Защита от вирусов, без антивирусов

[p2u 824]

А такие фокусы тот же НоСкрипт спокойно блокирует даже если зараженный сайт значится в доверенных.

Есть обход. Не буду в подробностях - форум не той направленности.

Потом, упоминаю, что скрипты необязательны для заражения. 'Хороший' эксплойт против флеш плеера вставляет вам червь без отказа.

И про учётку ограниченного пользователя хочу ещё отметить - отсылать ваши пароли, номера кредитных карточек, и прочие в сеть не требует админ права.

P.S.: Обезвредить IE, как описано здесь много делает. У меня зловреды должны тоскать с собой exe этого 'замечательного' браузера.

Paul

[alexgr 556]

не всегда. напомню перепису 7 года - по полтаве, по Киеву - MK_500 там реально в коде нашел скрипты и дроппер. Скрипт выполнялся в IE. И предыдущий аналогичный случай - сидящий зверь прямо в коде - когда в письмах объясняли, как это могло вообще произойти. И потом участие в расследованиях....

[p2u 824]

Я согласен с топикстартером, что надо бы научиться думать, но это в первую очередь относится к веб-мастерам сайтов.

Paul

[xck 25]

средний пользователь так сидеть НЕ ХОЧЕТ и НЕ БУДЕТ.

В корпоративной среде будет.. Хочет он этого или нет...

[Deja_Vu 366]

... (то есть - нет доверенных совсем) не каждому по душе. Кроме того, я выдернул все плаг-ины и адд-оны из Файрфокса, ещё одна причина заражения, даже без скриптов:

не лучше тогда оперу поставить?

p.s.

тема ни о чем.

это как "Как не заболеть, живя не в стирильной комнате"

[p2u 824]

В корпоративной среде будет.. Хочет он этого или нет...

Я не знаю, в каких корпоративных средах вы бываете, но, видимо, это не очень помогает:

Согласно опубликованному во вторник компанией ScanSafe отчету Global Threat Report, риск того, что сотрудники компаний непредумышленно скачают на рабочие компьютеры бэкдоры и шпионские программы, постоянно растет.

По данным исследования, наиболее подвержены этому риску компании энергетического сектора. В целом, в мировом масштабе, эта индустрия на 189% более уязвима к подобным атакам, чем другие отрасли. На втором месте в списке самых уязвимых областей экономики находится фармацевтика, а сразу за ней следуют химическая промышленность, конструкторский и инженерный бизнес, медиа-среда и издательское дело.

Единственной положительной тенденцией стало нулевое увеличение риска заражения сотрудниками правительственных агентств своих рабочих компьютеров. Это означает, что, в сравнении с другими отраслями, число потенциальных заражений в таких агентствах осталось на прежнем уровне. Самыми устойчивыми к рассматриваемой в отчете проблеме оказались авиационная и автомобильная индустрии. Причины этого пока неясны, однако все необходимые изыскания вскоре будут проведены.

В августе и сентябре этого года уровень угроз заражения корпоративных компьютеров остался практически неизменным, хотя в октябре специалисты компании ожидают всплеск вредоносной активности, связанный с предстоящими праздниками.

Также во вторник, в связи с разразившимся банковским кризисом, компанией MessageLabs была опубликована статистика по числу фишинг-атак на корпоративные компьютеры банков. 16 и 17 октября компания перехватила 7 и 15 тысяч попыток фишинговых атак, целью которых служил Bank of America, а общее число вредоносных email достигло в эти выходные цифры в 125 000. 20-го октября мишенью злоумышленников стала American Express, число опасных писем на адреса которой достигло отметки 35 000. По данным MessageLabs, ответственность за эти атаки лежит на крупнейшей в мире бот-сети Cutwail.

http://www.scansafe.com/resources/global_threat_reports2

не лучше тогда оперу поставить?

Какая разница если в Windows всё привязано к IE? В Опере тоже всё больше уязвимостей находят. Пользователи этого браузера годами уже слишком громко заявляют о том, что их нет...

P.S.: Набираем в Opera адрес about:plugins (Enter)

Paul

[xck 25]

P.S.: Обезвредить IE, как описано

Скрипт сработает только если его запускать из под учетной записис с привелигированными правами..

С правми пользователя это не сработает...

p.s.

тема ни о чем.

Уж лучше оберегать себя, чем быть всем открытым.. Не так ли? Живя в нестерильной комнате, тем не менн грамотный человек будет наводить порядок в своем углу и принимать антибиотики не так ли?

Согласно опубликованному во вторник компанией ScanSafe отчету Global Threat Report, риск того, что сотрудники компаний непредумышленно скачают на рабочие компьютеры бэкдоры и шпионские программы, постоянно растет.

Если предоставлять безконтрольный доступ в инернет... то пожалуй да...

Навряд ли у администратора более менее дорожащего безопасностью доступ осуществлен таким образом, конечно бывают случаи.. когда пользователи качают что то, или обмениваются чем то посредством почтовых сообщений... Но на то и существуют различные restricted меры..

[p2u 824]

Скрипт сработает только если его запускать из под учетной записис с привелигированными правами..

С правми пользователя это не сработает...

Настроить компьютер по политикам по любому надо делать временно под админ (отключив сеть) - прав же нет? Либо сис-админ должен это делать удалённо.

Пинч (троян-вор) не смотрит на эти ограничения - он запускается под юзер, ищет пароли установленных программ и собирает их. Потом, для чтения паролей программ, которые НЕ требуют установки (есть такие мессенджеры, например, с которыми пользователи в корпоративной среде пытаются обманывать администратора) он определяет путь к этим программам, просмотрев многочисленные ключи MRU (Most Recently Used) в реестре. Потом он в IE через параметр 'POST' отсылает эти пароли своему хозяину, даже если вы сами не пользуетесь IE.

Навряд ли у администратора более менее дорожащего безопасностью доступ осуществлен таким образом, конечно бывают случаи.. когда пользователи качают что то, или обмениваются чем то посредством почтовых сообщений... Но на то и существуют различные restricted меры..

Что предлагаете? Дать им доступ только к ограниченному количеству сайтов по удалённый порт 80?

P.S.: Мы также ещё не рассматривали с вами что делать с сотрудниками которые:

* входят и выходят со своими ноутбуками

* подключают всё что угодно к компьютеру, желательно флешки всякие, которые не подпадают под политики по ограничению съёмных устройств Майкрософта.

Paul

[xck 25]

входят и выходят со своими ноутбуками

Да перемещаемые пользователи.. Конечно особым образом выделяется на общем фоне..

Политики применяются посредством GPO.. так что ни логинится на компьютер под админом ни уж темболее отключать его от сети не требуется.. Пользователи на ноутбуках работают с правами простых пользователей, так же на них распространяются политики Windows Firewall в домене с одними наcтройками вне домена с другими, так же Restricted Groups, Software Restriciton Policy....

Панацеи нет, еще раз повторяюсь все лечение заключается в могах.. на самом деле...

[p2u 824]

Да перемещаемые пользователи.. Конечно особым образом выделяется на общем фоне..

Политики применяются посредством GPO.. так что ни логинится на компьютер под админом ни уж темболее отключать его от сети не требуется.. Пользователи на ноутбуках работают с правами простых пользователей, так же на них распространяются политики Windows Firewall в домене с одними наcтройками вне домена с другими, так же Restricted Groups, Software Restriciton Policy....

Не знаю, не знаю. Вы хотите сказать, что все админы по всему миру - лохи, и что поэтому получаются такие мрачные статистики? Или ScanSafe пишет свои отчёты только для рекламы, и на самом деле всего этого нет? Они явно показывают, что GPO НЕ работает. Ещё раз - для установки определённого зловредного PO и особенно для передачи данных не требуется админ права. В корпоративной среде это именно важно потому что там стоит на первом месте предотвращение похищения данных.

Панацеи нет, еще раз повторяюсь все лечение заключается в мозгах.. на самом деле...

'В мозгах кого?' спрашивается... У среднего юзера, когда приходит иногда умная идея, она даже мозг найти не может...

Paul

[xck 25]

когда приходит иногда умная идея, она даже мозг найти не может

Надо стараться повышать общий уровень... развития...

По поводу... статистик и т.п. каждый старается защищать по своему... как не защищай основная угроза идет изнутри... Поэтому надо воспитывать у сотрудников чуство отвественности:

- Треннингами;

- Политиками;

- Предписаниями;

[p2u 824]

Поэтому надо воспитывать у сотрудников чувство ответственности:

Желаю удачи - это чувство, к сожалению, вообще теряется потихоньку по всему обществу.

Paul

[xck 25]

это чувство, к сожалению, вообще теряется

Захочет человек работать, будет следовать тому что предписано... Не все так уж и плохо как Вы рисуете..

[seevbon 40]

актуален ныне и такой вид аудита. Когда все проверено с точки зрения взлома - попробуйте там чего -нить разместить незаметно

Ответ знаете? Цену аудитора назвать? иль сами понимаете? в этом случае вопрос убытков возлагается на аудитора.... Существуют четкие и ясные методики, и цель аудитора - не дырки показать, а вывести клиента на нужный уровень безопасности. Отсюда и танцуем как от печки, а не от тех компаний, которые оченно громко всегда кричали на наших рынках, что мы - аудиторы! Мы вас как проаудируем - мама не узнает.....Бум пароли искать, сканировать извне, даже скрипты поищем.... даже может и найдем

alexgr, а можно обновить информацию про Ваше место работы в разделе Наши эксперты? Интересно, какая это такая крутая аудит-контора, в которой Вы сейчас трудитесь.

Я сам уже устал всё одно и то же говорить

p2u, по ходу топика видно, что Вы неутомимы, я помню Ваши рассказы про качество аудита от McAfee. Вы бы лично доверились результатам аудита от alexgr? Заранее предполагаю, что прямого ответа не получу.

[p2u 824]

p2u, по ходу топика видно, что Вы неутомимы, я помню Ваши рассказы про качество аудита от McAfee. Вы бы лично доверились результатам аудита от alexgr? Заранее предполагаю, что прямого ответа не получу.

McAfee большая, неподвижная, бюрократическая организация. alexgr - живой человек. Хотя его взгляды могут отличаться от моих, я склонен доверять ему

1) из-за того, что я про его знаю (я естественно провёл поиск по Гуглу, чтобы знать 'кто есть кто' среди экспертов anti-malware и прочитал ВСЁ, что Гугл выдал)

и

2) из-за содержания его сообщений здесь на форуме (Я прочитал их ВСЕ).

P.S.: В дальнейшем хотелось бы избегать разговора о личностях в темах про безопасность. Спасибо.

Paul

[seevbon 40]

p2u, спасибо и Вам. Но я не понимаю, почему, если известен конкретный автор, нужно стесняться критиковать его. И вместо этого употреблять обтекаемые выражения, типа господа из... Если только авторство не известно. Вы же сами не стесняетесь писать "я считаю", "я согласен", "я не согласен" и т.п. И как раз у безопасности, как и у опасности должно быть лицо - врагов и друзей. Так безопаснее.

p2u, а за те анонсы, что Вы обещали в последнее время, какие-нибудь ресурсы борются в плане эксклюзива? Или Вы сами выберете, что и где разместить?

alexgr, прошу прощения за нетактичные высказывания и за упоминание Вашего ника без Вашего присутствия. У меня нет поводов (и не было ранее) усомниться в Вашей компетенции. Это стечение обстоятельств, что два эксперта оказались в одном топике рядом.

[p2u 824]

Вы же сами не стесняетесь писать "я считаю", "я согласен", "я не согласен" и т.п.

Мне проще - у меня нет хозяина. У меня нет страха терять что-то. Я пытаюсь всегда судить объективно, но при этом также выражаться по возможности дипломатично; необязательно обидеть кого-то в споре. Правда, бывает, что я играю роль дьявола, для того, чтобы оживлять дискуссию...

p2u, а за те анонсы, что Вы обещали в последнее время, какие-нибудь ресурсы борются в плане эксклюзива? Или Вы сами выберете, что и где разместить?

Надеюсь, что я правильно понял ваш вопрос. Я публикую материалы только на virusinfo.info, который стал мне как родной дом. Мой фокус - предотвращение заражения через отключение ненужной функциональности самой ОС и в программах. Продукты по безопасности меня не очень интересуют. Поэтому в разделах о продуктах и тестах здесь на форуме вы от меня не увидите сообщений. Делаю только исключение если существует вероятность серьёзных недоразумений, как например здесь в связи PC SECURITY TEST 2007.

Читаю преимущественно статьи и новости на анлийском, голландском, французском и немецком. Не могу выделять 'эксклюзивные' ресурсы - во всех что-то есть...

Это стечение обстоятельств, что два эксперта оказались в одном топике рядом.

Я никогда не претендовал на звание 'Эксперта'. Этот ярлык мне приклеили в Рунете. 'В стране слепых одноглазый - король'. Здесь я простой участник, и желаю именно в таком же статусе дальше общаться со всеми.

Paul

[TANUKI 240]

Предлагаю избавляться от такого подхода, предлагаю использовать только то, что нужно, а не то что может пригодиться.

Предлагаю беречь безопасность своих данных и своей ОС - СВОИМИ СИЛАМИ, по крайней мере стараться это делать......

Предлагаю что-то конкретно предложить А такие призывы можно в каждом офисе повесить, только толку? Пока человек сам пару раз не заразится, не потерятет файлы и аську - ничему не научится.

[seevbon 40]

p2u, спасибо. До встречи там, где дом родной.

[alexgr 556]

alexgr, а можно обновить информацию про Ваше место работы в разделе Наши эксперты? Интересно, какая это такая крутая аудит-контора, в которой Вы сейчас трудитесь.

не крутая, а обычная. Но - не выдумывала в своих рекламных документах, что она - не имея никакого статуса - может проводить аудиты на соответствие международным стандартам (то есть со статусом QSA). А прошлогодний Инфосек мне показал на выставке аж 4 таких компании только на выставке. Я вот знаю в России пока 3 таких - Диджитал Секурити, Инфосистемы Джет и Информзащита, при этом у последней существенный опыт в этом неблагодарном деле.

А у некоторых - только слова - без статуса и, как вы понимаете - без ответственности.

То есть - все эти умные сокращения - ASV, QSA. CISA etc. не просто так появились.

Обновлять или не обновлять - тут дело отдельное. Я полагаю, что Экспертный Совет могут ждать перемены. Зачем тогда лишние временные затраты?

[alexgr 556]

Надо стараться повышать общий уровень... развития...

По поводу... статистик и т.п. каждый старается защищать по своему... как не защищай основная угроза идет изнутри... Поэтому надо воспитывать у сотрудников чуство отвественности:

- Треннингами;

- Политиками;

- Предписаниями;

пародоксально, но этим давно занимаются все. И уровень поменялся несущественно. То есть - повторяюсь - человек - самое слабое звено, и самое непредсказуемое. Честно говоря, я часто и грустно иронизирую, что в Бразилии 100 млн тренеров по футболу, а у нас примерно 40 млн специалистов в области ИБ (я про Украину), таким образом, все могут много и долго разговаривать на эту тему с видом знатока. Что и печально - поскольку реальных знаний то не особо много....

[xck 25]

То есть - повторяюсь - человек - самое слабое звено

Да.. поэтому так актуальны методы соц. инженерии....

Интресно каковы основные принципы противостояния им..?

[p2u 824]

Да.. поэтому так актуальны методы соц. инженерии....

Интресно каковы основные принципы противостояния им..?

Здесь только здоровая паранойя спасает - в он-лайне всё кажется одно, а на самом деле там другое потому что никто (пока) не обязан доказывать кто он/она на самом деле. Паспорт для всех, возможно, даст кое-что в правильном направлении, но от определённых прав и свобод придётся, к сожалению, отказаться...

Paul

Отредактировал Октябрь 28, 2008 p2u

[seevbon 40]

у некоторых - только слова - без статуса и, как вы понимаете - без ответственности

Это я очень хорошо понимаю.

alexgr, благодарю Вас за ответ.

[nremezov 5]

не крутая, а обычная. Но - не выдумывала в своих рекламных документах, что она - не имея никакого статуса - может проводить аудиты на соответствие международным стандартам (то есть со статусом QSA). А прошлогодний Инфосек мне показал на выставке аж 4 таких компании только на выставке. Я вот знаю в России пока 3 таких - Диджитал Секурити, Инфосистемы Джет и Информзащита, при этом у последней существенный опыт в этом неблагодарном деле.

А у некоторых - только слова - без статуса и, как вы понимаете - без ответственности.

То есть - все эти умные сокращения - ASV, QSA. CISA etc. не просто так появились.

Небольшие придирки\уточнения

1) Я бы разделил понятия - аудит и сертификационный аудит. Обычный может проводить, кто угодно - это вопросы доверия Заказчика. Сертификационный - да, только QSA.

2) QSA даёт право только проведение сертификационного аудита по только по стандарту PCI DSS. Поэтому говорить о множестве стандартов не корректно

3) В России сейчас 4 чисто российских организаций со статусом QSA + ряд западных.

4) По поводу ответственности - а разве наличие QSA налагает прям какую-то ответственность за качество аудита?