Pull to refresh

Comments 63

В обязательном порядке домашние компьютеры и мобильные устройства рекомендуется защищать у тех, кто обслуживает различные системы за пределами офиса. Практика показывает, что уровень защиты таких устройств ниже, чем у компьютеров в локальной сети и заражение через сменные носители обсуживающего персонала — повседневная реальность.

Вот уже много лет пользую компьютером без антивируса, да еще и чужие флеш-накопители в него вставляю и не боюсь вложения в письмах от незнакомых лиц открывать — ни одного вируса еще не подхватил. Почему в подобных статьях перестают уточнять ОСь?
Вот только это тактика неуловимого джо. Точно так-же и линукс и маоксь пробиваются эксплойтами. Нет никакой принципиальной проблемы сделать шифровальщика под линукс или макось. Принципиальной разницы межу ОС нет, кроме той, что одна из них более распространена и заражать её выгоднее.
Нет никакой принципиальной проблемы сделать шифровальщика под линукс или макось

Мало сделать шифровальщика под линукс, нужно еще отупить пользователей этой ОСи, которые в большенстве случаев более компетенты в вопросах IT и безопасности, нежели «домохозяйки» и «дизайнеры».
Это опять вопросы массовости внедрения. Секретарша за линуксом/фрёй/виндой всё так-же останется секретаршей без какого-либо понимания ОС, если эту ОС будет настраивать админ.
Секретарша за линуксом/фрёй/виндой всё так-же останется секретаршей без какого-либо понимания ОС, если эту ОС будет настраивать админ

Опять таки, как правило админы под линукс более компетентны админов под другие ОСи (без обид), что позволит настроить рабочую станцию секретарши более качественно и безопасно, что и антивирус не понадобится.
Самые важные файлы лежат в домашней директории пользователя, к которой у пользователя есть полные права, и никто не помешает шифровальщику их потрогать.
Самые важные файлы лежат в домашней директории пользователя

Вы путаете опытного линуксойда и домохозяйку/дизайнера.
Ну ка расскажите мне, где опытные линуксоиды файлы хранят? В /root?
Все что мне важно зеркалируется на github, raspberry pi и во флешку.
Ключи от github так же лежат в домашней директории пользователя. Хорошо, если они защищены паролем. Хорошо, если длинным. Но на каждое действие придётся вводить длиннючий пароль, что довольно утомительно. Связку ключей можно разблокировать на время или до конца сессии, что сводит на нет всю защиту. Здравствуй force push. Github потерян.

Raspberry Pi такой же компьютер, с тем же линуксом. При этом с более простой и менее защищённой аппаратно архитектурой, чем Intel. Захотят — залезут.

Флешку вы подключаете к потенциально заражённому компьютеру. Была в Linux уязвимость, когда код исполнялся из структуры ext. От рута и прочими прелестями. На 100% нельзя быть уверенным, что нет никаких дырок.

У вас и у меня нет проблем не потому, что Linux супер-пупер защищённый. Мы с вами просто пока никому не нужны.
Ключи от github так же лежат в домашней директории пользователя

Не, у меня нет ключей от github.
Но на каждое действие придётся вводить длиннючий пароль

Ну не на каждое. Я ввожу раз в 12 часов и вполне себе доволен.
Raspberry Pi такой же компьютер, с тем же линуксом

Могу дать IP этой малинки, сможете сломать? )
Флешку вы подключаете к потенциально заражённому компьютеру

Нет не подключаю, она в шкафу у меня лежит и кушать не просит вот уже несколько месяцев.
Мы с вами просто пока никому не нужны

Если я стану кому то нужен, антивирус это последнее, что меня защитит )))
Не, у меня нет ключей от github.
Это намного хуже. Вы вводите логин-пасс в открытом виде. Потеря репозиториев это одно. Потеря доступа к аккаунту — куда серьёзнее.

Ну не на каждое. Я ввожу раз в 12 часов и вполне себе доволен.
Т.е. в течении этих 12 часов любая хрень может делать всё, что угодно, без запроса пароля.

Могу дать IP этой малинки, сможете сломать? )
Я не специалист.

Нет не подключаю, она в шкафу у меня лежит и кушать не просит вот уже несколько месяцев.
Какой толк от пустых флешек в шкафу? Хотя бы бекап хранили бы на ней.
Вы вводите логин-пасс в открытом виде

Что значит — в открытом виде?
Т.е. в течении этих 12 часов любая хрень может делать всё, что угодно, без запроса пароля

Почему это?
Какой толк от пустых флешек в шкафу?

Почему же пустая, она не пустая, в ней много полезной информации.
Что значит — в открытом виде?
Когда вы печатаете на клавиатуре, ввод может быть перехвачен.

Почему это?
Ну вы же разблокировали связку. Теперь любая программа может обратиться к ней без вашего ведома без ввода пароля.

Почему же пустая, она не пустая, в ней много полезной информации.
Нет не подключаю
Т.е. информация на ней возникла магическим образом?
Когда вы печатаете на клавиатуре, ввод может быть перехвачен

Я знаю что запущено на моей машине в момент работы с ней.
Ну вы же разблокировали связку

Ничего я не разблокировал, я просто не часто делаю коммиты.
Т.е. информация на ней возникла магическим образом?

Когда то я на нее скинул информацию. Эта инфомрация не зашифрована и в нее не затисался вирус.
Я знаю что запущено на моей машине в момент работы с ней.
Вы глубоко заблуждаетесь. Есть куча способов запустить на удалённой машине код. От передачи специально сформированных пакетов по сети, до отправки MMS. И какой бы пользователь опытный не был, он это не обнаружит. Т.к. это происходит без его ведома, он ничего не запускает, не открывает, но машина заражается.

Когда то я на нее скинул информацию. Эта инфомрация не зашифрована и в нее не затисался вирус.
Значит вы подключали флешку. Значит в структуре fs может сидеть руткит, который активизируется при подключении.

Вы побайтно глазами проверяли файловую систему флешки? Или проводили аудит драйвера fs? Нет? Тогда вы не можете быть уверенным (хотя скорее так и есть) в безопасности. Говорю же, были случаи, когда вирус можно было спрятать в структуре fs (не в файлах, а в служебных областях).
Т.к. это происходит без его ведома, он ничего не запускает, не открывает, но машина заражается.

Но чтоб код работал на машине и перехватывал ввод с клавиатуры, он должен работать, не так ли? А что мне мешает отслеживать запущенный в каждый момент времени код?
Значит вы подключали флешку. Значит в структуре fs может сидеть руткит, который активизируется при подключении

Может быть много чего, но там не сидит руткит и он не активизируется при подключении )
Вы побайтно глазами проверяли файловую систему флешки? Или проводили аудит драйвера fs? Нет?

Не, там все проще намного.
А что мне мешает отслеживать запущенный в каждый момент времени код?
Например у вас дырявая версия ssh. Пришёл пакет, сорвал стек sshd и выполнил свой код. Процесс так и останется называться sshd. Но это уже будет вирус. Или вы думали, что в выводе ps будет «ViRuS.ExE»?
Например у вас дырявая версия ssh… Или вы думали...

Я думаю в этом случае антивирус мне мало поможет.
Простой антивирус — да. Фаервол может обнаружить некоторые атаки (а может и нет).
Потому я и настаиваю в подобных статьях уточнять ОСи, ибо под линуху есть куда более действенные, да еще и бесплатные методы и программы.
Вот тут не факт. Очень многие не ставят заплатки безопасности (а вдруг все обвалится/лениво/пиратка). Постоянные обращения в саппорт с вирусами, возможность запуска которых перекрывается обновлениями.

Беда пользователей в том, что они читают антивирус панацеей от всего и пренебрегают иными методами защиты
Очень многие не ставят заплатки безопасности

Тем более антивирус не спасет.
Перехватываем при анализе трафика вирусы, которые используют давно закрытые уязвимости. Но естественно при этом антивирус должен не интегрироваться в ПО, а работать на уровне драйвера, корректно анализируя протоколы
А может лучше повысить компетенцию администраторов, чтобы они вовремя обновляли ПО чем пользоваться костылями в виде антивирусов?
Антивирус — не костыль. Это один из элементов системы защиты, причём один из самых дешёвых.
Важны как технические контроли, так и организационные меры (в которые входит обучение пользователей). В комплексе они дают лучший результат. При этом одно заменять другим не всегда возможно.
Именно так. Причем немаловажно, что антивирус относится к средствам категории «поставил и работает». То есть при отсутствии необходимой квалификации он может работать «из коробки»
«поставил и работает»

В результате имеем то что имеем. Народ ставит в надежде что у них работает, а на деле отыскать незараженный комп становится все сложнее и сложнее. По мне так лучше я пошаманю, чем буду пользовать подобные «коробочные» решения.
Альтернатива — поднять квалификацию. Поэтому вы правы — имеем ситуацию когда антивирус стоит почти у всех пользователей — и почти все им недовольны. Но при этом не знают, что они сами были не правы, когда выбирали средства защиты
Антивирус — не костыль

Если есть некая программа, которая для работы требует другую программу, то вторую программу я называю костылем для первой.
Поднять квалификацию программистов и менеджеров до уровня, чтобы они делали программы без уязвимостей? Да вы батенька смерти отрасли желаете. Кто же тогда будет переходить на новые версии, если старые программы будут работать как часы? О чем будут писать журналисты? Куда пойдут хакеры?
Поднять квалификацию программистов и менеджеров до уровня

Пользователей. Давайте пока остановимся на пользователях.
И как вендору повысить квалификацию всех пользователей всего мира? Это из анекдота: слушай мужик, а что ты говорил про мост до Австралии?

И как правильно уже ответили — антивирус — это одно из средств, имеющее свое назначение. И в своей роли он незаменим. Но естественно только в своей
И как вендору повысить квалификацию всех пользователей всего мира?

Никак. Пусть домохозяйки/дизайнеры остаются на известных ОСях, на линуху я их не переманиваю (не дай бог).
Когда я читаю презентацию студентам скажем и спрашиваю, кто поймал шифровальщика — получается порядка одного-двух процентов. А тот же опрос на конференции админов меньше 30 процентов не дает. Есть такая штука — статистика.

И еще раз о рисках. Не важно заражались вы или нет — важна важность информации на вашей машине/непрерывность процессов и тд. Можно кучу лет ничего не получать — а потом залететь на потерю всей документации. Случаи известны. Как и случаи, когда правило второй снаряд не попадает в воронку от первого начинало резко нарушаться
Есть такая штука — статистика

Интересная у вас статистика. Значит я никогда не заражался, мои коллеги, пользующие ту же ОСь никогда не заражались, а статистика говорит, что мы вдруг возьмем и залетим? А можно посмотреть статистику по заражаемости этой ОСи? Возможно выборка не репрезентативна?
Не важно заражались вы или нет — важна важность информации на вашей машине/непрерывность процессов

Мне кажется, все же важен риск заражения. Если информация на моей машине крайне важна, а риск заражения равен 0, то не важно насколько важна информация на моей машине )
А завтра в эксплойт-паке появится эксплойт ещё и под вашу ось и абзац, статистика от него защититься не поможет. Ну не так защита работает.
статистика от него защититься не поможет

Таки о статистике не я упомянул.
А завтра в эксплойт-паке появится эксплойт ещё и под вашу ось

То есть антивирусы надо покупать и ставить, чтоб завтра не было абзаца? Интересный маркетинг ))
Ну не так защита работает

А как?


Воп, в тему уже начали набегать молчаливые несогласные ) Пожалуй я лучше помолчу. Покупайте антивирусы. Разработчики этого ПО лучше знают, как нужно защитить ваши данные.
> Разработчики этого ПО лучше знают, как нужно защитить ваши данные.
Надо разделять разработчиков и маркетологов. Антивирусов много, подходы разные — а вот защищаться нужно клиенту.
Вы конкретно может и никогда не залетите. И коллеги ваши тоже. Это как лотерея. Кто-то не выигрывает ни разу. А вдруг выиграла вся деревня (в Испании по моему было)

И риска равного нулю не бывает. Уязвимости есть всегда.
Вы, конечно же, правы. Но есть пара нюансов.
1. Точно ли поможет в такой ситуации антивирус? Я не знаю ни одного, который дает гарантии.
2. Будет ли антивирус лучше, например, ежедневного бэкапа в место, куда доступ с правами пользователя запрещен?

Я вовсе не против антивирусного ПО, даже наоборот, считаю, что во многих ситуациях оно обязательно для использования. Я против опасного заблуждения, навязываемого производителями антивирусного ПО: «поставь антивирус и спи спокойно, все будет хорошо».
Согласен. Был в моей практике такой случай: на фирме пара десятков компьютеров объеденено сетью с серверным кластером. Парк не большой и ожидалось, что защитить его не составит труда. Все работало на Windows (кроме пары машин), в том числе и кластер. Все настраивал довольно опытный администратор, который отлично знал свое дело. Так же был установлен антивирус одной известной марки. Через некоторое время попадаем в бан по подозрению в спаме. Проблема была в машине начальника. Начальство совершенно не компетентно в вопросах IT, отчего антивирус не справлялся с требованиями пользователя запускать все подряд. Мораль сей басни такова: сначала компетентность и правильная конфигурация парка, а затем, если уже понадобится, антивирусы.
Ну, то такое. Приказывать начальству системный администратор не вправе. Если смог разъяснить руководителю компании о том, как правильно соблюдать компьютерную «гигиену», то молодец. Если не смог, то… зарплата у админа, как правило, повременная, так что охота на подхваченные боссом вирусы в рабочее время уже оплачена.
так что охота на подхваченные боссом вирусы в рабочее время уже оплачена

Было бы все так же прекрасно. На деле почту мы отослать не можем, ибо в спам-листе у многих почтовых сервисов. Начальство ругается, ибо деньги заплатили, а толку нет. Админы нервничают, ибо не по их виде фирма попадает в эти листы. Все недовольны. Но антивирус таки стоит, и даже платный.
1. Нет конечно. Антивирус это средство обеспечения максимальной непрерывности рабочего процесса, если это не критично, то решать вам
2. Именно эту ситуацию я и описал в статье. Скажем если я мотаюсь по командировкам, то вероятность наличия интернета для скачивания бекапа не равна 100% — и тогда антивирус нужен

>Я вовсе не против антивирусного ПО…
Именно это я и написал
Использую такую же модель поведения в Windows 7. Только вложения проверяю на virustotal прежде, чем открывать. И никаких проблем.
Только вложения проверяю на virustotal прежде, чем открывать

Тот же антивирус, только без установки. Что вам не дает открывать вложения без проверки антивирусом?
Если вложение получено из ненадежного источника, то лучше проверить.
Зачем? Почему работа в ОСи не налажена так, чтобы заразиться открытием какого нибудь документа или картинки было нельзя?
А кто говорил про проверку картинок? Проверяю только exe, dll, bat, cmd и т. п.

ОС налажена, но я ей не доверяю. Береженого бог бережет.
А кто говорил про проверку картинок?

То есть проблема с 0x202E (RLO) в имени файла вас не интересует?
но я ей не доверяю

Почему же?
А кто говорил про проверку картинок?

То есть проблема с 0x202E (RLO) в имени файла вас не интересует?


Такие пустяки ловятся легко без антивируса.

но я ей не доверяю

Почему же?



Паниковский не обязан всему верить.
Такие пустяки ловятся легко без антивируса

А именно?
Паниковский не обязан всему верить

Видимо на то есть причины? )
Нет. Сайты проверки файлов используют только антивирусное ядро и не более. Тоесть дают ответ на вопрос — что думает антивирусное ядро про некий файл.

Антивирус в первую очередь это перехватчик всего и вся и распаковщик всего и вся — в том числе в неизвестных форматах. Пользователь не может проверить все файлы. Например все открываемое при открытии сайта в браузере

Чего нет в подобных сайтах типа вирустотала — поведенческих механизмов — контроля за поведением файлов, обошедших антивирусное ядро

Если не ставить файловый монитор, то нужно оставить проверку трафика, контроль доступа к заведомо вредоносным ресурсам и поведенческие механизмы
Идеальный мир — потоковый сверхбыстрый антивирус, который проверяет весь трафик десятком антивирусных движков, и в случае малейшего подозрения отправляет файл в песочницу для детального анализа в контролируемой среде.
Не будет такого. Современные группировки проверяют свои творения до выпуска в релиз на всех актуальных версиях (а иначе смысл?). В момент проникновения никакие проверки и вирустоталы не помогут. Только против пионеров и покупателей чужих творений.

Именно поэтому — ограничение запуска и прав — на этапе проникновения, антивирус — для убийства тех, кто обошел первый рубеж
Ну я бы не был так категоричен, рано или поздно (довольно рано) все вирусы туда попадают и начинают детектироваться. А от oday и заточенных вирусов как раз и нужна песочница. После песочницы сигнатура уходит на тот же virus total и начинает детектироваться всеми.
Идеальный мир же :)
:-( Песочница опознается вирусом и во время нахождения в ней вирус не работает — или через уязвимости может чего выполнить. Не дураки же вирусы делают. Посмотрите отчет ЦБ по утечкам через ДБО (если не найдете, то после командировки постараюсь не забыть)
Антивирус, на ряду с firewall, уже давно считается стандартом де-факто в enterprise секторе. Никто даже не думает, нужен он или нет. Все понимают на уровне подсознания, что его использование позволяет снять большинство угроз при минимальных затратах. Причём это понимание в большей степени относится к ИТ, именно они чаще закладывают антивирус в бюджеты, а не ИБ (которого может и не быть вовсе).
А на вопрос, где ставить антивирус (АРМ, канал, серверы и пр.), ответ — везде и чем больше, тем лучше :)
Выбор состоит только в том, какого вендора предпочесть.
Про требования регуляторов молчим, но:

> Все понимают на уровне подсознания, что его использование позволяет снять большинство угроз при минимальных затратах

1. Вот в этом и беда, что так не получится. Каков бы не был антивирус — свежего шифровальщика он пропустит.
2. В том случае, если резко появляется возможность израсходовать бюджет — админы не имеют аргументов, чтобы обосновать необходимость антивируса на том или ином узле. Постоянные тоже запросы на такой документ
1. Свежий шифровальщик входит в 20% угроз, которые должны закрывать другие средства (песочницы, honeypot и т.д.). Приведу пример, антивирус как невысокий забор под напряжением (не мешает людям и не портит пейзаж), он позволяет отпугнуть только диких животных, случайно попадающих в контролируемую зону (а таких большинство), но не защищает от человека на танке, для которого за забором установлена буферная зона из ежей и окопов, РЛС и артиллерия.
2. Для этого есть интеграторы.
1. Именно так.
2. К сожалению они не дотягиваются до малого и среднего бизнеса. Крупные компании в любом случае не обделены вниманием вендоров — тем более в текущей ситуации. Для них главное уметь сформировать вопросы и выбрать добросовестного поставщика. А вот тут проблемы. Ну не вижу я по статистике адекватного количества закупок почтовых серверов/шлюзов/решений для мобильных
Боюсь малый и средний бизнес будут не очень рады ценам на Ironport, например :)
Здесь стоит вернуться к характеристике стоимость защиты << стоимость информации.
Возможно для малого и среднего бизнеса будет интереснее модель типа SaaS для той же почты.
Only those users with full accounts are able to leave comments. Log in, please.