Этот вопрос неоднократно всплывал в форуме и комментариях блога, а на прошлой неделе мне задал его в почте читатель Игорь. Причем письмо пришло в тот момент, когда я читал свежий отчет по безопасности Microsoft за вторую половину 2012 года. Это совпадение примечательно тем, что именно аспект работы без актуальной антивирусной защиты попал в фокус специалистов компании на сей раз.
Я предлагаю вам посмотреть на большую картину работы без антивируса в Windows, а также разобраться, нужен ли антивирус опытным пользователям.
[+] Сегодня в программе
Статистика заражений различных ОС Windows
Постоянные читатели блога уже знакомы с записями, в которых я разбирал любопытные факты из отчетов по безопасности Microsoft, например, за вторую половину 2011 года и первую половину 2012 года. По сравнению со вторым из них мало что изменилось:
- Уязвимости в Java и Adobe эксплуатируются в разы активнее, чем уязвимости ОС Windows.
- Страсть к халяве не идет на спад, и самым популярным семейством вредоносных программ остается Win32/Keygen.
- Россия прочно удерживает четвертое место в мире по количеству зараженных ПК, а уровень вредоносных и фишинговых сайтов на территории страны превышает среднемировой в 1.5 раза.
И даже статистика заражений ОС Windows не преподносит сюрпризов, несмотря на появление в списке Windows 8. Скачок уровня заражений Windows XP в четвертом квартале 2012 года связан со взрывным ростом активности фальшивого антивируса Win32/OneScan в Корее. Напомню, что уровень означает число ПК с обнаруженными вредоносными программами на каждую тысячу компьютеров, просканированных MSRT.
Столь низкий уровень заражений Windows 8 объясняется в первую очередь тем, что пока на нее перешли, в основном, энтузиасты, обладающие более высоким уровнем компьютерной грамотности. Они же склонны сознательно выбирать 64-разрядные системы, снабженные защитными технологиями, недоступными в 32-разрядных ОС.
Но есть и еще один фактор, который поспособствует тому, что в будущем Windows 8 продемонстрирует уровень заражений ниже, чем у Windows 7. Это – встроенный антивирус Windows Defender, обладающий тем же интерфейсом, движком и базами обновлений, что и Microsoft Security Essentials, предназначенный для предыдущих версий Windows.
Статистика заражений ОС Windows сквозь призму наличия антивируса
В принципе, Капитан Очевидность подсказывает, что с антивирусом вероятность заражения ниже, чем без оного. Однако разве не любопытно посмотреть на конкретные статистические данные, собранные с помощью MSRT с миллионов ПК?
В своем отчете Microsoft использует термин «незащищенные ПК», относя к таковым системы, на которых антивирус не установлен или работает с устаревшими базами. Как выяснилось, во второй половине 2012 года в эту категорию попадал каждый четвертый ПК!
Неудивительно, что незащищенные ПК (красный график) заражались в среднем в 5.5 раз чаще, чем системы с обновленными антивирусами (зеленый график).
Любопытен также расклад незащищенных ПК по операционным системам. Честно говоря, я ожидал даже более высокого уровня заражений на Windows XP. Но зато совсем не удивился тому, что владельцы Windows 7 без SP1 относятся безответственно не только к обновлению ОС, но и наличию антивирусной защиты.
Обратите внимание, что на Windows 8 зафиксирован самый низкий уровень незащищенных ПК, благодаря наличию Windows Defender.
Тем не менее, 7-8% людей умудряются отключать встроенную антивирусную защиту Windows 8, не устанавливая ничего взамен!
Наконец, взгляните на расклад по операционным системам и разрядностям в контексте наличия актуального антивируса. Незащищенные ПК обозначены штриховкой, а защищенные – сплошной заливкой.
Ожидаемо, системы без должной защиты заражаются чаще вне зависимости от версии и разрядности. В частности:
- Windows XP в 4.7 раза
- Windows 7 SP1 в 9.4 раза (х86) и 7.3 раза (х64)
- Windows 8 x64 в 13.5 раз
Адепты Windows XP вряд ли удержатся от вывода, что старая ОС почти в три раза устойчивее к заражениям при работе без антивируса, нежели Windows 8. Однако я вижу два фактора, делающие такое суждение несколько поверхностным.
- Заражение – это обнаруженная вредоносная программа, но вовсе не факт, что она может нанести вред конкретной операционной системе. Классический пример – семейство INF/Autorun, включенное во все наборы для атаки, но не представляющее никакой угрозы для Windows 7 и более новых ОС (впрочем, как и для Windows XP с установленным обновлением).
- Windows 8 только что вышла, т.е. установлена начисто на всех ПК. А что люди делают после установки ОС? Правильно, устанавливают программы. Теперь вспомните про неуемную страсть к халяве, и все встанет на свои места.
Win32/Keygen и INF/Autorun являлись самыми широко распространенными семействами вредоносных программ на протяжении 2012 года (за исключением скачка рекламного «вредоноса» DealPly на территории Бразилии в четвертом квартале).
В таблице ниже те же семейства выстроены по ранжиру для каждой ОС. Обратите внимание, что Keygen и Autorun оккупируют места в первой тройке на Windows 8.
Нужен ли антивирус опытным пользователям
Приведенные выше данные наглядно подтверждают, что наличие актуальной антивирусной защиты в разы снижает уровень заражений по экосистеме Windows в целом. Другими словами, подавляющему большинству пользователей антивирус абсолютно необходим.
Следуйте рекомендациям Microsoft
Я всегда подчеркивал пользу от следования рекомендациям Microsoft, которые в данном случае выражены в центре поддержки. Однако есть категория людей, считающих себя достаточно опытными, чтобы избежать заражения без резидентного антивируса (ну, может, только один раз за год словить вымогателя :)
В этом одном разе и заключается более высокая вероятность потери персональных данных, что может нанести ущерб финансам или репутации.
Безусловно, ни один антивирус не обеспечивает 100% защиты от вредоносных программ. Даже если исключить серьезные уязвимости 0-day, которые вероятнее используются для целевых атак типа Aurora, производители защитного ПО с задержкой реагируют на любые новые угрозы.
Тем не менее, антивирус играет важную роль в комплексе мер, работающих в реальном времени и повышающих устойчивость Windows к заражениям:
- центр обновления Windows
- брандмауэр
- антивирус
- фильтр SmartScreen
- контроль учетных записей
Я считаю, что опытный пользователь использует весь защитный арсенал, не пренебрегая никаким оружием.
Впрочем, существует один подход, которым можно оправдать работу без антивируса.
Альтернатива: SRP или AppLocker, либо Device Guard
Windows обладает технологиями контроля над запуском исполняемого кода. Основной подход SRP и AppLocker сводится к тому, что запуск программ и скриптов разрешен только из расположений, в которые у вас нет права на запись (например, Windows и Program Files), а попытки выполнить их из других папок тихо блокируются полностью. Device Guard блокирует исполняемый код с помощью политик WDAC.
Однако эти технологии даже не включены в состав младших изданий Windows, поскольку рассчитаны на применение в организациях. Из этого в домашней среде вытекает пара моментов:
1. Требуется высокая квалификация пользователя. По-настоящему опытный пользователь, конечно, разберется с настройкой в графическом интерфейсе. Но квалификация подразумевает также и понимание принципов работы технологий, что в свою очередь требует более высокой дисциплины. Заманчиво же вывести из-под действия политик, например, папки Downloads и Scripts, но при таком подходе нечего и огород городить.
2. Требуется отключать ограничения на время установки и обновления приложений. С точки зрения SRP или AppLocker эти действия эквивалентны, поэтому для их успешного выполнения приходится временно деактивировать защиту. Проблема в том, что происходит это в самый важный для безопасности Windows момент – запуск исполняемого кода с полными правами!
Исключение составляют лишь программы, обновление которых реализовано с помощью служб, выполняющихся от имени учетной записи “Система”, на которую политики не распространяются (таковыми являются, например, Adobe Reader и Firefox). Минимизировать случаи отключения политик также можно, создавая для конкретных подписанных программ правила сертификатов, как это делает Вадимс Поданс, в чьем блоге вы найдете достаточно материалов для грамотной настройки SRP и AppLocker.
Так или иначе, я затрудняюсь рекомендовать всем читателям своего блога SRP или AppLocker, но настоятельно рекомендую эти технологии тем, кто считает себя достаточно опытными, чтобы работать без антивируса :)
Усиление: EMET
Ранее EMET выпускался как отдельный бесплатный инструмент для управления защитными технологиями Windows. Сейчас он встроен в Windows 10 и Windows 11. EMET блокирует или затрудняет эксплуатацию уязвимостей, для которых еще нет исправлений. Другими словами, он значительно снижает вероятность ущерба от уязвимостей типа 0-day.
Подробности о EMET вы можете почерпнуть из статей Руслана Карманова:
- ЕМЕТ 4.0: Windows Server 2012 R2 и Windows 8.1 (очень хороший обзор технологий защиты Windows)
- EMET 4.0 – новая планка безопасностей (обзор нововведений версии 4.0)
См. также другие статьи в разделе EMET на этой странице.
Дискуссия и опрос
В Windows 7 я пользовался MSE, а в Windows 8 у меня работает встроенный Windows Defender. Антивирус Microsoft не обладает лучшим уровнем защиты на рынке, но соответствует моим навыкам и критериям выбора, в том числе и безупречной совместимостью с Windows. Напишите в комментариях, каким защитным решением вы пользуетесь и почему выбрали именно такой уровень защиты.
Upd. В комментариях многие читатели указывали, что используют AdBlock Plus, а также указывали на его недоступность в Internet Explorer. Уже есть AdBlock Plus для IE :)
Результаты голосования утеряны в связи с прекращением работы веб-сервиса опросов.
Сначала изучите работу операционной системы и механизма раздачи прав доступа, групповые политики ограничения применения программного обеспечения, потом уже утверждайте что хотите. Единственное, что может пробить связку SRP/AppLocker + настроенные права доступа- это 0-day уязвимость в операционной системе. Но от неё и не один антивирус не защитит.
Кстати, Вадим, на счёт 0-day уязвимостей, забыл написать про Enhanced Mitigation Experience Toolkit, или, сокращённо, EMET, который борется с этими уязвимостями))
Виталий, да, EMET – интересная штука, но опять же – не для всех. Буквально на днях я подбросил в форуме ссылок интересовавшемуся товарищу.
Здравствуйте,Вадим.
На своём домашнем ноутбуке, уже года 3-4 использую KIS (раньше пробовал и другие антивирусники, но KIS нравится больше всех остальных), UAC отключён, права Администратора. Браузер ОгнеЛис с Addblock+; Java отключена. Для жены установлены права пользователя, IE 10 с Addblock+; Java включена, т.к. ей нужны Одноклассники. Ну и на всякий пожарный, сделана резервная копия Системы.
Спасибо за отклик, Владимир! Стандартные учетные записи для домочадцев – это очень правильный подход!
P.S. Странный у вас ник. Надеюсь, вы знаете значение :)
Вадим, чем опасна ситуация, когда на рабочей машине, не подключённом к интернету, не установлен антивирус (производитель ПО настоятельно рекомендует не пользоваться)?
Все подключаемые к машине диски при необходимости (после подключения к другим компам “в гостях”) проверяются на отдельной машине, на которой ничего, кроме антивируса (MSE) не стоит.
Сеть используется только в замкнутой системе этого компа со специфическими интерфейсами, не связанными с доступом в корпоративную сеть и/или интернет.
Возможно ли применение SRP/AppLocker в этой ситуации? Нужно ли оно? И где можно почитать подробнее о том, как ими пользоваться?
1. Возможно.
2. Зависит от того, насколько ценны данные.
3. По ссылкам в соотв. разделе этой записи.
Не работать из-под админа – вот и вся защита. Слава богу, начиная с висты, это комфортно.
Сергей, ваши личные данные можно утянуть, не запуская процессы от имени администратора.
Использую G Data Internet Security. Причина? У опробованных ранее антивирусов обнаруживались разные “косяки” (в интерфейсе, в “дырявости” защиты или “глюки” самого ПО). От используемого сейчас решения, возможно, тоже окажусь (когда подписка закончится) – тоже не безупречен.
Спасибо всем за мнения и отсылки!
Когда 10 лет назад компьютер у меня поймал червя LoveSun (которого я прибил FAR’ом и потом подчистил в реестре и на винте), я понял, что как ни глюкав и медлителен был тогдашний дайлап надо ставить патчи и «полномасштабное» антивирусное решение. Сколько мне крови выпили частые кумулятивные обновления Касперского достоинством, которого, однако, был и остаётся высокий шанс исцеления заражённых файлов.
Довольно давно уже использую либо платные (MS Windows, MS Office, The Bat!, KIS etc.) либо бесплатные программы. Обхожу торренты и варезники стороной, порнуху тем более; проверяю флешки и затем открываю FAR’ом, выключена автозагрузка носителей. Почту выгребаю с помощью The Bat! (с использованием его встроенного модуля просмотра HTML) в упряжке с bav-плагином KIS. Использую свой dns-сервер (впрочем резолвит нормально только ipv4). Настраивал, как писал Криска здесь http://www.insidepro.com/kk/273/273r.shtml. Также читайте про него здесь – http://smallsrv.com/descr.htm. Случается использую песочницу. Устанавливаю программы только с офиц. сайтов, вдумчиво, отключая стороннее ПО поставляемое в нагрузку. На потенциально опасные сайты захожу (используя песочницу) Оперой с отключёнными куками, скриптами, плагинами, реферрерами, IFrames, canvas etc.
Каждый день очищаю хлам с помощью BleachBit, CCleaner и CleanAfterMe.
Два антивируса можно использовать одномоментно, лишь бы AV-монитор был один. Помню прекрасно уживались у меня раньше дуэты.
Несмотря на то, что много воды утекло, что есть теперь UAC и прочее всё-таки выходить в сеть с открытым забралом (без Internet Security) я психологически не готов. Невзирая на благоприятные предпосылки и почти правильное поведения (не с ограниченная учётная запись) у меня нет ложного чувства 100%-ой защищённости. Завести бы себе ещё ICS Ideco…
Валерий, спасибо за развернутый комментарий! Угу, Blaster ровно 10 лет назад доставил немало хлопот. Но только тем, кто работал с выключенным брандмауэром Windows, не устанавливая сторонний :) Конечно, вопреки рекомендациям Microsoft.
Конечно, лучше учиться на чужих ошибках, но по кр. мере надо учиться на своих. Но некоторым проще еще раз переставить ОС…
Не было и нет антавирусника. Иногда проверяю утилитами.
Могу ради доказательств друзьям, поставить NOD32 прогнать, показать, что ничего нет и тут же его снести. Стоит правда The Cleaner 9.0.0.1100.
Забыл написать. Компьютер работает круглосуточно. Работает торрент.
Vadim Sterkin,
Значение знаю.Это производная от русского слова фартовый, а не англицкого, как Вы, скорее всего, подумали.
P.S. Подпишусь тогда по русски, чтоб не возникало не нужных ассоциаций.
Гы… Ставите на проверяемый компьютер и проверяете на вирусы? Отличный способ, да… =)
Саша, несмотря на то, что такой способ не слишком хорош для устранения заразы (лучше сканировать оффлайн-систему), некоторые лаборатории сравнивают по этому критерию антивирусы на качество лечения активного заражения.
Владимир,
Вот как раз для скачки с торрент-сайтов и нужна защита!
У вас что маленькая скорость сети?
У меня фильм скачивается от силы 30 минут, а так всегда ещё меньше!
У вас что фирма? А то, свету в квартире нажгёт ваш Утюг!
И зачем постоянно скачивать? На весь дом скачиваете соседям?
Ну скачали-раздали и выключить.
А защита очень нужна для этих операций!
Только вряд ли правду скажут пользователи.
Вадим, сравнивать можно сколько угодно. Вопрос в надежности самого метода. В принципе, отсутствие результатов даже в офлайновом сканировании дает высокую вероятность чистоты системы, но никак не уверенность. А уж упомянутый товарищем способ – просто бессмысленная трата времени, поскольку, несмотря на усилия антивирусных компаний сделать установку и сами службы антивирусов защищенными, борьба идет с двух сторон и гонку пока никто не выиграл ;)
ИМХО, конечно же.
Саша, мы оба понимаем недостатки такого подхода к защите системы, но я считаю сравнение по этому параметру имеющим право на жизнь. Потому что именно так поступают пользователи антивирусных продуктов, свято верующие, что им не нужно постоянное присутствие АВ, защищающего себя и систему от вредоносного ПО.
Владимир из Ульяновска
Юмор это хорошо.
А торрент у меня не работает постоянно. КОМПЬЮТЕР работает круглосуточно, улавливаете разницу. Скорость у меня 100 Мбит/сек.
P.S.
Я не понял о правде пользователей? Я не собираюсь ничего доказывать хватит и приближённых. Просто решил вставить свои пять копеек.
Владимир, я согласен, что заявления Владимира из Ульяновска выглядит несколько странно. Однако замечу, что в этом блоге нет приближенных. Есть постоянные читатели, большинство из которых применяют намного более грамотный подход к защите системы, нежели ваш, который и пяти копеек не стоит :)
Да сравнивать можно по любому параметру. Не знаю, по размеру баз, к примеру. Или по цвету предупреждения о вирусной активности. Я больше пекусь о том, чтобы люди, которые говорят “у меня вирусов нет” имели хоть какое-то представление о том, чего стоят такие утверждения =)
Саша, так даже при всем несовершенстве, тест на лечение активного заражения с установкой АВ в скомпрометированную систему это показывает :)
Cегодня прочёл новость от Avast-а. “Новый троянец для Linux, который предназначен для продажи на черном рынке, кибер пугает сообщество Linux обычно беззаботной для вредоносных программ. «Рука вора» может украсть информацию у онлайновых форм, создаёт дверь
доступа к зараженной машине и скрывается от других механизмов обнаружения.” Вот видите! Прогресс не стоит на месте! Рано или поздно, вирусов столько сотворят, что без антивирусной программы нельзя будет высунуть нос из “дома”. А чтобы все вирусы, которые бродят по сети найти и обезвредить-нужна такая громадная база определений их, что она ни в какую антивирусную программу не влезет! Вот поэтому и кроме антивира нужны и сканеры, и Защитники, и ещё много чего! А кто сейчас сидит без антивира, то после заражения своей системы, сразу поставит защиту и будет молчать дальше. Так что извините Господа пользователи, но от применения защиты вашего компьютера Вы никуда не убежите и не спрячитесь! Как говорят на Руси-пока гром не грянет,мужик не перекрестится! А сейчас пока Временно!!! можете сидеть и без неё!!
Vadim Sterkin
Да, пусть такой подход вообще ничего не стоит. Пусть, он не грамотный. Он у меня действует и это главное, я не пекусь о постороннем компьютере, меня волнует МОЙ.
А “приближённые” я говорил о своих знакомых.
Я не знаю, но почему-то как делаю я большинство бесит, хотя я знаю не мало людей которые обходятся без антивирусников. Защитник Windows устраивает.
Пока писал появился пост о безнадёжном нашем будущим. )))
Так может не нужен компьютер? Столько мороки. )))))
На общедоступных школьных компьютерах не хранится конфиденциальная информация. :-D
Для меня “защита” – комплекс мер, в т.ч. и организационного порядка. Например, “не иметь конфиденциальных данных на общественном компьютере” – тоже защита. А периодические “откаты” к чистому снимку системы удаляют в т.ч. и “личные” данные. Брандмауэр не защищает от вируса, а антивирь не защищает от взлома. Более того, антивирус может пропустить неизвестный ему “зловред”, а “откат” может его удалить. Установлен ботнет? Вряд ли он сразу же будет “пущен в ход”. А в 17-00 после перезагрузки ботнет будет уничтожен.
Кроме того, я ведь писал про антивирус Касперского, который тоже присутствует , и брандмауэр Виндовс работает, и UAC никто не отключал.
Защита должна быть комплексной. Всё же не соглашусь с Вами, мой периодический откат системы к чистой – тоже часть комплексной защиты (хотя основная его цель не в этом).
Защита бывает разной. В период отсутствия ключей антивируса я отрезал сеть от интернета и лично проверял все флешки сотрудников и учеников рабочим антивирусом. И это тоже была защита. Все компьютеры во всех школах района были заражены – а мои остались чистыми.
И таки да, я согласен с Вашей статьёй. А писал с целью показать, что могут существовать и весьма нестандартные методы защиты компьютера. Не подходящие всем, но работающие в узкой сфере.
Евгений, я целиком и полностью приветствую режим “киоска” в учебных заведениях :)
Замётано- после заражения )))
Vadim Sterkin
У меня к Вам вопрос. Пускай он Вам покажется каким угодно, я считаю, что самый глупый вопрос это не заданный вопрос. Только ответе пожалуйста не как в церкви.))))
Вот есть программка Cleaner 9 но это не антивирусник а так для поддержания штанов. Сейчас она у меня стоит на компьютере.
А до этого я хотел поставить The Cleaner 8( так как она на русском), так вот AVG Internet Security 2013 ни в какую не допускал этот файл. Хотя NOD32 и Каперский даже в сторону на него не посмотрел. И по рассказам пользователей в интернете такое происходит постоянно. С уважением В.
Владимир, подозрительное отношение антивирусов к малоизвестному защитному ПО вполне объяснимо, учитывая огромное кол-во фальшивых антивирусов.
Лучше использовать защиту от хорошо зарекомендовавших себя вендоров, а Cleaner 9 – темная лошадка для меня.
Vadim Sterkin,
Наличие контроля выполнения скриптов в браузере все же повышает уровень безопасности в комплексе, особенно в случае выполнения запросов в поисковых системах и переходе из результатов поиска на незнакомые сайты. Хотя я всегда предпочитаю использовать встроенные средства, например, сейчас уже почти везде есть возможность выполнять плагины только по запросу пользователя. А в старых версиях Оперы можно было смело отключать потенциально опасные механизмы (js, inline фреймы, плагины и пр.), т.к. существовал удобный способ быстро их все активировать для доверенного ресурса, о чем писалось тут ранее. К сожалению, разработчики оперы похоронили свое детище, с 15 версии перейдя к выпуску сборки на базе хромиума. И, кстати, при всех недостатках, многие брауеры на базе хромиума имеют очень действующий механизм защиты от заражения систем – песочницу. Слышал, что ие тоже обзавелся им, Вадим, нет желания сделать сравнительный обзор данной технологии на примере продуктов МС (офис, ие и пр.) и корпорации добра?
Серж, песочница Chrome строится на технологиях Windows – в частности, уровнях целостности. И у IE песочница есть с версии 7 – защищенный режим.
Хотелось бы отметить тот факт, что при настройках по умолчанию КИС (сам пользуюсь), Кристал, да и многие другие защитные продукты очень слабо защищают систему от вредоносного ПО.
Ваш тезис о большей безопасности х64 систем по сравнению с 32-х разрядными тоже достаточно спорен, т.к. весь 32-х разрядный прикладной код на них прекрасно работает благодаря подсистеме WOW64. Что касается обязательной цифровой подписи драйверов в x64 системах, то, во-первых, все новые современные зловреды ей тем или иным образом обзаводились, а во-вторых, даже мне известно минимум 2 способа обхода данного ограничения, все есть в аналитический статьях и обзорах вирусной активности различных компаний, неужели Вы всерьез предполагаете, что вирусописатели о них не предполагают? Также, насколько мне известно, в х64 системах защитные продукты более ограничены в правах, что сказывается на их качестве работы.
Сергей,
1. Стандарные настройки защитных продуктов являются оптимальными с точки зрения их создателей. Они балансируют между качеством защиты, производительностью и UX. Опытные пользователи могут закручивать гайки.
2. 64-разрядные ОС более устойчивы к эксплуатации уязвимостей за счет ряда технологий, которые не реализованы в 32-разрядных ОС или реализованы не полностью. Я процитирую пост в блоге AskPerf:
На практике, конечно, подавляющая масса заражений происходит вовсе не по этим направлениями.
Да, забыл сказать Спасибо за саму статью, есть ряд интересных моментов.
Хотелось бы подробного описания того, как встроенный антивирус в вин 8 реагирует на запуск новых исполняемых файлов, чтение документов и пр. с точки зрения отправки данных в корпорацию МС и в свете последних скандалов и разоблачений товарища сноудена. Не получается ли так, что эта часть ОС без ведома пользователя отправляет файлы на серверы МС для анализа, а если да, то можно ли это настраивать. Также интересен более подробных анализ и описание алгоритма работы SmartScreen, который, насколько я запомнил из Ваших записей, перекочевал из ие в ОС. Ну и про песочницу в продуктах МС. Может выпустите такую комплексную статью в фирменном стиле, интересно было бы почитать!
Сергей, я не знаю, как именно работает антивирус МСФТ, и не думаю, что это где-то задокументировано в подробностях. Замечу, что в общем случае, нет необходимости отсылать файлы, т.к. достаточно хэша.
Это применимо и к SmartScreen. Я разбирал защиту от фишинга в браузeрах, там для Chrome есть описание механизма взаимодействия с серверами Google. У SmartScreen там разбирается другой аспект работы, но принцип обмена данными похож. Подробнее читайте в статье Служба репутации Владимира Безмалого, MVP по безопасности.
См. также Почему Microsoft вас не слушает, и можно ли что-нибудь сделать с этим
Это же не умаляет ее достоинств. Плюс там, насколько знаю, целый ряд технологий, от ограничения прав процессов, до замены опасных функций winapi.
Это да, причем DEP есть и в x32, а защита серверов слабо отражается на рядовых пользователях.
Не раз убеждался, что даже при обнаружении вредоносной активности, продукты касперского предотвращают заражение на словах, на деле же оно происходит. Считаю более действенным из не слишком заумных способов использование HIPS в составе защитных средств или отдельных, которые задают вопрос о запуске новых исполняемых файлов в системе, без вопросов тут никак не получается.
Сергей, разница в реализации DEP в том, что в 32-разрядных ОС она только программная, а в 64-разрядных – задействуется еще и аппаратная поддержка.
Я не пользуюсь продуктами ЛК, ничего не могу сказать. Вообще, если вирус проник на ПК, то это уже заражение. Вопрос лишь в том, устранит ли его резидентный антивирус.
Отвечая на ваш скрытый вопрос, зачем указывать адрес почты:
1. Чтобы ваши комментарии одобрялись автоматически.
2. Чтобы вы могли подписаться на комментарии.
Тогда логичнее, имхо, дать пользователю возможность оставлять поле пустым, если он не хочет подписываться на комментарии. Это ускорит для желающих отправку сообщений. А то мне все поля приходится заполнять, очень лениво) А на новости и так подписан.
Сергей,
1. Заполнение поля != подписке на комментарии, которая осуществляется отдельным флажком под формой комментария.
2. Требование к адресу эл. почты необходимо для контроля над нежелательными комментариями, как встроенными в WordPress, так и реализоваными в анти-спам плагине Akismet.
3. Заполнение форм не проблема, если у вас в браузере включено автозаполнение.
4. Вопросы и замечания по работе блога направляйте посредством формы обратной связи, плиз.
подтверждаю: файлы никто не тянет, для этого есть другие способы. А тянуть с нескольких десятков и сотен миллионов клиентов файлы… В общем, никаких каналов не хватит ;)
Что он показывает? Что при наличии более надежного и не сильно более трудоемкого способа ставить антивирус в скомпрометированную систему это моветон? =)
Он показывает, что эффективность антивирусов варьируется, когда их устанавливают в зараженную систему. Раз обычные пользователи используют АВ в таком сценарии, тестирование имеет смысл. Eго проводят многие лаборатории, включая AV-Comparatives (по ссылке их тезис совпадает с моим).
Vadim Sterkin
Спасибо за ответ. Хороший термин “тёмная лошадка”. В своё время Игнатьев и Сафронов так и выиграли на Олимпиадах. )))
А своровать данные можно у каждого при достаточном умении и желании. И никакие заборы не спасут. Удачи.
Ну вот ты опять о своем. А я совсем о другом: да, при установке в зараженную систему антивирусы справляются кто лучше, кто хуже. Но все они справляются со зловредами в такой обстановке хуже, чем они же при оффлайновой проверке ;)
Внимание вопрос: если установка хуже при тех же деньгах – зачем устанавливать? =)
Саша, а почему ты у меня спрашиваешь, зачем устанавливать? Пропагандируйте правильный подход активнее и лучше, тогда не будут, наверное.
Вот и пропагандирую ;)
Прошу прощения если повторюсь, но не удержался (и поленился прочитать все комменты). Одно из самых действенных средств заражения – это не интернет, а флешки. К сожалению в России еще не развит интернет (. Относительно Windows 8 могу сказать, что защищает в интернете, или пытается, но не пускает на заведомо тухлые сайты: а чтобы попасть надо постараться, напречься, разобраться. Исходя из средств экономии – устраивает. Ну и IE блокирут должным образом любые вмешательства. Вопрос все или нет. Скорее всего не все, но только нужные спецуре пропускает.
Андрей, думаю, что сейчас уже все антивирусы научились блокировать autorun.inf, а блокировать запуск вредоносного кода с любых носителей – это их работа. Так что наличие антивирусной защиты снижает риск заражения, откуда бы вредонос не лез.
И еще дополню. А Вы доверяете платежным системам в интернете? Или банкам? Или соцсетям? Там нет возможности проверить на адекватность работы системы. И походу, там то мы и палимся (
Вадим, есть еще человеческий фактор. О чем Вы в общем то упомянули. Я во всем согласен с Вами, но вот эта незащищенная защищенность, порой угнетает. Получается что предупрежден — значит защищен, но выбираешь сам (или купить, или довериться: на авось). А рядовому пользователю хочется быть везде, парить как бог, и не знать проблем (по крайней мере дома, лазя по интернету). И вот тут нет ни одного антивируса платного или бесплатного, который бы сказал: ты можешь мне доверять. Мое мнение по проблеме вирусов: это всего лишь маркетинговый ход с одной стороны, и желание управлять с другой стороны. Поэтому лучше поверить в защищенность системы, чтобы не стать параноиком ).
Вадим, не посчитайте, что я придираюсь к Вашим выводам. Ни вкоем случае. Достаточно объективная статья для понимающих. Мои умозаключения для тех кто пытается это опровергнуть.
Андрей, я пользуюсь онлайн-банкингом уже много лет. Да, сталкивался с неадекватными системами, но выхода и не было.
В защищенность системы верить не надо, нужно ее обеспечивать. Антивирус – рекомендация Microsoft, и статистика показывает, что рекомендация не из пальца высосана.
Ваши комменты ок, мы просто дискутируем :)
На двух домашних компах стоит КИС касперского уже много лет, хотя думаю, мне-бы хватило и MSE, но на компах работают и неопытные пользователи, так что КИС иногда помогает.
Ну добавлю немного маргинальщины, раз уж тут такой праздник согласия :-)))
Я из тех, кто давно уже не пользуется реалтаймовыми антивирусами и комбайнами.
Понятное дело, что вирусов у меня нет (действительно нет, а не “я о них не знаю”), иначе смысла писать все это не было бы :-)
В большинстве встречающихся мне случаев реального использования домашних ПК (о других сегментах я не говорю, ибо там приоритеты иные) ресурсная плата за использование антивируса слишком высока в сравнении с предоставляемыми им бонусами.
Хорошо настроенный (не по упомянутому даже протоколу, который для меня неприемлем вследствие чрезмерной рестриктивности) ПК практически не заражается и без антивируса, если пользователь сам не делает все, чтобы притащить себе заразу.
Если же делает – то в огромном числе случаев его никакой антивирус не спасет. Тут и зеродеи, и необновленные базы, и непонимание того, что отвечать на вопросы защитного софта, и многое другое. Итог один – заражение.
Тем не менее, все довольно просто. И работает даже на весьма архитектурно дырявой ХР.
1) начинаем с отделения пользовательских данных от системы. Логически, административно, физически (по разным дискам). Сразу скажу, что есть у меня причины крепко не любить ограниченные учетки, а SRP просто не пробовал (но наверное, стоит)
поэтому работаю под админом и без UAC’a – как ни странно, безопасность можно соблюсти и в этих условиях.
***Лирическое отступление 1
Вообще, многие помешанные на безопасности юзеры выстраивают такие оборонительные системы, что я просто выпадаю в осадок – какую нагрузку они дополнительно дают своему бедному ПК и сколько еще времени тратят на настройку и контроль всей этой армии. Которая, как правило, совершенно избыточна.
Особо показательны в этом смысле конфиги защитного ПО у пользователей форума wilderssecurity.com ;-)
***Лирическое отступление 2
Мой способ использования ПК относится к числу наиболее неограниченных – тут и бесконечное тестирование с последующим использованием различного софта, и интернет во весь рост без особого ограничения его охвата (иными словами, серфинг идет во все пределы, включая пресловутые порносайты, варез и прочую требуху). Это я к тому, что даже с таким “рискованным” образом жизни вполне можно жить в чистоте. Без антивируса. :-)
Чего еще я НЕ делаю.
– Постоянных переустановок системы. Вообще ОС не переустанавливаю никогда. Ни себе, ни другим. Работоспособность и производительность системы всегда можно вернуть на максимум без этого гемора.
– образов чистой системы не делаю на всякий случай
– постоянных бекапов системы (храню в копиях только важные мне вещи)
– про UAC сказал
– про ограничения прав тоже
Зато:
2) обновляю систему и критический софт, не имеющий альтернативы, вроде Java и Flash. Сразу оговорюсь, что и тут есть избыточность, ибо обновляю я не все свои системы, но необновленные заражаются ничуть не больше. Т.е. вообще не.
3) использую альтернативы любому популярному дефолтному сетевому софту – браузеру, почтовику, аське, PDF-вьюверу.
4) использую портабельный софт по возможности (предпочтения конечно нативно портабельным приложением) – если софтина не зарегистрирована в системе, то и зловред из нее имеет меньше шансов пробраться куда не надо, или вытащить какие-то данные из реестра или стандартного расположения (а большинство зловредов в природе все же туповаты и рассчитаны на стандартные настройки).
5) поэтому же, кстати, не пользуюсь стандартными расположениями типа Моих документов. И не только поэтому – столько всяких чисто юзабилити-геморроев было на моей памяти с этими стандартными путями, что нафиг-нафиг. Все нужные мне файлы организованы по МОИМ правилам – и навигация удобнее, и безопасности больше.
6) использую Восстановление системы. С некоторых пор это стало действительно удобным и порой незаменимым инструментом.
7) использую таки некий набор легкого софта, полезного для наблюдения за системой и ее защиты, хотя это и не защитное ПО в чистом виде:
– AnVir Task Manager как монитор автозапуска и продвинутый менеджер задач (autoruns мне совсем не нравится с точки зрения удобства, поэтому лежит на крайний случай, но пока не могу похвастать коллекцией случаев, когда он бы оказался полезнее АнВира)
– web-фильтр. В моем случае это K9 Web Protection, совмещаюший в себе функции фильтра и родительского контроля, но тут вариантов в принципе много – это фильтрующих DNS до различных менеджеров файла hosts, фильтрующих прокси (типа Privoxy) и прочих HandyCache. Мне удобнее текущий вариант.
– AdBlock Plus c правильным набором подписок – обязательно. Один из лучших инструментов по соотношению Польза/Нагрузка.
В принципе, этого достаточно – конечно, при соблюдении первого правила не запускать все подряд самому (но это детский сад в деле безопасности – в том смысле, что этому юзера учат первым делом.)
Понятно, что принудительно заставляю Проводник показывать расширения файлов (это больше для компов неопытных юзеров – как раз в обеспечение предыдущего пункта).
Ну и самообразование, самообразование.
Типа:
“Не ходите во Вконтакте
Через поиск в Яндексе” и так далее…
Это заявление звучит более чем самоуверенно из уст человека:
• работающего под админом без UAC
• не имеющего антивирусной защиты
• предпочитающего портативный софт
• свято верящего, что альтернативный софт менее уязвим
• регулярно устанавливающего различное ПО и посещающего порносайты
• и полагающегося только на AnVir, блокировку скриптов и веб-фильтры
Блажен кто верует…
“Тем не менее, 7-8% людей умудряются отключать встроенную антивирусную защиту Windows 8, не устанавливая ничего взамен!”
Возможно дело не в отключении антивируса, а в том, что его базы в корпоративной среде, находящейся за ISA/TMG и без настройки соответствующего правила на TMG, просто устареют. А как показывает практика современные антивирусы, хотя и обладают якобы продвинутой эвристикой, от незнакомых угроз защищают слабо.
Я в статье же дал определение “незащищенных ПК” – нет антивируса или устаревшие базы. Да, вы поймали меня на слове в цитате, но с технической точки зрения ПК остаются незащищенными.
Vadim Sterkin,
ну не свято верует, а проверяет регулярно самыми разными доступными инструментами. (т.е. я пользуюсь антивирусами иногда – но по требованию, а не резидентно. Правильнее даже будет сказать “по желанию”, ибо требований давно уже не было подтвержденных. Разве что перестраховывался.).
А также анализирует поведение ПК. Как-никак зараженный комп хоть как-то да выдает этот факт изменениями в поведении, прямыми и косвенными свидетельствами (левые соединения, подозрительная активность, торможения, рассылка спама в том или ином виде, баннеры-блокреы, потеря аккаунтов и т.п)
Однако ничего этого нет от раза к разу, и лучшие сканеры ничего не находят. Конечно, можно предположить, что ПК заражен сверхтаинственным и сверхскрытным злодеем-зеродеем, который свою зеродейность обновляет каждый день, а задачи свои выполняет бесконечно тихо.
Но это предположение выглядит параноидально. Всегда есть баланс между затраченными усилиями и полученным результатом.
Пока в мире хватает незащищенных или неактуально защищенных ПК, никому не придет в голову тратить силы и средства на сверхсокрытие обычной массовой заразы в расчете на опытного пользователя, не юзающего антивирь :-) Просто невыгодно.
По той же причине хорош и альтернативный софт: дырявить его не сложнее, но популярный софт дырявить много выгоднее…
На крайняк можно направить свои стопы в стороны Маков, где пользователи совсем уж расслабленные и антивирусы не используют не просто даже принципиально, а с вызовом :-) Вот их недавно массово зазомбировали за это свежим ботнетом :-)
Так что я не испытываю иллюзий по поводу своей неуязвимости: понадоблюсь – так меня никакая защита не спасет. Но как рядовой юзер я чувствую себя вполне в безопасности, ибо по сравнению с незащищенными системами моя вполне себе достаточно защищена от носящих “СТАТИСТИЧЕСКИ-ДЫРОЧНЫЙ” характер современных угроз.
Принцип избыточности защиты мне не близок. Ведь, как я уже написал, я не наблюдаю никакого вреда от заразы в течение статистически значимого времени. И при этом мне хватает квалификации, чтобы понимать, где и как я его должен наблюдать если что – в самых малых дозах.
Более того, после моего вмешательства перестают заражаться другие компы, до того доводившие своих владельцев с известной периодичностью.
Это не может называться “вам просто везет”. Это причина и следствие.
Ну и, конечно, я постоянно учусь и проверяю свой опыт практикой, чужим опытом, признанными средствами. В этом смысле нахождение на переднем крае просто бесценно.
Конечно, я в полной мере применяю столь кардинальный подход только к своему ПК.
Другим пользователям всегда выбираешь баланс защитных решений под конкретную ситуацию.
Кому-то можно безболезненно поставить целый комбайн или антивирь (среди бесплатных я предпочитаю соответственно Fortinet Endpoint Security и BD Antivirus Free – отличные профессиональные современные и довольно легкие продукты. А если уж платить – то за Доктора или Каспера. Ну если дело в России происходит.)
Кого-то и в правах ограничишь обязательно. Некоторым и SRP c EMETом навернуть не помешает.
А иному вполне хватит “изкоробочности”, особенно под Восьмеркой, надо отдать ей должное.
Правда я, честно говоря, жду в недалеком будущем резкого всплеска креатива вирмейкеров в отношении Восьмерки. Дело в том, что Темная сторона силы изучает новые фичи и баги ОСей куда быстрее, чем чайниковые массы, а это обещает все новые и новые сценарии заражений по мере постепенного схода со сцены нынешнего основного поставщика жертв – ХР.
Стричь купоны на ком-то надо будет все равно, так что всерьез возьмутся именно за новейшую систему. Будут наверняка и технологические “открытия”, и мощнейшая социальная инженерия, и использование наметившейся миграции в онлайн. Это уж обязательно.
И тут все будет зависеть в первую очередь от параллельной эволюции встроенных защитных средств ОС. В этом плане Майкрософт нельзя не похвалить за прогресс Дефендера, СмартСкрин и вообще новый ИЕ. Но этого скоро будет очень мало, тем более, что они уже и сейчас не идеальны.
Но на текущем этапе очень хорошо, что у каждого чайника есть возможность изкоробочно иметь Дефендера. Это гораздо лучше, чем ничего. Ну и все остальные средства тоже хороши.
А учитывая тенденции определенного вырождения экосистемы виндового ПО в некое подобие ПлейМаркета со стандартизированными приложениями с заведомо ограниченным функционалом – думаю, что очень скоро будет вполне логично (а главное – без большого риска получить гигантский отрицательный фидбек) включать в дефолтную поставку ОСи включенные SRP и EMET.
У вас большие и ладные комментарии, навскидку все очень хорошо обосновано. Но если присмотреться, есть противоречия и бла-бла, а также отсутствие четкого понимания трендов в уязвимостях Windows. Например, в этой цитате все три пункта чудесно сочетаются.
В первом предложении я усматриваю явное противоречие с ранее выдвинутым вами тезисам о преимуществах альтернативных продуктов ввиду их меньшей таргетированности.
Дальше вы развиваете мысль о технологических открытиях, что видимо подразумевает наличие уязвимостей, уникальных для кода Windows 8. Между тем, просмотрев свыше 80 бюллетеней безопасности МСФТ, выпущенных после выхода 8, я нашел только одну такую уязвимость + еще одну в Windows Defender. Бюллетени, затрагивающие только ОС, предшествующие 8, тоже имеются. Подавляющее же большинство закрытых уязвимостей относятся к коду, унаследованному со времен ХР и Vista (в чуть меньшей степени)..
Социальная же инженерия не имеет особого отношения к ОС, поэтому приклеивать ее к Windows 8 не стоит.
Вы на основе каких аналитических данных ожидаете этого? Новые ОС всегда лучше защищены (8 не исключение), и для обхода новой защиты требуется больше усилиий. После выхода Vista вообще был спад в эксплуатации уязвимостей на два года, что связано со значительными изменениями в системе безопасности, в частности с тем, что это была первая ОС МСФТ с DSLR.
Увеличить рисунок
Я планирую отдельную запись на тему “зачем устанавливать обновления”, где подробно рассмотрю такие аспекты.
Это пример бла-бла. Похвалил и тут же пожурил, но забыл обносновать. Почему этого будет мало, какие тренды на это указывают?
Вы же выше говорили, что не пользуетесь SRP/EMET. Думаю, вы не очень хорошо представляете себе сложность этих инструментов для домашнего пользователя.
Вот это и есть сверхпараноидальность. У меня для этого служит антивирусная программа, которая обеспечивает вполне приемлемый для меня уровень защиты, и на моих машинах меня вовсе не тормозит в моей работе. А тратить свое время на такие вот проверки… Извините, у меня есть более интересные занятия ;)
Vadim Sterkin,
не очень понимаю, о каких противоречиях речь? Пока 8 не является доминирующей системой – она относительно малоинтересна, что в сочетании с усиленной защитой делает ее не самым желательным объектом для атак.
Как только 8 станет лидером рынка (а через какое-то время обязательно станет) – тогда и будет основным объектом атак. Ибо, как мы догадываемся, совершенно безопасных систем чисто технически нет.
Социальная инженерия всегда “при чем”: как только пояляется новый или измененный юзер-экспириенс, особенно связанный с Сетью – его тут же начинают эксплуатировать всеми возможными способами.
А насчет статистики и трендов можно глянуть на… Андроид. Вроде и почти Линукс, и прав рута-то нет по умолчанию, а добыть их почти нереально для чайника – однако число угроз для Андроида растет вполне себе лавинообразно. Что, правда, вполне соответствует росту рыночной доли ОСи.
Так что любого лидера ждет эта участь.
Насчет Висты и дыр: а что было ПОСЛЕ тех двух лет спада? Как я понимаю, новый рост? Или что?
Про “похвалил-пожурил” – чего ж там обосновывать: Дефендер очень неплох для встроенного средства, но сравнение со сторонними продуктами (включая некоторые бесплатные) пока что проигрывает, временами с треском. В общем, есть куда расти.
А вирусный ландшафт со временем будет все круче и круче. Куда ж он денется.
Так что я как раз надеюсь на то, что SRP/EMET постепенно станут чуть дружелюбнее и совместимее (насколько я знаю, основная проблема последнего в несовместимости со многими привычными приложениями). В конце концов, что-то подобное начинает появляться и в сторонних продуктах:
например Malwarebytes Anti-Exploit, как пишут, использует подобные принципы работы (хотя я пока и не успел попробовать его).
Ну вас устраивает – и хорошо. Меня тоже устраивает. Только я знаю, что делать, если что-то не так. А вы зависите от своего антивируса.
И не стоит думать, что я трачу как-то много времени. Отнюдь. Но выигрываю каждую секунду куда больше.
Впрочем, возможно у Вас избыток системных ресурсов – это сейчас не редкость для новых ПК. Однако защищать приходится и относительно старые, а там большинство комбайнов – это постоянные потери времени.
Как вы легко отделались от всех моих вопросов, обходясь без какой-либо конкретики :)
Ну как же, вот две ваши цитаты, например:
Из первой следует, что как только ХР уйдет, злоумышленники возьмутся за 8. А из второй, что на самом деле проблемы возникнут, когда 8 станет лидером рынка, чего в ближайшие несколько лет уж никак не предвидится :)
Зачем нам смотреть на Андроид, когда мы обсуждаем Windows? Тем более, что вы все равно не приводите никаких данных.
Процент уязвимостей, эксплутировавшихся до появления исправления (зеленое), несколько возрос, в то время как процент уязвимостей, эксплуатировавшихся после появляения исправления (синее), возрос в разы в 2009-2011 годах. Именно эту корреляцию демонстрирует диаграмма.
Но она также показывает, что даже имея возможность обратного инжиниринга исправлений, злоумышленникам понадобилась пара лет, чтобы разобраться, как эксплутировать значительный процент из них.
Ничего страшного, я обосновал это за вас уже плюс неоднократно объяснял, что Defender/MSE решают стратегическую задачу борьбы с самыми распространенными угрозами.
Вы все-таки попробуйте их сначала, а потом уже про надежды…
Нет никаких несовместимостей. Если приложение может работать с ограниченными правами (а сейчас большинство с ними работает), и оно установлено нормально, в Program Files, то наличие SRP они просто не заметят.
Проблемы у пользователей древнего портабельного софта, но он плох по многим причинам.
Пользуюсь “стандартным” Microsoft Defender и лицензионным Adguard 5
До Вин 8 стоял вместо стандарта Касперский антивирус(не сесурити) и Adguard (какой-то версии) и вирусов вроде не было.