В обсуждении предыдущей записи некоторые читатели акцентировали внимание на своем главном оружии в борьбе с вредоносным ПО – мозге. Это отличный повод отдельно обсудить его назначение!
Это мой велошлем
Ряд комментаторов, кажется, сделал вывод о том, что я отрицаю роль мозга в обеспечении безопасности или даже предлагаю заменить его на эшелонированную защиту ОС, хотя я вроде не давал к этому никаких оснований. Однако более интересный вопрос в том, где каждый из нас проводит границу между наличием и отсутствием мозга в контексте безопасности системы.
Предлагаю начать с основ, однако.
[+] Сегодня в программе
Что рекомендует Microsoft
Я уже не раз указывал в блоге на самый простой способ определить, насколько уровень вашей защиты соответствует рекомендациям Microsoft по обеспечению безопасности Windows. Откройте центр безопасности Windows 10, либо в предыдущих ОС найдите в панели управления центр поддержки (action center) и посмотрите узел «Безопасность». Если ваша защита ниже рекомендуемого уровня, вы сразу увидите предупреждение.
Давайте разберем основные составляющие рекомендаций Microsoft по защите Windows.
Windows Update
Центр обновления работает в двух направлениях. С одной стороны, своевременное обновление системы закрывает уязвимости, делая бесполезными их эксплойты.
Среди читателей этого блога 67% владельцев Windows 7 не устанавливают обновления в рекомендуемом автоматическом режиме, тем самым повышая риск эксплуатации уязвимостей.
С другой стороны, и об этом нередко забывают, WU — это не только канал доставки сигнатур встроенного в Windows антивируса, но и ежемесячное сканирование MSRT на предмет распространенных «зловредов». Даже если у вас установлен сторонний антивирус, в такой проверке кроме пользы нет вреда.
Антивирус
Обнаружение и нейтрализация вредоносных программ возлагаются на антивирус, защита которого должна работать в реальном времени. Если MSRT ни разу не обнаружила ее во время своих запусков, Microsoft считает такой ПК незащищенным на протяжении квартала. Компьютеры считаются иногда защищенными, если один или два запуска MSRT из трех выявили защиту в реальном времени.
Системы без рекомендуемой защиты заражаются намного чаще.
В третьем квартале 2013 года у ПК с резидентным антивирусом уровень заражений был в 6.7 раза ниже, чем у не имеющих защиты, и в 5.4 раза ниже, чем у защищенных лишь время от времени. В четвертом квартале соотношение не столь велико (о причинах общего роста уровня заражений читайте на стр. 42 SIR Volume 16), но разница все равно видна невооруженным глазом.
«Переименовав» MSE в Defender и встроив его в Windows 8, Microsoft даже отказалась от сканирования по требованию, исходя из того, что проверка все равно выполняется при обращении к файлам. Кроме того, в Windows 8.1 Defender обзавелся сканированием сетевого трафика.
Брандмауэр
Основная задача встроенного брандмауэра заключается в блокировании сетевых червей. Впервые Microsoft сделала его включенным по умолчанию в Windows XP SP2 (2004 г), положив конец эпидемиями червей, свирепствовавшим в начале века.
Однако черви и по сей день входят в тройку самых популярных категорий угроз в мире.
В 4 кв. 2013 года в России с ними сталкивалось 4.2% процента ПК, что не так уж мало. Поэтому брандмауэр не для галочки.
SmartScreen
Фильтр препятствует посещению фишинговых сайтов и запуску загруженных из Интернета вредоносных программ, используя репутацию ссылок и файлов. Технология, изначально появившаяся в Internet Explorer, теперь встроена в Windows 8+ и может блокировать запуск файлов, скачанных в любом браузере.
Во второй половине 2013 года Россия и Украина отметились вместе или по отдельности в тройках мировых «лидеров» по концентрации сайтов:
- распространяющих вредоносное ПО
- загружающих эксплойты на компьютеры жертв (drive-by download)
- разводящих жертв на деньги
Применяя фильтрацию сайтов и файлов, вы с меньшей вероятностью станете жертвой злоумышленников.
Контроль учетных записей
Работа с включенным UAC максимально приближает аккаунт администратора к стандартной учетной записи. UAC выполняет информационную роль, предупреждая о любых попытках приложений повысить права, в том числе и несанкционированных.
Заметьте, что список выше обозначает уровень защиты, а не требование пользоваться исключительно решениями Microsoft. Хотите установить сторонний антивирус или фаервол? Нет проблем! Центр безопасности не выдаст никаких предупреждений, если защитная программа совместима с Windows.
В любом случае, рекомендациям нужно следовать потому, что в противном случае изготовитель Windows считает работу в ней небезопасной.
В чем смысл рекомендуемой защиты
Параметры центра безопасности обозначают минимально необходимый уровень защиты, и любое его повышение только приветствуется.
Вовсе необязательно быть семи пядей во лбу, чтобы добавить в браузер анти-фишинговое дополнение, установить комплексное защитное решение или пользоваться песочницей.
Идея эшелонированной защиты в том, чтобы создавать череду препятствий для выполнения и эксплуатации вредоносного кода, а также устранять последствия заражения, если таковое произошло.
На практике это может выглядеть так.
- Пользователь скачал файл, но репутационный фильтр не среагировал.
- При обращении к файлу сработал антивирус, но не увидел угрозы.
- Появилось предупреждение UAC (если «зловреду» понадобились полные права).
- Пользователь одобрил запрос UAC и вредоносный код запустился.
- Установленное автоматически обновление свело на нет цель эксплойта.
- Если обновления не было, в течение месяца MSRT зачистит популярного «зловреда».
Каждый элемент защиты снижает риск заражения! Вы скажете, что нулевым пунктом этого списка должен идти мозг? Я согласен, но все дело в нюансах.
Является ли мозг элементом защиты
Безусловно, он ведь у нас всегда работает, определяя безопасность сайта или файла на основе накопленного опыта еще до того, как в дело вступают любые программные средства. Но всегда ли он работает безупречно? Мозг может устать или просто отвлечься на что-то другое в самый важный момент.
Вы разве никогда в жизни не нажимали на «левые» ссылки для загрузки в каталогах ПО или даже официальных сайтах программ?
В такие моменты ваш мозг подводил вас, хотя я уверен, что вы быстро спохватывались и находили правильную ссылку. А потом вы ставили программу и забывали снять галочку — бывало ведь такое?
А если допустим, что ваш очень опытный в компьютерных делах друг, который объективно знает о Windows больше вас, прислал вам короткую ссылку со смайликом в IM-клиенте или социальной сети.
Вы нажмете на ссылку? Конечно, ведь вы доверяете знаниям и опыту друга, там точно что-то смешное!
Смешно будет, когда выяснится, что система или аккаунт друга скомпрометированы, а ссылка ведет на сайт, распространяющий вредоносное ПО. Ваш мозг снова подвел вас на мгновение, а заработал только в тот момент, когда вы оказались на подозрительном сайте. Но вы уже можете занести себе в пассив, что повелись на уловки социальной инженерии, с помощью которой активно распространяются «зловреды».
В четвертом квартале 2013 года Россия стала мировым «лидером» по проценту компьютеров, зараженных вымогательскими программами, в т.ч. «блокерами».
Microsoft собирает процент ПК, столкнувшихся с вредоносным ПО (encounter rate), с помощью своих антивирусов, а уровень заражений на тысячу ПК (CCM) определяет с помощью MSRT.
|
Страна |
Столкновения (% от всех ПК) |
Заражения (число на 1000 ПК) |
||
| 3 кв. 2013 г. | 4 кв. 2013 г. | 3 кв. 2013 г. | 4 кв. 2013 г. | |
| Россия | 30.11% | 25.81% | 4.7 | 12.3 |
| Украина | 34.97% | 32.43% | 6.9 | 15.5 |
| Беларусь | 36.46% | 33.34% | 7.4 | 16.6 |
| Казахстан | 40.83% | 38.56% | 12.4 | 25.9 |
Конечно, в столбец «Заражения» попадают исключительно школьники, домохозяйки и прочие лузеры. У вас-то мозг просто не допустит, чтобы ваша система пополнила этот список. А какая у вас защита кроме мозга?
Где проходит граница между отсутствием и наличием мозга
Каждый определяет эту границу сам. Я придерживаюсь мнения, что наличие мозга не отменяет необходимости в защитных средствах и не обосновывает игнорирование рекомендаций изготовителя ПО. Графически я представляю это так.
Да, у меня граница проходит по центру безопасности.
Если вы не обеспечиваете минимальный уровень безопасности, рекомендуемый изготовителем программного продукта, я считаю это свидетельством недостатка мозгов в контексте защиты.
Только не надо напрягаться и воспринимать это заявление как личное оскорбление – я одинаково уважительно отношусь ко всем читателям, и считаю аудиторию этого блога весьма интеллектуальной. Однако утверждения, что мозг является вашим основным защитным средством, я оцениваю помощью центра безопасности.
Конечно, из правил бывают исключения — некоторые люди настолько усиливают защиту, что необходимость в отдельных рекомендуемых компонентах отпадает. Но ключевое слово тут «усиливают», т.е. они обеспечивают безопасность Windows на более высоком уровне, чем рекомендует Microsoft.
Почему профессиональные велосипедисты ездят в шлемах
Сходу напрашивается такой ответ: они гоняют очень быстро или экстремально, поэтому им нужен шлем. Но ведь даже на небольшой скорости с велосипеда можно упасть (причем необязательно по своей вине) и удариться головой об асфальт или поребрик.
Профессионалы считают, что шлем снижает риск получить сотрясение мозга или тяжелую черепно-мозговую травму вне зависимости от навыков и опыта.
С операционными системами та же ситуация — каждый эшелон защиты снижает риск заражения и эксплуатации уязвимости вне зависимости от версии прокладки между креслом и клавиатурой.
Особо придирчивые читатели не преминут отметить, что в отличие от падения с велосипеда, компрометация ОС не несет угрозы человеческому здоровью. Это так, но если вы допускаете возможность заражения системы по причине своей недостаточной защиты, то разговора о мозге в этом контексте у нас с вами не получится…
Можно ли ездить без шлема
Почему нет? Вас ведь никто физически не заставляет его надевать.
Можно 30 лет катать без шлема, и лишь однажды удариться затылком об асфальт. Можно никогда не пристегиваться ремнем безопасности в автомобиле, а пробить головой лобовое стекло только один раз.
В форуме Windows XP участник, никогда не ставящий антивирус и обновления, предлагал мне посмотреть логи его системы, чтобы убедиться в ее чистоте. А в комментариях к прошлой записи читатель Александр держал пари, что я не заражусь в Firefox на XP без антивируса.
Однако я всегда езжу в шлеме и всегда пристегиваюсь! И да, я на своем опыте оценил пользу этих мер безопасности.
В комментариях меня также спрашивали, становился ли я жертвой заражения. Я не смог припомнить таких случаев, по крайней мере в последние 10-12 лет их точно не было. Но дело тут не в том, что у меня есть определенный опыт, позволяющий отфильтровать угрозы работой мозга. Она имеет место быть, но…
Все эти годы я еще и следую рекомендациям изготовителей программных продуктов, обеспечивая надлежащий уровень безопасности. Для меня это является неотъемлемой частью работы мозга, понимаете?
Поэтому я не хочу даже пробовать работать в устаревшей операционной системе, да еще с искусственно ослабленной защитой, ибо это повышает риск заражения. Мой мозг подсказывает мне, что такая работа небезопасна! А вам?
А у вас есть мозг?
В комментариях к сравнительному тесту браузеров меня порадовало, что многие читатели не просто обеспечивают рекомендуемый уровень защиты, но еще и повышают его. Однако ответственно к безопасности своей системы относятся далеко не все. Сравните комментарии двух читателей.
Андрей: Мой эшелон защиты: Яндекс.DNS, Chrome (ABP, TrafficLight, Ghostery), Norton Internet Security.
Владимир: Мне мозг помогает, сижу без антивира, пользуюсь хромом.
Какой из этих путей вы бы посоветовали близким вам людям? Или вы будете рекомендовать им мощную защиту, не обеспечивая себе даже минимальную? :) Между тем, все мои рекомендации в блоге основаны на личном опыте, и если я советую всегда придерживаться хотя бы необходимого минимума защиты, то и сам поступаю именно так.
А как у вас обстоят дела? В комментариях, пожалуйста:
- Напишите, какой пункт вы выбрали в голосовании.
- Опубликуйте ссылку на скриншот центра безопасности или поддержки, залитый на любой хостинг картинок. Если там видны предупреждения, объясните, почему вы не устраняете их.
Опрос убран, т.к. веб-сервис опросов прекратил существование.
White Hat Detected ;D
Небольшой оффтоп: из любопытства подписался на комментарии к данной записи, приходит примерно треть из добавленных сообщений, остальные где-то теряются. Со стороны моей почты проблемы быть не должно, по запросу провайдер полностью отключал фильтрацию писем
Ок, я послежу.
И еще по данной теме — в форуме очень неудобно отслеживать новые пОсты, если только они не добавляются в хвост. Приходится рыскать по всем записям, ориентируясь на даты, что занимает много времени.
Нельзя ли как-то упорядочить это дело?
Подтверждаю. Иногда придёт письмо, что есть новое сообщение, зайдёшь сюда — а тут уже пару килобайт нафлудили.
Заканчивайте оффтоп, плиз. Для пожеланий и замечаний есть форма обратной связи.
Правильно ли я выбрал пункт 2?
В «Центре поддержки»:
• Windows Update: уведомления;
• Firewall: не контролируется;
• Защита от вирусов: не контролируется;
• Windows Defender: включено;
• Параметры безопасности Интернета: вкл;
• UAC: off;
• NAP: off.
При этом:
• Windows 7 с ручной установкой обновлений, но, как правило, всех и в тот же день, как они приходят;
• стационарная машина, по проводу, с постоянным адресом, за роутером, где включен фаейрволл, причем снаружи к ней можно установить TCP-соединение на единственный нестандартный порт;
• автозапуск с любых носителей отключен;
• основной броузер — автообновляемый Firefox ESR с Adblock и Web Developer;
• ActiveX в IE 10 разрешен только для надежных сайтов;
• количество регулярно посещаемых сайтов весьма невелико;
• почтовый клиент, показывающий kludges по Ctrl-Shift-K;
• знание списка выполняемых файлов (bat, cmd, com, exe, hta, msi, msu, ps1);
• в трее висит «Process explorer» с индикацией CPU, Memory, Disk, IO;
• раз в несколько месяцев запускаю CureIT.
• сижу под админом, домочадцы и гости с правами гостя.
Это уж вам решать :)
Картинка про горшки с Г- Супер! ))
Да, это подарок суровых MVP :)
Здравствуйте Вадим. Отличные советы. Сам работаю системным администратором, плюс подрабатываю. Всем людям ставлю связку: постоянные обновления+брандмауэр+UAC+MSE с проверкой по расписанию. На браузере AddBlock+WOT+DrWeb LinkChecker. За годы работы ни у кого из клиентов не возникло проблем. Те клиенты которые наотрез не хотят покупать лицензию Windows, настоятельно рекомендую хотя бы купить антивирус, будь то DrWeb или Kaspersky. Как правило соглашаются. На работе внедрил корпоративный DrWeb. Управляю всеми ПК через веб-интерфейс. Бухгалтерию подсадил только на IE, поскольку рисковать не собираюсь. Удачи вам в вашем не легком труде,очень полезные и нужные советы.
Алекс, спасибо за отклик. Занятно, как резко контрастирует он с отправленным одновременно комментарием вашего тезки в параллельной записи :)
Вадим таких специалистов каждый второй. Самое интересное, есть у MS академия, где можно совершенно бесплатно смотреть лекции или слушать, и затем выполнять задания. Ну ленитесь вы читать ну хоть послушайте что специалисты говорят,но нет же мы будет назло всем стандартам и рекомендациям делать как захотим. Я вот тут тоже воюю с человеком,он там методику свою разработал, без антивирусную так сказать и людям по ушам катает. Если интересно,вот:http://www.youtube.com/watch?v=9iuUfniQ9v0&list=UUgMHLY8r-r1rCSt_xLoezxQ сразу переключайтесь про речь об антивирусах. И это пишет и говорит человек с хорошей посещаемостью на сайте.
Алекс, так курсы MVA тоже построены на стандартных рекомендациях, а создают их сотрудники MSFT или независимые эксперты (MVP). Какое отношение будет к этим материалам?
Процитирую себя любимого:
То же самое можно сказать и об отношении к продуктам Microsoft ряда пользователей — они педалируют темы типа «винда дырявая», но при этом почему-то пишут это из-под Windows, в которой работают ежедневно. Соответственно, такая риторика вкупе с безграмотными практиками использования Windows (в т.ч. небезопасными) находит отклик у аудитории, находящейся на пике по вертикальной оси диаграммы Даннинга-Крюгера :)
Что же касается распространения неграмотных советов на широкую аудиторию, пусть это остается на совести людей, которые этим занимаются (безотносительно вашей ссылки).
Все правильно говорите. Вся соль в том что половина этих самых «спецов» рано или поздно начинают пробовать *unix системы,и точно такой же хаос начинают поднимать на форумах *unix. Все плохо,ничего не работает,система плохая и т.д. Сидят на пиратке, так еще и начинают нести чушь о том что Microsoft чуть ли не специально вирусы в их комп стадом загоняют. На мой взгляд, народ просто не хочет развиваться,они уткнулись в windows xp,и все. Всякие UAC,Defender,Центр поддержки и прочие внедрения начина с Vista,они просто не хотят изучить,понять для чего и зачем. Им все время кажется что MSE это просто вообще не антивирус,брандмауэр для галочки,центр поддержки вообще назойливый комар,а UAC это просто сама смерть. Я уж молчу про то что великое множество пользователей косит восстановление системы,как не нужную службу,забирающую кучу места и памяти :) А потом при крахе лезут на форумы и начинается….
На личном ноутбуке отказался от ПО защиты сторонних производителей, тем самым повышая производительность. Стоит 8.1, работает встроенный файрвол, встроенный антивирус и автоматическое обновление. В основном защищает именно мозг и пока не разу не подводил.
Качаю все в основном с трекеров, которые требуют регистрацию и следят за рейтингом пользователей. Это конечно не защита :) но все безопасней чем с открытых трекеров тянуть.
Если вдруг возникает подозрение на файл, проверяю его в VirusTotal
Спасибо, Вадим, за интересный блог. Выбрал первый пункт.
Когда-то я был как раз пользователем из разряда — «Есть антивирус, а больше ничего не надо». Но, только вот часто моя система просто «умирала» от обилия зловредов и их вредоносной деятельности. Каждые три месяца переустанавливал и платил немалые деньги за лицензионный «комбайн» в коробке. Ну, явно был на левой стороне на вашей диаграмме. Потом мне это все надоело и я решил повысить свою грамотность в плане безопасности компьютера. И начал с так всеми нелюбимой («кушает» часть ресурсов ОЗУ) «Справки», встроенной в Windows. Будете смеяться, но я даже не знал, что систему оказывается нужно обновлять и весь софт тоже нужно обновлять, что апгрейд просто необходим в плане безопасности. Мне казалось: поставил — и забыл. А оказалось не так. Так вот именно «Справка» и помогла мне настроить все как рекомендует Майкрософт, то есть «Все включено», и в Центре безопасности у меня полный порядок. Я с удивлением узнал, что существуют оказывается бесплатные антивирусы, а не только в магазинах в коробках. Скачал и самостоятельно настроил на максимум защиты отличный антивирус — Avast Free. Очень доволен работой моего любимого браузера IE 11, который также настроил по всем рекомендуемым параметрам и усилил плагинами WOT и AdGuard. Кроме того узнал о замечательных программах-«песочницах» и теперь настроил и пользуюсь одной из самых популярных — Sandboxie. Одного антивируса сейчас, пожалуй, недостаточно для защиты компьютера и у меня на компе непременно стоят всегда обновленные защитники — MBAM, HitmanPro и EEK. Кроме того в качестве дополнительного защитного средства установлен HitmanPro Alert 3. Радует, что несмотря на все это система просто «летает», никаких зависаний, конфликтов, и это всего при 2 Гб оперативки.
Желаю вам всего доброго и новых интересных статей.
Спасибо за развернутый комментарий. Впредь рекомендую разбивать текст на абзацы для легкости восприятия.
Немного каверзный вопрос, но как вы, Вадим, относитесь к таким «факапам» Microsoft’а, когда некоторая часть пользователей после обновления Windows может получить нерабочий ПК?
http://answers.microsoft.com/en-us/windows/forum/windows_7-windows_update/blue-screen-stop-0x50-after-applying-update/6da4d264-02d8-458e-89e2-a78fe68766fd
Со своей стороны: я, конечно, уже давно не их тех, кто просто так забьёт на обновления, встретив какой-нибудь косяк из этого разряда (всем свойственно ошибаться), но ведь, увы, не все такие…
Александр, я бы сформулировал это как недостаточно тщательное тестирование. А с формулировкой «факап» я не согласен, ибо как только проблема стала вскрываться на большой пользовательской базе, обновления отозвали. Другими словами, компания не бездействует, а предпринимает действия по локализации и устранению проблемы.
Отношусь же я к этому просто — у меня включена защита системы, и я всем советую не отключать ее в каждой третьей записи блога. Потому что она чудесно откатывает именно в таких ситуациях. Проблемы тех, кто отключает ВС (и WU по какой-бы то ни было причине), меня не особо волнуют, честно говоря. Они сами залезли в левую часть диаграммы…
Я конечно понимаю, что принципиально не выполняю рекоммендации Майкрософт.
Мои действия имеют фатальный недостаток. Я использую Убунту.
Так куда записать себя? В умные или красивые? :)
В тролли
Зря вы считаете пользователей линукса тролями. Ещё чуть чуть и новая холодная война переведёт всех на болженос и прочие разновиднсти линукса. А те кто пользуется американским виндовсом, будут считаься врагами народа.
А если серьёзно, то что вам не нравится в решении вопроса безопасности на принципиально другом уровне?
Сергей, я не считаю пользователей линукса троллями. Я считаю троллями тех пользователей линукса, которые приходят в блог о Windows и оставляют к записи о Windows комментарий, который гласит, что они пользуются линукс. Идите с миром.
эх…. давно не заходил на Ваш блог. А тут статья для «домохозяек». имхо, для меня все это очевидно.
естественно, что мозг отвечает за все. кто-то тем же мозгом выбрал Linux и в большинстве случаев не парится об описанных угрозах.
Вадим, очень печально, что Вы пытаетесь писать статьи в некомпетентных темах… а я ведь перечитываю Вашу статью о миграции на SSD как добрую сказку на ночь.
Приятных Вам выходных )
Статья для пользователей Windows, и многим необходимость базовой защиты неочевидна, в т.ч. ввиду слишком развитого мозга.
Тема не может быть некомпетентной. Если вы сочли, что моей компетенции недостаточно для этой темы, следовало указать на конкретные ошибки.
Да, там две простые команды imagex, для детей как раз.
Всем спасибо за обсуждение.