Перейти к содержанию
Сергей Ильин

Онлайн интервью с Олегом Зайцевым, технологическим экспертом Лаборатории Касперского

Recommended Posts

UIT

Насколько сложно (и нужно ли на Ваш взгляд) реализовать в AVZ или продукции Лаборатории

Касперского, следующий подход к обеспечению безопасности. Не только детект и

лечение..., а ряд превентивных мероприятий. Службы, порты и прочее. Может быть, некие наборы для

отключения лишнего. Нечто типа рекомендованных правил для приложений в брандмауэре - созданных

специалистами или проверенными и предложенными всем - правилами пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Насколько сложно (и нужно ли на Ваш взгляд) реализовать в AVZ или продукции Лаборатории

Касперского, следующий подход к обеспечению безопасности. Не только детект и

лечение..., а ряд превентивных мероприятий. Службы, порты и прочее. Может быть, некие наборы для

отключения лишнего. Нечто типа рекомендованных правил для приложений в брандмауэре - созданных

специалистами или проверенными и предложенными всем - правилами пользователей.

Это уже есть, например в KIS 2009, многие из подсистем которого носят характер превентимных мер, например изучение процесса перед его первым запуском с целью установления его потенциальной опасности для системы и включения ограничений пропорциотально этой степени опасности. Для явно подозрительных процессов будет выдана рекомендация блокировать запуск или запуск разрешить, но ограничить запускаемые процесс по максимуму (наборы ограничений для каждой категории преднастроены, но есть возможность их доработать при желании). В новой линейке продуктов плюс к этому появляется "песочница" - можно запустить подозрительную программу в песочнице, и у нее не останется пости никаких шансов навредить системе. Другим примером профилактических мер может служить "Анализ безопасности" KIS, который сводится к поиску потенциальных уязвимостей и дырок, наличие которых может способствовать заражению ПК или успешным атакам на него - мастер анализа безопасности находит такое уязвимое ПО, показывает уровень опасности и ссылки на сайты с описанием найденно проблемы или уязвимости. Периодиечская проверка системы таким мастером и установка обновлений и заплаток позволит значительно повысить защищенность ПК (контрпример - многие из посетителей "Помогите" на VirusInfo заражаются именно из-за того, что сидят на XP SP0-SP1, с старым браузером и AcrobatReader, на их ПК не установлены заплаты безопасности - и такой компьютер становится легкой мишенью для заловредов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Олег, расскажите немного про историю создания AVZ. Возможно где-то уже это было, но что подтолкнуло к тому, чтобы плотно заняться информационной безопасность, создать свой продукт?

И еще такой вопрос. Что вами движет по жизни, что мотивирует? Сейчас очень популярна прозападная позиция, что без денег ничего не делается ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1). Что думаете об ЛСД и об его позиции по отношению к алкоголю и табаку на двухосевом графике зависимости и физической вредности?

2). Слышали ли о том, что у Шевчука есть спокойные тихие песни?

3). Как дела с фильмами обстоят? Вот топ фильмов по версии кинопоиска: http://www.kinopoisk.ru/level/20/

Что из них понравилось? Могли бы составить такой свой список названий из пяти?

1. ЛСД - это наркота, и как и любое другое вещество, влияющее на работу мозга и (или) личность человека имхо является большим злом (независимо от того, есть к нему привыкание или его нет). Алкоголь в один ряд с наркотиком ставить сложно, но его употребление в больших дозах не менее плохо, чем наркота (причина та-же - влияние на работу мозга, пусть и не столь разрушительно для организма. Табак в данном случае пагубная привычка, на разум не влияющая - ну а деструктивное влияние на здоровье - это уже личный вопрос каждого человека (я например никогда не курил, поэтому понять логику курильщика не могу ...). В моем понимании допустимо например выпить хорошего качественного пива с не менее хорошим креветками, бокал дорогого шампанского, рюмку хорошего красного вина или "дриньк" хорошего коньяка (хорошее пиво у меня например даже пекинес пьет - в небольших дозах и это полезно, равно как кошка одно время балдела от поедания креветок, пока не обожралась ими и не засодила желудок - что наглядно показало, что все хорошо, но в меру :) ).

2. Шутка юмора - а кто такой Шевчук ? :) Я на самом деле редко вдаюсь в столь глубокое изучение творчества того или иного певца или группы ...

3. У меня в личное видеотеке более 350 видеодисков :) Поэтому выделить TOP5 сложно ... могу сказать только, что у меня много старых фильмов советской эпохи (сейчас их можно купить в отреставрированном виде) - например, 5 дисков Шерлох Холмс, Тот самый Мюнхгаузен, Формула любви, Собака на сене, Укрощение огня и т.п., много научной фантастики (например, все серии поголовно звездного пути и Вавилон-5) и всего прочего. Нет только одного - времени, чтобы это все смотреть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Олег, у меня вопрос о продуктах других производителей антивирусного ПО - был ли в вашей жизни такой момент, когда Вы были восхищены каким-либо новшеством в антивирусе другого производителя? (не ЛК)

Поясню - как-то раз я по ошибке загрузил на Вирустотал зловреда в архиве под паролем. Потом вспомнил, что архив запаролен, но на отмену не стал нажимать, а дождался окончания проверки. К моему большому удивлению, один из антивирусов (причём один единственный) безошибочно задетектировал в запароленом архиве вредоносный файл. Я даже не поленился потом скачать этот антивирус и поставить себе на компьютер на виртуальную систему. Перепроверил - действительно, Fortinet без особого труда определяет вирусы в запароленных (но незашифрованных) архивах. Не знаю, насколько такая фича востребована, но она есть. Может в вашей практике было что-то подобное?

2. Ну и традиционный вопрос - назовите, кто по вашему мнению, входит в тройку лидеров антивирусной индустрии?

1. Если бы кто-то создал антивирус, отлавливающий любой заранее неизвестный (и любой существующий) зловред и при этом с нулевым уровнем фолсов, то я могу сказать честно - я был бы восхищен и шокирован примененной для этого технологией. Но подобное я думаю недостижимо (ввиду извечной "борьбы щита и меча"). В остальном я видел интересные технологии в ряде продуктов, которые как минимум заставляют уважать создавших их конкурентов.

2. Тройку лидеров если честно назвать сложно, так как можно составить какой-то рейтинг и выделить эту "тройку" на конкретный момент времени по конкретному направлению, на основании конкретных результатов оценки по какой-то методике (см. например тесты на anti-malware.ru), да и то можно долго спорить, правильная ли была методика оценки и все ли факторы учтены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Олег, расскажите немного про историю создания AVZ. Возможно где-то уже это было, но что подтолкнуло к тому, чтобы плотно заняться информационной безопасность, создать свой продукт?

2. И еще такой вопрос. Что вами движет по жизни, что мотивирует? Сейчас очень популярна прозападная позиция, что без денег ничего не делается ...

Если говорить о истории, то начинать необходимо с того, что практической вирусологией я занялся в 1992-93 году, гоняя злобного вируса на домашнем суперкомпьютере того времени - Искра-1030М (эта самая машинка оказалась у меня перед поступлением в институт, и у нее было памяти 640 кб и диск порядка 10-20 Мб (не путать с гигабайтом !), что казалась чудом инженерной мысли ... а еще там был принтер Электроника СМ 6337, который печатал в графике 9-ю иголками. Руткит (а точнее - буткит) имея размер чуть более 4 кб сидел в MBR диска, маскировался от обнаружения (показывая чистые сектора диска вместо своих) и в общем-то весьма сильно безобразничал (хотя деструктива никакого не содержал). Меня весьма заинтересовало, как же он это делает - что привело к покупке двухтомника "Справочник по прерываниям IBM PC" и ряда книжек по ASM. Зверь приехал вместе с этой самой Искрой, был в результате пойман, сектора дампированы, а сам зверь прибит. Как он называется - я не знаю, в теле вируса как сейчас помню была некриптованная строка "Zrobione" - что она значит, я не знаю - может, имя вируса или имя автора (по этой строке кстати поиском находится вот это - http://www.viruslist.com/en/viruses/encycl...a?virusid=18781 - по описанию похоже). Это все дело меня заинтересовало и после этого мне неоднократно приходилось писать небольшие "антивирусы" для лечения зараженных ПК на нашем институтском ВЦ или для чистки ПК знакомых (такое встречалось - надо лабу делать, а ПК например заражен и это явно видно, по заражению буквально на глазах только что скомпилированных EXE). У меня стали появляться разные идеи, как можно бороться с этим, которые закончились созданием действующей модели своего Sandbox HIPS на мертвом ныне языке C-- (эта штука сама была отчасти буткитом для защиты от ее выкидывания из автозапуска и сообразно простейшим правилам блокировала опасные операции), ловушки для вирусов (которая содержала набор из кучи EXE/COM файлов разного размера, с оверлеями и без - оболочка хранила их в зашированном виде, а при запуске сохраняла на диск под разными именами и делала с ними разные манипуляции - запуск, копирование, переименование. Если в памяти ПК был вирус, то он заражал эти "дрозофилы" и имея их эталонный вид и зараженный можно было сразу сказать, что заражает вирус, при какой операции, как внедряется ... запускающая семплы оболочка это и делала, плюс умела сравнивать побайтно как сразу, так и после загрузки с чистой дискеты (что позволяло ловить стелс-зверье, которых сейчас называют руткитами). Тогда-же я ставил опыты с поиском перехватов прерываний и их обхода (мало кто помнит, но в те времена был комплект от ЛК для анализа памяти и перехватов, антивирус с редактируемой базой сигнатур и инструкцией, как эти самые сигнатуры туда помещать ... и файл-менеджер VC - ВолковКоммандер с бортовым "антируткитом" - показывавшим, кто остался резидентным и какие прерывания перехватил :) ). Вот такая история ... далее мне приходилось лечить ПК, часто вручную ... - но массовости не было. Когда я пришел в СмоленскЭнерго, то столкнулся с сетью на сотен ПК и массой проблем безопасности ... это был 1999 год. Централизованной антивирусной защиты тогда не было, равно как и службы безопасности - юзеры как следствие нередко отключали антивирусы, перенастраивали их или вообще отказывались их ставить, нередко безобразничали с хакерскими программами - сканарами сети, "нюкерами". Далее пошли массовые эпидемии почтовых червяков, и получилось - что в принципе надо как-то лечить зараженные ПК и быстро их диагностировать. После создания нескольких "одноразовых антивирусов" для оператиного лечения ПК я понял, что надо как-то создавать свою базу данных. Плюс возник ряд проблем:

- необходимо было как-то удаленно и быстро обследовать ПК. Когда их несколько сотен (а сейчас например - тысяч), то бегать по ним нереально.

- не всегда на ПК можно послать специалиста. Следовательно, необходимо средство, которое само соберет все данные, передаст в центр, там это будет обработано, и будут сформулированы какие-то тветные действия. Далее все пошло предсказуемыцм образом - сначала унификация собираемых данных и появление XML логов, потом идея скрипт-языка для обратной связи, быстрое накопление базы вирусных семплов, идея ловушек для вирусов различного типа... и появился первый "облачный" прототип AVZ - с невизуальным агентом и хранением баз и собранных данных в Oracle. Следующим шагом было появление мобильной версии AVZ, причем в самой первой версии не было никаких инструментов для запуска скрипта извне или визуальных средств создания и просмотра протоколов. К 2004-му году эта технология стала постепенно "расползаться" за пределы Смолэнерго, и я решил сделать данный инструмент публичным. Что было далее - все знают ...

2. Мотивации разные - в первую очередь интерес к глобальным исследованиям, созданию чего-то нового, проведению различных опытов и изысканий. В частности поэтому AVZ был и есть бесплатным инструментом - я не рассматривал его как средство наживы. С прозападной позицией не не согласен, так как материальная мотивация конечно всегда играет роль, но утверждать, что без денег ничего не делается - это имхо абсурд Типовой пример - я например никогда не беру денег, помогая например полечить компьютер или консультируя кого-то в какой-то проблеме.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Зайцев Олег

А можно ли добавить AVZ на ВТ,чтобы и он выдавал результат проверки файла?Например,подозрительность файла в ...% или с названием на подозрение что тот является вирусом.Вообщем в таком вот варианте.

Ведь AVZ востребована и популярна в лечении компов,а значит результат проверки был бы кстати.

Да и ещё. i,если выйдет в результате проверки,чтобы пользователь мог при наведении увидеть описание,к примеру,что файл опознан по базе безопасных.

Думаю,что вы поняли о чём я.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor

Олег!

Хэлперы на "Virusinfo" и "Борьба с вирусами" работают на общественных началах?

Есть ли у Вас с ними связь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

А можно ли добавить AVZ на ВТ,чтобы и он выдавал результат проверки файла?Например,подозрительность файла в ...% или с названием на подозрение что тот является вирусом.Вообщем в таком вот варианте.

Ведь AVZ востребована и популярна в лечении компов,а значит результат проверки был бы кстати.

Да и ещё. i,если выйдет в результате проверки,чтобы пользователь мог при наведении увидеть описание,к примеру,что файл опознан по базе безопасных.

Думаю,что вы поняли о чём я.

Это теоретически можно сделать, на практике я просто не знаю процедуру добавления сканирующего ядра в ВТ ... в принципе этот процесс не активизировался, так как задача AVZ далеко не в том, чтобы быть сканером (в базе описаны только распространенные малвари, с корыми в частности мне приходилось сталкиваться). А все чистые и звери из базы AVZ есть и в базах ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Олег!

Хэлперы на "Virusinfo" и "Борьба с вирусами" работают на общественных началах?

Есть ли у Вас с ними связь?

Хелперы работают на общественных началах, причем любой желающий стать хелпером может подать заявку и пройти бесплатное обучение на основании учебных методик Virusinfo и разбора реальных "дел". Кроме того, в среднем раз в квартал администрация форума премирует наиболее отличившихся хелперов деньгами, которые образуются за счет показа рекламы на сайте

С хелперами у меня естетсвенно есть связь, плюс "киберхелпер" круглосуточно мониторит все обращения, карантины, логи и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Зайцев Олег

А когда появится анализатор логов,хотя бы прблизительно?

Может ли этот анализатор гарантировать правильность выдачи скриптов на решение проблемы или возможны ошибки?

Перед использованием ответа-скрипта от анализатора надо ли проверять правильность действия по файлу,чтобы удостовериться,что тот не ошибся?

Просто чайники могут сразу взять полученный скрипт и запустить,а в итоге окажется,что анализатор ошибся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

1. А когда появится анализатор логов,хотя бы прблизительно?

2. Может ли этот анализатор гарантировать правильность выдачи скриптов на решение проблемы или возможны ошибки?

3. Перед использованием ответа-скрипта от анализатора надо ли проверять правильность действия по файлу,чтобы удостовериться,что тот не ошибся?

4. Просто чайники могут сразу взять полученный скрипт и запустить,а в итоге окажется,что анализатор ошибся.

1. Анализатор уже появился и отлично работает ... можно понаблюдать, как он ползает по темам VirusInfo :) Однако он пока помогает работать хелперам, "права голоса" он еще не заслужил

2. Да, может. Но чтобы была близкая к 100% гарантия, анализатору необходимо долго учиться - как на чистых системах, так и на зверях. И обрастать контурами защиты, за счет которыз ошибка будет маловероятна - анализатор в любом случае сначала попробует закарантинить объект и запросить его, получив изучит и только убедившить в его опасности будет предлагать удалить (собственно, сейчас в роли такого анализатора работает хелпер на VirusInfo, отрабатывая логику вида "логи" -> "скрипты карантина" -> "карантин" -> "скрипты лечения" - эту логико несложно видеть в правилах оказания помощи раздела "помогите")

3. Нет, это не потребуется. Более того, у анализатора есть свои "три закона робототехники", призванные защищать пользователя от неадекватной агрессии (дело в том, что искусственный интеллект - штука хитрая. В отличие от экспертной системы, где все прописано и если нет ошибок в правилах, то и нет ошибок в работе, тут правил то правил нет ... поэтому нужен контроль)

4. Вот поэтому анализатор не будет ошибаться :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
2. Шутка юмора - а кто такой Шевчук ? smile.gif Я на самом деле редко вдаюсь в столь глубокое изучение творчества того или иного певца или группы ...

Шевчук = ДДТ. Этот вопрос я задал потому что Вы незаслуженно рок назвали громким. А на сегодняшний день роком себя называют почти все певцы, которые не хотят быть попсой ;)

Ознакомьтесь:

это один из их шедевров.

Олег, как относитесь к поэзии?

Читаете ли блог Гостева?

Как относитесь к юмору? ("кривое зеркало", естественно, юмором не считается)

Плавать умеете?

Куда-нибудь путешествовали?

PS: доп. материалы:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Зайцев Олег

1. AVZ есть в отдельном виде и в составе KIS, а не планируется ли, если такое вообще возможно по разным причинам, его совмещение с другими продуктами других вендоров?

2. И поступали ли когда-нибудь такие предложения от сторонних вендоров вообще?

3. Если время неожиданным образом не станет Вам мешать, то не хотели бы Вы сделать вместо AVZ совершенное другое средство?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Зайцев Олег

Когда я пытался "поговорить" с AVZ в KIS 2009 через окна, то KIS просто зависал. Понятно, чтон выводить окна диалоговые не умеет, а движок AVZ ждал ответа. И понятно, что те, кто этим будет пользоваться (техподдержка?) знают об этой особенности. Но можно ли ожидать, что в 2011 это будет исправлено?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

Когда я пытался "поговорить" с AVZ в KIS 2009 через окна, то KIS просто зависал. Понятно, чтон выводить окна диалоговые не умеет, а движок AVZ ждал ответа. И понятно, что те, кто этим будет пользоваться (техподдержка?) знают об этой особенности. Но можно ли ожидать, что в 2011 это будет исправлено?

Это не будет исправлено, скорее это будет документировано ... ядро AVZ работает в KIS под SYSTEM, и как следствие окно то выводится - но не на десктоп пользователя :) Поэтому в KIS и в AVPTool нельзя применять диалоговые функции ... прецедентов пока не было, так как собственно назначение скриптов как раз в том, чтобы автоматически сделать что-то без участия пользователя и диалога с ним.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

1. AVZ есть в отдельном виде и в составе KIS, а не планируется ли, если такое вообще возможно по разным причинам, его совмещение с другими продуктами других вендоров?

2. И поступали ли когда-нибудь такие предложения от сторонних вендоров вообще?

3. Если время неожиданным образом не станет Вам мешать, то не хотели бы Вы сделать вместо AVZ совершенное другое средство?

1. Технически это возможно. А практически если какой-то вендор договорится об этом с ЛК и будет принято решение это сделать, то оно и будет сделано ...

2. До моего прихода в ЛК (да и после тоже) таких предложений поступала тьма (купить, сдать в аренду, продать, сделать ребрендинг и т.п.). Однако переход AVZ в руки уважаемой мной компании (и продолжение существования и развития этого проекта) это одно, а выпуск под брендом "Super Puper Russia Antivirus 200x © Рога и Копыта Inc" - совершенно другое.

3. Время мне и так не мешает - кроме AVZ у меня есть еще десятки разработок и наработок, в области безопасности в том числе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Шевчук = ДДТ. Этот вопрос я задал потому что Вы незаслуженно рок назвали громким. А на сегодняшний день роком себя называют почти все певцы, которые не хотят быть попсой ;)

1. Ознакомьтесь:

это один из их шедевров.

2. Олег, как относитесь к поэзии?

3. Читаете ли блог Гостева?

4. Как относитесь к юмору? ("кривое зеркало", естественно, юмором не считается)

5. Плавать умеете?

6. Куда-нибудь путешествовали?

PS: доп. материалы:

1. Ознакомился - там поют под музыку, громкость регулируется :) А если серьезно, я же имел в виду "рок" как пример, а не как общее определение и не как оценку конкретного творчества ... не будучи специалистам по музыкальным течениям я могу весьма условно классифицировать (это как произрастающий на работе гербарий с делю на "кактусы" и "фикусы" - по ниличию на растении иголок или отсутствую таковых). Рок явно тоже бывает разных течений, которые для неспециалиста туманны

2. затрудняюсь сказать. Сам сочинять точно не пробовал :) (я на самом деле являюсь ярко выраженным технарем, гуманитарные науки я понятное дело изучал в школе/институте, но особой тяги к ним никогда не испытывал)

3. Читаю иногда, но не отслеживаю постоянно ... обычно когда там публикуется что-то новое и интересное, то слух об этом быстро распространяется и появляется повод сходить и почитать

4. Положительно, если это качественный и хороший юмор

5. Скажем так - в случае спасения с тонущего судна поплыву :)

6. Да, но это было давно и не очень часто ... хочу как-нибудь вырваться в Европу, посмотреть, как там народ живет. Но это опять-же время нужно, и много

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Зайцев Олег

Как долго этот анализатор будет учится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
...Другим примером профилактических мер может служить "Анализ безопасности" KIS, который сводится к поиску потенциальных уязвимостей и дырок, наличие которых может способствовать заражению ПК или успешным атакам на него - мастер анализа безопасности находит такое уязвимое ПО, показывает уровень опасности и ссылки на сайты с описанием найденно проблемы или уязвимости. Периодиечская проверка системы таким мастером и установка обновлений и заплаток позволит значительно повысить защищенность ПК

Нужно будет попробовать поставить продукт и провести у себя проверку мастером "Анализ безопасности". Извините, если данный компонент выполняет то, о чем я спрашиваю. Однако, мой вопрос был несколько в следующем ключе. Например ситуация: одиночный ПК, без сети, без подключения USB устройств... - я выбираю/корректирую из предложенного для моей ситуации списка, перечень рекомендованных действий и выполняю. И отключаются, например, DHCP-клиент, DNS-клиент, Сервер, Рабочая станция... NetBIOS через TCP/IP, использование LMHOSTS, компонент "Клиент для сетей Microsoft" и прочее, прочее лишнее.

Стоит ли ожидать такой функционал в AVZ или продукции Лаборатории Касперского?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

Как долго этот анализатор будет учится?

Процесс обучения идет постоянно... я думаю еще не менее нескольких месяцев

Нужно будет попробовать поставить продукт и провести у себя проверку мастером "Анализ безопасности". Извините, если данный компонент выполняет то, о чем я спрашиваю. Однако, мой вопрос был несколько в следующем ключе. Например ситуация: одиночный ПК, без сети, без подключения USB устройств... - я выбираю/корректирую из предложенного для моей ситуации списка, перечень рекомендованных действий и выполняю. И отключаются, например, DHCP-клиент, DNS-клиент, Сервер, Рабочая станция... NetBIOS через TCP/IP, использование LMHOSTS, компонент "Клиент для сетей Microsoft" и прочее, прочее лишнее.

Стоит ли ожидать такой функционал в AVZ или продукции Лаборатории Касперского?

А откуда мастер может понять, что на данном ПК например не нужен "Клиент для сетей Microsoft" ?! В том-то и беда, что решить это автоматом нельзя, а задавать такой вопрос юзеру бессмыссленно, и можно такого понаотключать ... а вот в корпоративном антивирусе в этом направлении запланирован ряд весьма интересных фич, так как там есть админ, который будет решать, что и как должно быть. Плюс в AVZ и KIS любая автонастройка системы легко достижима скриптом AVZ (как следствие например чтобы не отключать каждый раз некие службы, опытный специалист может сделать себе скрипты AVZ или набор REG файлов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
А откуда мастер может понять, что на данном ПК например не нужен "Клиент для сетей Microsoft" ?! В том-то и беда, что решить это автоматом нельзя, а задавать такой вопрос юзеру бессмыссленно, и можно такого понаотключать

Пошаговый мастер, вопросы узнающие подробно, что у пользователя за ситуация, какой провайдер итд. Или сразу блок настроек - для желающих.

опытный специалист может сделать себе скрипты AVZ или набор REG файлов

Это понятно. Хотелось для не очень подготовленного но страждущего пользователя.

А впрочем ладно, может быть и мало кому из пользователей действительно будет это интересно.

... а вот в корпоративном антивирусе в этом направлении запланирован ряд весьма интересных фич,

Если будет применимо и для обособленного ПК, надеюсь это "переплывет" во все вариации антивируса.

Отдельный вопрос

В настоящее время, можно выбрать для использования антивирус от одной компании, брандмауэр от другой, HIPS от третьей. Или приобрести комплексный продукт включающий все эти компоненты у 1-2-3-или 4 компании.

Продукт, где все компоненты собраны в единую цепочку, как бусины на нитке:), мне кажется в целом весьма привлекательным (естественно если устраивает). Хотя, я сам, не использую такой вариант.

Скажите пожалуйста, как Вам видется будущее компаний, не имеющих возможности или не планирующих появления в своем арсенале комплексного решения на уровне — «не хуже чем у других» - через 2-6 лет.

Отредактировал UIT

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Пошаговый мастер, вопросы узнающие подробно, что у пользователя за ситуация, какой провайдер итд. Или сразу блок настроек - для желающих.

Это понятно. Хотелось для не очень подготовленного но страждущего пользователя.

А впрочем ладно, может быть и мало кому из пользователей действительно будет это интересно.

Если будет применимо и для обособленного ПК, надеюсь это "переплывет" во все вариации антивируса.

Отдельный вопрос

2.В настоящее время, можно выбрать для использования антивирус от одной компании, брандмауэр от другой, HIPS от третьей. Или приобрести комплексный продукт включающий все эти компоненты у 1-2-3-или 4 компании.

Продукт, где все компоненты собраны в единую цепочку, как бусины на нитке:), мне кажется в целом весьма привлекательным (естественно если устраивает). Хотя, я сам, не использую такой вариант.

Скажите пожалуйста, как Вам видется будущее компаний, не имеющих возможности или не планирующих появления в своем арсенале комплексного решения на уровне — «не хуже чем у других» - через 2-6 лет.

1. В самом вопросе логический парадокс. Не очень подготовленный, но страждущий пользователь не сможет точно ответить на большинство технических вопросов, и как следствие нередко опаснее (причем для самого себя) обезьяны с пулеметом - так как он чего-то хочет, но до конца не понимает, чего именно :) Я с этим постоянно сталкиваюсь по работе в энергетике - у меня в ЛВС например запрещены оптимизаторы реестра, разные твикеры, ускорители и т.п. - т.к. пользователь их принесет, затвикает насмерть свой ПК, а затем удивляется, почему например после применения "ускорителя ЛВС" не работает корпоративный документооброт (самое смешное - этого потом и админы не понимают, так как оценить результат ряда неизвестных манипуляций с настройками системы крайне сложно). А главная заповедь антивируса: "не навреди" (как у врачей)... Еще два момента по теме:

- пользователь нередко отвечает что-то, не сильно вдаваясь в суть вопроса (собенно опасны вопросы "вы хотите ... [да] [нет]" в диалоговом окне. Изучая причины ввода бредовых данных в корпоративные БД несмотря на алерты системы я ставил живодерские опыты - имитировал ошибку у случайно выбранного пользователя в процессе его работы с БД, и выдавал диалоговое окно с запросом вида "Внимание ! Обнаружен перегрев ядра атомного реактора. Опустить регулирующие стержни ? [Да] [Нет]". 10 из 10 участников опыта нажали [Да] ... именно поэтому тот-же KIS например пытается по возможности принимать решения сам, или если это невозможно, то предлагая выбор действия указывает рекомендуемое. А в корпоративном KAV например у меня в сети все настроено на автомат без взаимодействия с пользователем

- хорошо пытаться "оптимизировать" систему с нуля, при четко определенной сфере применения ПК. Но до этого он мог быть обработан 2-3 твикерами, и условия применения не всегда прозрачны.

Поэтому разные идеи по оптимизации системы и повышению ее защищенности и быстродействия обсуждаются, ставятся разные опыты и некий подобный функционал со временем будет появляться и в домашних продуктах линейки KIS/KTS, но туда попадет только то, что сможет безошибочно найти проблемы и качественно и корретно их устранить, без пагубных последствий и конфликтов - рубить с плеча тут нельзя.

2. по моему мнению за комбайнами будущее. Причина проста - все больше пользователей ПК являются именно "пользователями", т.е. у них нет специальных знаний в области вычислительной техники и они им соственно не нужны ... и заниматься изучением нескольких продуктов, их настройкой и т.п. им сложно. Такому пользователю необходим какой-то простой и единый комплексный продукт, по принципу - "купил->поставил->забыл" (типовой пример я вижу на своих родителях - они инженеры, для них ноутбук - это аналог кульмана для работы с чертежами и средство для просмотра новостей и прогноза погоды в Интернет. Антивируса они не замечают, и средство комплексной защиты для них состоит в красной букве "К" в трее). Еще момент - комбайн имеет единое управление и обновление, на него покупается единая лицензия и конфликтовать сам с собой не может :) В случае легального применения нескольких продуктов это окажется дороже "комбайна", каждый продукт придется покупать, настраивать и обновлять отдельно, между продуктами различных вендоров могут быть конфликты, возможны лишние "тормоза" за счет того, что несколько продуктов по сути делают одно и тоже. И уровень защиты может оказаться ниже, так как например антивирус "знает" о том, что приложение X небезопасно, но он не может "сказать" об этом Firewall-у или HIPS другой фирмы

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
Поэтому разные идеи по оптимизации системы и повышению ее защищенности и быстродействия обсуждаются, ставятся разные опыты и некий подобный функционал со временем будет появляться и в домашних продуктах линейки KIS/KTS, но туда попадет только то, что сможет безошибочно найти проблемы и качественно и корретно их устранить, без пагубных последствий и конфликтов - рубить с плеча тут нельзя.

Понятно стремление к корректности и без пагубности в коммерческом продукте особенно ориентированном на использование обычным пользователем. С реактором это весьма показательно. Но бывает иногда печально, что некоторые пользователи так и не смогут почувствовать радость и море приятных эмоций и понять всю прелесть более глубокой настройки системы и необходимость хоть немного уделять внимание своему рабочему или игровому ПК - когда ммм, бушует очередная эпидемия и многие вопрошают - как удалить зловреда, и как все вернуть. А у тебя - тишина. Все тихо и спокойно, и уже много много лет:) А они смотрят на тебя пустым взглядом и соглашаются с простейшими рекомендациями регулярно обновлять ОС и антивирусные бызы. Но все бросают, буквально через несколько дней.

Пожалуй у меня все. Спасибо Вам, за интересные и познавательные ответы.

P.S. А нет ли возможности у ЛК смотивировать p2u на написание книги? Очень было бы здорово почитать рекомендации от Paul Wynant. И как Вы относитесь к советам Паула?

Отредактировал UIT

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
кроме AVZ у меня есть еще десятки разработок и наработок, в области безопасности...

А это засекречено или нет? :)

Знаю только об Anti Port Sсanner.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×