Comments 25
Вот эта ваша статья мне больше понравилась чем предыдущие. Всё по полочкам разложили. Спасибо.
+4
Торт
+13
Вы забыли ещё про возможность использовать thin providing, наподобие openvz. Фактически, он находится на грани между полной виртуализацией и контролем вызова отдельных функций.
Заодно очень легко применять изменения, так как они представлены в виде диффа от базового контейнера. (ближайший аналог — джейл в бзде).
Заодно очень легко применять изменения, так как они представлены в виде диффа от базового контейнера. (ближайший аналог — джейл в бзде).
+2
«В процессе публикации последней части цикла статей «Ложь, большая ложь и антивирусы» выяснилась катастрофическая необразованность хабра-аудитории в области антивирусных песочниц, что они собой представляют и как работают»
Это, простите, откуда такие выводы вообще???
Это, простите, откуда такие выводы вообще???
-1
На мой взгляд, называть песочницами системы, работающие с помощью изоляции на основе правил не совсем правильно. Это скорее HIPS. Песочница — это изолированная среда, которая защищает основную систему в любом случае, даже если вирус прошел все барьеры и правила, в этом и соль. А что будет если система, работающая по 3-й модели неправильно определит правила для приложения? Откатить тут уже не удастся, т.к. все изменения идут прямиком в основную ОС…
0
Классические HIPS- это HIPS. Чёрностисочные, экспертные HIPS- это тоже HIPS. Антивирусные песочницы тоже подпадают под понятие HIPS. Просто типы разные.
А изоляция, как я уже писал, достигается не только средствами виртуализации. Просто те, что на правилах, ближе к изначальным, классическим HIPS, нежели те, что с частичной виртуализацией.
А изоляция, как я уже писал, достигается не только средствами виртуализации. Просто те, что на правилах, ближе к изначальным, классическим HIPS, нежели те, что с частичной виртуализацией.
0
:) спасибо вам :)
гораздо интереснее, чем тогда в комментах к статье.
гораздо интереснее, чем тогда в комментах к статье.
0
Илья, статья полностью перекрывающая недостатки цикла о «Лжи...» Большущий плюс, и постаивл бы два, если бы Хабр позволил :)
От себя добавлю некоторый недостаток песочниц типа «SandboxIE»: виртуализированная программа имеет полный доступ к реестру хоста на чтение. Виртуализируется запись. Итого запуск в такой песочнице потенциального вредоноса типа пинча с алгоритмом «проверить пинг на Google — если пинга нет, то закрыться с ошибкой, если есть — реализовать функционал и отправить на хост злоумышленника все кешированные пароли из реестра» работает на ура, а песочница ничего не спасает.
С другой стороны, в той же SandboxIE реализована возможность добавления плагинов. Ряд из них просто незаменимы, например Buster Sandbox Analyzer. За это именно я и активно использую SandboxIE и именно за это люблю. Насколько реализуется поддержка плагинов в других продуктах этого плана — не знаю.
От себя добавлю некоторый недостаток песочниц типа «SandboxIE»: виртуализированная программа имеет полный доступ к реестру хоста на чтение. Виртуализируется запись. Итого запуск в такой песочнице потенциального вредоноса типа пинча с алгоритмом «проверить пинг на Google — если пинга нет, то закрыться с ошибкой, если есть — реализовать функционал и отправить на хост злоумышленника все кешированные пароли из реестра» работает на ура, а песочница ничего не спасает.
С другой стороны, в той же SandboxIE реализована возможность добавления плагинов. Ряд из них просто незаменимы, например Buster Sandbox Analyzer. За это именно я и активно использую SandboxIE и именно за это люблю. Насколько реализуется поддержка плагинов в других продуктах этого плана — не знаю.
+3
От таких вещей спасает только система разделения ресурсов между приложениями, но это уже нашлёпка на основной функционал песочницы. Да и не только песочницы, в классических HIPS либо в рамках ACL также возможно реализовать подобную защиту. Например, в DefenseWall такая система разделения есть, также она присутствует в Kaspersky Internet Security. Во всех остальных, насколько я помню (тут я уже могу и ошибаться), такой защиты нет.
+1
Всё верно, но тут возникает вопрос определения политик для неизвестных программ. Пример: пользователь скачал программу А, которая позиционируется как оптимизатор системы. При этом разработчик заявляет, что действует ограниченное по времени предложение по бесплатным лицензиям программы. Чтобы проверить лицензию и активироваться нужен интернет — выход не запретишь. Чтобы что-то оптимизировать, нужен доступ к реестру — и рядовой пользователь с трудом разберёт какие разделы открыть, какие нет, да и не все песочницы чётко позволяют эти ограничения определить. Программа А — новая, и обновления политик от разработчика песочницы ещё не включают это творение. И что? Чтобы обеспечить функционал и позарившись на бесплатную лицензию пользователь откроет доступ программе А, которая оказывается банальным трояном.
Песочницы могут обеспечивать разный подход и уровень защиты, но ни одна не исключит человеческий фактор. А при разумном человеческом факторе любая песочница отработает на 100% (а в ряде случаев, когда «фактор» совсем разумный — то и вообще песочниц не надо ;) )
Песочницы могут обеспечивать разный подход и уровень защиты, но ни одна не исключит человеческий фактор. А при разумном человеческом факторе любая песочница отработает на 100% (а в ряде случаев, когда «фактор» совсем разумный — то и вообще песочниц не надо ;) )
0
Кстати, как вы оцениваете в целом Comodo Internet Security? Не только sandbox, но и антивирус тоже. Странно, что при его бесплатности он довольно редко встречается на компьютерах российских пользователей.
0
Не знаю. Не смотрел.
0
Очень мощный пакет с очень слабым, к сожалению, антивирусом. Я бы рекомендовал CIS с отключенным антивирусом и отдельное антивирусное решение. При этом в антивирусе отключить web-monitor, чтобы обеспечить работу файервола CIS, ну или настроить web-monitor только под браузеры для фильтровки работы скриптов «на лету».
0
Недавно при переустановке винды решил поставить комплексное решение: анвирь + волл и песочницу. В итоге, при запуске программ появилась небольшая задержка, через пару часов доводящая до белого каления.
Может и не комодо виноват, но переустановил винду и поставил лишь один фаерволл. Работает отлично в связке с анвиром.
Может и не комодо виноват, но переустановил винду и поставил лишь один фаерволл. Работает отлично в связке с анвиром.
0
Спасибо за ответ, а можете порекомендовать ресурсы (сайты) которые стоит почитать для выбора антивируса? Или это скорее личный опыт?
0
Скажу Вам честно: таких сайтов достаточно много. В основном — почти каждый форум, связанный с компьютерной безопасностью, имеет такую тему. И долгий и упорный холивар в этих темах по сути сводится к следующим прописным истинам.
1. Антивирус должен иметь достаточное количество встроенных анпакеров и/или эмулятор для противодействия упакованным вирусам.
2. Служба вирусных аналитиков должна достаточно оперативно реагировать на новых зловредов.
3. Антивирус должен обладать достаточно продуманной системой противодействия активной заразе и самозащитой.
4. Антивирус должен содержать процедуры эффективного лечения файлов, поражённых файловыми вирусами.
5. В составе антивируса должен иметься мощный антируткит-компонент.
На данный момент такими антивирусами являются: DrWeb, KAV — абсолютное первое место, Symantec и Avast — второе, Avira, Eset, VBA32 — третье. Это собственное имхо, которое лично щупал руками и проверял. Есть ещё различные a-squared, говорят, очень сильная штука, потом Sophos — но я лично не пробовал, потому говорить не буду. Как и умолчу о тех, кто откровенно не нравится.
Подчеркну во избежание холивара: все антивирусы можно настроить так, что они не только не будут защищать систему, но и откровенно будут мешать нормальной работе.
1. Антивирус должен иметь достаточное количество встроенных анпакеров и/или эмулятор для противодействия упакованным вирусам.
2. Служба вирусных аналитиков должна достаточно оперативно реагировать на новых зловредов.
3. Антивирус должен обладать достаточно продуманной системой противодействия активной заразе и самозащитой.
4. Антивирус должен содержать процедуры эффективного лечения файлов, поражённых файловыми вирусами.
5. В составе антивируса должен иметься мощный антируткит-компонент.
На данный момент такими антивирусами являются: DrWeb, KAV — абсолютное первое место, Symantec и Avast — второе, Avira, Eset, VBA32 — третье. Это собственное имхо, которое лично щупал руками и проверял. Есть ещё различные a-squared, говорят, очень сильная штука, потом Sophos — но я лично не пробовал, потому говорить не буду. Как и умолчу о тех, кто откровенно не нравится.
Подчеркну во избежание холивара: все антивирусы можно настроить так, что они не только не будут защищать систему, но и откровенно будут мешать нормальной работе.
+1
Довольно долго пользуюсь Сандбоксией. И не думал, что массы не в курсе. О_о
+2
Sign up to leave a comment.
Антивирусные песочницы. Введение