Comments 86
Другое дело, что далеко не все разбираются в компьютерах. И им по идее нужен файрволл с эвристикой, но, к сожалению, такого пока нет. В любом случае антивирусы умерли как появился вмпротект и прочие виртуализаторы кода. Сейчас нет проблем заражать каждую машину «новой версией» вируса — т.е. для каждой машины у вируса будет своя сигнатура. И бороться традиционными методами с этим — не возможно по определению. Создатель антивируса может лишь говорить, что вирус у вас в машине будет работать скорее всего не более n минут. Но за это время он или соберёт/отправит данные заказчику, или наделает ещё каких дел, если это серийное заражение.
Вам его могут принести на флешке. И не вы сами, а жена, ребёнок или ещё кто-то.
Ах, да — ещё есть J.A.C.K. и прочие таск киллеры. Они отображают все процессы, причём упорядочивают по порядку запуска. И при малейшем сомнении — можно посмотреть что происходит в компьютере и руками вычистить лишнее (привет кейгенам от китайцев).
В общем продвинутым пользователям опасаться нечего. А вот с обычными хз что делать. Ниша есть, заработать можно на ней много но ни кто туда пока не лезет. Пока все на антивирусах сосредоточены. Увы.
Так что — на здоровье! Не пользуйтесь. Но потом — ССЗБ.
Антивирус: покупайте наш суперфонарик с автоподсветкой опасностей на дорогах — с ним вы будете под надежной защитой. Теперь можно кататься и без ремней безопастности!
Обычный пользователь: я вот пользуюсь суперфонариком и теперь гоняю как хочу и где хочу. Сосед мой, правда, в аварию попал, но это он сам виноват, нечего в Гарлем было шастать.
Продвинутый пользователь: катайтесь дальше со своим фонариком, а я лучше ремень безопастности пристегну…
И ни кто никогда не говорил и не обещал, что ремень безопасности (антивирус) — гарантия от аварии (от возможности заражения компа).
У меня и антивирус стоит, и ремень я всегда пристёгиваю (и пассажиров своих заставляю).
А вот с мнением akadone я не согласен. Вреда от антивируса нет, а польза есть.
И вам повторю: что-то случится — ССЗБ.
Лагерь будет разделяться.
С мнением akadone я согласен по некоторым пунктам:
1. > Это бесполезная трата денег и ресурсов компьютера.
При условии полного отсутствия вирусной активности.
2. > далеко не все разбираются в компьютерах
Так как пользователей которые не желают разбираться с компьютером самостоятельно чаще всего становятся зараженными.
3. > В любом случае антивирусы умерли как появился вмпротект и прочие виртуализаторы кода.
Тут отвечу его словами. > Для каждой машины у вируса будет своя сигнатура.
Вроде все с чем я мог бы согласится.
Пример от zuborg я думаю лучше рассматривать так.
Антивирус: я обнаружу любую опасность, да так что вы этого не заметите.
Обычный пользователь: я пользуюсь антивирусом и у меня нет никаких проблем.
Сосед мой: как же у него все плохо работает, но он сам виноват что так сделал.
Продвинутый пользователь: ну и пользуйтесь дальше своим антивирусом, а я лучше сам разберусь как себя обезопасить.
Так что Rohan66 у многих есть свои методы защиты от угроз и каждый из этих методов хоть как-то защищает от угроз.
Вменяемые производители антивирусов тоже этого не утверждают (а иначе их привлекут за невыполнение).
Читаю когда основы антивирусной безопасности — практически все стремятся ставить безопасность на основе исключительно ав. ни ограничения прав, ни фильтрации по типам. Да простой пример — тот же антиспам срезает подавляющее количество писем с вирусами как фишинговые — не рассматривается он ка антивирусная защита.
Откуда растет миф о том, что антивирус может ловить все в момент проникновения.
Не только вас интересует этот вопрос.
Читаю когда основы антивирусной безопасности — практически все стремятся ставить безопасность на основе исключительно ав.
На то и основы антивирусной безопасности.
ни ограничения прав, ни фильтрации по типам. Да простой пример — тот же антиспам срезает подавляющее количество писем с вирусами как фишинговые — не рассматривается он ка антивирусная защита.
Ну это уже ИБ, а не АВБ. По мнению авторов книг по АВБ.
Ну да. Он никогда не поломает ваши файлы, никогда не будет блокировать вам вполне нормальные установщики, никогда не будет мешать компилировать ваши программы, всегда позволит вытащить нужную программу из карантина в два клика, никогда не будет мешать и так далее.
От него тонны вреда и это я даже не учитываю, что некоторые антивирусы жрут как майнеры. И все равно не помогают.
И все это будет антивирусная защита, где антивирус лишь компонент. И не всегда обязательный
Проблема антивируса:
Он никогда не поломает ваши файлы
Ну да в попытках бесполезного лечения может и удалить файл.
никогда не будет блокировать вам вполне нормальные установщики
Ну если нормальный установщик не заражен(Были случаи когда официальное приложение с нормальным установщиком было заражено. Пример этому Transmission для macOS был таким некоторое время назад.)
никогда не будет мешать компилировать ваши программы
Даже если ты пытаешься скомпайлить прогу которая заведомо заражает собственный ПК.
всегда позволит вытащить нужную программу из карантина в два клика
Это чудо не всегда способно это сделать, т.к повреждает саму программу.
- никогда не будет мешать и так далее.
Да помнится "свинья" Антивируса Касперского которая шумела если что-то находила.
От него тонны вреда и это я даже не учитываю, что некоторые антивирусы жрут как майнеры. И все равно не помогают.
Тонны вреда тут нет, просто он нужен тогда когда он нужен, а не всегда до применения должен стоять.
Ну да в попытках бесполезного лечения может и удалить файл.
Подавляющая часть вредоносных программ сейчас — трояны. Их не лечат. Только удаляют или карантинят
Это чудо не всегда способно это сделать, т.к повреждает саму программу.
Такие случаи — саппорт. Операции помещения в карантин и лечения — раздельные (как минимум должны быть). Тоесть помещается файл в карантин зараженный, а не после попытки лечения
Но естественно за все антивирусы я не отвечаю
Кстати, какая проблема вылечить троянец? Почему только удаление?
А что, в вашем понимании, должно остаться после "лечения" троянца?
Гм… я несколько раз встречал обнаружение троянца в инсталляторах и внутри исполняемых файлов. Почему-то оба раза антивирус не предлагал вылечить исполняемые файлы, а просто грохнуть их. Разумеется, мне все-таки хотелось бы запустить программу на исполнение, без вызова троянца.
Если что, я использую это определение троянца
Читаем определение по вашей ссылке:
Троя́нская программа (также — троя́н, троя́нец, троя́нский конь) — разновидность вредоносной программы, проникающая в компьютер под видом легального программного обеспечения, в отличие от вирусов и червей, которые распространяются самопроизвольно.
… и видим, что троянец — это не какой-то код внутри другой программы. Троянец — это и есть программа, которая лишь прикидывается нужной.
Если есть острое желание запустить троянца — надо использовать виртуальную машину, причем без проброса видеокарты, шаринга файлов и вообще лучше без "гостевых" расширений.
А вырезать вредоносный код из троянца можно только декомпиляцией, вручную.
Антивирус = ремень безопасности
Я читал Ваш комментарий. Дело в том, что антивирус != ремень безопасности. Это все лишь аналогия. Точно так же можно провести не менее корректную аналогию антивируса с фонариком, который находит часть опасных объектов, но не дает защиты в случае проникновения, а файрвол с ремнями безопасности, который дает кое-какую защиту в случае происшедшего проникновения, хотя и не помогает избежать его.
За последние лет 10 видел зверька 3, которые не распознавал ни один антивирус — 2 на стороне и один у меня. Один из них серьёзно ухандокал мне винду. В ручном режиме я всё починил, а все эти cureit, касперские и пр — это была бесполезная трата моего времени и надежд. Хотя зверёк был описан почти полностью на 2 профильных форумах. На других компьютерах мне естественно было проще винду переставить, а не разбираться почему нод с последней базой в «ус не дует», и все бесплатные лечилки-проверяльщики тоже.
Так что антивирь наверно стоит больше сравнивать с таблеткой плацебо, а не ремнём безопасности.
Вот в жизни не поверю, что уже описанный на 2-х форумах (!) вирус отсутствует в базах веба или каспера. Ну а если пользоваться крякнутым НОДом или Авастом (да ещё и не обновляться) — то ничего удивительного.
А так — забавно слушать сказки про убитую винду, которую в «ручном» режиме «починили». Скажите уж — накатили поверх или переставили.
А может не зверёк неуловимый был, а ручки кривоватые?
P.S. У меня ни когда не было особой проблемой лицензия. Работаю на пиратках, так как удобнее. Снимает кучу головняка. Но тогда корпоративный нод первым расписался, потом каспер, потом къёрит фряшный. Хотя на сайте веба как раз зверёк описан был подробно, что удивило. Аваста тот раз по моему не напрягал, но точно не помню.
P.P.S. Эти антивири прибивали потомков, которые рожал главный зловред, но откуда появлялись эти 5 (если мне память не изменяет) exe каждый раз при перезагрузке — вычислить не смогли. А я, почитав про очередную дыру explorer+реестр — вычислил минут за 40. Вот и сказке конец.
Тогда потом с другом долго обсуждали что дальше с вируснёй делать на рабочих машинах. Но так же как и здесь ни к чему здравому не пришли. Винда настолько дырява, что даже стартуя через crc-правильные библиотеки (не подменённые ни кем) нет АБСОЛЮТНО НИ КАКОЙ гарантии, что запустится процесс именно из этого exe. И пока такое будет — от антивирусов точно нет ни какого прока. Это лишь плацебо. Не более. Действительно, как тут в комментариях, пока дилетанты пишут массовые вирусы — проблем особо не будет. Для массового пользователя — возможно. Но профи заняты таргетированными атаками на конкретные компьютеры. И ставки тут высоки. В этой сфере ИБ — я вообще не вижу роли антивирусов в их нынешней инкарнации. Разве что только админу свой зад прикрыть перед слабо разбирающимся в IT начальством.
— проведении у вас до установки аудита
— выработки требований к вашему поведению, настройкам и тд
— поддержании вами данных требований
Согласитесь — это возможно, но цена вопроса будет другая. Понимаете в чем проблема. Не проблема взять на себя ответственность. Проблема в том, что пользователи не обновляются, отключают антивирус, ставят диск с в исключения — а виноват всегда в пропуске антивирус. Не он один виноват, вот в чем дело
Наличие антивируса на компьютере — результат оценки рисков. Как сказала моя жена вчера, почитав комментарии — «это же страховка!». Если вы не опасаетесь пожара/залива соседей и тд — или наоборот, считаете риск минимальным и можете его устранить мгновенно — да почему нет. А если у вас на машине документы чрезвычайной важности?
— уязвимости у антивирусов есть. Но я вот лично (а я в антивирусах с 1998года) могу вспомнить всего одну атаку через них. За все годы и то в мохнатых годах
— гигиена не спасает от неизвестных уязвимостей. Хотя естественно существенно снижает риск
— антивирус в первую очередь не средство защиты от заражения, это средство лечения ранее неизвестных угроз. Кроме него это делать из средств защиты никто не может (ну кроме бекапа). Это кстати типичная ошибка при оценке рисков и выборе мер защиты
Есть вариант в виде Linux-дистрибутив(NetFilter встроен в Liunx) с iptables(как средство управления NetFilter) + firejail(Песочница) + htop(в качестве средства управления процессами).
Вроде многие дистрибутивы это в себе уже содержат.
Firejail попробую.
Sysinternals Autoruns
netmon или wireshark
Давно ещё, вот такой баловался:
www.codeproject.com/Articles/7492/A-not-so-simple-firewall
MBR нужно бэкапиьт сразу же после разметки диска и после установки загрузчика. Тогда всё будет нормально.
Одним лень делать бэкапы, у других нет места под бэкапы, у третьих нет софта для этого и так далее.
у третьих нет софта
Даже не рассматривая софт «Архивация и восстановление» встроенного в windows или robocopy (для любителей консоли) можно просто выделить свои файлы в проводнике и куда то их скопировать.
Другой вопрос, что есть большой класс людей, которые даже зарабатывая на компьютере не считают нужным уделять этой железке и данным в ней какое-то значительное время. По аналогии, они хотят кататься, а не техосмотр делать.
Даже не рассматривая софт «Архивация и восстановление» встроенного в windows или robocopy (для любителей консоли) можно просто выделить свои файлы в проводнике и куда то их скопировать.
Просто третьи думают что для бэкапов нужен специфический софт, вот и вся загвоздка.
что есть большой класс людей, которые даже зарабатывая на компьютере не считают нужным уделять этой железке и данным в ней какое-то значительное время.
В некотором смысле да это так.
SystemRescueCD я так понимаю. Хороший дистрибутив для подобных целей.
Но никак восстановить возможность загрузки Винды не смог, так что переставлял.
Господа! Да на здоровье! Не пользуйтесь антивирусом, не пристёгивайтесь, переходите дорогу на красный свет! Вы же все о п ы т н ы е пользователи! Вы всё умеете и знаете. Круче вас только горы!
Только потом не плачьтесь. Будете ССЗБ.
За сим — откланиваюсь.
Не понимаю вашего "нытья".
Да без АВПО жить можно и как в случае с akadone Firewall совместно с noAutorunExecution решают 70% проблем связанных с появлением вирусного ПО, обновленное ПО решает ещё 10% проблем, бэкап дополнительно избавляет ещё от 10% проблем, грамотное управление правами также избавляет от 9% проблем, простое желание провести профилактику может в комплексе с предыдущими избавить от проблем с безопасностью.
Если брать чистого рода антивирус то я могу сказать с 80% вероятностью что вы сами можете пострадать от АВПО.
Просто несколько возмутила вот эта фраза
Это бесполезная трата денег и ресурсов компьютера.
Так водятлы говорят о ремнях безопасности (да и много ещё о чём).
Уподобились им — ну и молодцы! Я нигде не писал, что антивирус — панацея. Но то, что он должен быть — на мой взгляд (да и руководящие документы так же говорят) однозначно!
я могу сказать с 80% вероятностью что вы сами можете пострадать от АВПО— а вот с этого места, пожалуйста, по подробнее! АВ вам зашифровал файлы? Потёр БИОС? Снёс систему?
За четверть века (с начала 90-х) пользовался и всех заставлял и требовал пользоваться АВ — пользу от этого видел постоянно, а вот что бы кто-то пришёл и сказал «Твой АВ удалил мои файлы» — что-то ни разу не было.
Знаменитая эпидемия Чернобыля (если застали такое) прошла мимо моего отдела (50+ машин) тихо и спокойно, а вот другие ко мне на восстановление машин в очередь на неделю вперёд записывались.
АВ вам зашифровал файлы? Потёр БИОС? Снёс систему?
Просто не обнаружил вирус и сам его по системе распространил, хотя был с обновленными БД. (Банально эвристический сканер не смог тогда обнаружить Neshta, пришлось вручную вылечивать собственный ПК, да и в этом случае АВПО способно нанести вред. Полечить может полечит, но программы работать уже не будут.)
За четверть века (с начала 90-х) пользовался и всех заставлял и требовал пользоваться АВ
Сейчас другие реалии что требуй что не требуй толку будет ноль если пользователь использует рабочую станцию как ему пожелается.
Знаменитая эпидемия Чернобыля (если застали такое) прошла мимо моего отдела (50+ машин) тихо и спокойно, а вот другие ко мне на восстановление машин в очередь на неделю вперёд записывались.
Чернобыльский не застал, но слышал от преподавателя по ТОР КСК что он ещё где-то живет.
и сам его по системе распространил
Сам копировал его и запускал???
если пользователь использует рабочую станцию как ему пожелается
Бардак в конторе на антивирус сваливать не стоит.
слышал от преподавателя по ТОР КСК что он ещё где-то живет.
Заглянет в гости — поделитесь впечатлениями! ))) (Если АВ нет)
И еще раз возвращаюсь к начальному тезису
Это бесполезная трата денег и ресурсов компьютера.
Слова «настоящего опытного» пользователя!
Сам копировал его и запускал???
Вы вероятнее не знаете как этот вирус распространяется по системе.
Бардак в конторе на антивирус сваливать не стоит.
Бардак тогда везде, а не только в конторе.
Заглянет в гости — поделитесь впечатлениями! ))) (Если АВ нет)
Ко мне точно не заглянет, превентивные меры в виде что не знаю не даю разрешения на запуск.
И еще раз возвращаюсь к начальному тезису
Это бесполезная трата денег и ресурсов компьютера.
То что это трата денег да согласен, ресурсы без условно.
Слова «настоящего опытного» пользователя!
Только, Слова пользователя использующего превентивные методы защиты.
Чернобыльский не застал, но слышал от преподавателя по ТОР КСК что он ещё где-то живет.
Периодически старье появляется в статистике. Может быть коллекции попадают под сканирование
Файл svchost.com
прибит, а реестр не почищен от него. Вот и всея магия. (Хотя я чувствую что мог ошибиться.)
ну и фейл поменьше
ну а так еще eset порой любил прибивать систему, бросая синий экран с ошибкой в своем драйвере, лечилось удалением и повторной установкой…
нет: forum.avast.com/index.php?topic=110804.0, forum.avast.com/index.php?topic=110781.0 ну и фейл поменьше ну а так еще eset порой любил прибивать систему, бросая синий экран с ошибкой в своем драйвере, лечилось удалением и повторной установкой…
Ну с такими приколами от антивирей я не сталкивался.
Из того что мне попортило АВПО с вирусом Neshta на пару весь софт что у меня был пришлось к чертям выбрасывать.
Так как не возможна была дальнейшая нормальная работа с ним, а также возможное повторное заражение системы(Тоже кстати стояла XP).
С этого дня прошло ~6 лет.
А с грамотным дроппером, ещё и через Ki функции перекроет доступ к файлу.
да и руководящие документы так же говорят
это в общем-то миф. если читать 17й приказ, то там по порядку нужно определить риски и выбрать компенсирующие меры. Антивирус одна из них, но не обязательная.
Как миф и необходимость использования только сертифицированных решений
Другой вопрос, что 17й приказ не рассказывает о назначении антивируса правильно — для чего он нужен на самом деле. Но это другой вопрос
а вот что бы кто-то пришёл и сказал «Твой АВ удалил мои файлы» — что-то ни разу не было
У вас не было, у меня было.
Однажды антивирус в ЦОПе (центре оперативной печати) в универе удалил все мои файлы с флешки. Сначала в одном ЦОПе какой-то вирус файлы скрыл и переименовал, заменив своими копиями — а потом в другом ЦОПе антивирус нашел скрытые файлы и удалил их на всякий случай. Ну, может, не удалил, а переместил к себе в карантин — один фиг я этих файлов больше не видел, хорошо что дома остались копии.
С этими ЦОПами вирусы на моей флешке были постоянно — но ни один из них не нанес мне больше вреда чем это сделал антивирус.
Как результат — заражения отсутствуют у меня как класс.
Не поделитесь откуда у вас присувствует такая уверенность в этом? Может вы имеете ввиду что определенного класса зловредов нет? Или просто не заражения о котором ВЫ ЗНАЕТЕ?
1. Статистика. То, что кому-то не попался троян — статистика и не более. Уязвимости есть всегда. Умный пользователь может уменьшить риск — но исключить его полностью невозможно. Другой вопрос — что антивирус — это то, что антивирус — это не равно антивирусные средства защиты — и выбирать средства защиты нужно нужные
2. Большинство пользователей -не специалисты в ИТ. Но тем не менее меня поражает, что антивирус ставят — и выключают.
Если начальство разрешит, надо будет сделать пост с анализом обращений в техподдержку — много, кто выключает или не обновляет антивирус
К сожалению опросы на конференциях, документы регуляторов — показывают, что антивирус считается единственным средством антивирусной защиты. Это не так и не может быть так. Это базовое средство защиты, но 100% защиты он дать не может и должны использоваться дополнительные к нему или заменяющие его средства.
Если интересно, то в четверг в Екатеринбурге я буду делать презентацию на Коде ИБ по статистике обращений в саппорт на примере эпидемии WannaCry (почему так — мы его ловили сразу, поэтому очень хорошо идентифицировались пользователи по этой эпидемии). Презентации через некоторое время выкладывают, можно будет посмотреть
А так больше всего помогает файрволл. Он не пускает в инет проги под которые заточены скрипты загрузчики + закрывает лишние порты и уязвимости служб не так страшны.
А еще полезно в системе отключить выполнение скриптов.
Антивирус — не ремень безопасности. Антивирус — это замок. Говорят, замки — от честных людей. Не только. Они ещё от дилетантов. А это — существенный процент угроз.
Описанный в статье «троян» в нормально настроенной системе работать не будет.
Уточните, пожалуйста, что такое «нормально настроенная система» против вируса шифровальщика, например wanna cry?
Сегодня я живу в мире иллюзий, что шифровальщике можно на java написать и слать майл спамом постоянно. Не надо шифровать весь компьютер: рабочий стол, мои документы и фото с видео. Сработает не у всех, заплатят не все, но некоторые пользователи заплатят выкуп. При этом защит только две: архивация с проверкой архивов и ничего никогда не запускать вне доверенных закачек.
Если у вас можно запускать исполняемые файлы или скрипты, присланные по почте, скачанные браузером и т.п. значит система точно нормально не настроена.
По моему аналогия с ремнём безопасности не уместна.
— То есть обозначим с чем боремся. Я пишу программу, которая читает файловую структуру «мои документы», считает размер каждого файла и записывает мусор в документы + выводит окно «перечисли деньги — отдам файлы». При этом начинаю рассылать программу в офис, где 100 компьютеров и 2 админа. Через почту, социалки, мессенджеры и раскидываю флешки. Админам надо защититься от шифровальщика.
Из предложенных способов midda2 защита от локера будет только AppLocker. Не думал о таком методе, явно это очень сложно настраивать (не для дома решение), но в офисе, где админ на зарплате вполне пригодится, спасибо. Правами файловой системы запретить запуск программ, также совет понятен, но он очень трудоёмкий (не могу сообразить как его автоматизировать).
Насчёт запрета скриптов — сносная идея для офиса. Только могут прислать файл на pyton, java или чём угодно. Тем не менее, спасибо.
можно для директории с важными документами задать высокий IL no writeup
Этого совета не понимаю. Что это?
Через почту, социалки, мессенджеры и раскидываю флешки.
Включенные и настроенные SRP не дадут запуститься.
Еще можно настроить доступ к съемным дискам, например запретить запуск исполняемых файлов.
Насчёт запрета скриптов — сносная идея для офиса. Только могут прислать файл на pyton, java или чём угодно.
Если это скрипт, то его должен кто-то выполнять(и его можно запретить). В случае SRP можно добавить расширение jar и py в список контролируемых.
Этого совета не понимаю. Что это?
Вот. У всех с уровнем ниже «высокий» не будет возможности изменять папку. Еще можно сомнительное ПО запускать с уровнем «низкий».
То есть, имеется 100 компьютеров, какую бы программу не запустил пользователь администратор может просмотреть у себя лог типа: «дата- время», «полный путь к файлу», «md5 сумма файла».
Установила 3 года назад антивирус Dropbox. Довольна. Он ещё помогает от вируса: "внесла необдуманное изменение в файл — сохранила — закрыла". А это кстати единственный тип опасности, который я видела за последние 10 лет.
Вирусы, статистика и немного всего