pr0mix написал уже об этом на всех форумах, но я повторюсь:
вышел третий выпуск журнала EOF. При этом не обошлось без традиционной драмы (я-то думал,
что больше такого не увижу) izee так расстроился из-за выхода
другого журнала,
что накинулся на SPTH, rgb и hh86, и так сердился, что даже к своему
журналу "забыл" написать редакторскую колонку и сделать приличную верстку.
fAMINE, кажется, с ним солидарен и обновленного Tristram мы так и не увидим.
Из моего там «Advanced EPO: Deeper, longer and harder (Part 1)» об использовании отладки для поиска оптимальной точки для EPO. Над "Part 2" - статический анализ для тех же задач, я пока раздумываю. Меня также заинтересовали работы pr0mix и F0g. Надеюсь, что EOF нас будет радовать еще много, много лет.
В последнее время стал весьма стабильно утекать свежий Virus Bulletin, и помимо "нашего преданного поклонника" Питера Ферри, в журнале есть и еще
интересности. Порадовала статья Джона Айкока «Stux in a rut: Why Stuxnet is boring», в которой он говорит о том, что давно уже должен был кто-то сказать: Stuxnet - это скучно. Тоже самое относится и к другим сильно распиареным "зловредам". Да, это все (более или менее) профессиональные проекты, да, они состоят из большого количества компонентов, но перехода количества в качество явно не наблюдается. Всё это мы уже видели по отдельности. Дальше Айкок перечисляет три критерия "прорывной" технологии: 1) Необходимость существенно менять средства защиты 2, 3) меняется мотивация и бизнес-модель противника.
С этой точки зрения полиморфизм и макро-вирусы - являются поворотными изобретениями, а червь Морриса и метаморфизм - нет. И, наконец, то что меня заинтересовало: "Хорошая" защита - та, что удерживает противника в "уютном месте", в котором противник достаточно преуспевает, и не слишком часто обламывается, чтобы развитие остановилось. Странно, но периодический проигрыш в состязании по безопасности может быть необходим, для того, чтобы поддерживать здоровое равновесие. Тут я подумал, что к антивирусникам это относится даже в большей степени. Образуется своеобразная спираль молчания, и "white" и "black" коммерсанты предпочитают краткосрочные вложения - в оптимизацию движков, автоматический поиск сигнатур, переписывание пакеров и крипторов. С одной стороны сто дятлов ищут на полуавтомате сигнатуры, с другой - такие же дятлы, на том же полуавтомате их чистят. Бабло течет, все довольны. Надеюсь, что любителям, академикам, и прочим товарищам, не связанным с IT Sec рынком, удастся поломать к хуям эту идиллию. |