diletant

Клиентские брандмауэры и "театр безопасности"

В этой теме 14 сообщений

"Исходящая защита — это “театр безопасности”, это уловка, которая только создает впечатление улучшения безопасности, при этом не делая ничего для действительного ее улучшения." Стив Райли (Steve Riley), старший специалист по разработке стратегий безопасности в группе корпорации Майкрософт по вопросам надежного использования компьютерной техники и пишущий редактор журнала TechNet Magazine.

Прошло 5 лет, современная "исходящая защита" — это всё тот же "театр безопасности"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"Исходящая защита — это ”театр безопасности”, это уловка, которая только создает впечатление улучшения безопасности, при этом не делая ничего для действительного ее улучшения." Стив Райли (Steve Riley), старший специалист по разработке стратегий безопасности в группе корпорации Майкрософт по вопросам надежного использования компьютерной техники и пишущий редактор журнала TechNet Magazine.

Прошло 5 лет, современная "исходящая защита" — это всё тот же "театр безопасности"?

Я простой пользователь. Настроил брандмауэр Windows 7 по белому списку (все входящие запрещены без исключений, все исходящие запрещены, кроме исключений). Всего 29 правил, из них 3 правила для подключения к Интернет и 2 для обновления Windows

Потому что не хочу, чтобы всякие процессы без спроса лезли в Интернет (трафик платный). Программы лезут в Интернет, даже если в настройках отключены обновления. А по белому списку не лезут (если только не используют системные службы Windows, которым открыт доступ в Интернет - вот тут сложность контроля такого выхода).

Я эту статью читал, отчасти она кажется здравой, но на практике лично мне необходимо контролировать выход программ в Интернет.

Остается надеяться, что запущенная от имени администратора программа не окажется зловредом, который создаст дыру в firewall. Самое сложное для обычного пользователя - выработать привычку не запускать все подряд и держать автозапуск в чистоте.

PS за "5 лет" уже можно было привыкнуть к черному (агрессивному) самопиару Майкрософт

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Программы лезут в Интернет, даже если в настройках отключены обновления.

У меня такого небыло, может надо ещё что отключить.

Остается надеяться, что запущенная от имени администратора программа не окажется зловредом, который создаст дыру в firewall.

Разве прогамма запущенная от имени пользователя firewall обойти не сможет?

PS за "5 лет" уже можно было привыкнуть к черному (агрессивному) самопиару Майкрософт

Какой смысл Майкрософт создавать чёрный(агрессивный) пиар вокруг фаерволов. Им что с того будут/небудут пользователи использовать сторонние фаерволы, настраивать исходящие в брандмауэре Windows Vista.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"исходящая защита" — это всё тот же "театр безопасности"

Это вообще нонсенс (учил бы переводчик русский язык в школе, что ли). Защита не может исходить никуда. Но защита может быть внешняя, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня такого небыло, может надо ещё что отключить.

"ЯНДЕКС шпионит за вашим компьютером через Punto Switcher"

Какой процент всех шпионских программ обходит правила исходящих соединений популярных файерволлов 1) с правами обычного пользователя, 2) с правами администратора? Если большой процент - то да, "театр"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это вообще нонсенс (учил бы переводчик русский язык в школе, что ли). Защита не может исходить никуда. Но защита может быть внешняя, да.

Нонсенс тыкать незнакомым людям. По поводу перевода переводил не я и там ещё в кавычки взято поэтому невижу смысла в вашем негодовании.

"ЯНДЕКС шпионит за вашим компьютером через Punto Switcher"

Какой процент всех шпионских программ обходит правила исходящих соединений популярных файерволлов 1) с правами обычного пользователя, 2) с правами администратора? Если большой процент - то да, "театр"

За моим Яндекс не шпионит) Какой процент? Продвинутый малварь точно обходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нонсенс тыкать незнакомым людям. По поводу перевода переводил не я и там ещё в кавычки взято поэтому невижу смысла в вашем негодовании.

За моим Яндекс не шпионит) Какой процент? Продвинутый малварь точно обходит.

Если есть даже немного вредоносов, деятельность которых (например, передачу личной информации на хакерский компьютер) можно предотвратить с помощью контроля белого списка правил исходящих соединений, то хочется использовать такую дополнительную возможность. Раз уж на то пошло, как насчет HIPS, который контролирует деятельность программ, которые пытаются выйти в интернет (то есть, контролируют фактически исходящие соединения, но не правилами, а другим способом)? - в таком случае и в HIPS также нет смысла, пускай контролирует только программы, которые пытаются войти извне, а продвинутые малвари все равно обойдут и правила исходящих соединений, и HIPS.

Тема очень интересная. Но не хватает исследований и статистики (правда, честно, не искал...) о том, когда полезен контроль исходящих соединений, во многих ли случаях помогает защититься.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нонсенс тыкать незнакомым людям. По поводу перевода переводил не я и там ещё в кавычки взято поэтому невижу смысла в вашем негодовании.

Виталик, вроде бы, никому и не "тыкает". А говорит о третьем лице.

Offtop: есть куча людей, которые согласятся с мнением, что "выкать" в виртуальном пространстве - это тоже нонсенс :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в таком случае и в HIPS также нет смысла, пускай контролирует только программы, которые пытаются войти извне, а продвинутые малвари все равно обойдут и правила исходящих соединений, и HIPS.

Согласен, тот же Comodo в тестах 100% защита - на деле нет. Думаю поэтому Windows просит поставить только антивирус и не просит HIPS, в Windows 7 и Windows Vista есть встроенная защита UAC котороя более надёжна и менее глючна чем HIPS.

Виталик, вроде бы, никому и не "тыкает". А говорит о третьем лице.

Тьфу. Проглядел. Приношу извенения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тот же Comodo в тестах 100% защита - на деле нет.

100% в тестах ставится тогда, когда продукт на отлично проходит испытание тестовыми утилитами итд, а на деле (в реале) не один продукт не гарантирует 100% защиту. Не нужно рассматривать тестовый результат 100% как панацею от всякого рода малваря, вирусов итд.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
100% в тестах ставится тогда, когда продукт на отлично проходит испытание тестовыми утилитами итд, а на деле (в реале) не один продукт не гарантирует 100% защиту. Не нужно рассматривать тестовый результат 100% как панацею от всякого рода малваря, вирусов итд.

Верно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нонсенс тыкать незнакомым людям. По поводу перевода переводил не я и там ещё в кавычки взято поэтому невижу смысла в вашем негодовании.

Цитировать данный текст (не премину вспомнить недавнюю малограмотную наградку "Outbound Firewall Protection") - все равно что его осмеиваать, как любили это делать толпы в отношении, к примеру, героев Ветхого Завета.

(Я бы еще и камнями бил за "защиту, которая исходит", живи я подревнее веков на 25-30.)

Писал это специалист от компании, неспособной на тот момент обеспечить в своей ОС защиту исходящих соединений на хотя бы приемлемом уровне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

как я думаю , исходящая защита - это нападение, в идеале зафиксировал фаервол какую-нить атаку - и в ответ пошел какой-нить свежий эксплоит :lol:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...