Перейти к содержанию
WindowsNT

Application Whitelisting vs традиционные средства защиты

Recommended Posts

WindowsNT

Dear Mr. Justice,

1. Да, человек достаточно подробно описал ситуацию и особливо разорялся на тему, что MSE пропустил угрозу. Да, он нарушил ещё одно фундаментальное правило безопасности, работал Администратором, пусть и с включённым UAC. Дальше никто в детали особенно не вникал, но несколько человек поделились подобными инцидентами.

Вот что вы скажете за известный Lockdir? Посмотрите, он уже годами каждый божий день мучает сотни глупых пользователей и администраторов, которые свою вину за отсутствие бэкапов и SRP пытаются спихнуть на других. Тем не менее, эффективность антивирусных программ против него почему-то крайне низка. А почему?

2. На самом деле, мой диалог с Whitelisting происходит совсем иначе. Приняв решение установить программу, я вхожу Администратором, затем:

- щёлкаю на иконке "Отключить SRP";

- устанавливаю нужную программу;

- щёлкаю на иконке "Включить SRP взад", либо оно само включается после рестарта или часа ожидания.

Фактически, разница заключается лишь в двух иконках на рабочем столе Администратора.

Во время работы стандартным пользователем разницы не видно вообще. Правила SRP составлены так, что нет необходимости чудить, диалогов нет. Корпоративным пользователям и без того объяснено, что они не имеют права что-либо скачивать или приносить; домашние пользователи понимают, для чего это нужно и заходят Администратором по необходимости.

3. Вот тут тов. Umnik намекает, что скрипты плагинов всё равно могут исполниться и нанести вред. Он прав. Видимо, сейчас довольно много malware эксплуатирует дыры в Java. Однако, практически всё оно дропает exe либо dll, которым затем пытается передать управление. Что останавливается с помощью того же SRP на ура.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
2. На самом деле, мой диалог с Whitelisting происходит совсем иначе. Приняв решение установить программу, я вхожу Администратором, затем:

- щёлкаю на иконке "Отключить SRP";

- устанавливаю нужную программу;

- щёлкаю на иконке "Включить SRP взад", либо оно само включается после рестарта или часа ожидания.

Диалог с UAC:

щёлкаю на иконке "Разрешить ";

устанавливаю нужную программу;

щёлкаю на иконке "Запретить", если неизвестно откуда, Внезапно, стало стало устанавливаться програмное обеспечение.

Хватит петь мантры ....Whitelisting, о Whitelisting :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
2. На самом деле, мой диалог с Whitelisting происходит совсем иначе. Приняв решение установить программу, я вхожу Администратором, затем:

- щёлкаю на иконке "Отключить SRP";

- устанавливаю нужную программу;

- щёлкаю на иконке "Включить SRP взад", либо оно само включается после рестарта или часа ожидания.

Не скинете содержимое иконок - ну типа команды запуска и как вы пополняли список? Родителям бы поставил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
1. Да, человек достаточно подробно описал ситуацию и особливо разорялся на тему, что MSE пропустил угрозу. Да, он нарушил ещё одно фундаментальное правило безопасности, работал Администратором, пусть и с включённым UAC. Дальше никто в детали особенно не вникал, но несколько человек поделились подобными инцидентами.

Все-таки в связи с данным инцидентом возникает несколько вопросов.

1. Все ли обновления безопасности ОС и нативных приложений Microsoft были установлены.

2. Каким браузером пользовались и какой версией, в каком состоянии находился прикладной софт (актульность версий и наличие

всех установленных обновлений безопасности).

3. Насколько актуально было состояние баз антивирусной программы, не изменялись ли настройки антивируса в сторону снижения уровня безопасности.

4. Был ли включен брандмауэр.

5. Как отреагировал UAC (промолчал или был алерт) и как отреагировал на него пользователь.

6. Какая уязвимость была задействована. Странно, что этот случай не получил широкой огласки или я ошибаюсь?

Вот что вы скажете за известный Lockdir? Посмотрите, он уже годами каждый божий день мучает сотни глупых пользователей и администраторов, которые свою вину за отсутствие бэкапов и SRP пытаются спихнуть на других. Тем не менее, эффективность антивирусных программ против него почему-то крайне низка. А почему?

От Lockdir спасает backup. Специалисты рекомендуют регулярно делать архивацию. Это бесплатный сервис, особо продвинутых версий Windows для его использования не требуется. Согласен, что backup не идеальный вариант (есть недостатки), но он может в значительной степени минимизировать ущерб и вернуть систему и пользовательские файлы в первоначальное состояние (до заражения).

100% защиты от заражения, как я уже говорил нет. Whitelisting тоже не панацея и без антивируса он может в некоторых случаях быть бесполезен, потому что не спасает от social engineering. У антивируса здесь есть преимущества - он вызывает большее доверие по сравнению с Whitelisting, который блокирует все без разбору и не в состоянии отличить вирус от безопасного ПО.

2. На самом деле, мой диалог с Whitelisting происходит совсем иначе. Приняв решение установить программу, я вхожу Администратором, затем:

- щёлкаю на иконке "Отключить SRP";

- устанавливаю нужную программу;

- щёлкаю на иконке "Включить SRP взад", либо оно само включается после рестарта или часа ожидания.

Так можно разрешить запуститься и вредоносной программе. Домохозяйка, у которой отсутствуют экспертные знания в обалсти ИБ запросто это сделает.

Я все-таки на данный момент придерживаюсь такой позиции: домохозяйке без антивируса не обойтись, а без Application Whitelisting можно. Если переубедите - буду рад.

А если говорить в целом, то я поддерживаю использование Application Whitelisting, но не вместо, а совместно с антивирусом, при условии, если пользователь готов платить за приобретение более продвинутых верисий Windows, понимает что такое Application Whitelisting и как им пользоваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

1. Конкретно в описанном инциденте после раскрытия типа угрозы (MBR Bootkit) сразу было принято решение о полном уничтожении содержимого разделов + зачистка MBR. То есть, поступили в соответствии с Best Practices. Копать столь глубоко не стали, предположив Java Vulnerability Exploitation. Поскольку я рядом свечку не держал, за все пункты не отвечу.

2. Не-не-не, мы не путаем предотвращение угрозы и расхлёбывание последствий. Backup есть мера восстановления уже скомпрометированной системы, причём он вполне очевидно несвеж. Будь то сутки, неделя или месяц, он всяко сделан не секунду назад. Мерой предотвращения является Whitelisting и мог бы являться антивирус. В этом и суть вопроса, что если Whitelisting предотвращает конкретно Lockdir на 100% (сто процентов), почему с этим не справляются антивирусные программы?

Загляните в раздел форума Лечение, это же смешно — каждый день происходит клоунада под названием "Наш системный администратор - лох", которую можно демонстрировать студентам годами. Только что вот посмотрел — на первой же странице три свежих темы с названием lockdir. Или вот цитата из типичного вопроса: "один из бух-ов наших поймал вирь, пока не знаю как.....- перечислил Нннн..сумму бабок куда то...., затем погубил винду". Стопроцентная и безоговорочная вина системного администратора, которую теперь он пытается спихнуть на бухгалтера.

3. Да, так можно разрешить запуститься вредоносной программе.

А можно же её предварительно проверить на virustotal, пусть и без гарантии?

А можно же её предварительно проверить стационарным антивирусом, пусть тоже без гарантии? Так вам будет интереснее?

Иными словами, технически всё может быть несколько наоборот:

- можно обойтись Whitelisting-ом без антивируса

- но нельзя обойтись антивирусом без Whitelisting-а, причём об этом прямо говорят как заражение первоначального автора топика, так и прочие множественные инциденты.

Если бы можно было обойтись антивирусом, война с вирусами закончилась бы уже 20 (двадцать) лет назад. Но пока что ей конца не видно. Она бесконечна, и вирусы в ней ВЫИГРАЛИ. Вполне доказанным, на мой взгляд, является факт, то Blacklisting не в состоянии обеспечить предотвращение заражений не только на все 100%, но даже на любом приемлемом уровне вообще. Если вы готовы воспользоваться предлагаемой технологией пусть даже совместно с антивирусной программой, с чего начнёте?

4. OlegAndr: http://blog.windowsnt.lv/2011/05/30/preven...th-srp-russian/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
один из бух-ов наших поймал вирь, пока не знаю как.....- перечислил Нннн..сумму бабок куда то...., затем погубил винду". Стопроцентная и безоговорочная вина системного администратора, которую теперь он пытается спихнуть на бухгалтера.

А можно узнать каким образом бухгалтер не туда деньги перечислил?

И в чем конкретно вина админа

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Куда деньги делись, лучше спросить у автора .) http://virusinfo.info/showthread.php?t=123251

Вина системного администратора состоит в самом факте заражения. Не бухгалтер что-то подхватил, а системщик не настроил систему должным образом для предотвращения заражений, это же очевидно. Во-первых, для того, чтобы вирус мог нанести вред операционной системе, он должен исполниться с привилегиями Администратора либо Системы. Как вирус мог получить привилегии Администратора? Если исполнился от лица бухгалтера, у которого откуда-то были привилегии. Стопроцентная вина системщика. Как вирус мог получить привилегии Системы? Если исполнился через непропатченную уязвимость. Стопроцентная вина системщика. Далее можно попытаться решить вопрос, как вирус вообще смог запуститься? Видимо, не было чего? Правильно, Application Whitelisting. Стопроцентная вина системщика. Кстати, а что насчёт применения администратором EMET (http://www.microsoft.com/en-us/download/details.aspx?id=29851)? Ооо...

Конеш, существует некоторая вероятность, что это был ZeroDay против системы, который к тому же смог обойти DEP и EMET. Но я бы не стал утверждать, что форум "Помогите" прям таки пестрит пострадавшими именно от таких угроз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Вина системного администратора состоит в самом факте заражения. Не бухгалтер что-то подхватил, а системщик не настроил систему должным образом для предотвращения заражений, это же очевидно.

По пунктам

1. Допустим система заражена и легла... - Ладно это вина админа

2. Ушедшие на лево деньги. вот вопрос а тут какая вина админа

Если есть клиент-банк - то как с его помощью могут уйти деньги ? просто не представляю

Если отправка через веб-интерфейс и попадание на фейковый сайт - то теоретически можно - логин-пароль - можно конечно засандалить некоторую сумму налево. Но почему не все деньги??? судя по вопросу ушли частично и только один платеж

В обоих случаях чем поможет вайтлистинг ;). и брауезр и клиент-банк должны запустится и будут в белом списке

Насколько я знаю что деньги в никуда не уходят - надо указать точные данные куда именно... Так.?

Давайте все таки определимся как деньги ушли куда-то и кто в этоми виноват ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Давайте все таки определимся как деньги ушли куда-то и кто в этоми виноват ))))

Бесполезный вопрос :lol: Тут будет один ответ, не было Whitelisting :facepalm: Почему пишут вирусы, почему воруют миллионы с ДБО, почему упал на голову кирпич, не было Whitelisting :lol:

m601.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Ну может не так все печально ))

Надо верить людям ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
1. Конкретно в описанном инциденте после раскрытия типа угрозы (MBR Bootkit) сразу было принято решение о полном уничтожении содержимого разделов + зачистка MBR. То есть, поступили в соответствии с Best Practices. Копать столь глубоко не стали, предположив Java Vulnerability Exploitation. Поскольку я рядом свечку не держал, за все пункты не отвечу.

Не получив ответа на заданные мною вопросы, трудно выявить истинную причину заражения. Возможно причиной заражения было несоблюдение пользователем элементарных правил безопасности: например, на ПК было установлено непропатченное ПО, что привело к проникновению инфекции в систему.

Загляните в раздел форума Лечение, это же смешно — каждый день происходит клоунада под названием "Наш системный администратор - лох", которую можно демонстрировать студентам годами. Только что вот посмотрел — на первой же странице три свежих темы с названием lockdir. Или вот цитата из типичного вопроса: "один из бух-ов наших поймал вирь, пока не знаю как.....- перечислил Нннн..сумму бабок куда то...., затем погубил винду". Стопроцентная и безоговорочная вина системного администратора, которую теперь он пытается спихнуть на бухгалтера.

Во всех этих случаях, чтобы выяснить причину заражения нужно внимательно изучить ситуацию и попытаться найти ответы на указанные выше вопросы.

3. Да, так можно разрешить запуститься вредоносной программе.

А можно же её предварительно проверить на virustotal, пусть и без гарантии?

Не уверен, что для домохозяйки такой способ подходит. Им нужна защита на уровне "поставил и забыл". Кроме того, не любой файл можно проверить с помощью virustotal и этот сервис использует далеко не все средства обнаружения и нейтрализации угроз, которыми располагает локальная защитная программа (например, отсутстует Behavior Analyzer).

А можно же её предварительно проверить стационарным антивирусом, пусть тоже без гарантии? Так вам будет интереснее?

Вот этот вариант действительно интересен.

Иными словами, технически всё может быть несколько наоборот:

- можно обойтись Whitelisting-ом без антивируса

- но нельзя обойтись антивирусом без Whitelisting-а, причём об этом прямо говорят как заражение первоначального автора топика, так и прочие множественные инциденты.

На мой взгляд, эти утвержедния справедливы по отношению к пользователям, имеющим специальную подготовку. Не уверен, что домохозяйкам это подойдет, но здесь могу ошибаться.

Если бы можно было обойтись антивирусом, война с вирусами закончилась бы уже 20 (двадцать) лет назад. Но пока что ей конца не видно. Она бесконечна, и вирусы в ней ВЫИГРАЛИ. Вполне доказанным, на мой взгляд, является факт, то Blacklisting не в состоянии обеспечить предотвращение заражений не только на все 100%, но даже на любом приемлемом уровне вообще. Если вы готовы воспользоваться предлагаемой технологией пусть даже совместно с антивирусной программой, с чего начнёте?

Одно непонятно, почему Microsoft настоятельно рекомендует домашним пользователям пользоваться антивирусным ПО, а не Whitelisting (если ошибаюсь, поправьте). Может быть потому, что антивирус, в отличии от Whitelisting, подойдет большинству пользователей?

WindowsNT, благодарю за дискуссию. Ваши усилия зря не пропали - я не исключаю, что потрачусь на более продвинутый Windows и буду пользоваться Whitelisting, подумаю над этим. Но подойдет ли это всем пользователям? В этом я пока не уверен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
А также я смогу в Банке Москвы работать с он-лайн банкингом (используется Java)?

Не используется там джава, вернее не нужна, удалил у себя и плагины отключил, и все работает. Конечно переводы свыше 50к только через джава аплет, но можно бить суммы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я не могу ее удалить и отключить, она мне нужна и для других целей :) И БМ у меня ее активно использует :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

1. Для белого списка что является программой - exe, dll, js, bat?

2. Как белый список защищает от drive-by?

3. Что упомянутому на 1 странице drive-by, сумевшему обойти UAC и MSE, мешает обойти белый список?

4. Почему [и если] заражаются системы с UAC, а с белым списком нет?

5. Что делать, если хочется посмотреть новую программу, но нет уверенности, что она не испортит систему (кроме ВМ и песочницы, где программа, например, игра, не заработает)?

6. Есть ли проверенная альтернатива встроенному белому списку для Home версий Windows - сторонние приложения, которые контролируют запуск программ по белому списку?

Не имею предубеждения к белым спискам, так как по белому списку настроен брандмауэр Windows 7 (оффтоп: хотя не полностью - иногда отключается интернет, а на форуме провайдера не могут дать ответ на конкретный вопрос, какие именно правила в фаирволе windows нужны для стабильного подключения локальной сети и VPN, а какие правила можно отключить, отключаю по 1 в день)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×