Защита без антивируса?

[StarStream 55]

1. Когда Umnik доказывал Рабиновичу, что его программа не защищает на 100%, он просто снял ролик и продемонстрировал возможность заражения...

После чего спорить уже было не о чем.

? Я тогда скачал тот зловред, запустил его из под VirtualBox с Windows XP Sp3. DefenseWall дал запуститься зловреду из недоверенной зоны песочницы. В итоге, рабочий стол был заблокирован. Факт. Но после нажатия кнопки reset и перезагрузки компьютер был чист. Т.е. зловред из песочницы не вышел и систему не испортил. После чего спорить уже было не о чем.

[Umnik 997]

? Я тогда скачал тот зловред, запустил его из под VirtualBox с Windows XP Sp3. DefenseWall дал запуститься зловреду из недоверенной зоны песочницы.

1. Пихаешь его в инсталлятор

2. ...

3. PROFIT!11

[Chekm 100]

? Я тогда скачал тот зловред, запустил его из под VirtualBox с Windows XP Sp3. DefenseWall дал запуститься зловреду из недоверенной зоны песочницы. В итоге, рабочий стол был заблокирован. Факт. Но после нажатия кнопки reset и перезагрузки компьютер был чист. Т.е. зловред из песочницы не вышел и систему не испортил. После чего спорить уже было не о чем.

Если защищаясь Defence Wall, Вы просто лазите по инету, согласен Вы защищены, но как только треб. что-нибудь установить, то проверить устанавливаемое нечем. А Рабинович как раз тогда написал аналитическую обзорную статью и подразумевалось, что одной его программы хватит для защиты.

"Я тогда скачал тот зловред..." - так Вы знали, что это зловред... А Umnik устанавливал, кажется кодек, который оказался зловредом!

[Илья Рабинович 521]

А Рабинович как раз тогда написал аналитическую обзорную статью и подразумевалось, что одной его программы хватит для защиты.

Я никогда не писал статей, где подразумевалось, что одного DefenseWall вполне достаточно для защиты простого пользователя. Может, хватит уже приписывать мне то, чего я никогда не делал? А то что-то слишком это популярно стало, сначала wx., теперь Checkm...

1. Пихаешь его в инсталлятор

2. ...

3. PROFIT!11

1. Берёшь зловред и дотачиваешь его до "недетектируемого" состояния.

2. Заманиваешь пользователя на страничку с эксплойтами.

3. PROFIT!

Дим, у каждого продукта, реализующего разные концепции защиты, разные слабые и сильные стороны. Поэтому многоуровневая защита из продуктов, реализующих разные подходы в защите, и является наиболее адекватным ответом на современные вызовы. Полагаться только на один "черносписочный подход" есть глупость. Глупость, которую совершают 99,99999% пользователей, а потом долго удивляются, как это "мой антивирус пропустил!".

И нет ни одного продукта, реализующего концепцию "серебряной пули".

[Umnik 997]

1. Берёшь зловред и дотачиваешь его до "недетектируемого" состояния.

2. Заманиваешь пользователя на страничку с эксплойтами.

3. PROFIT!

Недетектируемого чем? Это, понимаешь ли, не тесты под DW делать, чтобы он 0 не схватил

Дим, у каждого продукта, реализующего разные концепции защиты, разные слабые и сильные стороны.

Ну и дальше. Илья, ну ты же понимаешь, что я это знаю. Ну ни я ли тебе про ЭЦП говорил? Ну ни я ли тебе про шары говорил?

В пунктах 1-3 лишь сказал, что DW работает так, что первый же инсталлятор у домохозяйке заразит систему. И это еще я не напоминал про любую заразу, которая появилась на винтах до установки DW. И ты, и я, и некоторые другие понимают это. Только вот еще есть те, кто упрекает меня в их же собственном непонимании вопроса.

Глупость, которую совершают 99,99999% пользователей, а потом долго удивляются, как это "мой антивирус пропустил!".

Ты не прав. Пользователи этого не делают. Они не создают для себя ПО, работающее по черным спискам. Ну а называть современные IS черносписочными, это, извини, ложь.

[Chekm 100]

Я никогда не писал статей, где подразумевалось, что одного DefenseWall вполне достаточно для защиты простого пользователя. Может, хватит уже приписывать мне то, чего я никогда не делал?...

Статья называлась: Ложь, большая ложь и антивирусы.

Рассматривались вопросы защиты "классической" индустрией и противопоставлялись альтернативные способы.

Ни разу в статье не упоминалось и не давались советы по использованию программы совместно с каким-нибудь антивирусом.

Противопоставление шло по вектору: защита антивирусом - защита песочницей.

...теперь Checkm...

На английской раскладке клавиатуры наберите по русски: Сруль (так дома щенка звали), получится правильно: Chekm

[SDA 750]

Вполне доказано, что можно организовать защиту без антивирусного п/о, одними силами оси Винды, особенно последней семерки. Другой вопрос, что больше половины пользователей этим заниматься не будут в силу того, что:

не понимают и не хотят понять (приучил всех Мелкософт работе под админом ), как это сделать;

напуганы мнимыми/раздутыми и реальными угрозами, а лучшая защита от угроз -это антивирус "Х" или "Y", рекламные плакаты которых "висят на каждом заборе";

просто лениво, проще поставить антивирус, чем настраивать/защищать и следить за осью, где нет антивирусной защиты;

в силу того, что просто являются "чайниками" в ИБ и не собираются повышать свои знания в этой области, потому что, особо не видят разницы между ПК и телевизором. Где то слышали про компьютерные вирусы и антивирусы ну и купили на всякий случай красивую коробку разрекламированного вендора, если его продукт не был предустановлен в ПК. А такие слова, как "бэкап", "критические обновления", "фаервол" и т.д., звучат для них также, как для эскимоса верблюд. И таких большинство. Про корпоративных пользователей не говорю, там есть политики ИБ и системные админы.

Поэтому, основная масса пользователей Windows, как пользовалось антивирусами, так и будет пользоваться, если большую часть клиентов различных АВ вендоров не "отберет" Мелкософт со своей будущей восьмеркой

[Илья Рабинович 521]

Недетектируемого чем?

Чёрносписочными решениями.

Ты не прав. Пользователи этого не делают. Они не создают для себя ПО, работающее по черным спискам.

Ну да, они их не создают, они ими пользуются.

Ну а называть современные IS черносписочными, это, извини, ложь.

Ну расскажи, пожалуйста, про технологии не чёрносписочные в современных IS, которые работают при включении средства защиты по умолчанию. Про whitelisting можешь не рассказывать, он используется, скорее, как поддержка, а не как основа.

Противопоставление шло по вектору: защита антивирусом - защита песочницей.

Приведите, пожалуйста, точную цитату, где так именно и написано.

[Umnik 997]

Ну расскажи, пожалуйста, про технологии не чёрносписочные в современных IS, которые работают при включении средства защиты по умолчанию. Про whitelisting можешь не рассказывать, он используется, скорее, как поддержка, а не как основа.

Если ты сейчас скажешь, что PDM, HIPS, SW, эмуляторы - это все тоже разновидности черносписочных (паттерны "грязных" поведений), то говорить просто не о чем.

[Chekm 100]

Противопоставление шло по вектору: защита антивирусом - защита песочницей.

Приведите, пожалуйста, точную цитату, где так именно и написано.

Получается, что при использовании либо решений на белых списках, либо песочниц бизнес на зловредном программном обеспечении становится всё менее и менее рентабельным, с каждой следующей итерацией защита становится всё крепче, а обход её всё дороже. И однажды будет пройдена «точка невозврата», когда такой способ заработка денег станет, банально, невыгодным. А что это, если не 100% защита от вирусов и прочих зловредных приложений?

[Илья Рабинович 521]

Chekm, ведь написано чёрным по белому- стоимость заражения пользователей при использовании альтернативных решений выше, чем без их использования. А теперь покажите, где идёт противопоставление традиционным решениям в области безопасности? Где написано, что антивирусы должны быть замещены песочницами? По вашей странной логике, к примеру, суть альтернативной энергетики сводится к полному замещению АЭС ветряками. Ну, в добрый путь...

Если ты сейчас скажешь, что PDM, HIPS, SW, эмуляторы - это все тоже разновидности черносписочных (паттерны "грязных" поведений), то говорить просто не о чем.

Конечно, скажу. Суть чёрных списков- отделение плевел от зёрен. И спорить тут, собственно, не о чем, я совершенно с тобой согласен.

[strat 275]

Chekm, ведь написано

он отвечал на противопоставление

Получается, что при использовании либо решений на белых списках, либо песочниц

вот оно, противопоставление, о котором вел речь Chekm, имхо

[soldat 10]

Вполне доказано, что можно организовать защиту одними силами Винды, особенно последней семерки.

Обоснуйте.

[soldat 10]

Защита без антивируса вполне возможна только не силёнками Винды, а силами фаервола допустим Аутпоста и FF+NS, последнее считаю обязательным с любым типом защиты.

[SDA 750]

Обоснуйте.

можно и без Microsoft Security Essentials если знать что качать и проверяя хеш и подпись

[StarStream 55]

можно и без Microsoft Security Essentials если знать что качать и проверяя хеш и подпись

Сами рисовали табличку? P.S. BitLocker забыли, он ведь в комплекте идет с "Win 7 Максимальная".

[SDA 750]

Сами рисовали табличку?

Нет

[Dmitriy K 603]

если знать что качать

Все знали, что качали (Virus.Induc)

и проверяя хеш

На вирустотале смотреть статистику? Так получается без антивируса никуда?

подпись

Вчера в разделе симантека показывали скрины "попрошаек" с валидными цифровыми подписями. Одни определяются, другие - нет.

[soldat 10]

если знать что качать и проверяя хеш и подпись

Это мне даже не интересно, интересно как будет всё это защищать с MSE впридачу от нового Kido или drive by...

[Rustock.C 110]

soldat , а голова на что? Ведь если пользователь элементарно не соблюдает типичных мер предосторожности, то его и супер комбайны не спасут.

[soldat 10]

Сами рисовали табличку? P.S. BitLocker забыли, он ведь в комплекте идет с "Win 7 Максимальная".

Там ещё и AppLocker идёт только толку.

[Виталий Я. 859]

soldat , а голова на что? Ведь если пользователь элементарно не соблюдает типичных мер предосторожности, то его и супер комбайны не спасут.

А Рабинович говорит: спасут даже без комбайна!

[soldat 10]

soldat , а голова на что? Ведь если пользователь элементарно не соблюдает типичных мер предосторожности, то его и супер комбайны не спасут.

Интересно а как голова помогла при эпидемии Kido всего то и надо было в сеть выйти, или от drive by download при заходе на вполне доверительние сайты или может их не взламывают

[Z.E.A. 190]

Комбайн? Кто-то сказал комбайн?

[Rustock.C 110]

Интересно а как голова помогла при эпидемии Kido всего то и надо было в сеть выйти, или от drive by download при заходе на вполне доверительние сайты или может их не взламывают

А вот так бы: задолго до эпидемии Conficker'ом были устранены уязвимости в ОС, которые использовались данным зловредом. Если б их установили вовремя (фиксы), то можно было избежать таких результатов.

Что касается drive by загрузок, то тут поможет своевременная установка выпускаемых производителями ПО обновлений, ну и IPS необходим.