Комментарии 25
А можно еще раз это скопипейстить и сюда тоже? :)
======================
Антивирус для Windows вам не понадобится при соблюдении четырех простых условий:
1. Работайте за компьютером с пользовательской учетной записи и перезаходите админом только для изменения настроек системы и установки софта.
2. Устанавливайте софт только в папку Program Files
3. Разрешите выполнение программ только их папок Windows и Program Files
4. Запретите выполнение программ из всех остальных папок плюс Windows\Temp и Windows\System32\spool
======================
Я бы от себя еще добавил что разрешить и запретить можно или через политику ограниченного использования программ с поведением по умолчанию «Запретить» и исключением .lnk из списка назначенных файлов или простым .reg файлом вида
pastebin.com/wSA5QzcJ
======================
Антивирус для Windows вам не понадобится при соблюдении четырех простых условий:
1. Работайте за компьютером с пользовательской учетной записи и перезаходите админом только для изменения настроек системы и установки софта.
2. Устанавливайте софт только в папку Program Files
3. Разрешите выполнение программ только их папок Windows и Program Files
4. Запретите выполнение программ из всех остальных папок плюс Windows\Temp и Windows\System32\spool
======================
Я бы от себя еще добавил что разрешить и запретить можно или через политику ограниченного использования программ с поведением по умолчанию «Запретить» и исключением .lnk из списка назначенных файлов или простым .reg файлом вида
pastebin.com/wSA5QzcJ
Увы и ах:
— уязвимости
— софт, установленный до того, как компьютер попал к пользователю
— скрипты в браузере/pdf/офисных приложениях
— социальная инженерия — для приведенного списка работает в полный рост — установка программ пользователем не запрещена, а значит будут ставить
…
— уязвимости
— софт, установленный до того, как компьютер попал к пользователю
— скрипты в браузере/pdf/офисных приложениях
— социальная инженерия — для приведенного списка работает в полный рост — установка программ пользователем не запрещена, а значит будут ставить
…
Теоретически согласен, но
1. Попробуйте хотя бы просто придумать сценарий для проникновения вируса на компьютер, на котором запрещено выполнение файлов из всех папок в которые разрешена запись.
2. Понятное дело что прежде чем переходить в глухую защиту, нужно хотя бы умыться, сбрить все лишнее с подбородка и взять в зубы новую капу :)
3. То же что и 1
4. Пусть ставят на здоровье :) В Program Files поставить у юзера не хватит прав, а из AppData просто не будет выполняться.
1. Попробуйте хотя бы просто придумать сценарий для проникновения вируса на компьютер, на котором запрещено выполнение файлов из всех папок в которые разрешена запись.
2. Понятное дело что прежде чем переходить в глухую защиту, нужно хотя бы умыться, сбрить все лишнее с подбородка и взять в зубы новую капу :)
3. То же что и 1
4. Пусть ставят на здоровье :) В Program Files поставить у юзера не хватит прав, а из AppData просто не будет выполняться.
1. Сходу — руткит. Внедрение непосредственно в процесс. Запуск в памяти. Запись в служебные области. Концепт был записи в аккумулятор. Жизнь не заканчивается на файловой системе.
Если здесь есть вирусные аналитики — я надеюсь они дадут более точный ответ
2. Увы и ах — неизвестные вредоносные программы — посмотрите последние отчеты Симантика и Касперского — сколько оставались необнаруженными шпионские программы
3. запретить можно, но как тогда работать на большей части интернета? Всякие системы управления через веб, бухгалтерия и тд
Классика «мы и без антивируса проживем» — банкоматы и близкие к ним устройства. Да, вирусов, направленных именно на банкоматы относительно немного. Но много ли удовольствия увидеть в интернете фото своего банкомата с требованием выплаты? + командировочные куда в тьмутаракать на восстановление. Если не забуду, напишу как вирусы в банкоматы попадают
Если здесь есть вирусные аналитики — я надеюсь они дадут более точный ответ
2. Увы и ах — неизвестные вредоносные программы — посмотрите последние отчеты Симантика и Касперского — сколько оставались необнаруженными шпионские программы
3. запретить можно, но как тогда работать на большей части интернета? Всякие системы управления через веб, бухгалтерия и тд
Классика «мы и без антивируса проживем» — банкоматы и близкие к ним устройства. Да, вирусов, направленных именно на банкоматы относительно немного. Но много ли удовольствия увидеть в интернете фото своего банкомата с требованием выплаты? + командировочные куда в тьмутаракать на восстановление. Если не забуду, напишу как вирусы в банкоматы попадают
а есть хотя бы минимально распространенные в реальной жизни руткиты которые запускаются при заходе на какую-нибудь страничку в браузере или через макрос в каком-нибудь xlsx? Потому как я что-то не могу себе представить другого пути проникновения… Но все равно не думаю, что вероятность подцепить такую заразу будет выше вероятности подцепить какую-нибудь другую похожую заразу при постоянно включенном антивирусе и с разрешением на выполнение файлов из открытых на запись папок. А насчет третьего пункта, то что мешает админом поставить весь нужный софт и работать в нем из-под юзера? :)
Я ни в коей мере не отрицаю, что любые ограничивающие меры снижают степень риска. Я больше обращаю внимание на две вещи с которыми я постоянно сталкиваюсь:
— абсолютная уверенность в своей правоте. По типу «В линукс вирусов нет!». Да, риск подцепить вирус под Линукс невелика, но это не повод надеяться, что все автоматически будет хорошо — www.opennet.ru/opennews/art.shtml?num=36454. Исследователи для своих целей заразили и использовали 420 тысяч систем – и никто в мире этого не заметил! Поэтому профессиональная паранойя должна быть. Да, подавляющая часть вирусов идет торной тропой, но рано или поздно кто-то ловит шифровальщик на документы супер важности (в через неделю ловит его туда же еще раз — и в этот раз мы расшифровать его уже не можем)
— незнание админами (ладно пользователи) основ безопасности. Какие угрозы есть, какие сертификаты нужны и тд.
Сколько раз сталкивался, что пропуск вируса приводил не к смене политики в области ИБ, а к смене антивируса
> что мешает админом поставить весь нужный софт и работать в нем из-под юзера
1. Неумение переломить вопли пользователей, кого ограничили
2. неумение настроить нужный софт (в том числе бесплатный)
3. начальство, которое например таскает из дому флешки/мобильные и «проблемы вирусов шерифа не волнуют»
— абсолютная уверенность в своей правоте. По типу «В линукс вирусов нет!». Да, риск подцепить вирус под Линукс невелика, но это не повод надеяться, что все автоматически будет хорошо — www.opennet.ru/opennews/art.shtml?num=36454. Исследователи для своих целей заразили и использовали 420 тысяч систем – и никто в мире этого не заметил! Поэтому профессиональная паранойя должна быть. Да, подавляющая часть вирусов идет торной тропой, но рано или поздно кто-то ловит шифровальщик на документы супер важности (в через неделю ловит его туда же еще раз — и в этот раз мы расшифровать его уже не можем)
— незнание админами (ладно пользователи) основ безопасности. Какие угрозы есть, какие сертификаты нужны и тд.
Сколько раз сталкивался, что пропуск вируса приводил не к смене политики в области ИБ, а к смене антивируса
> что мешает админом поставить весь нужный софт и работать в нем из-под юзера
1. Неумение переломить вопли пользователей, кого ограничили
2. неумение настроить нужный софт (в том числе бесплатный)
3. начальство, которое например таскает из дому флешки/мобильные и «проблемы вирусов шерифа не волнуют»
По запуску из браузера — запрошу, но думаю что на основе news.drweb.com/show/?c=5&i=2727&lng=ru нечто подобное можно сделать.
Для интереса — news.drweb.com/show/?c=5&i=2979&lng=ru — попытка обхода UAC
Для интереса — news.drweb.com/show/?c=5&i=2979&lng=ru — попытка обхода UAC
все равно сомнительно что сработает. Если «инсталлятор буткита осуществляет попытки обхода механизма контроля учетных записей (User Accounts Control, UAC), предотвращающего несанкционированный запуск в системе исполняемых файлов», то получается где-то в какой-то папке создается этот самый инсталлятор и производится попытка его запустить в обход UAC. Но ведь в этом случае у него все равно не получится запуститься «как бы из папки Program Files» и SRP не даст запуститься этому самому «инсталлятору»? Или не так?
Насколько я понимаю — запустить можно и из памяти. Вполне возможно, что работать такое будет только до перезагрузки. Но ведь многие и не перезагружают и не выключают машины
Я сделал запрос специалистам. Как будет ответ — напишу
Я сделал запрос специалистам. Как будет ответ — напишу
Ответ:
Очень многое зависит от того, как настроены запреты. Запускаемые файлы это не только .exe, есть, например, скринсейверы .scr, есть .bat-файы.
Можно загрузить динамическую библиотеку в память (.dll).
Можно установить и запустить троянца, используя уже имеющиеся программы на диске — стартовать через cmd.exe, regsvr32.exe, rundll32.exe, wscript.exe и т.д.
Можно запустить и настроить шелл-код прямо в памяти, который будет инжектиться в работающие процессы, слушать порты, и т.д.
Если есть офис, можно запустить макровирус — если включены скрипты
Я тихо подозреваю, что подобного зла не много — в первую очередь в связи с тем, что количество пользователей, столь озабоченных безопасностью невелико с одной стороны, а с другой они предусматривают меры для восстановления информации в случае чего. Невыгодно атаковать
Очень многое зависит от того, как настроены запреты. Запускаемые файлы это не только .exe, есть, например, скринсейверы .scr, есть .bat-файы.
Можно загрузить динамическую библиотеку в память (.dll).
Можно установить и запустить троянца, используя уже имеющиеся программы на диске — стартовать через cmd.exe, regsvr32.exe, rundll32.exe, wscript.exe и т.д.
Можно запустить и настроить шелл-код прямо в памяти, который будет инжектиться в работающие процессы, слушать порты, и т.д.
Если есть офис, можно запустить макровирус — если включены скрипты
Я тихо подозреваю, что подобного зла не много — в первую очередь в связи с тем, что количество пользователей, столь озабоченных безопасностью невелико с одной стороны, а с другой они предусматривают меры для восстановления информации в случае чего. Невыгодно атаковать
1. список расширений файлов тоже можно задать в политиках. В рег файле по ссылке это: wsc, vb, url, shs, scr, reg, pif, pcd, ocx, mst, msp, msi, msc, mde, mdb, isp, ins, inf, hta, hlp, exe, crt, cpl, com, cmd, chm, bat, bas, adp, ade. По-умолчанию там есть еще lnk, но мы его исключаем.
2. dll можно будет загрузить только в какой-либо немодифицированный процесс запущенный из места откуда в данный момент нет прав на запись. Это что-то даст только при наличии известной уязвимости этого процесса (и это самое слабое место во всем сценарии защиты). Именно поэтому нужно стремиться к минимальному набору установленного софта и использовать портабельные браузеры (а в идеале и офисы) с явой и флешем в собственной песочнице
3. если выполнить «cmd.exe c:\какой-то-левый-путь\файл.exe» политики заблокируют такую командную строку и запустится просто cmd.exe
4. Точно то же относится и к «шелл кодам» в памяти. Если файл «шелл кода» физически отсутствует в папке Windows или Program Files его просто не получится «запустить и настроить»
5. Работа 99.99% макровирусов начинается с побайтного создания исполняемого файла где-нибудь в темпах иди апдатах с последующим запуском этого файла. Т.е. вариант снова не пройдет.
В общем-то и я совершенно не настаиваю на том, что эти 4 правила помогут в 100% случаев, но готов поспорить, что вероятность заражения каким-нибудь суровым криптором в «системе 4-х правил» будет в сотни раз ниже по сравнению с системой с любым антивирусом.
2. dll можно будет загрузить только в какой-либо немодифицированный процесс запущенный из места откуда в данный момент нет прав на запись. Это что-то даст только при наличии известной уязвимости этого процесса (и это самое слабое место во всем сценарии защиты). Именно поэтому нужно стремиться к минимальному набору установленного софта и использовать портабельные браузеры (а в идеале и офисы) с явой и флешем в собственной песочнице
3. если выполнить «cmd.exe c:\какой-то-левый-путь\файл.exe» политики заблокируют такую командную строку и запустится просто cmd.exe
4. Точно то же относится и к «шелл кодам» в памяти. Если файл «шелл кода» физически отсутствует в папке Windows или Program Files его просто не получится «запустить и настроить»
5. Работа 99.99% макровирусов начинается с побайтного создания исполняемого файла где-нибудь в темпах иди апдатах с последующим запуском этого файла. Т.е. вариант снова не пройдет.
В общем-то и я совершенно не настаиваю на том, что эти 4 правила помогут в 100% случаев, но готов поспорить, что вероятность заражения каким-нибудь суровым криптором в «системе 4-х правил» будет в сотни раз ниже по сравнению с системой с любым антивирусом.
какой русский читает статью прежде чем ответить? :-)
я с самого начала утверждал, что антивирус не может предотвратить заражение и функция предотвращения заражений должна во многом (но не во всем) возлагаться на иные средства. функция антивируса, в чем его никто не может заменить, лечение вирусов, которые все же обошли все барьеры.
то есть вы опять же исходили из традиционного — и в корне неверного — взгляда на задачи антивируса в сети
а если говорить о заражении — да, вы абсолютно правы. так систему защитить можно. а бывает и нужно — в местах, где антивирус ставить нельзя.
но есть одно но. для такой защиты нужно иметь не просто грамотного, но и опытного админа. историй, как обходили ограничения запуска — в количестве. а вот антивирус поставить просто. вопрос затрат
я с самого начала утверждал, что антивирус не может предотвратить заражение и функция предотвращения заражений должна во многом (но не во всем) возлагаться на иные средства. функция антивируса, в чем его никто не может заменить, лечение вирусов, которые все же обошли все барьеры.
то есть вы опять же исходили из традиционного — и в корне неверного — взгляда на задачи антивируса в сети
а если говорить о заражении — да, вы абсолютно правы. так систему защитить можно. а бывает и нужно — в местах, где антивирус ставить нельзя.
но есть одно но. для такой защиты нужно иметь не просто грамотного, но и опытного админа. историй, как обходили ограничения запуска — в количестве. а вот антивирус поставить просто. вопрос затрат
Нисколько не отрицая вашего подхода, хочу обратить внимание на новость о заражении роутеров через браузер. Вредоносная программа как я понял запускается через ждава — скрипты, смотрит на наличие дефолтных паролей в роутер…
Это я собственно к тому, что антивирус конечно не всесилен, но является средством доступным пользователю любой квалификации, тогда как системы ограничения доступа требуют и хорошей квалификации и постоянного слежения за новостями ИБ на куче ресурсов.
Это я собственно к тому, что антивирус конечно не всесилен, но является средством доступным пользователю любой квалификации, тогда как системы ограничения доступа требуют и хорошей квалификации и постоянного слежения за новостями ИБ на куче ресурсов.
банкоматы и близкие к ним устройства
Им разве по стандартам не положен антивирус? В DISA STIG даже для RHEL требуют его наличие.
НЛО прилетело и опубликовало эту надпись здесь
Как говорит наша поддержка — запрет исполнения из папки Темр решает 90% проблем :-)
Но 10 процентов тоже могут все снести. Это кстати еще одна типичная ошибка. Почему-то считается, что мы должны защищаться от вирусов, хакеров и тд. На самом деле не совсем так. Защититься на 100% нельзя никаким средством. Мы защищаемся от рисков реализации. И если вы какой-то риск признаете не значимым, то можете не защищаться. Но и отвечать за неверную оценку риска — вам
По поводу lnk :-) Хабр — это рулез. habrahabr.ru/post/101971
Но 10 процентов тоже могут все снести. Это кстати еще одна типичная ошибка. Почему-то считается, что мы должны защищаться от вирусов, хакеров и тд. На самом деле не совсем так. Защититься на 100% нельзя никаким средством. Мы защищаемся от рисков реализации. И если вы какой-то риск признаете не значимым, то можете не защищаться. Но и отвечать за неверную оценку риска — вам
По поводу lnk :-) Хабр — это рулез. habrahabr.ru/post/101971
SRP хорошо описано тут, про lnk тоже есть:
www.sysadmins.lv/CategoryView,category,SecuritySRP.aspx
www.sysadmins.lv/CategoryView,category,SecuritySRP.aspx
Вместо тысячи слов: невозможно гарантировать обнаружение любых угроз.
Уровень детекта это замечательно, тем более это уже обмусолено даже лично Евгением Касперским. А как фолсы поживают? Вот, например, ДрВеб ежедневно примерно сколько фолсов удаляет? Сколько ему приходит писем на реальные разные фолсы ежедневно? Если будете отвечать на данный вопрос, то погрешность в 50% вполне допустима.
По словам техподдержки на фолсы приходит запросов менее десятка в месяц. Если честно я ожидал больше. По словам техподдержки последняя версия в этом отношении ведет себя очень хорошо.
По фолсам нужно понимать следующие вещи:
1. Время от времени о неких программах узнаются нелицеприятные вещи и они попадают в базы. В прошлом году по поводу одной из таких программ даже новость была. Соответственно после такого действия возникает поток запросов в техподдержку
2. Кроме антивирусного ядра уведомления могут генерировать и иные подсистемы. Скажем задранный до максимума поведенческий анализатор
По фолсам нужно понимать следующие вещи:
1. Время от времени о неких программах узнаются нелицеприятные вещи и они попадают в базы. В прошлом году по поводу одной из таких программ даже новость была. Соответственно после такого действия возникает поток запросов в техподдержку
2. Кроме антивирусного ядра уведомления могут генерировать и иные подсистемы. Скажем задранный до максимума поведенческий анализатор
1. Это дикая редкость. Ведь в этот пункт не будем относить случаи, когда старое-доброе бесплатное и популярное ПО начало вшивать в себя адварь, так ведь?
2. Разумеется, но это выходит за рамки классического детекта, тут скорее вопросы к настройкам и юзабилити.
Удивлен, что так мало к вам приходит запросов на удаление фолсов.
Помогу:
Легальный подписанный валидной ЭЦП оракловский (Java) инсталлер 8 версии:
www.virustotal.com/ru/file/7ca8331abecf21a4aa00e24ad5a30a4708d1d8debf034903434cced4cdd4d2ba/analysis/
ДрВеб один одинешенек находит Trojan.Starter.4238
Подписанный «OpenVPN Technologies» openvpn клиент:
www.virustotal.com/ru/file/7487c361599d0b727b0e5ca3c82ea756645e77d15aa7b889be1585db285fa4fa/analysis/
Один ДрВеб определяет как Trojan.PWS.Banks.109
Конкурент скайпа месседжер ooVoo (тоже подписан):
www.virustotal.com/ru/file/8c0fc26eac1907cc51f92ac760b110a8327f0da501d96ab80bf189dea0ee6b13/analysis/
Согласно ДрВеб это Trojan.DownLoader11.42409
И вот на подобное мне постоянно жалуются.
Эпик-фолсы. Согласны?
2. Разумеется, но это выходит за рамки классического детекта, тут скорее вопросы к настройкам и юзабилити.
Удивлен, что так мало к вам приходит запросов на удаление фолсов.
Помогу:
Легальный подписанный валидной ЭЦП оракловский (Java) инсталлер 8 версии:
www.virustotal.com/ru/file/7ca8331abecf21a4aa00e24ad5a30a4708d1d8debf034903434cced4cdd4d2ba/analysis/
ДрВеб один одинешенек находит Trojan.Starter.4238
Подписанный «OpenVPN Technologies» openvpn клиент:
www.virustotal.com/ru/file/7487c361599d0b727b0e5ca3c82ea756645e77d15aa7b889be1585db285fa4fa/analysis/
Один ДрВеб определяет как Trojan.PWS.Banks.109
Конкурент скайпа месседжер ooVoo (тоже подписан):
www.virustotal.com/ru/file/8c0fc26eac1907cc51f92ac760b110a8327f0da501d96ab80bf189dea0ee6b13/analysis/
Согласно ДрВеб это Trojan.DownLoader11.42409
И вот на подобное мне постоянно жалуются.
Эпик-фолсы. Согласны?
наши антивирусы — лучшие в мире
QA у Касперского точно не лучший, такого запредельного количества багов я нигде не встречал.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как поймать то, чего нет. Часть третья: а судьи кто?