Недавно компания NSS Labs опубликовала результаты своего ежегодного тестирования браузеров на предмет блокирования загрузки «зловредов». Там есть любопытные моменты, и я хочу обсудить их с вами.
Рой Хибберт блокирует данк Кармело Энтони
Это третья статья летней серии о безопасности, начавшейся рассказами о бюллетенях Microsoft и рисках работы в устаревшей ОС. Их прочтение должно было навести вас на мысль, что наборы для атаки на известные изъяны в безопасности – это один из самых неприятных способов распространения эксплойтов ОС и ПО.
Вам будет легче правильно интерпретировать написанное в этой статье после изучения этих материалов блога:
- Защита от фишинга в современных браузерах
- Сравнительный тест браузеров: блокирование загрузки вредоносных программ (мое исследование)
Оно были опубликованы 3 года назад, но описанные в них технологии работают и по сей день. А о некоторых изменениях мы как раз и поговорим.
[+] Сегодня в программе
Почему браузеры должны уметь блокировать загрузку вредоносных программ
Пол Пирс и Кевин Гарнетт блокируют бросок Коби Брайанта
Задача злоумышленников сводится к тому, чтобы выполнить вредоносный код на компьютере жертвы. Достичь этого они стараются разными способами, но очень распространенный таков: жертва, введенная в заблуждение с помощью социальной инженерии (в т.ч. фишинга), сама скачивает и запускает исполняемый файл. Например, в качестве наживки может использоваться разнообразная халява.
Понятно, что закачка файла происходит в браузере, поэтому его роль в защите периметра системы в последние годы значительно выросла. Намного лучше не допускать загрузку и выполнение вредоносного кода, нежели надеяться только на то, что врага определит резидентный антивирус.
Надо понимать, что речь идет исключительно о возможностях браузеров препятствовать загрузке и запуску «зловредов», распространяемых способами социальной инженерии.
При этом браузеры не могут защитить от эксплойтов, нацеленных на уязвимости ОС и программ, включая сами браузеры.
Какие технологии используют браузеры для блокирования загрузок файлов
Лэнс Стивенсон дует в ухо Леброну Джеймсу
У создателей браузеров есть два пути – использовать решение своей компании или полагаться на разработки партнеров. Я уже разбирал принципы работы основных технологий в блоге (см. ссылки в начале статьи), поэтому ограничусь таблицей для справки.
| Браузер | Технологии |
|---|---|
| Internet Explorer | Smart Screen: • репутация ссылок (сайты и загрузки) • репутация файлов (загрузки) |
| Chrome | • Safe Browsing API (сайты и загрузки) • Download Protection (загрузки) |
| Firefox | Safe Browsing API |
| Safari | Safe Browsing API |
| Opera | ?
Официальной информации по этому вопросу никогда не было. Раньше использовался AVG Link Scanner. Сейчас на небольшой коллекции ссылок мне не удалось добиться в Opera vNext. срабатывания блокирования загрузок. Если у вас есть конкретные сведения о защитном механизме, напишите в комментариях.
|
И тут мы подходим к очень интересному моменту. Я проводил свое тестирование ровно три года назад. Тогда Chrome и Firefox показали абсолютно одинаковый результат, а в тестах NSS Labs они тоже демонстрировали аналогичный уровень защиты наряду с Safari. Это объяснялось тем, что все три браузера использовали Safe Browsing API от Google.
Незадолго до проведения моего теста разработчики Chrome заявили о защите загрузок с помощью того же Safe Browsing API. Тогда я написал: «Вероятно, Firefox и Safari скоро последуют этому примеру». Давайте посмотрим, сбылось ли мое предположение :)
Результаты теста NSS Labs на блокирование загрузки вредоносных программ
В последнем тесте NSS Labs участвовали еще и три китайских браузера, но я исключил их из диаграмм ввиду нулевой распространенности у читателей блога. Safari же интересен в качестве дополнительной лакмусовой бумажки для Safe Browsing API.
Доминирование IE в этом аспекте уже давно стало традицией, поэтому я не буду заострять внимание на данном факте. Намного интереснее громадный разрыв, который образовался между Chrome с одной стороны и Firefox с Safari с другой.
Большая разница наблюдается и в среднем времени блокирования, т.е. показателе скорости, с которой браузеры узнают о вредоносности файлов.
Internet Explorer требуется в районе 5 минут, чтобы узнать о вредоносной натуре файла, Chrome укладывается в четыре часа, а Firefox и Safari нужно больше суток.
Неэффективность Safe Browsing API для блокирования загрузки
Леброн Джеймс не может помочь команде из-за травмы в концовке первого матча финала-2014
Казалось бы, Chrome, Firefox и Safari должны показывать схожие результаты ввиду общего API, но на практике этого не происходит. Дело в том, что Google, владеющая этим API, решила ограничить его только блокированием фишинговых сайтов, а препятствие загрузке вредоносного ПО придержала для своего браузера Chrome.
В последнем тесте NSS Labs есть вполне конкретные цифры, подчеркивающие внушительную разницу между эффективностью блокировки загрузок в Chrome и чистым Safe Browsing API.
Фильтр Smart Screen в IE полагается на репутацию ссылок, а репутацию файлов задействует уже в последнюю очередь. Chrome, напротив, вовсю использует свою функцию блокирования загрузки, а репутация ссылок играет более чем второстепенную роль.
Обратите внимание, что с помощью Safe Browsing API Chrome заблокировал загрузку лишь 4.2% вредоносных файлов. Такое же значение фигурирует у Firefox и Safari на первой диаграмме – это все, что у них есть.
Исторические данные NSS Labs не менее интересны (результат последнего теста в них не входит). На рисунке ниже процент заблокированных загрузок вредоносных программ в разные годы.
Firefox и Safari идут рука об руку, в то время как эффективность блокирования в Chrome значительно выросла по сравнению с 2011 годом. Напомню, что именно тогда разработчики браузера Google объявили о появлении этой функции в Safe Browsing API. Очевидно, политика быстро взяла свое — функция не попала в API, а стала конкурентным преимуществом Chrome ;)
Заключение
Тим Данкан и Тиаго Сплиттер защищают кольцо от Леброна Джеймса
Google и Microsoft всерьез подходят к блокированию загрузки «зловредов», оставляя другие популярные браузеры позади. Заметьте, что у обеих компаний есть свои поисковые движки, сведения которых анализируются и применяются в защитных фильтрах. Кстати, у Яндекс тоже есть свой API для защиты от фишинга, совместимый с Safe Browsing API, а также веб-антивирус для поиска, но при этом в браузере компании загружаемые файлы проверяет Kaspersky.
Конечно, нельзя всецело полагаться на браузер для борьбы с вредоносным ПО. Однако высококачественная защита от загрузки «зловредов» будет хорошим подспорьем, особенно для неопытных пользователей.
Если ваш браузер не блещет в этом аспекте, подумайте об установке комплексного защитного средства с проверкой репутации ссылок и загружаемых файлов.
Все ведущие антивирусные компании обладают такими решениями, хотя их эффективность может сильно варьироваться. В любом случае, наличие этих функций в бесплатных антивирусах маловероятно.
Дискуссия
А как у вас организована защита от загрузки вредоносных файлов? Напишите в комментариях, что именно может воспрепятствовать загрузке «зловредов» на ваш ПК. Вопрос не случайно задан в относительно свободной форме – посмотрим, что вы знаете о своей защите ;)
Фото сегодняшней записи навеяны идущей сейчас финальной серией игр NBA.
Мозг :)
Не понимаю, что сложного в том, чтобы смотреть чего ты загружаешь? Хотя большинство людей даже не смотрит состав продуктов в магазине, а ведь они это едят, что уж говорить про загрузки с инета… :)
Про мозг
Upd. И специальный выпуск О роли головного мозга в защите операционной системы
Очень мило, но речь в этой статье идёт о загрузке файлов с инета. Если ты ожидаешь текстовый документ, а у него расширение exe, то стоит наверное задуматься, не так ли? :) Это весьма простое действие и мозг здесь отлично помогает.
Если же я скачиваю именно исполняемый файл, то проверяю его антивирусом (у меня не стоит резидентный, скачиваю свежие отдельные программы проверки).
Если вы скачиваете кодек или кряк или взломанную программу, то расширение у файла будет exe — это и качают, в основном. Извините, мне нечего добавить к ссылке, там уже про вас.
Меня каталогизировали и положили на полочку.
Это очень неосторожное обобщение.
Боюсь ошибиться (ввиду моей специфики использования виндой мне не хочется тратить время на слишком глубокие раскопки темы), но средства SRP/EMET пригодятся после запуска кода на выполнение. Соответственно, если до этого не дошло — они бесполезны.
Я не знаю, как вы, а я, в основном, качаю не кодеки, кряки или взломанные программы, а файлы с данными. У них расширения, если они есть, другие.
Да, я каталогизировал вас и положил на полочку, но я ничего не обобщаю — я просто делаю выводы о вашей защите из того, что вы пишете.
Я в блоге объясняю грамотный и комплексный подход к обеспечению безопасности. Но всегда находятся читатели, которые считают необходимым сообщить всему миру о том, что главным элементом защиты у них является мозг. В вашем случае этот мозг:
1. Не озвучил даже свою ОС и браузер, т.е. просто не осилил вопрос, поставленный жирным шрифтом в конце записи.
2. Не имеет хотя бы резидентного антивируса (т.е. не следует рекомендациям изготовителя ОС), не говоря уже о более мощных средствах защиты.
3. Определяет безопасность файла исключительно на основе сигнатурного анализа какого-то антивирусного сканера, который в принципе не может гарантировать 100% результат.
4. Сравнивает по эффективности блокировки запуска вредоносного кода этот сканер с EMET (препятствие эксплуатации уязвимостей) и SRP (полная блокировка неразрешенного кода).
При этом я не удивлюсь, что такой человек еще и не в курсе, что для эксплуатации уязвимости иногда просто достаточно открыть папку с вредоносным файлом, который даже не является исполняемым на первый и второй взгляд.
Это, извините, чересчур. Вопрос там конкретный:
Задан вопрос неопределённому кругу лиц, здесь нет уточнения, что обладателям мозга просьба не беспокоить, а также нет никаких просьб указать ОС и/или браузер, а, так как мой способ можно сказать кроссплатформенный, ваши обвинения вовсе безосновательны.
Так антивирус нужен или нет, если он не гарантирует 100% результат? Вы уж определитесь.
Это уже совсем неправда, такого сравнения я не проводил.
Да, такого рода уязвимости единственные по-настоящему опасны для моей методики. Но их весьма мало и их в течение обозримого времени (я надеюсь) закрывают обновления системы.
Так вы уж определитесь, конкретный вопрос или нет. Вот именно, что в отличие от большинства записей, я в этот раз не стал кормить читателей с ложечки просьбами перечислить ОС, браузер, аддоны, антивирус, о чем ясно сказал
Это как раз и подразумевало, что обладатели невероятного мозга безусловно перечислят все необходимое сами. Более того, в статье я четко порекомендовал прочтение двух статей этой тематики.
И тогда обладатели самого невероятного мозга указали бы на то, что по факту блокирование загрузки — это условный термин, поскольку на самом деле затрудняется или делается невозможным запуск уже скачанного файла. И развернутый ответ на вопрос мог выглядеть так: У меня блокировка осуществляется в браузере Firefox с помощью Safe Browsing API и расширения WOT наряду со встроенным в Windows 8 фильтром SmartScreen.
Именно таких ответов я ожидаю от технически грамотных читателей, а не распинания про свой мозг.
Я уже определился — читайте мои тезисы про комплексную защиту в статьях с тегом безопасность.
Берём учебник по терверу и учим параграф «матожидание». Если (потери от зловреда) > (потери от зловреда) × (1 — надёжность антивируса) + (потери от защиты), то защита целесообразна. Здесь (потери от зловреда) — те материальные и временны́е потери, которые может причинить зловред (зловреды разные, поэтому тоже матожидание); (надёжность антивируса) — шанс, что антивирус предотвратит опасность (да, не 100 %, но 95 % точно); (потери от защиты) — тормоза компьютера, стоимость антивируса… Формула нестрогая, величины определяются исходя из личного опыта и предпочтений (для бездельника потерять несколько часов на переустановку системы и восстановление файлов не так страшно, чем для занятого человека, «которому завтра сдавать отчёт»).
И ещё. Пусть у нас есть несколько «эшелонов защиты»: блокирование на уровне браузера, антивирус, файрволл, автоматические обновления, прямые руки… И пусть вероятность пропуска опасности в каждом из них равна Pi, довольно крупная величина (проценты, десятки процентов). Но, если средства разные, вероятность того, что опасность преодолеет их все равна P1 × P2 × … × Pn уже будет близка к нулю, иначе говоря, совокуная надёжность будет близка к 100 %. Пример: три средства, каждое из которых фейлит с 20 %-вероятностью. 0,2 × 0,2 × 0,2 = 0,008 < 1 %. Связка вполне надёжна, несмотря на дырявость каждого из компонентов.
Теория вероятностей — полезная наука, если её понимать.
Александр [Маздайщик]
Мне всё это понятно.
Я про другое: в одном пункте автор гнобит меня за неиспользование антивируса, в другом — за использование «какого-то там сканера». Но какой-то там сканер использует те же алгоритмы, что и антивирус из предыдущего пункта, так куда податься бедному еврею? :)
Так я и не сомневался в его конкретности. Условно говоря, в блоге автомобильной тематики автор спрашивает: из чего сделаны коврики у вас в машине? Кто-то напишет резиновые, кто-то — джутовые, а кто-то скажет, что он вообще без ковриков живёт, при этом ни один марку машины не назовёт, но на вопрос тем не менее ответит.
Вопрос в свободной форме предполагает ответ в свободной форме. Не стоит обвинять читателя в том, что вопрос автора неполон, неточен, неконкретен настолько, насколько думалось самому автору.
Технически грамотные читатели расскажут про смартскрин в фаерфоксе?
Я вас ни в чем не обвиняю, я просто показал, что за громким заявлением о мозге скрывается защита, не соответствующая рекомендациям изготовителя ПО, а также неспособность без кормления с ложечки давать развернутые ответы по теме статьи в технической плоскости.
Я же написал (и вы процитировали), что фильтр встроен в ОС. Думаю, что на этом наша дискуссия окончена.
+1, в первую очередь мозг и только он. Вторым эшелоном защиты браузера Chrome служит расширения AdBlock Plus, WOT, avast! Online Security, встроенная защита браузера так же включена и используется. Помимо этого на домашнем шлюзе (Win 2008R2 + Kerio Control) работает два потоковых антивируса — Sophos и ClamAV, которые проверяют весь трафик кроме защищённого. После прохождения всех этих этапов зашиты подозрительные файлы (скачанные из не авторитетных источников и без цифровой подписи доверенного для меня вендора) проверяются сервисом virustotal.com. Примерно раз в год выполняется сканирование всей системы утилитой Dr.Web Cure It. Ответственно заявляю — заразы нет, проверено. Как показывает практика ещё ни раз зловред не был обнаружен позже связки антивирусов на шлюзе.
Александр [Маздайщик] напомнил о тервере, который очень актуален, не берусь подсчитывать вероятность заражения в своём случае, но вероятность точно стремится к 0, при этом компьютеров дома навалом, все на Windows 7 x64 Win7x64, кроме нетбука — там 32х битная 7ка), за ними работают простые пользователи, поэтому у них обычные аккаунты, а за обновлением и установкой ПО слежу лично я. Вероятно такую политику можно сравнить политикой в организациях, от того и уровень безопасности годный.
На моих машинах антивирусов нет, на машинах простых пользователей сейчас стоит KIS, но планирую его снести и там и перейти на SRP + возможно EMET. Почти всё исполняемое ПО уже лежит в папках, доступных только админу, исключение только Miranda (она лежит в dropbox из-за синхронизации), и портабельный PotPlayer, с ними придётся что то придумывать красивое для применения SRP, собственно это меня и останавливает от его применения :) EMET это всё таки потенциальный глюкодром, хоть и лучшая защита, но ковырять его после каждого апдейта каждой софтины мне очень быстро надоест.
p.s: антивирусы считаю плохими если они причисляют кейгены к вирусам, от этого MSE не прижился и не приживётся никогда. Антиврусы не люблю ещё больше чем вирусы :) ибо тормозят систему и постоянно по разному глючат.
Такими темпами скоро антивирусы будут совсем не нужны, так как каждая отдельная программа будет защищать пользователя самостоятельно от различных угроз. Собственно, частично это уже происходит и сейчас на примере браузеров и веб-сервисов (когда на серверах разворачивают антивирус и проверяют данные еще до попадания к пользователю на компьютер).
Касательно того, как организована защита от загрузки зловредов у меня. А никак. Я не пользуюсь сторонним антивирусом, не пользуюсь сторонним фаерволом и работаю в Chrome. Периодически меняю браузер на какой-нибудь другой на несколько недель, чтобы оценить удобство и эффективность его работы. Средство защиты от зловредов одно — голова. Просто не качаю всякий хлам с варезников и использую только официальные сайты для загрузок. Если вдруг что и будет, то встроенный антивирус в винде должен дать знать об этом. Хотя от него я не слышал никаких сообщений уже очень и очень давно, словно его и нет вовсе.
Не так давно столкнулся с забавным способом борьбы встроенного антивируса с зловредами. После установки флешки, как оказалось с заражённого компьютера, антивирус сработал, предложил вылечить, «вылечил», но следующий запуск не удался- вместе с вирусом были повреждены файлы ОС. Такие моменты никак не рекламируют использование продукта защиты от Майкрософт.
Игорь, файлы какой ОС — в которой работал антивирус? Это мне представляется маловероятным. А если той, что кто-то запихал на флэшку, невелика беда — новую сделает.
Игорь, тут надо понимать, что определенное поведение использования ПК рождает определенный набор (или их отсутствие) на ПК. В том числе и по части защиты системы. Вполне возможно, что я бы тоже использовал какие-то средства повышенной защиты, если бы был риск заражения с тех же флэшек или наличия за компьютером второго пользователя с меньшим чем у меня уровнем владения ПК. Но так уж получилось, что компьютеры у меня в основном использую только я и «извне» данные поступают только через интернет, с проверенных источников. При этом вирусов я не встречал уже лет 6-7, наверное. Как говорит мой коллега — «вирусов не существует, это выдумки производителей антивирусов, чтобы продать вам антивирус.» :-)
Касательно заражения системы с флэшки. Если это Windows XP, то вполне может быть и повредились какие-то системные файлы. В случае последних ОС, как заметил Вадим, крайне маловероятно. А вообще, лучше использовать везде профиль обычного пользователя (не администратора), чтобы минимизировать различные потери от возможных вирусных злодеяний.
И второй момент. Обойти можно абсолютно любой антивирус. Даже если поставить их пять штук одновременно, как рекомендовал мне один очень серьезный специалист по компьютерной безопасности, который всем своим клиентам ставит именно по пять антивирусов. :-)
Так уж получилось, что вирусы и антивирусы — это битва щита и меча. Оружие в данном случае совершенствуется в первую очередь, а щит создается в качестве ответной реакции. Так что вероятность обойти антивирус есть всегда. Главное, что для этого необходимо — человек. Человек всегда найдет изощренные способы запустить вирус. Даже если для этого ему будет предложено отключить антивирус — он это сделает. Проверено на практике. :-)
Да ладно :)
Одним словом — KIS 2014. К слову, из известных мне бесплатных антивирусов, проверкой трафика занимается только аваст. Не понимаю, какой смысл держать антивир, который допускает гадость в систему и работает с ней уже постфактум?
Ну и мозг само-собой, на каждом втором сайте встречается — «скачайте наш даунлодер», даже на соурсфордже, утомляет искать чистые ссылки, а ведь большему числу людей тупо пофиг.
И скачать наш даунлоадер можно совершенно случайно даже при наличии мозга, потому что одна верная ссылка окружена пятью левыми.
Честно говоря, ни когда так не задумывался про безопасность загрузки файлов. Стоит резидентный антивирус. Моя ситуация такова — загружаю на свой страх и риск. Очень заинтересовали диаграммы блокировки вредоносного ПО. Удивили результаты. Раньше не интересовался этим вопрос. Но познакомился с вашим блогом — теперь очень много полезного узнаю. Спасибо.
Василий, спасибо, что читаете мой блог.
А теперь поменяем систему тестов, возьмем те же браузеры но установим на них дополнения по безопасности которых достаточно много для Мозиллы и Хрома но почти нет для IE и в итоге получим что первые два справляются с фишингом на 100%, а IE увы будет выглядеть значительно бледнее))
Сергей, на борьбу с фишингом отряжают репутацию ссылок на сайты, а на блокирование загрузки программ — репутацию файлов. Поэтому обвешивание браузера анти-фишинговыми расширениями на второй аспект может особо и не повлиять, равно как и IE не будет выглядеть бледнее от этого.
Теперь я предлагаю вам перейти к делу — методика моя опубликована, можете использовать ее в качестве отправной точки. Жду описания вашего теста и результатов. Только сначала четко уясните, о чем вообще написано в этой статье.
Вы не совсем поняли я просто показал слабую сторону IE, а вы сильную, то что касается репутации файлов, то тут тоже можно поспорить, например никакая репутация не поможет если пользователь скачает заархивированный зловред распакует и сам его запустит, так что какой бы не был браузер но использование мозга никто не отменял)))
Сергей, я вас прекрасно понял. В то время как я писал про совершенно конкретный аспект — блокирование загрузки вредоносных программ, вы почему-то решили указать на недостаточное количество расширений [для защиты от фишинга] в IE. Ну так ему они и не нужны с такой статистикой.
Да, репутация файлов блокирует только исполняемые файлы, но даже их можно запустить. Ну и что? Дальше уже должен антивирус отрабатывать или другие средства защиты.
Пользуюсь расширением AdBlock Plus, которое в основном блокирует рекламу и всплывающие окна (что уже весьма и весьма значительно затрудняет попадание на сайты со всякой заразой), а с недавних пор ещё, якобы, «блокирует вредоносные программы». Насколько эффективно последнее — сие мне неизвестно. И да, ABP установлен на браузер Comodo Dragon, который предлагает использовать Comodo Secure DNS. Это, в свою очередь, помогает зайти на некоторые сайты, на которые обычно зайти не удается, и блокирует часть сайтов с подозрительным содержимым. Связку Comodo Dragon + ABP ставлю всем своим знакомым, особенно тем, кто до этого регулярно подхватывал «заразу», и пока что снова проблемы появлялись только у тех, кто пренебрегал советом отныне пользоваться только браузером от Comodo.
У Comodo Secure DNS есть один маленький минус, он бывает блокирует то что блокировать не нужно, вещь конечно хорошая но не без недостатков)
Сергей, я бы не стал переоценивать эффект от ABP. Социальная инженерия как раз и рассчитана на то, чтобы убедить жертву в необходимости скачать файл. Описанный здесь тест сравнивает эффективность блокировки уже после того, как человек убежден в этом.
Я от Comodo отказался недавно, ввиду странности работы Flash Player-а в нём.
На многих сайтах Flash видео в Comodo Dragon тормозило жутко.
Но до этого пользовался с удовольствием.
Пожалуй поддержу первый комментарий, не знаю почему вы с ним не согласны. Без достаточного опыта работы в сети не помогут ни антивирусы, ни последние обновления в системе.
Вот несколько примеров, когда вышеперечисленное не сработает:
1. В инструкциях к взломанным программам всегда есть пункт «выключите антивирус»;
2. Люди загружают программы не только через браузер (торренты, флешки, пиратские диски и т.д.);
3. Люди, которые ищут «скачать без регистрации и смс» скорее всего умудрятся скачать то, что они ищут);
Сразу оговорюсь, что я не против антивирусов/обновлений/защищенного браузера, но во всем нужны определенные знания и опыт работы.
Александр, гм… если честно, я уже устал объяснять даже не то, почему я не согласен, а то, с чем именно я не согласен.
Еще раз — я не согласен с тем, что наличие мозга отменяет необходимость в других защитных средствах, в том числе обосновывает игнорирование рекомендаций изготовителя программного продукта. Для меня это признаки отсутствия мозга, так понятно?
А давайте проведем эксперимент, вы будете один день работать в сети, как обычно, но в windows xp, без антивируса, через firefox. Я почему-то у верен, что это никак не отразится на вашей работе. Идет?
Не сочтите за троллинг, мне просто самому интересно. Мне кажется все дело в пользователе.
Александр, действительно, все дело в пользователе, поэтому я не буду работать в предложенных вами условиях ни минуты.
Создайте пожалуйста опрос у читателей блога, кто, сколько и чем заражался из вирусов. И кому эти вирусы реально навредили, мне интересна статистика. Ваш блог, как я понимаю читают уверенные пользователи, которые подкованы в безопасности. И лично вы страдали от вирусов, просто интересно?
Александр, я не вижу смысла в создании такого опроса, сорри. От вирусов я лично не страдал, по крайней мере в последние 10-12 лет точно.
Владимир, ну не передёргивайте пожалуйста :) Отключите UAC, DEP, ASLR… суть не в этом, Александр ведь говорит, что при Вашем профиле пользования и опыте вы не подхватите вирус в принципе даже если будете сидеть в 2014 году на IE6 под XP.
Вообще все эти сравнения не корректны, тут скорее просто факт, что заниматься сексом с любимым человеком можно без презерватива, если вы оба не ходите налево (простите за жаргон), просто ещё более наглядного придумать сложно.
Вы уверены, что я не подхвачу при своем опыте, а я не уверен. Например, мне нужно знать, когда программам требуются полные права, поэтому я не буду отключать UAC. Именно так я контролирую происходящее в системе, а не каким-то абстрактным опытом.
Это сродни предложению поездить денек на машине не пристегнутым и без подушки безопасности. Ну да, с очень высокой вероятностью ничего не случится при обычном сценарии езды.
Именно, причем поездить на «копейке»!
Пользуюсь KIS и браузером IE. Очень редко замечаю, что KIS блокирует доступ на некоторые сайты. Кстати KIS устанавливает плагин браузера, который встраивает в страницу выдачи поисковика значки, предупреждающие об опасности ссылок. http://cdn.comss.net/images0001/Kaspersky_Internet_Security_2014_22.png http://cdn.comss.net/images0001/Kaspersky_Internet_Security_2014_23.png
Того, как блокируется загрузка файлов средствами IE, ни разу не замечал. Видимо, либо Касперский перехватывает раньше, либо я на такие сайты не заходил.
Но и голову тоже использую. Например если мне предлагают скачать exe-файл с иконкой RAR, то я загрузку отклоняю, программы качаю только с официальных сайтов, предпочитаю крякам лицензионное ПО и т.д. Антивирус и антифишинг в браузерах — это лишь страховка.
Александр, чтобы увидеть IE App Rep в действии нужно собрать коллекцию вредоносных ссылок или хотя бы попробовать примеры файлов из рекомендуемых в этой записи статей (если у них репутация не поменялась с тех пор :).
В качестве защиты — блокировка опасных сайтов БитДефендером и сканирование загруженных файлов им же. Блокировку браузером встречал только в форме этот-файл-может-представлять-опасность-вы-точно-хотите с совершенно неудовлетворительным количеством ложноположительных срабатываний. Как известно, это ведёт к повышению ложноотрицательных откликов пользователя. Возможно, сейчас что-то и изменилось к лучшему…
Александр, да, уведомления браузера я разбирал как раз на примере IE, можете посмотреть картинки.
У меня все по дефолту — MSE, IE, UAC. Активного заражения никогда не было, помогают еще мои знания. На антивирусной теме плотно сидел пару лет даже был модератором на одном из форумов в разделе антивирусов. Протестировал все антивирусы, которые вообще есть и сделал вывод, что все они полная хрень, ни один не предоставляет полноценной защиты. Поэтому самый лучший антивирус — это знания пользователя. Если юзер запускает файл с двойным расширением, то ему уже ничто не поможет.
Связка из стандартных средств/параметров — это и есть рекомендуемый Microsoft подход, так что тут все ок.
В основном Firefox + иногда Chrome. На собственную защиту браузера вообще не надеюсь, он для этого как бы изначально не предназначен. От рекламы помогает ABP, хотя 1 раз пропустил «рекламу» с блокировкой браузера. А из антивирусов выбрал связку Security Essentials + Malwarebytes Anti-Malware. Пока не жалуюсь.
Дома — Windows 8.1 с включённым SmartScreen да Mozilla Firefox с Safebrowsing API.
На работе — Windows 7, MF+SB API и Kaspersky Endpoint Security 10.
Перешёл бы на IE11, да разочаровывает отсутствие бесплатного аналога ADBlock Plus и вообще скудная поддержка дополнений как таковых.
В качестве альтернативы пока для себя рассматриваю только Chrome (раз он сделал такой большой шаг вперёд по теме в заголовке статьи).
Александр, спасибо за грамотный ответ :)
ABP для IE есть, просто он в виде списка защиты от слежения.
Это лишь один аспект :)
Список защиты от слежения я когда-то находил, но это лишь половина функционала. ABP для FF/Chrome ещё позволяет блокировать DIV, SPAN и прочие элементы на странице с использованием системы правил — в ряде случаев это действительно полезно, и порой не только против рекламы.
Windows 8.1 with update + защитник Windows, Chrome + WOT+Adguard.
Впрочем загружаю все из проверенных источников, официальных сайтов.
Иван, такая комбинация получила бы на диаграмме 146% :)
MSE не устраивает по той причине, что при каждом переоткрытии проводника/Total Commander-а производит сканирование файлов. Хотя проверял достаточно давно. Возможно, что-то изменилось. В NOD32 (которым постоянно пользовался/пользуюсь) есть возможность настройки проверки при сохранении/открытии/исполнении. И файлы просто так он никогда не лопатит впустую. В качестве браузера с первого дня использования своего десктопа использую Firefox. IE используется лишь от случая к случаю. С недавних пор стоит Win8.1Prox64 (добрые люди на днях бесплатно подсобили с ключиком). На данный момент проблем с заражением своего компьютера не имел.
1. Торрентами, конечно, пользуюсь. Но там, где обитаю, строго следят за содержимым раздач в плане наличия зловредов. Так что этот путь заражения можно исключить.
2. CD/DVD уже забыл когда пользовался. Привод по этой причине отключен.
3. Случаев заражения компьютеров, имеющихся в прямом доступе, через флешки/переносные диски также не было. Но у матери на работе (лично она к технике доступа/отношения не имеет) это происходит регулярно.
P.S. Подозреваю, тема не будет испытывать недостатка в комментариях.
Валерий, в MSE есть настройка защиты в реальном времени, в т.ч. исключений. Собственно говоря, не вижу причин, по которым даже стандартные параметры сканирования создавали бы проблемы на SSD при стандартных сценариях работы. Всякие WIMы монтировать — да, задержки будут, но для этого и есть исключения.
Валерий, на работе KIS, дома DrWeb. И тот и другой сканируют (да еще так нудно) папку SoftWare, где собраны, как вы уже догодались, дистрибутивы программ и утилит для установки. Их там порядка 30 ГБ. На HDD побыстрее, на флешке медленнее. SSD к сожалению пока нет, поэтому описать свои впечатления не могу.
Вадим, софт у меня на SSD не лежит. И качать я туда ничего не качаю. Возможно, моя система меньше подвержена заражению, но исключать основную рабочую область из защиты в реальном времени не считаю правильным. Так что NOD32 — это то, что на данный момент устраивает меня целиком и полностью.
В последнее время перешёл с Chrome на Яндекс который не плохо блокирует страницы с опасным содержимым.
Пример: http://i.imgur.com/3SlAM9R.png
На скине специально показал, что AdBlock Plus отключен, так-как с включённым ABP на страницу зашёл без проблем.
Дополнительно к ABP использую WOT, который несколько раз помог от переброски на другой сайт. Пример, выскакивает всплывающее окно с просьбой: «Обновления браузера», давлю на крестик в этом окне, чтобы удалить, а в место этого WOT, блокирует какой-то, непонятный сайт.
ИМХО, думаю российские браузеры, лучше подходят под российские сайты. Могу и ошибаться.
Приветствую участников!
Точно совсем про WOT забыл и ADBlock Plus
+1
Вячеслав, хороший тезис про заточенность Яндекс на Рунет. В теории, по крайней мере. Чтобы реально проверить, нужно собрать коллекцию фишинговых сайтов и файлов, ориентированных на Рунет, а это доступно только крупным лабораториям.
Факт, что Ябраузер лучше для рунета и вообще для пользователей НЕ английских систем ибо в нём исправлен ворох проблем с кириллицей в ссылках и т. п., которые не исправлены в Crome и общем предке Chromium.
«А как у вас организована защита от загрузки вредоносных файлов?»
Да собственно никак. Просто не качаю вредоносные файлы. :-)
В основном качаю или фильмы или музыку.
Если программы, то только из достоверных источников.
А если говорить о защите, то есть такие программы (или компоненты) которые создают песочницу, жаль такое не реализовано средствами самой винды. Создание песочницы в самих виндах, ощутимо бы повысило безопасность системы.
Николай, у меня есть стойкое ощущение, что все программы-песочницы используют уровни целостности Windows. Уж Chrome-то точно :)
Всегда было интересно, как же браузеры борются с фишинговыми сайтами.
Последние несколько месяцев с Steam продолжается настоящая эпидемия, за день можно получить сотню сообщений с отсылкой на поддельные сайты, где вас попросят загрузить программу.
Первое время я всегда, используя IE11, пробовал подпортить жизнь спамерам-взломщикам, используя «Сообщить о небезопасном сайте». Вскоре заметил, что некоторые из этих сайтов помечаются опасными через час, некоторые через неделю-две. А в более редких случаях сайт блокируется хостингом с отсылкой на какой-либо пункт закона.
В первую очередь всегда было интересно, например при жалобе на странице http://www.st3amc0mmunity.com/login будет помечен опасным весь сайт или только страница /login ? Есть ли какая-то дружба с другими браузерами, или у каждого ведется свой черный список, с другими которыми никто не делится? Ну и собственно почему разница, перед тем как сайт помечается небезопасным, колеблется от нескольких часов до нескольких недель?
Егор,
1. Блокировка страниц сайта зависит от реализации конкретного вендора, а также репутации сайта. Некоторые блокируют отдельные страницы, другие — весь сайт целиком, если он неблагонадежный, третьи — целиком, даже если в целом сайт благонадежный.
Помнится, McAfee заблокировал OSZone (или по крайней мере пугал владельцев своей защиты предупреждением) по причине того, что «на сайте вирусы». Это была какая-то древняя и совершенно безвредная утилита для автоустановки, сжатая UPX.
Чтобы разблокироваться, нужно было писать через форму и ждать ответа… вечно. В итоге пришлось искать контакты внутри компании. С Symantec в аналогичной ситуации было проще — у них есть механизм верификации для владельцев сайтов.
2. Каждый вендор ведет свой список, но тот же Safe Browsing API используется в различных браузерах. С другой стороны, браузеры вступают в партнерские отношения с антивирусными вендорами (примеры в статье), поэтому взаимодействие компаний есть.
3. Скорость реакции на жалобы, вероятно, как-то зависит от количества жалоб. По достижении критической массы ссылка блокируется автоматически или отправляется на рассмотрение модераторам. Подробностей я не знаю.
Здравствуйте Вадим !
Прочёл с вниманием вашу статью.
У меня стоит предустановленная операционная система Windows 7 Начальная. Связь с интернетом через роутер.
Работает Брандмауэр Windows с блокированием всех подключений, включая программы из списка разрешённых программ. Стоит общественная сеть.
Стоит Защитник Windows. Работает незаметно, но по пятницам (расписание) проверяет весь жёсткий диск.
Установлена антивирусная программа Avast!Internet Security. Все экраны программы настроены на самую высокую чувствительность. Конфликтов с Защитником Windows не проявляется. Разработчики Avast-а предлагали установить дополнительно MSE от Windows (так есть полная совместимость этих программ), но я не решился на этот шаг. Браузер Google Chrome с включенной функцией Защита от фишинга и вредоносного ПО+ расширение WOT+ расширение AdBlock. В планировщике заданий работают два задания:по обновлению всех расширений браузера и самой версии браузера. В браузере стоит расширение Speed Dial (ru) и при её включении включается «Песочница» программы AIS. А также есть возможность запускать весь браузер Chrome в «Песочнице». Посещение неизвестных сайтов произвожу после их проверок на сайтах- сканерах. Иногда бывает, что известный сайт блокируется браузером, и при проверки его на сайте-сканере выявляется, что он заражён ! Иногда такое явление блокирует сама программа AIS. А мозги свои я применяю в другом направлении, считаю, что не зачем нагружать их ещё и думой о чём-то инопланетном. Ведь все закладки, которые есть в браузере проверены на сайтах-сканерах. Да и проверки по расписанию сканерами:Emsisoft Emergency Kit(бесплатный) и Malwarebytes Anti-Malware(бесплатный) дают результаты полнейшей чистоты ноутбука. Спасибо Вам за ваши статьи ! Желаю Вам дальнейших успехов в Вашей работе ! C уважением Владимир.
Владимир, вы серьезно огородились от зловредов, но я все же не вижу смысла в одновременной работе двух антивирусов.
Забыл добавить. А исправить уже нельзя.
Браузер IE у меня выключен, но все для него обновления приходят и устанавливаются через Центр обновления Windows. Да и в дальнейшей работе Центра он участвует. Всего хорошего !
Решил еще раз вставить свои пять копеек но теперь по теме)))
Организовано все достаточно не плохо установлен линукс + виртуалка с вин8.1 на которой установлен антивирус в самой виртуалке не сохранен не один пароль использую ее для пользования прогами которые не идут под линукс такое хоть редко но случается плюс при желании могу заходить на любые сайты как вы понимаете не заражение не кража паролей мне не грозит.
Ну а линукс основная система, ей я большую часть времени и пользуюсь, по большому счету защита линукс мало отличается от зажиты винды(фаервол, надстройки на браузер, не сидение под админом и те же обдуманые действия), только антивирусов под нее нет(антивирусы устанавливаемые на линукс не в счет, они детектят только зловреды под винду))
Советую почитать вот эту статью:
http://news.drweb.com/?i=5801&c=5&lng=ru&p=0
Это, как и большинство «вирусов» под линукс, казахский вирус. К бинарнику должен прилагаться редми, где написано что-то вроде «пожалуйста, поместите меня в дистрибутив с инициализацией SysV и запустите от имени рута, заранее рахмет!».
Так и под Винды полно таких «казахских» вирусов. Всякие кряки, флеш-плейеры и прочие «sfx-архивы», скачиваемые из интернета, работают по тому же принципу. С мобильными приложениями та же фигня: надо убедить пользователя установить и запустить очередной jar (замаскировав его, к примеру, под игру). Несколько лет назад под Андроид, говорят, даже в официальном магазине тоже встречалась всякая дрянь ввиду пофигизма модераторов.
Сейчас появляется достаточно много школьников, осиливших установку Убунты. Такие
юзерыламеры могут встретиться с проблемой отсутствия необходимых драйверов, для них можно раскрутить фальшивые сайты, предлагающие установить драйвер видеокарты или фай-вая, установка, разумеется, с правами рута. А пользователи Федоры ещё более уязвимы — по дефолту в дистрибутиве отсутствует флеш-плейер и mp3-кодеки, но пока поисковики, к счастью выдают правильные инструкции по установке rpmfusion. Но тоже возможно создать левый сайт с инструкцией по «установке» rpmfusion и методами чёрной оптимизации раскрутить его в поисковиках.Да. Только помимо них и других полно, а под линукс почему-то только такие приводят.
И, как я уже сказал, даже в этом случае полно ограничений, иначе некоторые фичи вируса работать не будут, например «прописывание в автозагрузку» не будет работать при системе инициализации systemd, которая есть в упомянутой федоре.
В любой системе вредоносный код, получив такие права, уже пролез за последнюю калитку. Права же эти пользователь ему даёт сознательно и добровольно. Вам не кажется, что здесь проблема всё же выходит за рамки технической?
@strafer, Александр [Маздайщик] и все
Вторая и последняя просьба закончить обсуждение Linux.
И, кстати, думаю, автор имел ввиду, что он из браузера в виртуальной машине может лазить куда угодно.
По вопросу: операционная система у меня Windows 8.1…. виндоус восемь и одиииин (дальше в принципе можно вообще не продолжать), антивирус бесплатный аваст и чистый файерфокс. Никаких дополнений — не люблю. Для дополнений и прочей гадости есть хром. Смарт скрин, естественно, отключен, ибо с ним работать невозможно. Увы и ах. Я не знаю что такое вирус или как вы их называете «мальвар» с виндус хр. А почему? Да потому что windows 8 настолько хороша, что никакие антивирусы ей и вовсе не нужны. Да потому что домашнему пользователю это все не нужно. Не сервер чай.. сколько не перечитывал статью, так и не понял глубоких замыслов автора. Видно, у меня еще нет достаточного опыта. Хотя я пользуюсь windows 8, значит и опыт и мозг у меня должны быть по определению.
Традиционно воткнутые в автора шпильки вынуты в соответствии с правилами обсуждений. В след. раз будет выпилен весь комментарий. Вадим
Лиц. ОС с обновлениями (не автоматически, но в тот же день), KIS лицензия, UAC, голова.
Браузер сейчас Firefox, когда мигрировал со старой Opera нужен был такой, который обеспечивает полнотекстовый поиск по закладкам. Хром, Яндекс, новая Хропера отпали сразу. Первое время планировал на Хроперу вернуться, но они там сейчас такое готовят…
Специальных защитных расширений не стоит, изредка (раз в полгода) Касперский за руку хватает: «ай, не трожь!», а обычно обман я издалека вижу, а где сомневаюсь — есть виртуалка.
Почитал но ко мне это мало применима хотя бы потому что это троян заточен под 32 битную систему)))
То что касается заражения линукс систем в общем то я знаю только 2 вззможности для заражения 1) Через уязвимости но это почти не реально так как каждый дистрибутив линукс очень индивидуален и встретить зловред заточеный именно на вашу систему да еще и что бы уязвимость была известна и не закрыта шанс такого заражения почти не реален 2) вы сами скачали прогу установили ее дали права админа а она оказалась трояном вот это единственный реальный шанс заразить линукс но как вы понимаете всегда нужно думать когда вы что то устанавливаете
Есть еще вариант касающийся служб удаленного доступа но это проблемма только серверов под линукс
Как вы видите заражение системы под линукс задача довольно сложная а при опытном пользователе вообще не реальная и это не считая того что в основном зловреды под линукс пишут именно под сервера так как с обычных пользователей линукс можно мало чего взять)))
Так вот по поводу пункта 2 и ведется весь сыр-бор.
Сколько людей у нас плюют на все предупреждения винды? На все предупреждения антивирусов?
«А я хочу поставить эту программу для скачивания музыки с Вконтакта, и всё».
Сворачивайте обсуждение Линукс, плиз.
Ну если четко по теме то вы правы IE лучше других браузеров справляется с блокировкой при загрузке вредоносных программ тут особо и обсуждать нечего.
Если четко по теме загрузке программ то лучше IE может быть только IE + антивирус сканирующий файлы скачиваемые из интернета)))
Автор всё больше и больше меня расстраивает своими познаниями в области информационной безопасности.
По поводу 99,9% блокировки вредоносных ссылок — не верю. Запускаем IE, заходим на сайт http://www.malwareblacklist.com/showMDL.php (осторожно, сайт содержит ссылки на вредоносные файлы!!!) копируем ссылки и открываем их в новой вкладке (в IE нет даже функции «вставить и перейти»). На момент написания этого комментария (10.06.2014 14:30 CET) IE заблокировал 7 ссылок с первой страницы. Мой Norton Internet Security нейтрализовал после загрузки все .exe файлы (всего 14 штук). Переходы по пяти ссылкам были заблокированы Яндекс.DNS (77.88.8.88; 77.88.8.2). Вывод: данные NSS Lаbs — необъективны.
По поводу силы связки Windows 8.1, UAC, Windows Defender (MSE) и SmartScreen рекомендую посмотреть следующее видео: https://www.youtube.com/watch?v=xcwlhwa6Llc С автором этого видео и его методикой я согласен не полностью, но видео отлично показывает уровень стандартной защиты Windows.
Мой эшелон защиты: Яндекс.DNS, Chrome (ABP, TrafficLight, Ghostery), Norton Internet Security.
Комментатор меня расстроил своим первым же комментарием. Он потыкал исключительно в IE несколько ссылок, после чего сделал выводы о необъективности теста NSS Labs, автоматически трансформировав их в некомпетентность автора.
Между тем, автор проводил свой тест, публиковал методику и рекомендовал это все к прочтению прямо в этой записи. Автор с радостью прочтет о результатах читательских тестов, но только при условии, что их методика будет осмысленной.
Ну что, поехали :)
Во-первых, я усомнился только в IE, поэтому и проверял на нём.
Во-вторых, по вашей методике я только что провел тест. Собрал ссылки с сайта http://malc0de.com/database/ за 48 часов (в период с 08.06.2014 по текущий момент), убрал повторы, неработающие ссылки и невредоносные файлы (по данным VT). И осталось всего 14 ссылок. По этим ссылкам я перешел в IE. Результат: из 14 ссылок, 3 ссылки заблокированы Яндекс.DNS (я думаю ничего страшного в том, что я его не выключил?), 2 ссылки заблокированы SmartScreen, 2 ссылки — как сказал IE: «Эта программа скачивается редко и может принести вред компьютеру», видимо просто подозрительные. Остальные файлы скачались. Скриншоты:
Блокировка 2 файла в списке: http://i1.imageban.ru/out/2014/06/10/5f5d9f3276cd092a7172b05c9a0bed67.png
Блокировка 9 файла в списке:
http://i6.imageban.ru/out/2014/06/10/ad22a37bd95a886284796573ede5a180.png
Блокировка 14 файла в списке:
http://i4.imageban.ru/out/2014/06/10/47611a345f1c4648cbaf8a1f12ff0cd6.png
Папка с загруженными файлами:
http://i6.imageban.ru/out/2014/06/10/7bd2362d6b3381b8d05ff7cd4a0c9201.png
Просмотр загрузок:
http://i6.imageban.ru/out/2014/06/10/6029613d6798b6d6b5bb8f890bbd18fa.png
Книга Excel после сортировки ссылок: https://cloud.mail.ru/public/4e5db2e39b16/malc0de.com_08.06.2014-10.06.2014.xlsx
Не получается 90% :( , даже если посчитать блокировку Яндекс.DNS за блокировку SmartScreen.
Ссылок с того сайта получается очень мало за 48 часов.
Кстати, ссылка на вашу методику блокируется Яндекс.DNS:
http://i4.imageban.ru/out/2014/06/10/f9da7feff96d146f363b74deaed6235f.png
Андрей, у вас много энтузиазма, но подход какой-то странный.
1. У меня были отключены все защитные средства, чтобы они не мешали. Кроме того, я дополнительно проверял все файлы на VT, чтобы были хоть какие-то свидетельства их вредоносности.
2. Я и NSS Labs проверяли несколько браузеров, а вы только IE.
3. Я и NSS Labs сравнивали браузеры между собой на конкретных наборах ссылок, а вы сравниваете свой набор ссылок с каким-то другим набором, и стараетесь получить 99%. Это же бессмысленно.
Я понимаю, что 99% вызывает у вас скептицизм. У меня тоже вызвало в свое время, поэтому я провел свое исследование. Но ваша методика никуда не годится.
Да, с того сайта сейчас ссылок годных не наберешь, я смотрел. Методику переложу, спасибо.
Интересная информация про IE и хром, теперь возможно не буду всем подрят знакомым голый фаерфокс ставить, который у себя в основном и использую. Из защиты нацепил на него noScript + WOT ну и ABP. Для сомнительных сайтов запускаю браузер из песочницы, в ней же запускаю всякие подозрительные файлы. Антивирусы не ставлю, по причине того что они обнаруживают у меня то что мне и так известно. Только виндовый фаервол с блокировкой всех неизвестных исходящих подключений.
Владимир, интересная причина отказа от антивирусов :) Возможно, исключения подойдут.
Использую Win8 x64 с заплатками, домашнюю версию Аваста с настройками почти по умолчанию, Firefox, Adblock Plus, WOT. Слежу, чтобы были отключены все плагины (Java в первую очередь) в браузере, кроме флэша и пары других нужных.
От скуки иногда проверяюсь CureIt!
До недавнего времени использовал Win7 x64 со второго дня релиза без переустановки, используя то же ПО.
Другим людям советую Chrome из-за его автообновлений как себя, так и флэша.
После начальной настройки системы практически отпадает необходимость скачивать что-либо потенциально опасное из интернета, кроме документов по работе и чего-то подобного. Для редких случаев есть VirusTotal. К слову, недавно скачал рандомный кейген. Чуть не плакал: анимация, музыка; очень не хватает их.
Подобие вируса последний раз видел у себя, когда при выходе в интернет компьютер перезагружался через минуту. Это было на XP лет десять назад, очень популярная была дыра в Windows.
Никогда не буду использовать MSE из-за крайне низких оценок в тестах. И из соображения «на всякий случай». Популярный — значит, опасный.
Никогда не буду использовать IE из-за постоянных новостей об очередной дыре и рекомендаций сторонних компаний использовать другой браузер. Это не значит, что в других браузерах меньше дыр, но мне стрёмно использовать самый популярный браузер, о котором во всеуслышание трубят на весь мир, что он дырявый… Ну и расширений под него, можно сказать, нет, что для меня важнее безопасности.
Михаил, интересные тезисы.
У вас Firefox, а другим советуете Chrome из-за автообновлений. А что, Firefox сам обновляться не умеет? Или все дело исключительно во флэше?
А о дырах в Firefox и Chrome вы не слышали? Думаю, вам эта ссылка особенно доставит (и по годам пощелкайте заодно :) Что касается рекомендаций сторонних компаний, то приведите примеры, если не трудно (ибо это вполне себе безграмотный совет).
Неправильно оценивать относительную уязвомость программ таким образом. Фаерфокс и хром имеют открытые исходники и найти ошибки там проще по определению.
Неправильно делать вывод, что опубликовав эту ссылку, я неправильно оцениваю уязвимость программ таким образом. Правильно оценивать эту ссылку в контексте цитаты из комментария Михаила.
В контексте указанной цитаты Михаила получается не менее интересная картина, едва ли он слышит о каждой указанной уязвимости любого из упомянутых браузеров, а скорее всего лишь о тех дырах, для которых есть эксплойт, именно такие новости хорошо расходятся. Так вот, по статистике этого же сайта, для файрфокса и хрома на двоих эксплойтов не было уже несколько лет, а у ИЕ только за прошедшую половину нынешнего года имеется три, да и в ретроспективе каждый год есть хотя бы один эксплойт и только 2012 обходился без них. Получается, Михаил имеет свои ощущения на вполне законных основаниях.
Мне нравится прогресс в ваших комментариях :)
Вадим, Файрфокс обновляется слишком сложно: с необходимостью нажимать далее, далее, далее. Флэш-плагин тоже обновляется с подобным окном. Хром обновляется по-тихому. IE, при желании пользователя, может вообще не обновляться. Поэтому советую Хром.
Если следовать вашей ссылке, ни в коем случае нельзя пользоваться дистрибутивами на линуксе. В своём следующем предложении, которое вы не стали цитировать, я написал, что понимаю, что дырявое всё.
https://www.google.ru/search?q=советуют%20не%20использовать%20internet%20explorer
Я не знаю, насколько эти все советы бредовые. Я не пользуюсь IE в первую очеред потому, что он ничего не умеет, и только во вторую из соображений «на всякий случай».
Михаил, я думал, что ФФ научился тихому обновлению (не слежу за ним). А так, тихое автообновление — правильный подход с точки зрения быстрого устранения уязвимостей, и IE/Chrome рулят тут. Именно об этом моя ссылка. Надо не вопли про дырки считать, а обновлять все программные продукты.
Теперь по вашей гуглоссылке. Вижу там много правительственных организаций, но не компаний. Это понятно, они озабочены данными граждан, находящимися в их распоряжении. Но подумайте, почему подобного не пишут про Chrome/FF. Да просто их доля в организациях и госструктурах смехотворна в сравнении с IE. А на домашних пользователей им плевать — у тех нет чужих данных. Мне нет — я для них пишу :)
Вадим, файрфокс ставит службу, которая, по идее, должна по-тихому автообновлять бразузер, но я ни разу не видел, чтобы он как-то где-то обновился по-тихому. Мне этот вопрос не очень интересен, поэтому не выяснял. Мне проще посоветовать хром и знать, что браузер всегда будет новый. Обновлять все продукты человек, который не знает, какой ему использовать браузер, не будет.
Всё же, я не хочу на своей шкуре и на шкуре своих знакомых убеждаться, что, в целом, для дома IE норм. Ну вот просто не хочу.
В настойках же есть галочка для автообновлений. Это не служба, а функция программы, проверка и установка возможны с момента старта браузера.
Если в этой ссылке набрать:
1. советуют не использовать internet explorer результатов 3 млн.
2. советуют не использовать firefox результатов 3 млн.
3. советуют не использовать chrome результатов 5 млн.
Ну это просто так к слову о количестве советов и количестве уязвимостей.
Дома на десктопе Win7SP1x64 — настройки по умолчанию. Обновления устанавливаются автоматически.
Антивирус Dr.Web Security Space — настройки по умолчанию. Файервол отключен (сильно докучает), но включен Брандмауэр (совет Вадима Стеркина).
Браузер IE10. Версию 11 никак не получается установить, возможно из-за злощастных заблокированных обновлений KB2859537, KB2872339, KB2882822. Разбираться не хочу — планирую установить Win8.
Дочка, переодически, отключает блокировку сайтов в Dr.Web. Ругаю, но она дипломированный программист :-). Надеюсь, понимает, что делает. Хотя создается впечатление, что по сети бродит «призрак Коммунизма». Предварительная проверка пока ничего не выявила.
На ноутбуке Win8.1Update — настройки по умолчанию. Обновления устанавливаются автоматически. Встроенный антивирус
Dr.Web не стал устанавливать. Хочу сам лично поработать с MSE. А то друзьям устанавливал, а они от него отказывались в угоду бесплатным Авастам. Да и Вадим Стеркин советует, что его вполне достаточно, так что наверное пока не стоит платить лишние деньги за новую лицензию.
А вот на работе — просто беда. WinXPSP3. Обновления теперь уже не устанавливаются. Брандмауер включен. Антивирус KIS.
Я пока вот это писал, проанализировал — а ведь действительно, в большинстве случаев, мы ничего большего кроме антивируса (комплекса Internet Security и т.п.) ничего не знаем. Да, я всегда включал Smart Screen, Брандмауэр, пробовал файервол, не отключал UAC, потому что догадывался, что это хорошо, да и только.
Но вот теперь, читая эти статьи, получил своим мыслям конкретное подтверждение.
Эх! Было бы побольше времени. Все статьи бы прочитал на этом блоге и на OSZone.net. Но сейчас пока лето, дача и много других забот. Так что зимой попробую наверстать.
Владимир, честно говоря, я не советую MSE как таковой. Я постоянно говорю о том, что минимальный уровень защиты должен соответствовать рекомендациям Microsoft.
Просто MSE/Defender — это продукт данной компании, что способствует совместимости с ОС и встроенными в нее защитными механизмами. Вы вольны выбирать любые другие продукты.
Я, в сущности это и имел в виду — максимально необходимый минимум. Вот собственно и хочу проверить.
Ноутбуком пользуюсь только я, а десктопом и я, и жена, и дочка. От Dr.Web отказываться не хочу. Просто есть клиенты, которые не хотят платить деньги за безопасность.
Никак не организована)) Забыл когда качал бинарники. А когда качал, отправлял на вирустотал. Всё равно сами они у меня запустится никак не могут. Хотя сейчас (а может и раньше была) там есть форма ввода ссылки, можно проверить не скачивая.
Вадим, вы не думаете, что улучшение характеристик блокирования загрузки вредоносных файлов как- то связано с покупкой гуглом сервиса вирустотал?
Виталий, ну, у вас блокирование загрузки зловредов не так важно, поскольку дальше их будут встречать SRP и EMET.
Логично предположить, что покупка VirusTotal льет воду на мельницу Chrome. Но как они это все увязывают, я не знаю. Заметьте, что купили они сервис в конце 2012 года, а блокирование начали развивать еще раньше (объявили в 2011), и улучшения в тестах NSS Labs были заметны еще до покупки.
Особой защиты нет.
Пользуюсь виртуалками, если есть малейшее подозрение, что с файлом что-то может быть не так — проверяю в виртуалке.
Браузер — Яндекс. Но большинство зловредов падает на почту в спаме. Тут они просто идут в мусор, хотя часто встроенная защита 8.1 успевает добраться до них раньше — тогда я получаю сообщение об очистке.
Коллеги, кто что может сказать о таком плагине для IE, Сhrome, FireFox и Opera — Avira Safe Browsing? Есть ли опыт его эксплуатации и какова ценность в рамках расматриваемой здесь проблемы повышения безопасности?
Таки Да… Не забываем о «скриптах» которые перенасыщены многие сайты, а также не вредно забывать о том, что «….нечего на зеркало пенять, коли рожа крива.» И вот такие дела… о «зловредах»…. Каждый выбирает свой «тазик» для своего «продвижения»…. :-)
Как раз для тонкой блокировки скриптов в служит плагин на Мозиллу NoScript, он позволяет не просто запретить или разрешить на странице джава скрипты, а запретить то что не нужно и разрешить то что нужно для корректной работы интернет страницы)))
Мне мозг помогает, сижу без антивира, пользуюсь хромом.
А где то в базах собраного троянами уже хранятся все ваши данные и ждут часа когда они кому то понадобятся)))
А ну да, вам же лучше меня знать.
Вы наивно полагаете, что антивирус обеспечит защиту? Вирус, который не опознается антивирусами поймать очень просто.
если немножко думать вирус вообще поймать не просто, а с антивирусом особенно достаточно сильном так вообще сложно, я не говорю что поймать вирус с антивирусом не возможно, но шансы на заражение резко уменьшаются)
Мне без антивируса норм.
>>Напишите в комментариях, что именно может воспрепятствовать загрузке «зловредов» на ваш ПК.
Windows 7 Prof и KIS2014 — обе лицензии (обновления вручную, но ежедневно), включен UAC, браузер Firefox (дополнения — AdblockPlus, FVD-Speeddial, AceStream, все KIS-овские).
После перехода на легальное ПО стараюсь обходить стороной варезный софт. Антивирусы не просто так кричат на кейгены, т.к. это самый простой способ установить вредоносное ПО (из-под админа) на свой ПК. Сомневаюсь, что кто-либо просматривает исходник кейгенов на предмет наличия вредоносного кода. То есть, при установке большинство полагаются на «авось».
При осуществлении загрузок из интернета обращаю внимание на расширение файла, ресурс-источник и руководствуюсь здравым смыслом. Как уже кто-то правильно говорил, неразумно скачивать музыкальные файлы с расширением «О_боже_какой_мужчина.exe» или «Похудей_за_3_дня_на_30кг.docx.exe».
Будьте внимательнее. Всем добра!
У меня стоит операционная система Windows 7 x64 SP1 (со всеми обновлениями), браузер Firefox (последняя версия перед превращением в ХромоФокс) с NoScript и антивирус Eset Endpoint Antivirus V5 в режиме «Удалять все подозрительное», и файрвол Comodo для контроля сетевого трафика.
Загрузка файлов как таковая не блокируется, если что с файлом не так с ним сразу разбирается антивирус, если файл подозрительный, но все же нужен, проверяю его сначала на виртуальной машине, её восстановить в случае чего легко. Качаю много разного, от фильмов и музыки до программ и драйверов, ну и не без кряков порой обходится. За все время, сколько использую ПК, браузер ни разу ничего сам не блокировал, иногда только выдавал предупреждение, что сайт может являться мошенническим.
Данные в статье вызывают глубокое сомнение. Что за зловреды использовались? Сколько их было? А графики рисовать все умеют.
Алексей, а что конкретно сомнение вызывает, 99%? Ок, а если отбросить IE, тогда будет похоже на правду? :)
Зловредов было ровно 657. Вообще, ссылка на оригинал отчета NSS Labs есть в статье, а там найдется и методология. Опять же, можете перепроверить, если сомневаетесь, например, отталкиваясь от моей методики.
Я на 7 использую Хром, Опера на старом движке 12.17 (в этом году Опера вспомнила старый движок и выпустила обновление 12.17) и китайский Maxhton 4.4.1.1000.
В Опера и Хром использую попеременно расширения WOT и Avast! Online Security (Browser Add-on).
Если залезть в настройки Avast! Online Security, то можно обнаружить опции фишинга, в котором дополнительно есть проверка на вредоносное ПО, запрет на отслеживание и пр.
Описание плагина для Хром (качать ест. только с офсайта):
http://www.comss.ru/page.php?id=1405
Ни разу не замечал, чтобы эти браузеры своими силами предотвращали закачку вредоносных файлов или открытие плохих сайтов (только WOT или плагин от Аваста иногда затыкали или предупреждали).
А вот антивирус Аваст (возможно и его дополнение для браузера) предотвращали такие вещи довольно часто, нередко даже при попытке перехода по ссылке.
За период с 2006 года мои домашние компы, на которых постоянно стоял бесплатный Аваст, ни разу не легли от вирусов. В 2006 году комп лег только 1 раз сразу после покупки (без Аваста, с каким-то установленном в магазе «умельцамии» взломанным Касперским), так как установленная на нем в магазине пиратская ХР кишела вирусами (как это выяснилось после проверки Авастом), в том числе вирусами, встроенными в оптимизаторы реестра. Запускаешь 1 раз такой «оптимизатор» реестра — и комп убит. :)
Еще одна прога, вроде ASC от IOBIT, наставила запрет на целую тучу сайтов в файл host, этот файл сейчас весит под 400 кб и cureit от доктор-веб постоянно хочет привести в его изначальное состояние :)
Кто-то в комментах к этой статье высказал мнение, что из бесплатных антивирей Аваст единственный, кто следит за трафиком.
Ко мне с дня на день должен приехать ноут с 8. Сначала думал на нем обойтись штатным антивирем от Windows 8 (по крайней мере родственникам сmyjenjv-Сонькой и предустановленной8 я так и сделал), но тут меня посетили смутные подозрения…
Вадим, если вы знаете алгоритм работы штатного антивиря 8, то он проверяет трафик, открытие веб-страниц, почту и пр., как это делает Аваст? Не потеряю я в плане антивирусной защиты, отказавшись от зарекомендовавшего себя Аваста?
Валерий, спасибо за развернутый комментарий.
В Windows 8.1 такие нововведения:
То есть с одной стороны, Defender стал сканировать сетевой трафик, а с другой IE научился сканировать ActiveX, причем есть API (т.е. сторонние антивирусы могут реализовать для IE такую возможность). У Defender нет сканирования почты как таковой. Он просто использует защиту в реальном времени для таких целей.
Я не вижу особого смысла отказываться от продукта, который устраивает вас по всем параметрам. Переход на Defender имел бы больше смысла, если бы вы заодно перешли на IE — в связке они работают лучше (пример выше).
Большой плюс Defender, что он, если так можно выразиться, интегрирован в систему, а не является сторонним ПО, авторы которого что-то могут не знать о работе Виндовс и этим порождать конфликты стороннего антивируса и системы, не жрет ресурсы так сильно, как сторонние антивирусы, не отвалится при каких-то обновлениях Виндовс (так как его синхронно обновят), как это было у сторонних антивирусов при переходе на 8 или 8.1 (точно не помню).
Ему бы несколько добавить функциональности, которая есть хотя бы в бесплатных сторонних антивирусов, не видел даже болтающегося в области уведомлений анимированного значка, который изображает бурную деятельность антивиря и так не хватает оптимистичного сообщения, что все хорошо — при наведении на него указателя мышки :) Возникает очучение, что антивиря вообще в системе нет :)
Но существенное ваше замечание — это связка с ИЕ. А я им не пользуюсь с 2006 года.
Хотя, возможно, пока Аваст ставить не буду, посмотрю на поведение Defender.
PS А рассуждения в комментах «о мозге», который типа надежно ограждает от вирусов — очень глупое умозаключение, так как мозг вирусописателя, как правило, превосходит моск такого юзера, а если не превосходит — то все равно ущерб может быть нанесен по различным причинам (мужик ведь задним умом крепок), так как в войне меча и щита чаще побеждает меч.
В банках, госорганах и т.д. работают целые штаты опытных программистов, однако постоянно кто-то взламывает все мыслимые защиты, при этом зачастую жертвы даже не знают об этом.
Валерий, уровень защиты в реальном времени у Defender не зависит от используемого браузера. Я говорил о том, что в связке с IE образуются дополнительные защитные рубежи. Например, применительно к 7, в MSE нет репутации файлов и ссылок, потому что она есть в IE. Это уже в 8 SmartScreen встроен в ОС, а до этого только в IE же был.
Отсутствие значка в трее и пунктов контекстного меню лично меня никак не смущает. Если вдуматься, это лишние элементы, а заодно — такая вот ненавязчивая защита от дурака, способного ослабить защиту (но не укрепить ее). Ведь настройки еще найти надо :)
Пару раз недавно убедился, что антивири от МС — не полные пустышки, как некоторые думают. Когда на ноут-Соньку по сети со своего ноута перекидывал файлы, то Defender на Соньке выловил вирус в передоваемом от меня файле, хотя Аваст, Куреит от доктора-веба не поймали его у меня раньше и при этой передаче по сети.
У знакомых на флешках все пропало, в системе стоит антивирь доктор-веб. Запускаю дополнительно свежий cureit — молчание, запускаю ежемесячно выкладываемый антивирус от МС — он находит и удаляет вирус, который заражает систему, флешку и прячет данные на флешке.
Сношу Доктора-веба, устанавливаю после этого в систему Аваст и проверяю им ПО до запуска системы — вылавливает 9 вирусов (т.е. антивирь от МС выловил не все, но тем не менее показал себя лучше, чем доктор-веб).
Валерий, давайте не будем скатываться к обсуждениям на уровне «у меня этот поймал, а те пропустили», это тупиковый вариант.
Меня удивляют комментаторы, пишущие, что поскольку антивирус не гарантирует полной защиты, они им не пользуются. Замок тоже не даёт стопроцентной защиты от воров, так что же теперь, на дверь его не ставить?
Антивирус не даёт абсолютной защиты, да. Всегда есть и свежие вирусы, ещё не попавшие в базы, есть и другие угрозы, не являющиеся вирусами. Но лучше иметь неполную защиту, чем не иметь её вовсе.
Такие комментаторы пишут, что «пользуются мозгом». Но ведь одно другого не исключает, да и «мозг» тоже не даёт абсолютной защиты (можно быть уставшим, нетрезвым или отвлекаемым чем-то, и в итоге накосячить). Я тоже пользуюсь мозгом, но и антивирус у меня стоит.
Александр, думаю, что про мозг придется писать отдельную статью. Как оказалось, Бивиса с Батхедом недостаточно :)
Жду с нетерпением.
Это интересная фраза. Если SmartScreen встроен в систему, то он действует даже тогда, когда используешь не ИЕ, а Хром, Оперу или т.п.?
Да