Comments 25
Вот эта ваша статья мне больше понравилась чем предыдущие. Всё по полочкам разложили. Спасибо.
Торт
Вы забыли ещё про возможность использовать thin providing, наподобие openvz. Фактически, он находится на грани между полной виртуализацией и контролем вызова отдельных функций.
Заодно очень легко применять изменения, так как они представлены в виде диффа от базового контейнера. (ближайший аналог — джейл в бзде).
Заодно очень легко применять изменения, так как они представлены в виде диффа от базового контейнера. (ближайший аналог — джейл в бзде).
«В процессе публикации последней части цикла статей «Ложь, большая ложь и антивирусы» выяснилась катастрофическая необразованность хабра-аудитории в области антивирусных песочниц, что они собой представляют и как работают»
Это, простите, откуда такие выводы вообще???
Это, простите, откуда такие выводы вообще???
На мой взгляд, называть песочницами системы, работающие с помощью изоляции на основе правил не совсем правильно. Это скорее HIPS. Песочница — это изолированная среда, которая защищает основную систему в любом случае, даже если вирус прошел все барьеры и правила, в этом и соль. А что будет если система, работающая по 3-й модели неправильно определит правила для приложения? Откатить тут уже не удастся, т.к. все изменения идут прямиком в основную ОС…
Классические HIPS- это HIPS. Чёрностисочные, экспертные HIPS- это тоже HIPS. Антивирусные песочницы тоже подпадают под понятие HIPS. Просто типы разные.
А изоляция, как я уже писал, достигается не только средствами виртуализации. Просто те, что на правилах, ближе к изначальным, классическим HIPS, нежели те, что с частичной виртуализацией.
А изоляция, как я уже писал, достигается не только средствами виртуализации. Просто те, что на правилах, ближе к изначальным, классическим HIPS, нежели те, что с частичной виртуализацией.
:) спасибо вам :)
гораздо интереснее, чем тогда в комментах к статье.
гораздо интереснее, чем тогда в комментах к статье.
Илья, статья полностью перекрывающая недостатки цикла о «Лжи...» Большущий плюс, и постаивл бы два, если бы Хабр позволил :)
От себя добавлю некоторый недостаток песочниц типа «SandboxIE»: виртуализированная программа имеет полный доступ к реестру хоста на чтение. Виртуализируется запись. Итого запуск в такой песочнице потенциального вредоноса типа пинча с алгоритмом «проверить пинг на Google — если пинга нет, то закрыться с ошибкой, если есть — реализовать функционал и отправить на хост злоумышленника все кешированные пароли из реестра» работает на ура, а песочница ничего не спасает.
С другой стороны, в той же SandboxIE реализована возможность добавления плагинов. Ряд из них просто незаменимы, например Buster Sandbox Analyzer. За это именно я и активно использую SandboxIE и именно за это люблю. Насколько реализуется поддержка плагинов в других продуктах этого плана — не знаю.
От себя добавлю некоторый недостаток песочниц типа «SandboxIE»: виртуализированная программа имеет полный доступ к реестру хоста на чтение. Виртуализируется запись. Итого запуск в такой песочнице потенциального вредоноса типа пинча с алгоритмом «проверить пинг на Google — если пинга нет, то закрыться с ошибкой, если есть — реализовать функционал и отправить на хост злоумышленника все кешированные пароли из реестра» работает на ура, а песочница ничего не спасает.
С другой стороны, в той же SandboxIE реализована возможность добавления плагинов. Ряд из них просто незаменимы, например Buster Sandbox Analyzer. За это именно я и активно использую SandboxIE и именно за это люблю. Насколько реализуется поддержка плагинов в других продуктах этого плана — не знаю.
От таких вещей спасает только система разделения ресурсов между приложениями, но это уже нашлёпка на основной функционал песочницы. Да и не только песочницы, в классических HIPS либо в рамках ACL также возможно реализовать подобную защиту. Например, в DefenseWall такая система разделения есть, также она присутствует в Kaspersky Internet Security. Во всех остальных, насколько я помню (тут я уже могу и ошибаться), такой защиты нет.
Всё верно, но тут возникает вопрос определения политик для неизвестных программ. Пример: пользователь скачал программу А, которая позиционируется как оптимизатор системы. При этом разработчик заявляет, что действует ограниченное по времени предложение по бесплатным лицензиям программы. Чтобы проверить лицензию и активироваться нужен интернет — выход не запретишь. Чтобы что-то оптимизировать, нужен доступ к реестру — и рядовой пользователь с трудом разберёт какие разделы открыть, какие нет, да и не все песочницы чётко позволяют эти ограничения определить. Программа А — новая, и обновления политик от разработчика песочницы ещё не включают это творение. И что? Чтобы обеспечить функционал и позарившись на бесплатную лицензию пользователь откроет доступ программе А, которая оказывается банальным трояном.
Песочницы могут обеспечивать разный подход и уровень защиты, но ни одна не исключит человеческий фактор. А при разумном человеческом факторе любая песочница отработает на 100% (а в ряде случаев, когда «фактор» совсем разумный — то и вообще песочниц не надо ;) )
Песочницы могут обеспечивать разный подход и уровень защиты, но ни одна не исключит человеческий фактор. А при разумном человеческом факторе любая песочница отработает на 100% (а в ряде случаев, когда «фактор» совсем разумный — то и вообще песочниц не надо ;) )
Кстати, как вы оцениваете в целом Comodo Internet Security? Не только sandbox, но и антивирус тоже. Странно, что при его бесплатности он довольно редко встречается на компьютерах российских пользователей.
Не знаю. Не смотрел.
Очень мощный пакет с очень слабым, к сожалению, антивирусом. Я бы рекомендовал CIS с отключенным антивирусом и отдельное антивирусное решение. При этом в антивирусе отключить web-monitor, чтобы обеспечить работу файервола CIS, ну или настроить web-monitor только под браузеры для фильтровки работы скриптов «на лету».
Недавно при переустановке винды решил поставить комплексное решение: анвирь + волл и песочницу. В итоге, при запуске программ появилась небольшая задержка, через пару часов доводящая до белого каления.
Может и не комодо виноват, но переустановил винду и поставил лишь один фаерволл. Работает отлично в связке с анвиром.
Может и не комодо виноват, но переустановил винду и поставил лишь один фаерволл. Работает отлично в связке с анвиром.
Спасибо за ответ, а можете порекомендовать ресурсы (сайты) которые стоит почитать для выбора антивируса? Или это скорее личный опыт?
Скажу Вам честно: таких сайтов достаточно много. В основном — почти каждый форум, связанный с компьютерной безопасностью, имеет такую тему. И долгий и упорный холивар в этих темах по сути сводится к следующим прописным истинам.
1. Антивирус должен иметь достаточное количество встроенных анпакеров и/или эмулятор для противодействия упакованным вирусам.
2. Служба вирусных аналитиков должна достаточно оперативно реагировать на новых зловредов.
3. Антивирус должен обладать достаточно продуманной системой противодействия активной заразе и самозащитой.
4. Антивирус должен содержать процедуры эффективного лечения файлов, поражённых файловыми вирусами.
5. В составе антивируса должен иметься мощный антируткит-компонент.
На данный момент такими антивирусами являются: DrWeb, KAV — абсолютное первое место, Symantec и Avast — второе, Avira, Eset, VBA32 — третье. Это собственное имхо, которое лично щупал руками и проверял. Есть ещё различные a-squared, говорят, очень сильная штука, потом Sophos — но я лично не пробовал, потому говорить не буду. Как и умолчу о тех, кто откровенно не нравится.
Подчеркну во избежание холивара: все антивирусы можно настроить так, что они не только не будут защищать систему, но и откровенно будут мешать нормальной работе.
1. Антивирус должен иметь достаточное количество встроенных анпакеров и/или эмулятор для противодействия упакованным вирусам.
2. Служба вирусных аналитиков должна достаточно оперативно реагировать на новых зловредов.
3. Антивирус должен обладать достаточно продуманной системой противодействия активной заразе и самозащитой.
4. Антивирус должен содержать процедуры эффективного лечения файлов, поражённых файловыми вирусами.
5. В составе антивируса должен иметься мощный антируткит-компонент.
На данный момент такими антивирусами являются: DrWeb, KAV — абсолютное первое место, Symantec и Avast — второе, Avira, Eset, VBA32 — третье. Это собственное имхо, которое лично щупал руками и проверял. Есть ещё различные a-squared, говорят, очень сильная штука, потом Sophos — но я лично не пробовал, потому говорить не буду. Как и умолчу о тех, кто откровенно не нравится.
Подчеркну во избежание холивара: все антивирусы можно настроить так, что они не только не будут защищать систему, но и откровенно будут мешать нормальной работе.
Довольно долго пользуюсь Сандбоксией. И не думал, что массы не в курсе. О_о
Sign up to leave a comment.
Антивирусные песочницы. Введение