Недавно компания NSS Labs опубликовала результаты своего ежегодного тестирования браузеров на предмет блокирования загрузки «зловредов». Там есть любопытные моменты, и я хочу обсудить их с вами.
Рой Хибберт блокирует данк Кармело Энтони
Это третья статья летней серии о безопасности, начавшейся рассказами о бюллетенях Microsoft и рисках работы в устаревшей ОС. Их прочтение должно было навести вас на мысль, что наборы для атаки на известные изъяны в безопасности – это один из самых неприятных способов распространения эксплойтов ОС и ПО.
Вам будет легче правильно интерпретировать написанное в этой статье после изучения этих материалов блога:
- Защита от фишинга в современных браузерах
- Сравнительный тест браузеров: блокирование загрузки вредоносных программ (мое исследование)
Оно были опубликованы 3 года назад, но описанные в них технологии работают и по сей день. А о некоторых изменениях мы как раз и поговорим.
[+] Сегодня в программе
Почему браузеры должны уметь блокировать загрузку вредоносных программ
Пол Пирс и Кевин Гарнетт блокируют бросок Коби Брайанта
Задача злоумышленников сводится к тому, чтобы выполнить вредоносный код на компьютере жертвы. Достичь этого они стараются разными способами, но очень распространенный таков: жертва, введенная в заблуждение с помощью социальной инженерии (в т.ч. фишинга), сама скачивает и запускает исполняемый файл. Например, в качестве наживки может использоваться разнообразная халява.
Понятно, что закачка файла происходит в браузере, поэтому его роль в защите периметра системы в последние годы значительно выросла. Намного лучше не допускать загрузку и выполнение вредоносного кода, нежели надеяться только на то, что врага определит резидентный антивирус.
Надо понимать, что речь идет исключительно о возможностях браузеров препятствовать загрузке и запуску «зловредов», распространяемых способами социальной инженерии.
При этом браузеры не могут защитить от эксплойтов, нацеленных на уязвимости ОС и программ, включая сами браузеры.
Какие технологии используют браузеры для блокирования загрузок файлов
Лэнс Стивенсон дует в ухо Леброну Джеймсу
У создателей браузеров есть два пути – использовать решение своей компании или полагаться на разработки партнеров. Я уже разбирал принципы работы основных технологий в блоге (см. ссылки в начале статьи), поэтому ограничусь таблицей для справки.
| Браузер | Технологии |
|---|---|
| Internet Explorer | Smart Screen: • репутация ссылок (сайты и загрузки) • репутация файлов (загрузки) |
| Chrome | • Safe Browsing API (сайты и загрузки) • Download Protection (загрузки) |
| Firefox | Safe Browsing API |
| Safari | Safe Browsing API |
| Opera | ?
Официальной информации по этому вопросу никогда не было. Раньше использовался AVG Link Scanner. Сейчас на небольшой коллекции ссылок мне не удалось добиться в Opera vNext. срабатывания блокирования загрузок. Если у вас есть конкретные сведения о защитном механизме, напишите в комментариях.
|
И тут мы подходим к очень интересному моменту. Я проводил свое тестирование ровно три года назад. Тогда Chrome и Firefox показали абсолютно одинаковый результат, а в тестах NSS Labs они тоже демонстрировали аналогичный уровень защиты наряду с Safari. Это объяснялось тем, что все три браузера использовали Safe Browsing API от Google.
Незадолго до проведения моего теста разработчики Chrome заявили о защите загрузок с помощью того же Safe Browsing API. Тогда я написал: «Вероятно, Firefox и Safari скоро последуют этому примеру». Давайте посмотрим, сбылось ли мое предположение :)
Результаты теста NSS Labs на блокирование загрузки вредоносных программ
В последнем тесте NSS Labs участвовали еще и три китайских браузера, но я исключил их из диаграмм ввиду нулевой распространенности у читателей блога. Safari же интересен в качестве дополнительной лакмусовой бумажки для Safe Browsing API.
Доминирование IE в этом аспекте уже давно стало традицией, поэтому я не буду заострять внимание на данном факте. Намного интереснее громадный разрыв, который образовался между Chrome с одной стороны и Firefox с Safari с другой.
Большая разница наблюдается и в среднем времени блокирования, т.е. показателе скорости, с которой браузеры узнают о вредоносности файлов.
Internet Explorer требуется в районе 5 минут, чтобы узнать о вредоносной натуре файла, Chrome укладывается в четыре часа, а Firefox и Safari нужно больше суток.
Неэффективность Safe Browsing API для блокирования загрузки
Леброн Джеймс не может помочь команде из-за травмы в концовке первого матча финала-2014
Казалось бы, Chrome, Firefox и Safari должны показывать схожие результаты ввиду общего API, но на практике этого не происходит. Дело в том, что Google, владеющая этим API, решила ограничить его только блокированием фишинговых сайтов, а препятствие загрузке вредоносного ПО придержала для своего браузера Chrome.
В последнем тесте NSS Labs есть вполне конкретные цифры, подчеркивающие внушительную разницу между эффективностью блокировки загрузок в Chrome и чистым Safe Browsing API.
Фильтр Smart Screen в IE полагается на репутацию ссылок, а репутацию файлов задействует уже в последнюю очередь. Chrome, напротив, вовсю использует свою функцию блокирования загрузки, а репутация ссылок играет более чем второстепенную роль.
Обратите внимание, что с помощью Safe Browsing API Chrome заблокировал загрузку лишь 4.2% вредоносных файлов. Такое же значение фигурирует у Firefox и Safari на первой диаграмме – это все, что у них есть.
Исторические данные NSS Labs не менее интересны (результат последнего теста в них не входит). На рисунке ниже процент заблокированных загрузок вредоносных программ в разные годы.
Firefox и Safari идут рука об руку, в то время как эффективность блокирования в Chrome значительно выросла по сравнению с 2011 годом. Напомню, что именно тогда разработчики браузера Google объявили о появлении этой функции в Safe Browsing API. Очевидно, политика быстро взяла свое — функция не попала в API, а стала конкурентным преимуществом Chrome ;)
Заключение
Тим Данкан и Тиаго Сплиттер защищают кольцо от Леброна Джеймса
Google и Microsoft всерьез подходят к блокированию загрузки «зловредов», оставляя другие популярные браузеры позади. Заметьте, что у обеих компаний есть свои поисковые движки, сведения которых анализируются и применяются в защитных фильтрах. Кстати, у Яндекс тоже есть свой API для защиты от фишинга, совместимый с Safe Browsing API, а также веб-антивирус для поиска, но при этом в браузере компании загружаемые файлы проверяет Kaspersky.
Конечно, нельзя всецело полагаться на браузер для борьбы с вредоносным ПО. Однако высококачественная защита от загрузки «зловредов» будет хорошим подспорьем, особенно для неопытных пользователей.
Если ваш браузер не блещет в этом аспекте, подумайте об установке комплексного защитного средства с проверкой репутации ссылок и загружаемых файлов.
Все ведущие антивирусные компании обладают такими решениями, хотя их эффективность может сильно варьироваться. В любом случае, наличие этих функций в бесплатных антивирусах маловероятно.
Дискуссия
А как у вас организована защита от загрузки вредоносных файлов? Напишите в комментариях, что именно может воспрепятствовать загрузке «зловредов» на ваш ПК. Вопрос не случайно задан в относительно свободной форме – посмотрим, что вы знаете о своей защите ;)
Фото сегодняшней записи навеяны идущей сейчас финальной серией игр NBA.
У Windows defender есть защита эл. почты — правда включается она только через групповую политику, там же можно настроить и интервалы обновлений.
Александр, хорошее примечание. Я посмотрел в политиках, есть поддержка форматов pst (Outlook) dbx mbx mime (Outlook Express) binhex.
Стесняюсь сказать, в интернет хожу из ХР. Ностальгия, наверное. Браузеры разные, меняю их как перчатки. Если есть возможность, ставлю дополнения вроде AdBlock и NoScript. Также развлекаюсь тем, что ставлю по очереди бесплатные пробные версии программ типа интернет секьюрити. В зловредные места стараюсь не заглядывать, однако основным средством защиты от ужасов сети считаю то, что это все происходит только в виртуальной машине, которая к тому же регулярно возвращается к исходному состоянию.
Не буду утверждать, что защита лучше некуда, но вирусы видел, в общем-то, только на компьютерах у знакомых, когда приходилось выступать в роли врача
Хотел бы только отметить относящееся к вашему коменту, что не одна виртуализация даже самая сильная типа VirtualBox которая действительно полностью отделяет реальную систему от виртуальной, не поможет если вы внутри виртуалки в браузере будите сохранять пароли, потому как трояну без разницы запуститься в виртуалке или нет, в любом случае свое дело по краже паролей он сделает)))
Да, VirtualBox. Нет, не сохраняю. Пароли хранятся зашифрованными (много всяких таких программ) в другой виртуалке и каждый раз я их копирую, когда надо куда-то зайти. А в самых интимных случаях (когда я делюсь номером своей банковской карточки, например) я использую отдельную виртуалку (я больной?), в которой я захожу только на несколько проверенных сайтов.
Кстати, я как-то провел эксперимент: шатался по разным порносайтам, пока не поймал блокиратор (потребовалось минут двадцать). Основная система так и не узнала об этих проделках, а восстановление снимка виртуалки сами понимаете, какое сложное дело.
Так сохранять пароли необязательно, если там уже поселился гадёныш, может быть достаточно того, что вы их вводите.
Александр, в Интернет вы ходите в браузере, поэтому непонятно, зачем это делать из XP :)
Я ни в коем случае не хочу сказать что-нибудь вроде ХР форэва (основная-то система W7, обновляется во-время, к вирусам приставлен MSE и так далее, все как положено). Просто испытываю прямо-таки любовь к подержанным вещам. Да и затевалась эта виртуалка когда самая современная система называлась XP :)
Вопросами безопасности не озабочен в том смысле, что не имею(ну или почти не имею) сомнений в надёжности и безопасности IE, в какой бы из версий ОС я его не использовал. Поскольку IE является неотъемлемой частью ОС, он в то же время является и частью комплексной защиты. Исходя из этого, не имею проблем с навигацией. Мое мнение в этом вопросе укрепилось где-то в 2011-м, когда провел испытание на сопротивляемость ОС малвари; была намеренно отключена SmartScreen и антивирус. И был выполнен бросок на заражённый сайт. В то время, как раз были популярны зловреды блокирующие экран компьютера. Как и ожидалось, экран заблокировался. Ничуть не опечалившись, просто выполнил выход из системы, а потом вход. И никакой малвари уже не было. Я объясняю это во-первых тем, что при завершении работы браузера, у меня удаляются временные файлы, среди которых и находилась малварь. А во-вторых, что работаю под обычной учетной с включенным UAC, что и не позволило выполнить безнаказанно вредоносный код. Фактически, при этих условиях, даже антивирус не нужен. Все действия проводились на Windows Vista sp2. Но я нисколько не сомневаюсь, что любая из современных Windows с честью выдержит подобное испытание.
Что уж говорить о системах на Windows RT и Windows Phone; практически непробиваемые ОС. По примерно схожему сценарию, была опробована сопротивляемость WP и Android. Правда в этот раз была заражена сама WiFi сеть. WP вышел достойным победителем из этой схватки, а андроиду не помог даже антивирус.
Андрон, не всем вредоносным программам требуются права администратора. Трояны могут оперировать и в условиях ограниченной учетной записи. Систему они не порушат, но личные данные могут украсть.
В этом случае и необходимы антивирусная и антифишинговая защита и брандмауэр, являющиеся частью комплексной защиты.
Андрон, в этом случае надо сразу подробно писать, какая защита у вас работает.
Ничего не мешает заразе переписать себя в любой другой каталог, доступный твоей учётке на запись.
Основная масса малвари(если не вся) рвется именно во временные папки, а потом из них уже пытается скопировать себя в системные директории и запуститься. Даже если она скопировалась в профильные папки и попытается запуститься, вероятнее всего ей для работы потребуются права админа. Но даже если и не потребуются для какой-то безобразной работы, то для утечки данных через брандмауэр потребуются точно. То, что малварь может сотворить локально(порча или удаление информации), это не так страшно, т.к. подобные неисправности устраняются в несколько секунд.
Из всего вышеперечисленного делаем вывод, что вы сидите без защиты на свой страх и риск и или вам до сих пор везло или зловреды у вас в системе просто не проявляются, хотя возможно тихо сидят и делают свое дело)))
А так как троян визуально обнаружить не возможно если не знать что и где искать то возможно все ваши пароли уже давно убежали просто ими еще никто не воспользовался)))
Вывод неправильный. Защита применяется комплексно по всем фронтам. И трояны мне искать не нужно — у меня их нет. Подробности см. выше в моем комментарии.
ps. Один мой сосед постоянно испытывал проблемы связанные с вирусами. После того как я поставил ему пароль на админа, проблемы ушли в никуда; уже два года как. Пароль он не знает. Но когда к нему в гости приходят шаловливые ручки, пытающиеся установить что-либо своё, у меня раздается звонок телефона и я слышу призыв сообщить пароль. Что делаю я? Посылаю я всех на. И после моего ответа о прелестях беззаботной и безоблачной гигиене, проблема пароля исчезает ещё на год.
Тоже самое проводил, но под WinXP sp3. Антивирус отключен, учетная запись обычная, остальные настройки по умолчанию, браузер IE. После блокирования экрана Reset и все в норме, никаких следов.
Эм… а как же самораспаковывающиеся архивы или те же инсталляторы сделанные на основе архиваторов и так далее?!
Иногда скачиваю разные книги, pdf-ки. Часто сайты-файлообменники предлагают скачать некий файл с иконкой RAR и расширением exe, которые при запуске пишут «чтобы распаковаться, отправьте SMS на такой-то номер». Это не самораспаковывающиеся архивы WinRAR, поскольку свои (и не только) SFX-архивы сам архиватор WinRAR открыть может (игнорируя исполнимый модуль в начале архива) — на этом основан т.н. формат RARJPEG (погуглите).
Сами эти SMS-вымогатели сделаны условно честно: если приглядеться к их окну, то можно увидеть сбоку полоску прокрутки, подвигав которую можно увидеть лицензионное соглашение, где написано, сколько стоит SMS и так далее.
А вообще, распространять файлы в самораспаковывающихся архивах — моветон. Лучше использовать просто популярные форматы архивов: ZIP, RAR, 7z (для линуксоидов — tar-gzip или tar-bzip2). Самый лучший вариант — zip, поскольку его архиватор уже встроен во все современные версии Windows и в Windows XP (наряду с архиватором CAB (iexpress.exe), кстати). Кстати, модуль самораспаковки WinRAR может очень витиевато настраиваться и, поэтому, может нас*ать в систему безо всяких вирусов (когда учился в школе, я так над одноклассником пошутил).
А что касается инсталляторов, обычно при подготовке инсталлятора на базе WinRAR меняют значок по умолчанию на какой-нибудь другой.
Вот только — не предназначен этот браузер для постоянного использования.
Познавательная история случилась, как раз к вопросу про «голову».
Я сам пользуюсь только хорошо известными источниками (в том числе среди торрентов, вареза и пр.). Скачивать программы «чтобы посмотреть» давно прекратил. В качестве пробного полигона использую виртуалки, основная система — 8.1, плюс к ее встроенной защите поставил только EMET.
Сейчас в отпуске с семьей, и дочка попросила ноут — закачать музыку в плеер. Я и дал, не шибко поинтересовавшись деталями.
Потом случайно заглядываю в папку загрузки… А там куча «песен» с расширением .exe. Потратил в итоге ночь на то, чтобы прогнать комп через диск KIS. Вроде зловредов нет, но «осадочек остался». Теперь ковыряю SRP.
В общем — всех сценариев не предугадаешь. Голова — хорошо, но лучше перебдеть.
Это известная шняга от Зайцев.нет Заметил у своих подопечных, что после скачивания и прослушивания «вроде как mp3 файла» эта музыкалочка остается резидентной в памяти и с этого компа идет жуткий трафик на вход-выход. Т.е. комп превращается в бот для ретрансляции чего-то. Причем антивирь на файлы не ругается (компы прикрыты Авирой).
Алексей, рекомендую 7 причин использовать отдельные учетные записи для каждого члена семьи. Пункты 4 и 7 в частности.
В разделе «Почему браузеры должны уметь блокировать..» ответа так и не увидел. Считаю, что браузер должен рендерить интернет, а не решать за пользователя, что тому можно качать, а что нельзя (тем более, что такая «защита» светит не только все сайты, по которым он ходит, но и все файлы, которые он качает). Показать всплывашку типа «одумайся, сумасшедший!» — пожалуйста, но не более.
Ссылка на NSS Labs смехотворна, ибо методы тестирования более чем сомнительны (http://www.fireeye.com/blog/corporate/2014/04/real-world-vs-lab-testing-the-fireeye-response-to-nss-labs-breach-detection-systems-report.html), а Google прямо заявил о их полной проплаченности Мелкософтом (http://www.pcmag.com/article2/0,2817,2374344,00.asp).
Касательно зловредов — обновляемая Win8.1 + строгая HIPS, браузер Comodo +AdBlock +Disconnect. Ну и разумное игнорирование ссылок типа «ускорьте свой интернет на 2000%».
А как насчет комплексного защитного решения? Оно имеет право решать, можно пользователю идти на зараженный сайт или скачивать зловред? А ваш HIPS имеет право решать, блокировать ли вредоносный файл или пусть себе отработает? :)
По ссылке писал один обиженный результатами прошлого тестирования, обычное дело в любых антивирусных тестах.
А я все ждал, пока кто-нибудь придет да вспомнит тест четырехлетней давности, который Microsoft заказала для проверки эффективности SmartScreen. Цитата из моего комментария в ответ тогдашнему маркетологу Opera:
Я три года назад не делал всяких громких заявлений вроде «глубоко сомнительно», «смехотворно», «проплачено», а придумал свою методику и проверил сам. Вы тоже можете это сделать. Или не можете?
Комплексная защита используется в тех сферах, где безопасность пользователя, от пользователя собственно не зависит да его и не спрашивают — поэтому имеет, конечно же. Мой же HIPS ничего не блокирует и не запрещает без моего ведома и моего на то согласия — чувствуете разницу?
Компания далеко не первый год профессионально занимающаяся защитой информации, вполне аргументированно указала на недостатки тестирования. Если это «обычное дело», то грош цена таким исследованиям.
Методика, насколько понимаю, была примерно такой же как у NSS Labs — что-то придумали, как-то проверили, неизвестно на чем основываясь нарисовали графики и объявили победителя?
Легко! График нарисовать — 2 минуты. Остальное, насколько я понял, в подобных «тестированиях» делать в общем-то необязательно)))
Ничего подобного. Пользователь сам устанавливает какой-нибудь KIS и получает в свое распоряжение помимо прочего фильтр сайтов и файлов, который завязан на облако. Точно так же, как завязаны на него все репутационные фильтры.
Это как? Наверное, он вас спрашивает, блокировать или нет? Ну, так и SmartScreen тоже «спрашивает» — при желании можно запустить файл. Разница в формулировках.
Обычное, конечно. Различные антивирусные вендоры не раз выражали недовольство той или иной тестирующей компанией и отказывались от участния в ее исследованиях. Классический пример — Dr. Web, который по-моему выпилился отовсюду.
Считаю вашу критику неконструктивной ввиду издевательских формулировок и отсутствия встречных предложений.
Если бы только в них… Имеют место лже-срабатывания, дурацкая привычка любой crack записывать в малвари, запись в «неблагонадежные» целых сайтов из-за пары левых подозрительных ссылок и т.д.
И редкая для домохозяек, но сравнительно частая для меня ситуация — иногда нужно, чтобы программа отработала _даже_ при наличии в ней какой-то гадости. И она отработает, а ее попытки куда-то прописаться, угнать пароли или пропатчить то, что не положено HIPS вежливо пошлет.
Конструктивнее она быть не может ввиду отсутствия чего-либо предметного (симпатичную pdf-брошюрку ниочем с парой графиков таковой не считаю). Очень может быть, что и ваша и NSS методики шедевральны, но отсутствие их описания, критика от участников тестирования и вендоров (4 года назад не один Гугл возмущался, Опера с Сафари помнится, тоже были недовольны), а также то что из года в год лидирует «решето, для скачивания интернет-браузера» (с) наводят на невеселые мысли.
1. Ложные срабатывания присущи всем защитным средствам, вопрос лишь в проценте. И вы себя с домохозяйками не сравнивайте, они HIPS не ставят. Я вообще с трудом представляю его на планшете, особенно с учетом тенденции снижения аппаратных требований Windows до 1GB RAM и 16GB дискового пространства. Вот поэтому роль браузеров в блокировке и возрастает…
2. Проигравшие всегда недовольны — поле кривое, судья свистел в одну сторону, и т.д. Между тем, некоторые «проигравшие» (и на этом и есть фокус статьи), ведут серьезную работу в этом направлении, что показывают результаты в тестах все по той же методике. Как только Chrome добьется 99%, Google перестанет быть недовольной :) Про Opera я говорить ничего не буду — эта компания даже стесняется сказать, как она обеспечивает блокировку, а Firefox с Safari в полной зависимости от Google в этом аспекте.
3. Ваши тезисы из разряда «решето не могло победить в тесте» — типичная школьная аргументация. Факт наличия эксплойтов для IE никак не связан с эффективностью SmartScreen.
4. Касательно моей методики, вы занимаете простую позицию — она бессмысленна, поэтому я даже обсуждать ее не хочу. Ок, не обсуждайте мою — предложите свою, я же вас попросил. Повторяю просьбу: допустим, перед вами поставили задачу протестировать этот аспект защиты в браузерах — как вы будете ее решать? Если у вас нет никаких идей, молча проходите в середину вагона.
Вадим, Я не совсем понял ситуацию со Smart Screen, получается что в Windows 8+ любой браузер имеет «тестовые» 99% ? Или защита IE это какой-то другой Smart Screen?
Это тот же SmartScreen, просто предупреждения выводит ОС, а не браузер.
Акей, в случае обсуждения домохозяек — вы правы… Жаль, что современные браузеры создаются для них… и для вас.
Вы определитесь — MS еженедельно закрывает «дырки» или «эксплойты»? Ибо ваша же статистика указывает, что им плевать на взломы, пока корпоративные клиенты (id est, те кто платят деньги) жалобу не напишут.
Не надо строить из себя обиженную девочку — мне как раз очень интересна методика, а не отчеты в pdf.
Не знаю что такое вирусы: Windows 8.1 c автообновлением + UAC + SmrtScreen + AdBlock Pro + Защитник Windows + использование проверенных сайтов. Хотя, наверно, я слишком громко выразился в начале этого поста, ведь безопасность — это процесс.
Кстати насчет Chrome — Google же купил VirusTotal, это хороший источник сэмплов http://blog.virustotal.com/2012/09/an-update-from-virustotal.html
Я все-таки настою на значимости мозга :) По трем причинам:
1. Я всегда знаю момент, когда я буду качать файл для запуска для себя. Я не буду шарить по левым сайтам искать антивирусы и кодеки.
2. Насколько я знаю, пока только с мозгом можно не ставить java в систему, если она не нужна, или удалить ее нафиг вместе с плагинами, которые пробивают в drive-by атаках. А если и оставлять, то в какой-нибудь виртуалке, включаемой при необходимости, не забывая следить за обновлениями. Это касается и другого ПО.
3. Я не доверяю ни антивирусам, ни комплексным системам, т.к. сам видел, как у меня пробивали одновременно и антивирус, и HIPS. В этом плане я совершенно четко понимаю, что точно также не стоит особо доверять blackbox технологии, у которой есть те же самые недостатки, если кто-то будет пробивать целенаправленно. В этом случае все равно человек с мозгом останется один на один с проблемой.
Если вдруг все-таки вышло так, что мне нужна новая программа (хотя это бывает весьма редко, т.к. все нужное уже стоит) или новая версия, то после того, как я скачаю файл с официального сайта (или хранилища, на которое он ссылается), обычно выполняю такой ритуал:
1. После скачки или еще в процессе ищу по сайту хэш суммы. Этот пункт как раз блокирует еще и те дурацкие сайты с кучей ссылок, где непонятно, что качать. Ошибся — получил какой-то левый ехе, ну и ладно, удалил и ищу норм ссылку, а потом проверяю хэш, а лучше 2.
2. Смотрю на наличие цифровой подписи и сертификат.
3. Смотрю репутацию файла в KSN.
4. Впринудиловку все равно сканирую файл с помощью KIS, без разницы, сканился он резидентным модулем или нет.
5. Иду на VirusTotal и скармливаю файл ему.
Если звезды сошлись, файл я запущу.
Мне думается, что правильно писали про вероятности и компьютерную гигиену, про образование еще со школы. И технологии все направлены на защиту масс.
Я сменил Opera на Chrome где-то после 7 лет использования, т.к. разработчики первой явно не обеспечивали нужный уровень защищенности (долго фиксили уязвимости, о которых стало известно публично), Chrome же все время работает над защищенностью своей и пользователя.
Я сменил на KIS связку DrWeb + Outpost (ее пробили и она потребляла слишком много ресурсов).
Но я совершенно четко понимаю, что панацеи нет. Поэтому своим родственникам я точно также поставил KIS и просто приучил к тому, что не стоит запускать exe файлы, не спрашивая меня.
Особенно это актуально в свете тенденции — все чаще вижу высказывания, что факт пробива неминуем, и бОльший интерес представляет то, что вы будете делать, когда ваши средства защиты пробьют.
На других надейся, а сам не плошай. Только мозг.
Гм… только мозг? А как же блокирование фишинга и малвари в браузере, KIS и сканирование файла еще пятью десятками антивирусов на VT? :)
Оно может не стоить ничего в случае таргетированной атаки, ведь от запуска все равно отделяет только мое решение, а информации во всех этих облачных штуках может еще не быть.
Можно сменить инструментарий, заменить продукты на аналогичные, но принципиально одним из самых уязвимых звеньев все равно останется человек.
Не говоря уже о том, что всем надо уметь пользоваться и понимать достоинства и недостатки )
Мира, в котором малварь детектилась 100%, вроде еще нет, поэтому выключать мозг не стоит, полагаясь полностью на других.
А я где-то предлагаю выключать мозг? Между тем, в случае таргетированной атаки вас мозг точно так же не спасет, а вот эшелонированная защита дает шанс.
1 коммент и далее )
т.е. по мне 1 коммент написан вполне разумно, а вы там агрессию устроили )
А я не считаю, что там вполне разумно :) В след. записи объясню.
Фигли так усложнять себе жизнь?)
По файлу итак видно, вирус он или нет. Ну, правда… А если даже и вирус, то бывает хочется запустить со скуки.
Тока не получится. Антивирус даже не даёт загружать такие файлы. Раньше его пробивало. Щаз нет. Ну, по крайней мере, у меня так.
Я тоже был в шоке. Но, как оказалось, такое тоже бывает. :)
Пожалуй, я во многом соглашусь с автором блога. Хотя и займу промежуточную позицию.
Мозг — лучший антивирус. Но он не может работать круглосуточно, в отличие от компьютера или антивирусного ПО, которому, всё равно, 5 часов подряд оно ловило вирусы или 10.
Так или иначе, те же Java-эксплойты могут вылезать в самых неожиданных местах Интернета. Поэтому защита в реальном времени необходима. При этом, как я понял, Java — одна большая дыра. И тем не менее, она нужна для некоторого софта.
Добрый день, Вадим!
Большое спасибо за ваш блог, за советы.
Хочу добавить лишь одно. Ваши высказывания и даже публикации являются чрезмерно противоречивыми. Вы жестко навязываете именно свою точку зрения, дискутируете с читателями блога, доказывая свою правоту.
«Я в блоге объясняю грамотный и комплексный подход к обеспечению безопасности.»
Многие грамотные люди осуждают эти заявления. И им смешно читать советы, основанные на рекомендациях Microsoft. Эти рекомендации даны для обычных пользователей, у которых не достаточно опыта, чтоб анализировать мозгом происходящее. И в таком случае, даже если они установят резидентный фаервол и антивирус, будут выполнять обновления и все-все рекомендации, то рано или поздно все равно могут поймать угрозу, например, зловредный руткит.
Вы же, Вадим, всерьез настаиваете на своей правоте. Наверное, нужно просто дать выбор читателям, они сами решат, что и как им делать. А лучше всего подходить к решению вопроса с нескольких сторон, не основываясь на не авторитетных для многих читателей рекомендациях Microsoft.
Я сам недавно опробовал новшества безопасности windows 8.1. Хочу отметить, что не ожидал такого высокого результата и скорости работы. И даже могу сделать вывод, что для многих продвинутых пользователей встроенной защиты будет достаточно. Windows 8.1, вероятно, стала самой безопасной ОС для пользователей (из семейства Windows).
Алексей, откомментирую некоторые моменты :)
Напротив, я весьма последователен в своих записях и комментариях. Да, мой подход и тем более мнение могут не совпадать с большинством читателей, но это не делает их неправильными или противоречивыми.
А что именно вы считаете противоречивым? Я вот считаю таковым в вашем комментарии то, что вы с одной стороны советуете мне не основываться на рекомендациях Microsoft, а с другой заявляете, что в Windows 8 встроенной защиты достаточно даже для продвинутых, а ОС стала самой безопасной Windows. Так включенная встроенная защита и есть рекомендации Microsoft :)
Я отстаиваю свою точку зрения (почувствуйте разницу), в полном соответствии с философией этого блога.
А мне смешно, что вы называете этих людей грамотными :)
То есть вам, Алексей, интереснее было бы читать блог некого бесхребетного автора, который сначала делает заявления, а потом в комментариях дезавуирует их или вовсе берет слова назад? У читателей же и так есть выбор, я к ним в компьютеры не влезаю со своим подходом.
См. также О роли головного мозга в защите операционной системы (осторожно, статья помечена тегом «мнение» :)
Да, вы в большей степени правы.
Хотелось бы все-таки побольше информации о защите против malware, spyware, rootkit. Антивирусы пропускают многие из таких угроз.
Да и о списках рекламы в ie (аналог adblock я так понимаю…)
И в чем же заключается моя неправота в меньшей степени?
Альтернатива: SRP или AppLocker
Настройка списков защиты от слежения в Internet Explorer
Хотелось? Читайте, настраивайте…
Использую браузер Maxthon + включенные в Win 8.1 стандартные средства защиты + мозг и опыт…
Есть у меня негативный опыт работы с google хромом, когда он нашу разработку за неизвестную мальвару принимал и блокировал загрузку. Пришлось использовать методы обхода детекта ибо достучаться и доказать ложное срабатывание практически невозможно.
Поэтому есть довольно двойственное отношение к подобным «фичам». С одной стороны отпугнет новичка от опасного сайта, а вот с другой:
1. Подобную защиту довольно легко обойти;
2. Решить проблемы с ложными срабатываниями довольно сложно
3. Дает чувство ложной защищенности
4. Довольно медленное реагирование на возникшие угрозы (пока бот пощупает сайт, может пройти довольно много времени).
По моему скромному мнению, подобные задачи должны АВ компании, а разработчики браузеров должны пользоваться плодами их труда и не выдумывать велосипед.
О защите, увы (или ура) на домашней машине (win 8.1 x64) у меня работает связка «защитник windows» и SafenSoft SysWatch который работает по принципу белого списка, все недоверенное запускается в песочнице.