Обзор и тестирование антивирусного сервиса DrWeb AV-Desk

[Сергей Ильин 1538]

Появление нового антивирусного сервиса DrWeb AV-Desk вызвало у меня большой интерес, желание его посмотреть и протестировать. alexgr любезно помог мне подключиться к этому сервису и вот мой домашний компьютер уже защищен пауком (кстати одним, а не тремя ) Итак пойдем по порядку.

В основе DrWeb AV-Desk лежит ядро и технологии от корпоративного продукта Dr.Web Enterprise Suite, которые были успешно обкатаны на крупных государственных заказчиках. По сути дела DrWeb AV-Desk - это платформа для построения сервиса по антивирусной защиты на стороне провайдера услуг интернет. Ниже я рассмотрю только клиентскую часть сервиса, т.е. взгляну на него глазами пользователя (например, Корбины Телеком).

Установка

Инсталляция продукта осуществляет в несколько кликов. Для ее начала нужно перейти по специально сгенерированной ссылке и скачать небольшой агент установки - DrWeb AV-Desk Agent. После запуска агента остается только принять лицензионное соглашение и все остальное уже будет сделано за вас.

После завершения установки защита автоматически активируется, что подтверждает наличие паука в трее.

Настройки

Порадовало обилие настроек в контекстном меню быстрого доступа. Многие вещи, которые в персональной версии DrWeb 4.44 приходилось "искать с собаками" беспомощно кликая по трем паукам сразу, теперь легко быстро могут быть найдены.

Возможно быстро переключать язык программы в настройках

Интерфейс сканера и настройки идентичны DrWeb 4.44

Статистика работы программы выглядит так

Особенно стоит сказать о скорости работы программы. На пресс-конференции Игорь Данилов рассказал мне, что созданный на базе корпоративной версии DrWeb AV-Desk работает значительно (в несколько раз) быстрее, чем обычная персоналка 4.44, что достигается за счет новой обвязки движка. По первым ощущениям антивирус действительно работает очень быстро, монитор вообще не заметен даже при работе с тяжелыми приложениями, а сканер по требованию бегает очень шустро. Если получится, то попробую проверить улучшения скорости и сравнить с основными конкурентами.

В целом впечатление от нового антивирусного сервиса, будем называть DrWeb AV-Desk именно так, очень положительное.

[Иван 290]

а настройки спайдейргард со спайдермейлом где теперь (монитора тоесть где настройки у него), а то на скриншотах один сканер, который собственно и у стандартного Доктора такой же?

А еще вопрос, почему в стандартном-то продукте обвязку нельзя сделать такую же прекрасную, чтобы все так быстро работало, в чем различия-то что ав-деск можно (якобы) быстро работать заставить, а стандартный продукт Доктора нет?

[Valery Ledovskoy 1082]

а настройки спайдейргард со спайдермейлом где теперь (монитора тоесть где настройки у него), а то на скриншотах один сканер, который собственно и у стандартного Доктора такой же?

Настройки выглядят для всех компонентов ровно так же, как и в Dr.Web для Windows.

Компоненты антивирусного ПО (SpIDer Guard, SpIDer Mail и GUI-сканер) такие же, как и в Dr.Web для Windows.

Возможность настраивать те или иные компоненты антивирусного ПО определяются администратором антивирусного сервера, так же, как и в ES.

Одной группе пользователей можно дать бОльшую свободу действий, другому - меньшую.

А еще вопрос, почему в стандартном-то продукте обвязку нельзя сделать такую же прекрасную, чтобы все так быстро работало, в чем различия-то что ав-деск можно (якобы) быстро работать заставить, а стандартный продукт Доктора нет?

Мне кажется, что здесь существует неправильное понимание. Я могу ошибаться, но судя по смыслу, когда речь идёт о новой обвязке и более шустрой её работе, то речь идёт о таком компоненте как Dr.Web AV-Desk Scanner (аналог Dr.Web Enterprise Scanner). Да, этот сканер во многих случаях работает быстрее обычного GUI-сканера. При этом наблюдать за его работой можно только из консоли администратора. Обычно задание на проверку этим сканером ставится администратором антивирусного сервера с периодичностью раз в сутки или раз в неделю (по желанию).

[A. 875]

Существует ли защита от перехвата третьей стороной пакетов\трафика между антивирусным сервером и клиентскими машинами ?

Гарантирует ли компания DrWeb невозможность подмены, фальсификации, внедрения "инородных" данных в пакеты\трафик ?

Гарантирует ли компания DrWeb невозможность организации DDoS-атак на клиентские комьютеры и\или антивирусный сервер путем подмены, фальсификации пакетов ?

[Valery Ledovskoy 1082]

Существует ли защита от перехвата третьей стороной пакетов\трафика между антивирусным сервером и клиентскими машинами ?

Гарантирует ли компания DrWeb невозможность подмены, фальсификации, внедрения "инородных" данных в пакеты\трафик ?

Гарантирует ли компания DrWeb невозможность организации DDoS-атак на клиентские комьютеры и\или антивирусный сервер путем подмены, фальсификации пакетов ?

Трафик между антивирусным сервером и агентом шифруется.

[Виталий Я. 859]

Ну какая разница, что нет защиты от ARP-спуфинга, флуда и DoS-атак.

Решения Outpost и Kaspersky провайдерам, очевидно, не нужны.

Им бы вирусную активность подавить, куда там до "хакеров".

А Dr.Web функциональность фаервола и не заявлял.

[A. 875]

Трафик между антивирусным сервером и агентом шифруется.

Это не ответ.

[Valery Ledovskoy 1082]

Существует ли защита от перехвата третьей стороной пакетов\трафика между антивирусным сервером и клиентскими машинами ?

Да, эта защита - шифрование трафика между антивирусным сервером и агентом.

Гарантирует ли компания DrWeb невозможность подмены, фальсификации, внедрения "инородных" данных в пакеты\трафик ?

Какая компания может гарантировать, что её ПО защищено на 100% от воздействия извне?

Гарантирует ли компания DrWeb невозможность организации DDoS-атак на клиентские комьютеры и\или антивирусный сервер путем подмены, фальсификации пакетов ?

Какая компания может гарантировать, что её ПО защищено на 100% от воздействия извне?

Тем не менее, вероятность этого весьма низка. Инцидентов, опровергающих это, не было.

В связи с этим мне интересно узнать, что ЛК гарантирует пользователю в подобной ситуации?

Если ничего, тогда к чему излишнее выпячивание этого вопроса в этой теме?

Например, в любом лицензионном соглашении к продуктам ЛК есть такой пункт

Правообладатель и/или его партнеры не несут ответственности за какой-либо ущерб, связанный с использованием или невозможностью использования Услуги/ПО и пр..

Такой пункт есть в любом лицензионном соглашении любого вендора, и это считается нормой.

[Сергей Ильин 1538]

A., допустим "Доктор Веб" ничего не гарантирует, из того что ты перечислил, что тогда?

Кстати, паук в трее не только один, он еще теперь умеет менять цвет. Прямо как в Windows OneCare Live

[alexgr 556]

Сергей, спасибо. Я стараюсь быть обязательным... Но можно и убавить пауков... на самом деле - клиент имеет практически полнофункциональный продукт, только с возможностью подключения спецов - для разруливования сложных аспектов. А цвет агента в трее- мудро

Цитата(Valery Ledovskoy @ 21.02.2008, 13:28)

Трафик между антивирусным сервером и агентом шифруется.

Это не ответ.

Есть варианты, заявленные в спецорганы от ЛК? Уровеннь гарантий?

[A. 875]

Да, эта защита - шифрование трафика между антивирусным сервером и агентом.

Какое именно шифрование применяется ? Это какой-то стандартный сертифицированный алгоритм ? Это какой-то самодельный ? Ну и так далее. То что шифрование трафика есть - это не ответ. Это такой необходимый минимум, без которого вообще бы этих вопросов не было.

Я конечно могу потратить свое время на самостоятельный поиск ответа на вышезаданный вопрос, но все же тешу себя надеждой, что смогу получить его от вас. Это ведь не секретная информация (?), тем более что узнать ее не трудно.

Какая компания может гарантировать, что её ПО защищено на 100% от воздействия извне?

Подождите, мы вроде говорим о шифровании и о перехвате пакетов. Надеюсь с существованием технологий, которые _гарантируют_ невозможность :

а) перехвата

б) расшифровки

в) подмены\фальсификации

вы спорить не будете ?

Давайте я поставлю вопрос по другому. Мне кажется, что вариантов ответа для них только два - "да" и "нет".

1. Пакет от\к клиенту AvDesk может быть перехвачен третьей стороной ?

2. Пакет может быть расшифрован третьей стороной ? (не зависимо от ответа на вопрос 1)

3. Поддельный пакет (шифрованный) к клиенту\серверу может быть послан не сервером\клиентом, а третьей стороной ?

Тем не менее, вероятность этого весьма низка. Инцидентов, опровергающих это, не было.

Вероятность низка, потому что не было инцидентов - это новое слово в информационной безопасности, Валерий. Ваш коллега Гребенюк должен оценить...

В связи с этим мне интересно узнать, что ЛК гарантирует пользователю в подобной ситуации?

Для ЛК подобная ситуация не стоит априори - сервис AVDesk ваш. И не исключаю того, что подобного сервиса у ЛК нет именно по причине невозможности дать гарантии и ответа "да" на три вышеупомянутых вопроса ...

Мне кажется наивным думать, что можно взять и просто масштабировать корпоративный продукт (предназначенный для работы в локальной сети, где уровень ее защиты от проникновения третьими лицами несравнивним с публичной сетью) и не поиметь при этом массу проблем и подводных камней.

Есть варианты, заявленные в спецорганы от ЛК? Уровеннь гарантий?

Это вы со всеми своими клиентами тоже так в стиле "сам дурак" общаетесь ? Или Корбина таких вопросов не задавала ?

Ну так может и задать, дело нехитрое. Ей тоже рассказывать про ЛК будете ?

[Valery Ledovskoy 1082]

Кстати, паук в трее не только один, он еще теперь умеет менять цвет.

Он ещё может мигать с зелёного на красный, и быть перечёркнутым, а также показывать восклицательный знак Ура, мы лучше Windows OneCare Live

Какое именно шифрование применяется ? Это какой-то стандартный сертифицированный алгоритм ? Это какой-то самодельный ? Ну и так далее. То что шифрование трафика есть - это не ответ. Это такой необходимый минимум, без которого вообще бы этих вопросов не было.

Применяются алгоритмы ГОСТ 34.11-94, ГОСТ 28147-89. Специально эти ГОСТы не изучал, поэтому комментировать не могу.

ероятность низка, потому что не было инцидентов

Вы вставили "потому что", у меня этого не было. Сами и смейтесь. В оригинале было 2 утверждения, которые необходимо рассматривать раздельно.

Хм. В Википедии даже статьи есть по этим гостам.

http://ru.wikipedia.org/wiki/ГОСТ_Р_34.11-94

http://ru.wikipedia.org/wiki/ГОСТ_28147-89

Достоинства ГОСТа

* бесперспективность силовой атаки (XSL-атаки в учёт не берутся, т.к. их эффективность на данный момент полностью не доказана);

* эффективность реализации и соответственно высокое быстродействие на современных компьютерах.

[alexgr 556]

нет, не будем, это не наш стиль. Обычно букв RSA хватает, а работа над 28147 закончена. Эти сокращения и цифры, надеюсь, известны?

Теперь к перехвату пакетов. Да, это возможный аспект. Возможен и перехват, и - теоретически - подмена. Осталось разобраться, зачем это надо.... Получить горячие обновления?выложить логи? Так там есть еще один уровень защиты в виде уникального цифрового сертификата.

[Сергей Ильин 1538]

Мое уже достаточно длительное использование DrWeb AV-Desk выявило ряд проблем, природа которых мне не ясна.

Первое. Компьютер очень долго стартует. После логона приложения из автозагрузки стартуют очень медленно. Приходится ждать по 5-10 минут, когда все наконец-то прогрузится и можно будет хотя бы открыть браузер. Task Manager показывает уровень загрузки проца под 100% (по большей части грузит его процесс system). Комп у меня не слабый - AMD Athlon 3200+ и 3Гб оперативки. Во время всех этих чудесных вещей DrWeb AV-Desk не запущен еще (иконка красная).

Второе. Нервирует что во время старта каждый раз Security Center Windows XP показывает, что продукт DrWeb AV-Desk отключен и антивирусная защита отсутствует

- А где моя защита?, спросит рядовой пользователь. Она умерли сама, ее прибил вирус или она "болеет"?

Проходит минут 10, иногда больше и продукт подтягивает обновления и иконка зеленеет. Спрашивается, зачем прямо сразу при старте качать базы? Нельзя это сделать, когда все приложения нормально загрузятся?

[A. 875]

Все шутите, Сергей ...

[Valery Ledovskoy 1082]

Первое. Компьютер очень долго стартует. После логона приложения из автозагрузки стартуют очень медленно. Приходится ждать по 5-10 минут, когда все наконец-то прогрузится и можно будет хотя бы открыть браузер. Task Manager показывает уровень загрузки проца под 100% (по большей части грузит его процесс system). Комп у меня не слабый - AMD Athlon 3200+ и 3Гб оперативки. Во время всех этих чудесных вещей DrWeb AV-Desk не запущен еще (иконка красная).

ИМХО, спайдер разбушевался. На ES такая проблема возникает (но не на всех клиентах). В том спайдере, что сегодня отрелизился, вроде бы решено. Скоро должен и на апдейты AV-Desk попасть.

Остальные проблемы, опять же, ИМХО, связаны с уже озвученной, как следствие.

Хотя, конечно, точнее расскажут в СТО после логов и уточнений.

Все шутите, Сергей ...

В данном случае - не похоже.

[alexgr 556]

Я полагаю, что для чистоты эксперимента стоит выслать наши (AV-Desk) логи на [email protected]

[Сергей Ильин 1538]

Логи выслал вам на указанный e-mail.

[Valery Ledovskoy 1082]

Логи выслал вам на указанный e-mail.

Спайдер вчера/сегодня не обновлялся? На апдейты ES уже его выложили.

[Сергей Ильин 1538]

Спайдер вчера/сегодня не обновлялся?

Вчера обновлялся, вроде проблема ушла, но нужно еще понаблюдать.