Именно это я и написал. Но одна поправка — по приходу очередного обновления все файлы с контрольными суммами должны быть перепроверены — ибо могут быть неизвестные вирусы. Поскольку у ведущих вендоров обновления раз в час, то раз в час нагрузка на систему растет. Получается раз в час три операции для всех используемых файлов — подсчет суммы, проверка антивирусом, запись суммы в хранилище
Да, забыл в качестве недостатков. Подсчет контрольных сумм выгоден, если мы опасаемся заражения. Но сейчас бал правят трояны, вероятность заражения есть, но достаточно низка. Я бы вместо этой технологии (на всякий случай — она у нас так же есть) шире применял расширенный офисный контроль — ограничение прав на изменение системы/запуск неизвестных программ
Про аппаратную часть я вспоминаю как-то смутно. Умерли они по причине:
— неэффективности — нужно контролировать целостность всей системы, а не только файлов
— включения в антивирусы системы подсчета контрольных сумм — достаточно часто быстрее проверить сумму, чем проверить файл. И на тот момент, когда обновления антивирусов можно было получать раз в неделю — это было выгодно. Сейчас, когда обновления нужно получать в момент их выхода — это имеет смысл, но гораздо меньше. Пожалуй только в момент загрузки, когда обновления недоступны, а дергаются одни и те же файлы, а также в изолированных сетях, куда перенос обновлений антивирусов затруднен
Тем не менее количество проектов/продуктов, направленных на контроль целостности для банкоматов, достаточно велико. И самое неприятное, когда они заказчикам пишут о своем соответствии PCI-DSS/382-П, где антивирус прописан достаточно отчетливо
adinf.com/ru. согласно sdelano-u-nas.livejournal.com/7707707.html считается живым до сих пор :-)
Если серьезно, то что умерло, то умерло. Ревизор дисков потом был и у Касперского. Да и сейчас решения на основе контрольных сумм предлагаются частенько (особенно в банкоматы). У решений на основе контрольных сумм много недостатков:
— путем модификации системных переменных (того же path) можно запустить иной файл вместо контролируемого. Прецедент как минимум один был
— контроль программы не означает ее незараженности. Заражение могло произойти пока неизвестным антивирусу вирусом. Соответственно по приходу каждого обновления контролируемую программу нужно перепроверять. А тогда какой смысл?
По сути современные облачные антивирусы — наследники adinf. Но там свои большие засады
Именно так. не нужно быть в плену шаблонов. Не важно каких — антивирус фореве или винда масдай. В каждом конкретном случае нужно выбирать оптимальное решение в зависимости от условий.
Нужно только помнить, что неуязвимых систем не бывает — даже если это системы защиты
Нисколько не отрицая вашего подхода, хочу обратить внимание на новость о заражении роутеров через браузер. Вредоносная программа как я понял запускается через ждава — скрипты, смотрит на наличие дефолтных паролей в роутер…
Это я собственно к тому, что антивирус конечно не всесилен, но является средством доступным пользователю любой квалификации, тогда как системы ограничения доступа требуют и хорошей квалификации и постоянного слежения за новостями ИБ на куче ресурсов.
По словам техподдержки на фолсы приходит запросов менее десятка в месяц. Если честно я ожидал больше. По словам техподдержки последняя версия в этом отношении ведет себя очень хорошо.
По фолсам нужно понимать следующие вещи:
1. Время от времени о неких программах узнаются нелицеприятные вещи и они попадают в базы. В прошлом году по поводу одной из таких программ даже новость была. Соответственно после такого действия возникает поток запросов в техподдержку
2. Кроме антивирусного ядра уведомления могут генерировать и иные подсистемы. Скажем задранный до максимума поведенческий анализатор
в банкоматы и терминалы антивирус прописан. на это будет отдельная статья, так как клиентов часто обманывают из-за незнания теми стандартов. я разберу требования по антивирусам pci-dss, сто бр рф, 382-п и 49-т. если есть вопросы, могу конкретно ответить
какой русский читает статью прежде чем ответить? :-)
я с самого начала утверждал, что антивирус не может предотвратить заражение и функция предотвращения заражений должна во многом (но не во всем) возлагаться на иные средства. функция антивируса, в чем его никто не может заменить, лечение вирусов, которые все же обошли все барьеры.
то есть вы опять же исходили из традиционного — и в корне неверного — взгляда на задачи антивируса в сети
а если говорить о заражении — да, вы абсолютно правы. так систему защитить можно. а бывает и нужно — в местах, где антивирус ставить нельзя.
но есть одно но. для такой защиты нужно иметь не просто грамотного, но и опытного админа. историй, как обходили ограничения запуска — в количестве. а вот антивирус поставить просто. вопрос затрат
Ответ:
Очень многое зависит от того, как настроены запреты. Запускаемые файлы это не только .exe, есть, например, скринсейверы .scr, есть .bat-файы.
Можно загрузить динамическую библиотеку в память (.dll).
Можно установить и запустить троянца, используя уже имеющиеся программы на диске — стартовать через cmd.exe, regsvr32.exe, rundll32.exe, wscript.exe и т.д.
Можно запустить и настроить шелл-код прямо в памяти, который будет инжектиться в работающие процессы, слушать порты, и т.д.
Если есть офис, можно запустить макровирус — если включены скрипты
Я тихо подозреваю, что подобного зла не много — в первую очередь в связи с тем, что количество пользователей, столь озабоченных безопасностью невелико с одной стороны, а с другой они предусматривают меры для восстановления информации в случае чего. Невыгодно атаковать
Насколько я понимаю — запустить можно и из памяти. Вполне возможно, что работать такое будет только до перезагрузки. Но ведь многие и не перезагружают и не выключают машины
Я сделал запрос специалистам. Как будет ответ — напишу
Как говорит наша поддержка — запрет исполнения из папки Темр решает 90% проблем :-)
Но 10 процентов тоже могут все снести. Это кстати еще одна типичная ошибка. Почему-то считается, что мы должны защищаться от вирусов, хакеров и тд. На самом деле не совсем так. Защититься на 100% нельзя никаким средством. Мы защищаемся от рисков реализации. И если вы какой-то риск признаете не значимым, то можете не защищаться. Но и отвечать за неверную оценку риска — вам
Я ни в коей мере не отрицаю, что любые ограничивающие меры снижают степень риска. Я больше обращаю внимание на две вещи с которыми я постоянно сталкиваюсь:
— абсолютная уверенность в своей правоте. По типу «В линукс вирусов нет!». Да, риск подцепить вирус под Линукс невелика, но это не повод надеяться, что все автоматически будет хорошо — www.opennet.ru/opennews/art.shtml?num=36454. Исследователи для своих целей заразили и использовали 420 тысяч систем – и никто в мире этого не заметил! Поэтому профессиональная паранойя должна быть. Да, подавляющая часть вирусов идет торной тропой, но рано или поздно кто-то ловит шифровальщик на документы супер важности (в через неделю ловит его туда же еще раз — и в этот раз мы расшифровать его уже не можем)
— незнание админами (ладно пользователи) основ безопасности. Какие угрозы есть, какие сертификаты нужны и тд.
Сколько раз сталкивался, что пропуск вируса приводил не к смене политики в области ИБ, а к смене антивируса
> что мешает админом поставить весь нужный софт и работать в нем из-под юзера
1. Неумение переломить вопли пользователей, кого ограничили
2. неумение настроить нужный софт (в том числе бесплатный)
3. начальство, которое например таскает из дому флешки/мобильные и «проблемы вирусов шерифа не волнуют»
1. Сходу — руткит. Внедрение непосредственно в процесс. Запуск в памяти. Запись в служебные области. Концепт был записи в аккумулятор. Жизнь не заканчивается на файловой системе.
Если здесь есть вирусные аналитики — я надеюсь они дадут более точный ответ
2. Увы и ах — неизвестные вредоносные программы — посмотрите последние отчеты Симантика и Касперского — сколько оставались необнаруженными шпионские программы
3. запретить можно, но как тогда работать на большей части интернета? Всякие системы управления через веб, бухгалтерия и тд
Классика «мы и без антивируса проживем» — банкоматы и близкие к ним устройства. Да, вирусов, направленных именно на банкоматы относительно немного. Но много ли удовольствия увидеть в интернете фото своего банкомата с требованием выплаты? + командировочные куда в тьмутаракать на восстановление. Если не забуду, напишу как вирусы в банкоматы попадают
Увы и ах:
— уязвимости
— софт, установленный до того, как компьютер попал к пользователю
— скрипты в браузере/pdf/офисных приложениях
— социальная инженерия — для приведенного списка работает в полный рост — установка программ пользователем не запрещена, а значит будут ставить
…
Скорее всего модификация, но не буду спорить. К сожалению бывает и так. Например по причине того, что на анализ попала только часть вируса.
Спасибо за уточнение.
И всегда в таких случая приветствуются багрепорты
Насчет последней (что она последняя) вспышки вы погорячились. Заходим на updates.drweb.com за вчера:
Trojan.Encoder.514(3) Trojan.Encoder.567(2) Trojan.Encoder.761(2) Trojan.Encoder.858(3) Trojan.Encoder.889(3) Trojan.Encoder.906(3) Trojan.Encoder.929 Trojan.Encoder.949 Trojan.Encoder.952 Trojan.Encoder.953 Trojan.Encoder.960(2). Не уверен, что выбрал все из занесенных в этот день — скопировал первую найденную строчку в списке
Пекут как пирожки. И раз были добавлены в базу — не обнаруживались до этого. Энкодеры сейчас типичный пример промышленной разработки вредоносных программ. И быть готовым к действиям по дешифровке и восстановлению — обязанность каждого админа.
И вот тут засада — хотя требования, что нужно описывать в заявке и что присылать — висят везде и всюду — на каждую заявку приходится объяснять лично. Если кто не знает до сих пор, что требуется для попытки расшифровки — пишите
Не обязательно, но есть действительно построенные вокруг командного центра. Кстати одна из причин запросов в техподдержку по типу «ваш антивирус удалил троян, а он все время снова возникает на том же месте» — нечто типа Downloader. Из последнего — news.drweb.com/show/?c=5&i=9341&lng=ru
Да, забыл в качестве недостатков. Подсчет контрольных сумм выгоден, если мы опасаемся заражения. Но сейчас бал правят трояны, вероятность заражения есть, но достаточно низка. Я бы вместо этой технологии (на всякий случай — она у нас так же есть) шире применял расширенный офисный контроль — ограничение прав на изменение системы/запуск неизвестных программ
— неэффективности — нужно контролировать целостность всей системы, а не только файлов
— включения в антивирусы системы подсчета контрольных сумм — достаточно часто быстрее проверить сумму, чем проверить файл. И на тот момент, когда обновления антивирусов можно было получать раз в неделю — это было выгодно. Сейчас, когда обновления нужно получать в момент их выхода — это имеет смысл, но гораздо меньше. Пожалуй только в момент загрузки, когда обновления недоступны, а дергаются одни и те же файлы, а также в изолированных сетях, куда перенос обновлений антивирусов затруднен
Тем не менее количество проектов/продуктов, направленных на контроль целостности для банкоматов, достаточно велико. И самое неприятное, когда они заказчикам пишут о своем соответствии PCI-DSS/382-П, где антивирус прописан достаточно отчетливо
Если серьезно, то что умерло, то умерло. Ревизор дисков потом был и у Касперского. Да и сейчас решения на основе контрольных сумм предлагаются частенько (особенно в банкоматы). У решений на основе контрольных сумм много недостатков:
— путем модификации системных переменных (того же path) можно запустить иной файл вместо контролируемого. Прецедент как минимум один был
— контроль программы не означает ее незараженности. Заражение могло произойти пока неизвестным антивирусу вирусом. Соответственно по приходу каждого обновления контролируемую программу нужно перепроверять. А тогда какой смысл?
По сути современные облачные антивирусы — наследники adinf. Но там свои большие засады
Нужно только помнить, что неуязвимых систем не бывает — даже если это системы защиты
Занесение в базы ранее легальных программ — это конечно редкость, но по словам техподдержки именно сейчас идет достаточно много таких обращений.
Это я собственно к тому, что антивирус конечно не всесилен, но является средством доступным пользователю любой квалификации, тогда как системы ограничения доступа требуют и хорошей квалификации и постоянного слежения за новостями ИБ на куче ресурсов.
По фолсам нужно понимать следующие вещи:
1. Время от времени о неких программах узнаются нелицеприятные вещи и они попадают в базы. В прошлом году по поводу одной из таких программ даже новость была. Соответственно после такого действия возникает поток запросов в техподдержку
2. Кроме антивирусного ядра уведомления могут генерировать и иные подсистемы. Скажем задранный до максимума поведенческий анализатор
я с самого начала утверждал, что антивирус не может предотвратить заражение и функция предотвращения заражений должна во многом (но не во всем) возлагаться на иные средства. функция антивируса, в чем его никто не может заменить, лечение вирусов, которые все же обошли все барьеры.
то есть вы опять же исходили из традиционного — и в корне неверного — взгляда на задачи антивируса в сети
а если говорить о заражении — да, вы абсолютно правы. так систему защитить можно. а бывает и нужно — в местах, где антивирус ставить нельзя.
но есть одно но. для такой защиты нужно иметь не просто грамотного, но и опытного админа. историй, как обходили ограничения запуска — в количестве. а вот антивирус поставить просто. вопрос затрат
Очень многое зависит от того, как настроены запреты. Запускаемые файлы это не только .exe, есть, например, скринсейверы .scr, есть .bat-файы.
Можно загрузить динамическую библиотеку в память (.dll).
Можно установить и запустить троянца, используя уже имеющиеся программы на диске — стартовать через cmd.exe, regsvr32.exe, rundll32.exe, wscript.exe и т.д.
Можно запустить и настроить шелл-код прямо в памяти, который будет инжектиться в работающие процессы, слушать порты, и т.д.
Если есть офис, можно запустить макровирус — если включены скрипты
Я тихо подозреваю, что подобного зла не много — в первую очередь в связи с тем, что количество пользователей, столь озабоченных безопасностью невелико с одной стороны, а с другой они предусматривают меры для восстановления информации в случае чего. Невыгодно атаковать
Я сделал запрос специалистам. Как будет ответ — напишу
Но 10 процентов тоже могут все снести. Это кстати еще одна типичная ошибка. Почему-то считается, что мы должны защищаться от вирусов, хакеров и тд. На самом деле не совсем так. Защититься на 100% нельзя никаким средством. Мы защищаемся от рисков реализации. И если вы какой-то риск признаете не значимым, то можете не защищаться. Но и отвечать за неверную оценку риска — вам
По поводу lnk :-) Хабр — это рулез. habrahabr.ru/post/101971
Для интереса — news.drweb.com/show/?c=5&i=2979&lng=ru — попытка обхода UAC
— абсолютная уверенность в своей правоте. По типу «В линукс вирусов нет!». Да, риск подцепить вирус под Линукс невелика, но это не повод надеяться, что все автоматически будет хорошо — www.opennet.ru/opennews/art.shtml?num=36454. Исследователи для своих целей заразили и использовали 420 тысяч систем – и никто в мире этого не заметил! Поэтому профессиональная паранойя должна быть. Да, подавляющая часть вирусов идет торной тропой, но рано или поздно кто-то ловит шифровальщик на документы супер важности (в через неделю ловит его туда же еще раз — и в этот раз мы расшифровать его уже не можем)
— незнание админами (ладно пользователи) основ безопасности. Какие угрозы есть, какие сертификаты нужны и тд.
Сколько раз сталкивался, что пропуск вируса приводил не к смене политики в области ИБ, а к смене антивируса
> что мешает админом поставить весь нужный софт и работать в нем из-под юзера
1. Неумение переломить вопли пользователей, кого ограничили
2. неумение настроить нужный софт (в том числе бесплатный)
3. начальство, которое например таскает из дому флешки/мобильные и «проблемы вирусов шерифа не волнуют»
Если здесь есть вирусные аналитики — я надеюсь они дадут более точный ответ
2. Увы и ах — неизвестные вредоносные программы — посмотрите последние отчеты Симантика и Касперского — сколько оставались необнаруженными шпионские программы
3. запретить можно, но как тогда работать на большей части интернета? Всякие системы управления через веб, бухгалтерия и тд
Классика «мы и без антивируса проживем» — банкоматы и близкие к ним устройства. Да, вирусов, направленных именно на банкоматы относительно немного. Но много ли удовольствия увидеть в интернете фото своего банкомата с требованием выплаты? + командировочные куда в тьмутаракать на восстановление. Если не забуду, напишу как вирусы в банкоматы попадают
— уязвимости
— софт, установленный до того, как компьютер попал к пользователю
— скрипты в браузере/pdf/офисных приложениях
— социальная инженерия — для приведенного списка работает в полный рост — установка программ пользователем не запрещена, а значит будут ставить
…
Спасибо за уточнение.
И всегда в таких случая приветствуются багрепорты
Trojan.Encoder.514(3) Trojan.Encoder.567(2) Trojan.Encoder.761(2) Trojan.Encoder.858(3) Trojan.Encoder.889(3) Trojan.Encoder.906(3) Trojan.Encoder.929 Trojan.Encoder.949 Trojan.Encoder.952 Trojan.Encoder.953 Trojan.Encoder.960(2). Не уверен, что выбрал все из занесенных в этот день — скопировал первую найденную строчку в списке
Пекут как пирожки. И раз были добавлены в базу — не обнаруживались до этого. Энкодеры сейчас типичный пример промышленной разработки вредоносных программ. И быть готовым к действиям по дешифровке и восстановлению — обязанность каждого админа.
И вот тут засада — хотя требования, что нужно описывать в заявке и что присылать — висят везде и всюду — на каждую заявку приходится объяснять лично. Если кто не знает до сих пор, что требуется для попытки расшифровки — пишите
И бекап обязателен как воздух! Ибо бывает так — news.drweb.com/show/?c=5&i=7098&lng=ru, а бывает и так news.drweb.com/show/?c=5&i=9341&lng=ru