DefenseWall от Ильи Рабиновича

[Илья Рабинович 521]

Знаю, что не антивирус. Он может защитить меня от вирусных угроз?

Да.

[Umnik 997]

т.е. обычную ОС KIS защитить не может, если только его установить в магазине?

Фразу переврал Я говорил, что при текущей логике DW нужно ставить в магазине

А то если простой кейлогер раньше KIS'a загрузится, то он ничего сделать не может.

Лик-тест попал на комп раньше DW, но запускался уже после установи DW и перезагрузки компа.

Ммм... Никакая программа, повторяю - НИКАКАЯ программа не может гарантировать защиту если система не чиста.

Моя ОС чиста, совершенно. И ОС юзера чиста совершенно. Зараженный кряк еще ни разу не запускался, DW уже стоит. DW вообще был установлен сразу после установки драйвера чипсета.

А продукт и не расчитан на миллионы wink.gif

На сайте нет указания, что продукт рассчитан лишь на подготовленного пользователя, что он не рассчитан на многих и доступе единицам.

НО свою задачу он решает очень хорошо.

Да ради Бога. Только его задача выполняется из искусственных условий. По крайней мере я вижу так.

Илья же написал, что он не верно отрабатывает.

Угу. Она все равно выполняет свое дело, не смотря на то, что DW ему запретил что-то делать. Это ошибка теста?

Invader.zip

Invader.zip

[Илья Рабинович 521]

Значит миллионам пользователям DW не подходит. У них то кряки заражены, то еще дрянь какая-то.

А вот это судить не вам, а миллионам пользователей.

Зашел из-под этого же стенда на сетевую шару к Марату и оттуда запустил оба теста.

Для локальных сетей существует специальная настройка "run from local area network sources as untrusted". Поскольку DW есть продукт для end-user (в текущей конфигурации), то данная настройка выключена по умолчению.

На сайте нет указания, что продукт рассчитан лишь на подготовленного пользователя, что он не рассчитан на многих и доступе единицам.

Естественно, поскольку он расчитан на массового пользователя. Например, он стоит у моих друзей-"домохозяев"- никаких проблем, равно как и никаких заражений, нет.

[p2u 824]

@ Umnik

Установил DW, запустил тулзу, которая уже была

Это ключ к загадке насколько я могу судить. Теперь надо обязательно заново установить систему, заново установить DW и потом извне принести этот тест (памяти о нём не должно быть нигде MD5 и пр.). Если он тогда всё ещё пройдёт, то тогда дальше поговорим.

Paul

[Deja_Vu 366]

Да ради Бога. Только его задача выполняется из искусственных условий. По крайней мере я вижу так.

Задача: защита OS из вне.

Разделение ресурсов на внешние и внутренние происходит в момент установки и запуск DW.

Где искуственные условия?

Если вы привыкли к стандартному поведению антивирусов - это не значит, что надо все притягивать за уши к их принципу действия.

Из жизни - машина чистится CureIt и еще парочкой утилок, затем пользователь подбирает защиту для себя.

Все время так помогаем пользователям. Так что искусственности нет, лишь ваша привычка смотреть однобоко на ситуацию

[Umnik 997]

А вот это судить не вам, а миллионам пользователей.

Несомненно. Я не поставил вопросительный знак, это моя опечатка.

Для локальных сетей существует специальная настройка

Завтра проверю с ней. Обязательно отпишу.

Естественно, поскольку он расчитан на массового пользователя. Например, он стоит у моих друзей-"домохозяев"- никаких проблем, равно как и никаких заражений, нет.

Исключительно поэтому мы с Маратом решили сегодня заглянуть на Ваш сайт в конце дня.

Теперь надо обязательно заново установить систему, заново установить DW и потом извне принести этот тест.

Не идет. Искусственное условие. Я писал выше про скринсейвер.

Из жизни - машина чистится CureIt и еще парочкой утилок, затем пользователь подбирает защиту для себя.

А CureIT и еще парочка пропустила новую заразу, потому что ну вот не знали они ее. Соответственно для DW зараза доверенная.

[99-й 25]

эм ... не надо мыслить как автор топика http://forum.kaspersky.com/index.php?showt...st&p=958329

Вы действительно не понимаете проблемы?

Здесь ситауция, предложенная p2u в сообщении 144.

КИС уже установлен.

Во время загрузки системы разное время не работает сетевой экран, хипс, сигнатурный антивирус.

Извне, из сети, флешек, внешних дисков, с сайта на который успели зайти, без рук, без участия пользователя попадает зараза, прописывается в автозагрузку и далее куда угодно.

Отредактировал Апрель 28, 2009 99-й

[Deja_Vu 366]

А CureIT и еще парочка пропустила новую заразу, потому что ну вот не знали они ее. Соответственно для DW зараза доверенная.

Может уже перестанем притягивать за уши?

Вы по месту работы поинтересуйтесь, на какие условия рассчитано разворачивание KIS.

Неужели рассчитано на зараженную машину? Не поверю!

При установки средства защиты исходят из предпосыла, что машина чиста.

А вот лечащие утилиты запускают из предпосыла, что машина заражена, не надо все мешать в кашу пожалуйста.

Вы действительно не понимаете проблемы?

Я то какраз понимаю. Пользователь сам определил, что надо запускать - в ручную указал, в обход HIPS'a KIS.

В этом и проблема.

Для нашей ситуация похожа, хотя Umnik упорно отказывается это видеть.

[Илья Рабинович 521]

Несомненно. Я не поставил вопросительный знак, это моя опечатка.

Опечатка не избавляет от ответственности.

[p2u 824]

Не идет. Искусственное условие. Я писал выше про скринсейвер.

Условия тестирования всегда искусственные. Не дай Бог, чтобы начали тестировать при условиях, которые бывают в жизни - никакой маркетинг не получился бы из-за таких тестов, и вы это знаете.

P.S.: Условия при которых Илья гарантируют более, чем приемлемую защиту - мне понятны.

Paul

[Илья Рабинович 521]

Для нашей ситуация похожа, хотя Umnik упорно отказывается это видеть.

Нет, она в том, что DefenseWall имеет иную идеологию, нежели защита на чёрных списках (антивирусы), к которому привык Umnik (точнее, его к ним приучили). Каждая имеет свои преимущества и недостатки.

Достоинство sandbox в том, что его невозможно обойти без использования "человеческого фактора", независимо от вида зловредного кода. Недостаток sandbox в том, что контролируются только основные источники попадания зловредов на компьютеры (браузеры, почта, USB, P2P, IM, IRC, скачивальщики и мультимедийные программы). Если что-то зловредное придёт из иных источников, защита бессильна (по крайней мере, сейчас, пара идеек у меня есть и в этом направлении, но пока рано).

Защита на чёрных списках способна блокировать всё зловредное, пришедшее из любых источников. Но и недостатки тут как тут- ложные срабатывания на легитимном ПО, несрабатывания на зловредном. Это врождённые черты blacklisting, ничего тут сделать невозможно в принципе.

Так что, как видно, эти средства защиты дополняют друг друга, а не конкурируют. Вообще, изначально, DefenseWall и не планировался как замена антивирусу либо любому другому средству защиты, базирующимся на чёрных списках.

Не дай Бог, чтобы начали тестировать при условиях, которые бывают в жизни - никакой маркетинг не получился бы из-за таких тестов, и вы это знаете.

Ну почему, вполне даже реально. Но очень сложно и дорого получается.

[p2u 824]

Ну почему, вполне даже реально. Но очень сложно и дорого получается.

Угу... Когда продукт не устанавливается, и надо сначала ходить на вирусинфо, чтобы люди помогли удалить зловред... Вряд ли покажут такое...

Paul

[Deja_Vu 366]

Нет, она в том, что DefenseWall имеет иную идеологию

Эм, я вообще то это и имел в виду.

Ведь там была проблема в том, что пользователь симулировал ситуацию, которая по идеологии работы KIS'a не должна быть. (он сам засунул в автозагрузку семпл, чего быть по идеологии работы KIS не может)

Как и тут

[dr_dizel 385]

Самое смешное и печальное в том, что как бы хорошо не были построены системы ИБ, в них всегда есть одна уязвимость - человек.

[Umnik 997]

Так, по списочку без цитат

1. Любой антивирус рассчитан на установку на не зараженную ОС. А зараза в кряках, о которой я говорял, для антивируса (как бы) не помеха - сигнатуры, эмуляторы, ХИПС, поведенческие блокираторы, ориджены... С DW ситуация такая, что для защиты ПК ВСЕХ моих знакомых им нужно отформатировать винчестеры.

2. Я вовсе не привык черным спискам. Иногда запускаю подозрительные вещи на реальной машине. Потому что знаю, что есть HIPS, настроенные совершенно нестандартно.

Ваш продукт не может противостоять простым угрозам

Оказалось, для противостояния нужно всего одно условие - отформатировать оба винчестера. Чтоже, тоже метод.

не может заменить антивирус

Ну, лечение зараженных файлов Вы и не заявляли. Оно и не надо - все отформатировано было предварительно.

не дотягивает до уровня HIPS в KIS 2009 и значительно уступает ему в гибкости.

DW имеет две группы - доверенные и недоверенные. KIS имеет 4. Недоверенные в DW схожи с сильными ограничениями в KIS. При этом я могу настроить права группам и приложениям так, как мне угодно в KIS и не могу в DW.

А еще я могу перенастроить права для группы Слабые ограничения и сильные ограничения и мне будет вообще по барабану, когда и как ко мне попал этот файл, не нужно будет форматировать свои разделы (для чистоты эксперимента, конечно) и прочее.

Не слишком ли специальную среду требует ваш DW для защиты пользователя? За 1000+ рублей, кстати.

З.Ы. Марат еще не пришел, потому как там с сетью будет проверить пока не могу.

[Илья Рабинович 521]

С DW ситуация такая, что для защиты ПК ВСЕХ моих знакомых им нужно отформатировать винчестеры.

Оказалось, для противостояния нужно всего одно условие - отформатировать оба винчестера. Чтоже, тоже метод.

Чушь.

DW имеет две группы - доверенные и недоверенные.

На самом деле, там их три.

KIS имеет 4. Недоверенные в DW схожи с сильными ограничениями в KIS. При этом я могу настроить права группам и приложениям так, как мне угодно в KIS и не могу в DW.

И сколько пользователей способны настроить всё аналогично? Неужели миллионы? То есть, HIPS в KIS не для домохозяев?

Не слишком ли специальную среду требует ваш DW для защиты пользователя?

DW не требует никакой специальной среды. Им просто нужно уметь пользоваться, как и любым друигм средством безопасности.

За 1000+ рублей, кстати.

За 500, кстати.

[Umnik 997]

Чушь.

Ну как чушь? Ну их кряки и нодиски доверенные же.

На самом деле, там их три.

Можно пояснение?

И сколько пользователей способны настроить всё аналогично? Неужели миллионы? То есть, HIPS в KIS не для домохозяев?

Им вообще не нужно настраивать. Только в отличие от DW в их Доверенные попадут только подписанные приложения или имеющиеся в базе доверенных ЛК, а не все, которые лежали на винте до установки KIS.

DW не требует никакой специальной среды. Им просто нужно уметь пользоваться, как и любым друигм средством безопасности.

Ну не знаю. Значит я не умею, т.к. не хочу нарезать все на болванки, а потом копировать обратно после установки DW. А если бы хотел, значит умел бы пользоваться.

За 500, кстати.

За 500 ничего не скажу. 500 - это нормально.

[Umnik 997]

Имеется скидка

[Deja_Vu 366]

Не слишком ли специальную среду требует ваш DW для защиты пользователя? За 1000+ рублей, кстати.

Специальность в том, что машина должна быть чистая? -)))

[Илья Рабинович 521]

Ну как чушь? Ну их кряки и нодиски доверенные же.

ПО стоит покупать. А если кто-то пользуется кряками- это не мои проблемы.

Можно пояснение?

Третья группа не видна из интерфейса. Но она есть.

Им вообще не нужно настраивать. Только в отличие от DW в их Доверенные попадут только подписанные приложения или имеющиеся в базе доверенных ЛК, а не все, которые лежали на винте до установки KIS.

Ну, я очень рад. Дальше что? Со своими задачами DefenseWall замечательно справляется и без этого.

Ну не знаю. Значит я не умею, т.к. не хочу нарезать все на болванки, а потом копировать обратно после установки DW. А если бы хотел, значит умел бы пользоваться.

"Просто ты не умеешь их готовить" © не мой.

[Андрей-001 1099]

Илья Рабинович и Umnik

Как я понял из вашего диалога.

Просто нужна подробная инструкция по настройке DW и DP для одной машины и для сервера с малой сетью.

И если, хотя бы, наши участники будут уметь правильно пользоваться DW и DP, то это, с наибольшей вероятностью, поможет развитию этих продуктов в целом.

[Umnik 997]

Специальность в том, что машина должна быть чистая? -))) laugh.gif

Да. Специальность в том, что машина должна быть абсолютно чистая.

ПО стоит покупать. А если кто-то пользуется кряками- это не мои проблемы.

Дык, убеди их всех. %) Ваш-то продукт они честно купили. Вы же красивые слова (как и любой производитель вообще) на сайте написали. А какой-нибудь ГТА не стали.

Ну, я очень рад. Дальше что?

Гораздо менее гибкий просто. И ничего больше.

"Просто ты не умеешь их готовить" © не мой.

Ну, не мое дело советы Вам раздавать.

Ивайдер DW проваливает и при запуске из шары, и при копировании из шары и запуске с рабочего стола. Гаку, конечно, поставил. И она работает, т.к. другие лик-тесты либо проходят, либо падают

Кстати, я с ценок где-то неправильно что-то прочитал?

[Илья Рабинович 521]

Ивайдер DW проваливает и при запуске из шары, и при копировании из шары и запуске с рабочего стола. Гаку, конечно, поставил. И она работает, т.к. другие лик-тесты либо проходят, либо падают

Не понял сего потока сознания. При установке "run from network sources as untrusted" Invader запускается доверенным или недоверенным?

[dr_dizel 385]

Да. Специальность в том, что машина должна быть абсолютно чистая.

Тут ещё такая штука. Если DW отключили (по разным причинам), поработали так, включили, то что теперь?

[Umnik 997]

Илья Рабинович

Так.

1. Копирую инвайдер из шары к себе на рабочий стол

2. Запускаю его

3. Оболочка падает

Галка "run from network sources as untrusted", конечно, включена.

Назначение инвайдера - свалить оболочку. Если оболочка свалена, значит защита прошляпила тест. Вы все еще утверждаете, что оболочка падает из-за неправильно написанного теста, а не из-за пробоя DW?

dr_dizel еще на вопрос подтолкнул. Как DW узнает, что программа была тут до него, а не появилась только что (друг закинул в расшаренную папку)?