, хотя изменение лицензионной политики
у DrWeb'а меня сильно огорчил.P.S. Под Linux я сам собирал себе rpm'ку для установки DrWeb'а -- все ставится на полном автомате.
Вообще то в первом сообщении речь шла о RAV ...
Изначально антивирусы при поимке вируса отправляли сообщение о вирусе на адрес, записанный в полях "From:", "To:" или "Errors-To:"; некоторые до сих пор так делают, даже не всегда приаттачивая заголовки или приаттачивая не все заголовки (не указывают "Received:"), из-за чего невозможно понять, с какой машины был послан вирус. С появлением вирусов, подделывающих адрес отправителя, сообщения о вирусах стали составлять не меньшую проблему, чем сами вирусы.В своё время я потратил немало слов, убеждая авторов Доктора Веба ввести различие между вирусами, которые посылаются от имени владельца ящика на заражённой машине, и вирусами, которые подставляют произвольный адрес (из адресной книги или поц знает откуда). Вероятно, ко мне присоединились др.люди - в 4.31 появился список вирусов, на которые DrWeb не шлёт уведомления.
Однако, пришла пора ещё раз изменить политику оповещений, а именно - оповещать владельцев сетей, из которых идут вирусы. Пользователи - "postmaster@", "abuse@", "noc@", "support@", "info@". Домен можно взять из доменного имени, определённого по IP-номеру; из доменов, определёных по IP-номерам из трассировки (TraceRoute); из базы данных WhoIs; возможно, из др.источников. Думаю. что поток писем с оповещением о вирусах заставит сисадминов заняться антивирусной защитой - для начала закрыть для юзерских раб.станцый прямые SMTP-соединения, оставив коннект только к провайдерскому релею и к отдельным серверам типа mail.ru, hotmail.com и им подобным.PS: Это же соображение можно применить к спаму и антиспамовским фильтрам.