Эссе о инновационной экономике

[Deja_Vu 366]

Ни разу не запущенный кряк - тоже чистая машина для АВ. Для DW - нет.

Сейчас в эру безлимитов, люди перестали запасаться гигабайтами кряков на винтах.

Сколько ноутов перегуляло в руках, в основе своей там только фотки из постоянных файлов.

Жаль не на ком проверить DW в действии, у всех моих пациентов 64х битные ОС теперь.

[Umnik 997]

Deja_Vu

[сарказм]Зажрался ты, гражданин, в своих безлимитах (я, кстати, тоже)[/сарказм]. А вот гигабайтные винты способствую накоплению всякого... Врочем, разовые запуски кряков для всяких Сталкеров тоже никто не отменял.

[Илья Рабинович 521]

Илья, лучше отвечать с утра, а то выходит:

Вы спросили "Контролирует ли...", я ответил "Да, контролирует". Каков вопрос, таков и ответ. Если хотите другой, конкретный ответ, задавайте конкретный вопрос.

[Виталий Я. 859]

Вы спросили "Контролирует ли...", я ответил "Да, контролирует". Каков вопрос, таков и ответ. Если хотите другой, конкретный ответ, задавайте конкретный вопрос.

Илья, ПОБОЛЬШЕ ВНИМАНИЯ! Отвечать мне не нужно. Обобщать - тоже. Я в этой теме вопросы не задаю, лишь комментирую.

[Илья Рабинович 521]

А, сорри, Виталь.

[Deja_Vu 366]

Deja_Vu

[сарказм]Зажрался ты, гражданин, в своих безлимитах (я, кстати, тоже)[/сарказм]. А вот гигабайтные винты способствую накоплению всякого... Врочем, разовые запуски кряков для всяких Сталкеров тоже никто не отменял.

[off] да мне сейчас больше безлим, чем хлеб нужен :-( [/off]

Сейчас уже даже в деревнях безлимитки имеются Так что это правда жизни...

[cZerro 10]

Вы спросили "Контролирует ли...", я ответил "Да, контролирует". Каков вопрос, таков и ответ. Если хотите другой, конкретный ответ, задавайте конкретный вопрос.

Собственно, я так и понял, что контролирует и то и другое.

Доверенные программы также ограничены в некоторых правах: они не могут модифицировать важные системные файлы, ветки реестра, изменять параметры автозагрузки. Благонадежное приложение может потерять доверие, стоит ему только выполнить действие, считающееся потенциально опасным. Например, запуск доверенной программы из недоверенной автоматически переводит действие в опасное.

А сервисы операционной системы, типа lsass или апдейтер Windows, являются ли доверенными?

Считается ли опасными следующие действия: сохранение данных недоверенной программы во временную директорию и редактирование браузером собственных конфигурационных файлов?

[Илья Рабинович 521]

А сервисы операционной системы, типа lsass или апдейтер Windows, являются ли доверенными?

Естественно.

Считается ли опасными следующие действия: сохранение данных недоверенной программы во временную директорию и редактирование браузером собственных конфигурационных файлов?

1. Нет.

2. Зависит от конкретной реализации структуры хранения браузером собственных настроек. В общем случае, разрешать модификацию важных параметров можно только в доверенной зоне, но многие хранят все конфиги, важные с точки зрения безопасности и нет, в одном файле, что делает подобный подход невозможным, браузером нельзя будет пользоваться.

[cZerro 10]

Естественно.

И что произойдёт при нападении Сассер, который засылает пакет с переполнением буфера и доверенный сервис lsass выполняет от своего имени опасные операции по загрузке вредоносных файлов в систему и записи в авторан?

1. Нет.

2. Зависит от конкретной реализации структуры хранения браузером собственных настроек. В общем случае, разрешать модификацию важных параметров можно только в доверенной зоне, но многие хранят все конфиги, важные с точки зрения безопасности и нет, в одном файле, что делает подобный подход невозможным, браузером нельзя будет пользоваться.

Вот - вот. В результате, браузер скидывает вредоносный скрипт во временную директорию и прописывает его запуск в конфиге браузера. При каждом старте браузера скрипт пытается выполнить очень большое количество опасных действий, а защита их блокирует. Но и на то и на другое тратиться огромное количество процессорного времени - машина при этом тормозит и работать за ней становиться невозможно. А пользователь не понимает, что происходит.

Вопрос, собственно, в следующем: раз уж HIPS не лечит от вредоносов, то может она будет хотя бы намекать пользователю, что ему не плохо бы провериться антивирусом? Или пользователь должен сам догадываться по страшным тормозам?

[Илья Рабинович 521]

И что произойдёт при нападении Сассер, который засылает пакет с переполнением буфера и доверенный сервис lsass выполняет от своего имени опасные операции по загрузке вредоносных файлов в систему и записи в авторан?

Порты доверенных процессов блокируются. Так что ни Сассер, ни Кидо никуда не пролезут.

Вот - вот. В результате, браузер скидывает вредоносный скрипт во временную директорию и прописывает его запуск в конфиге браузера. При каждом старте браузера скрипт пытается выполнить очень большое количество опасных действий, а защита их блокирует. Но и на то и на другое тратиться огромное количество процессорного времени - машина при этом тормозит и работать за ней становиться невозможно. А пользователь не понимает, что происходит.

Ну, данный сценарий маловероятен. Никогда такого в реальной жизни не видел. В случае IE такое вообще невозможно, в случае альтернативных браузеров защита просто сделает то, что может, по максимуму, не давая возможность заразить компьютер.

Вопрос, собственно, в следующем: раз уж HIPS не лечит от вредоносов, то может она будет хотя бы намекать пользователю, что ему не плохо бы провериться антивирусом? Или пользователь должен сам догадываться по страшным тормозам?

Тут вот CheckPoint тоже решил намекнуть пользователям, что неплохо бы проверить машину антивирусом. Хай поднялся по всему Инету. Чур меня, чур.

[cZerro 10]

Порты доверенных процессов блокируются. Так что ни Сассер, ни Кидо никуда не пролезут.

Я правильно понял ответ, что любая попытка обратиться из-вне на порты системных процессов будет заблокирована DW. А мне казалось, что lsass - это система аутентификации при удаленном доступе к компьютеру. Заблокировав порты, защита блокирует и всю службу. А может она нужна?

Ну, данный сценарий маловероятен. Никогда такого в реальной жизни не видел.

Я на компьютере жены раз в месяц вычищаю во временной директории большое количество вредоносов. Поставить их на автозапуск из конфига браузера пока просто не догадались - смысла нет, когда есть реестр. Но ведь всегда бывает первый раз.

В случае IE такое вообще невозможно, в случае альтернативных браузеров защита просто сделает то, что может, по максимуму, не давая возможность заразить компьютер.

IE слишком большой. Например, Active Desktop тоже IE, и в нем вполне могут поместиться несколько скриптов. Входит ли модификация Active Desktop в реестр опасных действий? И вообще любая модификация реестра считается опасной?

[Илья Рабинович 521]

Я правильно понял ответ, что любая попытка обратиться из-вне на порты системных процессов будет заблокирована DW. А мне казалось, что lsass - это система аутентификации при удаленном доступе к компьютеру. Заблокировав порты, защита блокирует и всю службу. А может она нужна?

1. Не только извне. Из недоверенной зоны аналогично.

2. Она нужна только в домене. В этом случае нужные порты автоматически разблокируются, но из недоверенной зоны доступ к ним запрещён.

Я на компьютере жены раз в месяц вычищаю во временной директории большое количество вредоносов. Поставить их на автозапуск из конфига браузера пока просто не догадались - смысла нет, когда есть реестр. Но ведь всегда бывает первый раз.

Поставить их на автозапуск можно только через установку стартовой страницы (достаточно универсально для всех браузеров). А это не столь уж и страшно, под IE это невозможно из недоверенной зоны, для других браузеров это возможно только из-под процесса самого браузера. Риск есть, но он а)минимизирован, б)зловред не вылезет за пределы недоверенной зоны. А потом уже, когда антивирус получит обновления, всё вычистится автоматически.

IE слишком большой. Например, Active Desktop тоже IE, и в нем вполне могут поместиться несколько скриптов. Входит ли модификация Active Desktop в реестр опасных действий? И вообще любая модификация реестра считается опасной?

1. Естественно, входит. Все ключи Active Desktop в реестре защищены от модификации недоверенными процессами.

2. Нет, не любая. Только та, что считается потенциально опасной согласно правилам.

[Андрей-001 1099]

Поставить их на автозапуск из конфига браузера пока просто не догадались

Почему же не догадались. Что было заложено в браузер, особенно IE, изначально, активно используется зловредописателями всех мастей и уровней: стартовая страница, поисковая страница, панель поиска, автоподключение, браузер по умолчанию, тулбары, related-ссылки и пр. пр. Потому-то в DW браузер по умолчанию и считается недоверенным со всей своей начинкой. Так?

[Илья Рабинович 521]

Потому-то в DW браузер по умолчанию и считается недоверенным со всей своей начинкой.

Не поэтому. Просто потому, что один из потенциальных источников атаки.

[Андрей-001 1099]

Просто потому, что один из потенциальных источников атаки.

Всё-таки браузер - главный источник атаки.

Второй - локальная сеть.

Третий - съёмные накопители.

Четвёртый - CD/DVD и пр. пр. D.

Что ещё?

[A. 875]

Всё-таки браузер - главный источник атаки.

Второй - локальная сеть.

Третий - съёмные накопители.

Четвёртый - CD/DVD и пр. пр. D.

Что ещё?

Я так понимаю, что в вашем [удалено] про электронную почту слыхом не слыхивали ?

Про такие вещи как червь Kido или торренты - даже не спрашиваю, понимаю что ты точно не в курсе. Ну, нагуглишь.

P.S. Джастис, не смей молча удалять. Я комментирую по теме.

Отредактировал Сентябрь 22, 2010 Mr. Justice
п. 11.1, 11.9 Правил форума

[Андрей-001 1099]

Я так понимаю, что в вашем Закрыжопинске про электронную почту слыхом не слыхивали ?

Ах да, почта. Та что через браузер или та, что через BAT? Забыл, каюсь, но что взять с неЭксперта.

Или вы ещё пользуетесь почтой от Билла? Я нет, уже лет 5 как не пользуюсь, потому и забыл.

А ещё я не пользуюсь соц. сетями и продукцией одной известной компании (ею правда всего год).

[Mr. Justice 771]

Про такие вещи как червь Kido или торренты - даже не спрашиваю, понимаю что ты точно не в курсе. Ну, нагуглишь.

P.S. Джастис, не смей молча удалять. Я комментирую по теме.

Сообщение откорректировано в соответствии с правилами форума. Прошу не использовать оскорбительных выражений.

[Илья Рабинович 521]

CD/DVD практически не используются как источники атаки. Разве только что для адресной. А основные векторы это браузеры, почтовики, мультимедия клиенты, P2P, IM, IRC клиенты (веб), флешки (железо) и локальные сети. Ну и атаки на слушающие порты уязвимых процессов, конечно.

[Андрей-001 1099]

CD/DVD практически не используются как источники атаки. Разве только что для адресной.

Это понятно, но если ранее подмена стартовой страницы браузера на собственную после запуска с CD/DVD вполне обычной игры не считалась чем-то опасным, то сейчас это действие засчитывается за зловредное.

Равно как и подмена страницы и внедрение собственных toolbar'ов и searchbar'ов считающимися законными продуктами и компаниями - Mail.Ru, Google, Skype и мн. др.

Но почему-то одним это можно, а другим - запрет.

[alexgr 556]

Третий - съёмные накопители.

Четвёртый - CD/DVD и пр. пр. D.

по стандартам безопасности - четвертого не существует, поскольку есть третье. Это СЪЕМНЫЕ носители информации, не находите?

[Андрей-001 1099]

alexgr

Спасибо, за точную формулировку из стандартов безопасности.

Я хотел написать носители, но почему-то написал накопители... Наверное это большой грех...

Но мы говорили про защиту в DW и смотрел я на окна этой программы.

Но каждый думает о своём или более близком ему аспекте, потому иногда и возникают ненормативные акты форумных отношений...

А всё что не входит в личные рамки более ­умных, по их сугуболичному мнению, форуман, ими порицается и сугубится донельзя.

alexgr А.В. если нетрудно тыкните правильной ссылкой - для общего развития. ­

Эта, подойдёт?­

[cZerro 10]

Всё понял - отличный продукт.

2. Она нужна только в домене. В этом случае нужные порты автоматически разблокируются, но из недоверенной зоны доступ к ним запрещён.

Однако продавать его как персональный сложно. Корпоративщикам он бы сильно помог - в тех же стандартах есть требование по использованию IPS, и DW этим требованиям соответствует. К тому же корпоративщикам не нужно объяснять, что покупать нужно и DW и KAV - они, как правило, понимают для чего каждый из них нужен, а вот убедить ничегонезнающих пользователей сложнее. Они хотят купить продукт, чтобы не было проблем.

[Umnik 997]

cZerro

Ох не с той стороны грызете DW. Его нужно грызть со стороны юзабилити: установка игры, включая казуальные, установка кодеков, установка флеш плеера прямо из браузера (т.е. не качает exe) и автономным инсталлятором как IE, так и Лисой и т.п.

Илья сообщает, что для установки кодеков, драйверов всех неподписанных и многих подписанных программ, а также обновления браузеров, почтовых клиентов, асек, торрент-клиентов их нужно запускать руками как доверенные. А что это значит для неподготовленного пользователя?

Ах да, для облегчения реализована(?) функция, которая сама предложит запустить инсталляторы как доверенные. А что это значит?

[Илья Рабинович 521]

Однако продавать его как персональный сложно.

Да, согласен. Продавать что-то новое вообще сложно.

Корпоративщикам он бы сильно помог - в тех же стандартах есть требование по использованию IPS, и DW этим требованиям соответствует. К тому же корпоративщикам не нужно объяснять, что покупать нужно и DW и KAV - они, как правило, понимают для чего каждый из них нужен, а вот убедить ничегонезнающих пользователей сложнее. Они хотят купить продукт, чтобы не было проблем.

С корпоративщиками свои замороки.

1. Обычному стартапу до них не дотянуться. Вообще.

2. Длинный цикл продаж, требующий крупных вложений в формирование воронки с непредсказуемым результатом.

3. Канал забит сильными брендами, которые могут потратить кучу денег на объяснение того, почему их продукт лучше (причём, зачастую, это всё ерунда).

4. Человек, принимающий решение о покупке неизвестного продукта, будет вынужден долго и упорно объяснять своему начальству, почему куплен именно он, а не McAfee (или Cisco), например. Причём, его зарплата, зачастую, не покрывает подобных издержек.

Идеально было бы работать с SMB, причем, скорее, с M, нежели чем с S, поскольку внутренние IT для S, скорее, обуза, чем конкурентное преимущество. Но там начинают срабатывывать те триггеры, что я описал в первой части своего цикла. Вообще, рынок безопасности настолько "религиозен", что я, последнее время, не очень понимаю, как на нём работать. То, что я думал, что работает, на самом деле не работает.

Ох не с той стороны грызете DW. Его нужно грызть со стороны юзабилити:

Да, конечно, с этой стороны ещё не всё сделано. Безусловно, тут ещё есть поле для улучшения. Продукт требует пары-тройки минут на обучение работы с ним и данное время можно и нужно уменьшать.