Засланный казачок
Конечно, все об этом знают (а кто не знает - тот догадывается), но ваш антивирус работает не на вас. Это софт, который был разработан для того, чтобы уничтожать файлы из вашей корпоративной сети и делать это так быстро, что ваше участие в этом процессе исключается.
Поэтому мне абсолютно понятно за что Госдеп не взлюбил Касперыча, не понятно только почему одного его (точнее и это понятно, но кроме как русофобией объяснить это нечем).
На днях МакАфии удалил сервисное приложение с сотен компьютеров внутри корпоративной сети в течении нескольких часов. Можно было сидеть и смотреть как прилетают события в консоли управления по мере начала рабочего дня в разных часовых поясах, а поделать ничего было нельзя. SLA у поддержки вендора в таких случаях обычно "best effort".
Началось все с того, что у разработчиков возникли проблемы с использованием доверенного сертификата в MS VisualStudio, поэтому они решили использовать самоподписанный сертификат для подписи кода. МакАфии нельзя забирать файлы из корпоративной сети, можно только проверят хэши в облаке (кстати делает он это через DNS. Ответы приходят закодированными в IP адрес из локального диапазона 127.0.0.0/8)
Поэтому файл никто не трогал неделю, затем кто-то (или что-то) загрузил его на VirusTotal и началось.
Любопытно, что неподписанный файл проходит проверку на VT, то есть подпись кода самоподписанным сертификатом (пусть даже и корпоративным) - вещь рискованная.
Примерно после недели увлекательной переписки с вендорами детект на VT спал с 12 до 1 AV. Одумались.
Конечно, когда разработчики свои ещё и сидят рядом - можно и нужно просить их давать бинарники до развертывания софта в продакшене, тогда можно загнать их в McAfee GetClean и добавить в облачный белый список, но если разработчиков зоопарк и все на аутсорсе - жди беды.
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий