Перейти к содержанию

Recommended Posts

StarStream
1. Когда Umnik доказывал Рабиновичу, что его программа не защищает на 100%, он просто снял ролик и продемонстрировал возможность заражения...

После чего спорить уже было не о чем.

? Я тогда скачал тот зловред, запустил его из под VirtualBox с Windows XP Sp3. DefenseWall дал запуститься зловреду из недоверенной зоны песочницы. В итоге, рабочий стол был заблокирован. Факт. Но после нажатия кнопки reset и перезагрузки компьютер был чист. Т.е. зловред из песочницы не вышел и систему не испортил. После чего спорить уже было не о чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
? Я тогда скачал тот зловред, запустил его из под VirtualBox с Windows XP Sp3. DefenseWall дал запуститься зловреду из недоверенной зоны песочницы.

1. Пихаешь его в инсталлятор

2. ...

3. PROFIT!11

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
? Я тогда скачал тот зловред, запустил его из под VirtualBox с Windows XP Sp3. DefenseWall дал запуститься зловреду из недоверенной зоны песочницы. В итоге, рабочий стол был заблокирован. Факт. Но после нажатия кнопки reset и перезагрузки компьютер был чист. Т.е. зловред из песочницы не вышел и систему не испортил. После чего спорить уже было не о чем.

Если защищаясь Defence Wall, Вы просто лазите по инету, согласен Вы защищены, но как только треб. что-нибудь установить, то проверить устанавливаемое нечем. А Рабинович как раз тогда написал аналитическую обзорную статью и подразумевалось, что одной его программы хватит для защиты.

"Я тогда скачал тот зловред..." - так Вы знали, что это зловред... А Umnik устанавливал, кажется кодек, который оказался зловредом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А Рабинович как раз тогда написал аналитическую обзорную статью и подразумевалось, что одной его программы хватит для защиты.

Я никогда не писал статей, где подразумевалось, что одного DefenseWall вполне достаточно для защиты простого пользователя. Может, хватит уже приписывать мне то, чего я никогда не делал? А то что-то слишком это популярно стало, сначала wx., теперь Checkm...

1. Пихаешь его в инсталлятор

2. ...

3. PROFIT!11

1. Берёшь зловред и дотачиваешь его до "недетектируемого" состояния.

2. Заманиваешь пользователя на страничку с эксплойтами.

3. PROFIT!

Дим, у каждого продукта, реализующего разные концепции защиты, разные слабые и сильные стороны. Поэтому многоуровневая защита из продуктов, реализующих разные подходы в защите, и является наиболее адекватным ответом на современные вызовы. Полагаться только на один "черносписочный подход" есть глупость. Глупость, которую совершают 99,99999% пользователей, а потом долго удивляются, как это "мой антивирус пропустил!".

И нет ни одного продукта, реализующего концепцию "серебряной пули".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
1. Берёшь зловред и дотачиваешь его до "недетектируемого" состояния.

2. Заманиваешь пользователя на страничку с эксплойтами.

3. PROFIT!

Недетектируемого чем? :) Это, понимаешь ли, не тесты под DW делать, чтобы он 0 не схватил :)

Дим, у каждого продукта, реализующего разные концепции защиты, разные слабые и сильные стороны.

Ну и дальше. Илья, ну ты же понимаешь, что я это знаю. Ну ни я ли тебе про ЭЦП говорил? Ну ни я ли тебе про шары говорил?

В пунктах 1-3 лишь сказал, что DW работает так, что первый же инсталлятор у домохозяйке заразит систему. И это еще я не напоминал про любую заразу, которая появилась на винтах до установки DW. И ты, и я, и некоторые другие понимают это. Только вот еще есть те, кто упрекает меня в их же собственном непонимании вопроса.

Глупость, которую совершают 99,99999% пользователей, а потом долго удивляются, как это "мой антивирус пропустил!".

Ты не прав. Пользователи этого не делают. Они не создают для себя ПО, работающее по черным спискам. Ну а называть современные IS черносписочными, это, извини, ложь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
Я никогда не писал статей, где подразумевалось, что одного DefenseWall вполне достаточно для защиты простого пользователя. Может, хватит уже приписывать мне то, чего я никогда не делал?...

Статья называлась: Ложь, большая ложь и антивирусы.

Рассматривались вопросы защиты "классической" индустрией и противопоставлялись альтернативные способы.

Ни разу в статье не упоминалось и не давались советы по использованию программы совместно с каким-нибудь антивирусом.

Противопоставление шло по вектору: защита антивирусом - защита песочницей.

...теперь Checkm...

На английской раскладке клавиатуры наберите по русски: Сруль (так дома щенка звали), получится правильно: Chekm

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Вполне доказано, что можно организовать защиту без антивирусного п/о, одними силами оси Винды, особенно последней семерки. Другой вопрос, что больше половины пользователей этим заниматься не будут в силу того, что:

не понимают и не хотят понять (приучил всех Мелкософт работе под админом :lol: ), как это сделать;

напуганы мнимыми/раздутыми и реальными угрозами, а лучшая защита от угроз -это антивирус "Х" или "Y", рекламные плакаты которых "висят на каждом заборе";

просто лениво, проще поставить антивирус, чем настраивать/защищать и следить за осью, где нет антивирусной защиты;

в силу того, что просто являются "чайниками" в ИБ и не собираются повышать свои знания в этой области, потому что, особо не видят разницы между ПК и телевизором. Где то слышали про компьютерные вирусы и антивирусы ну и купили на всякий случай красивую коробку разрекламированного вендора, если его продукт не был предустановлен в ПК. А такие слова, как "бэкап", "критические обновления", "фаервол" и т.д., звучат для них также, как для эскимоса верблюд. И таких большинство. Про корпоративных пользователей не говорю, там есть политики ИБ и системные админы.

Поэтому, основная масса пользователей Windows, как пользовалось антивирусами, так и будет пользоваться, если большую часть клиентов различных АВ вендоров не "отберет" Мелкософт со своей будущей восьмеркой :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Недетектируемого чем?

Чёрносписочными решениями.

Ты не прав. Пользователи этого не делают. Они не создают для себя ПО, работающее по черным спискам.

Ну да, они их не создают, они ими пользуются.

Ну а называть современные IS черносписочными, это, извини, ложь.

Ну расскажи, пожалуйста, про технологии не чёрносписочные в современных IS, которые работают при включении средства защиты по умолчанию. Про whitelisting можешь не рассказывать, он используется, скорее, как поддержка, а не как основа.

Противопоставление шло по вектору: защита антивирусом - защита песочницей.

Приведите, пожалуйста, точную цитату, где так именно и написано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Ну расскажи, пожалуйста, про технологии не чёрносписочные в современных IS, которые работают при включении средства защиты по умолчанию. Про whitelisting можешь не рассказывать, он используется, скорее, как поддержка, а не как основа.

Если ты сейчас скажешь, что PDM, HIPS, SW, эмуляторы - это все тоже разновидности черносписочных (паттерны "грязных" поведений), то говорить просто не о чем.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
Противопоставление шло по вектору: защита антивирусом - защита песочницей.
Приведите, пожалуйста, точную цитату, где так именно и написано.
Получается, что при использовании либо решений на белых списках, либо песочниц бизнес на зловредном программном обеспечении становится всё менее и менее рентабельным, с каждой следующей итерацией защита становится всё крепче, а обход её всё дороже. И однажды будет пройдена «точка невозврата», когда такой способ заработка денег станет, банально, невыгодным. А что это, если не 100% защита от вирусов и прочих зловредных приложений?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Chekm, ведь написано чёрным по белому- стоимость заражения пользователей при использовании альтернативных решений выше, чем без их использования. А теперь покажите, где идёт противопоставление традиционным решениям в области безопасности? Где написано, что антивирусы должны быть замещены песочницами? По вашей странной логике, к примеру, суть альтернативной энергетики сводится к полному замещению АЭС ветряками. Ну, в добрый путь...

Если ты сейчас скажешь, что PDM, HIPS, SW, эмуляторы - это все тоже разновидности черносписочных (паттерны "грязных" поведений), то говорить просто не о чем.

Конечно, скажу. Суть чёрных списков- отделение плевел от зёрен. И спорить тут, собственно, не о чем, я совершенно с тобой согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Chekm, ведь написано

он отвечал на противопоставление

Получается, что при использовании либо решений на белых списках, либо песочниц

вот оно, противопоставление, о котором вел речь Chekm, имхо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat
Вполне доказано, что можно организовать защиту одними силами Винды, особенно последней семерки.

Обоснуйте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat

Защита без антивируса вполне возможна только не силёнками Винды, а силами фаервола допустим Аутпоста и FF+NS, последнее считаю обязательным с любым типом защиты.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Обоснуйте.

komplex1.jpg

можно и без Microsoft Security Essentials если знать что качать и проверяя хеш и подпись

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StarStream
можно и без Microsoft Security Essentials если знать что качать и проверяя хеш и подпись

Сами рисовали табличку? P.S. BitLocker забыли, он ведь в комплекте идет с "Win 7 Максимальная".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Сами рисовали табличку?

Нет :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
если знать что качать
Все знали, что качали :) (Virus.Induc)
и проверяя хеш
На вирустотале смотреть статистику? Так получается без антивируса никуда?
подпись
Вчера в разделе симантека показывали скрины "попрошаек" с валидными цифровыми подписями. Одни определяются, другие - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat
если знать что качать и проверяя хеш и подпись

Это мне даже не интересно, интересно как будет всё это защищать с MSE впридачу от нового Kido или drive by...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

soldat , а голова на что? Ведь если пользователь элементарно не соблюдает типичных мер предосторожности, то его и супер комбайны не спасут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat
Сами рисовали табличку? P.S. BitLocker забыли, он ведь в комплекте идет с "Win 7 Максимальная".

Там ещё и AppLocker идёт только толку. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
soldat , а голова на что? Ведь если пользователь элементарно не соблюдает типичных мер предосторожности, то его и супер комбайны не спасут.

А Рабинович говорит: спасут даже без комбайна!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat
soldat , а голова на что? Ведь если пользователь элементарно не соблюдает типичных мер предосторожности, то его и супер комбайны не спасут.

Интересно а как голова помогла при эпидемии Kido всего то и надо было в сеть выйти, или от drive by download при заходе на вполне доверительние сайты или может их не взламывают ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Комбайн? Кто-то сказал комбайн?

915c50bcdc0b.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Интересно а как голова помогла при эпидемии Kido всего то и надо было в сеть выйти, или от drive by download при заходе на вполне доверительние сайты или может их не взламывают ;)

А вот так бы: задолго до эпидемии Conficker'ом были устранены уязвимости в ОС, которые использовались данным зловредом. Если б их установили вовремя (фиксы), то можно было избежать таких результатов.

Что касается drive by загрузок, то тут поможет своевременная установка выпускаемых производителями ПО обновлений, ну и IPS необходим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×