На антивирусы полагаться нельзя

[SDA]

Инерционная сущность индустрии IT-безопасности уже хорошо известна. Она ставит защищающуюся сторону в невыгодное по сравнению с атакующими положение. К сожалению, есть и еще одна проблема, решить которую очень непросто. Она заключается в том, что научить антивирус реагировать на новые угрозы, не допуская при этом ложных срабатываний весьма нелегко. И хотя в теории современным антивирусам удалось добиться кое-каких успехов на этом поприще, исследование, проведенное старшим аналитиком FireEye Стюартом Стенифордом, еще раз наглядно демонстрирует, что в тех неводах, которыми мы ловим вирусы, гораздо больше прорех, чем все привыкли думать.

Чтобы быть до конца объективными, сразу уточним, что компания FireEye тоже продает решения в области безопасности, а сам Стюарт Стенифорд работает в ней старшим научным сотрудником. Поэтому рассматривать результаты проделанной им работы стоит с некоторой осторожностью, хотя свою принадлежность к конкретному разработчику Стенифорд и не думает скрывать, а используемая их методика тестирования подробно изложена в блоге.

Согласно его изысканиям, антивирусные решения, предлагаемые FireEye, начинают обнаруживать новое вредоносное ПО примерно в то же самое время, как его коды появляются на VirusTotal. К сожалению, промежуток времени, который проходит между обнаружением VirusTotal новых хэшей и моментом появления соответствующих сигнатур в большинстве антивирусов, можно назвать удручающе большим.

Согласно результатам проведенного исследования, лишь 40% антивирусных продуктов начинают обнаруживать новые угрозы в течение трех дней с момента их появления в Интернете. С течением времени этот процент существенно возрастает, однако стопроцентного результата добиться не удается даже спустя месяцы после появления угроз. Последствия таких задержек могут быть весьма серьезными, поскольку в первые дни после своего появления вредоносное ПО гуляет по Сети практически безнаказанно.

xakep.ru

[sewell]

По моим собственным оценкам, если антивирь без встроенного HIPS - то его благонадежность не может превысить 50-60%. Если с достойным HIPS - то 80-90%. А лучше, ИМХО, использовать антивирь + отдельный HIPS + файервол. Только это сможет довести верояность нового заражения до более благовидных величин... Но даже 99% уровня безопастности не даст ничто...

[Firza]

Но даже 99% уровня безопастности не даст ничто...

Ну почему же? Я например в своей системе безопасности, на Windows XP, уверен на все 100% - не сегодня, не завтра, не через год мой компьютер не заразится вирусам.И нет в моем компьютере не антивируса, не HIPS, не продвинутого firewall, есть только то что уже встроена в самой Windows.

[amistad-dm]

есть только то что уже встроена в самой Windows.

это как так?

[VV2006]

Уверенность - не гарантия безопасности, чаще и скорее даже наоборот - одна из причин заблуждений в реальной оценке уровня безопасности.
Верить нельзя никому. Даже себе. Мне - можно. (с)

[sewell]

Ну почему же? Я например в своей системе безопасности, на Windows XP, уверен на все 100% - не сегодня, не завтра, не через год мой компьютер не заразится вирусам.И нет в моем компьютере не антивируса, не HIPS, не продвинутого firewall, есть только то что уже встроена в самой Windows.

По поводу этого даже шутка ходила когда-то: 100% гарантии не даст даже Госстрах. И Вы считаете что в Майкрософте работают люди, которые никогда не ошибаются? Человек создан для ошибки, ИМХО.

[Cmeliy]

Достаточно обновлять ОС и иметь фаерволл - это защитит от самого быстрого заражения aka червя. А на счет другой малвари и т.д., то не стоит лазить где попало

[Firza]

это как так?

Да, в самой Windows XP уже встроено достаточна средств для обеспечение компьютерной безопасности. Надо просто поразмыслить с другого конца, и выяснить причину, почему на одной OS, есть так много вирусов, а других их мало или нет вообще. А вывод получается такой, что вирусов много там, где у пользователя слишком много прав. Чем меньше прав, тем меньше вирусов. То есть, защищенность других OS основывается не на том, что вирус (вредоносную программу) невозможно написать, на том, что вирус сложно (невозможно) запустить.


Вот моя 100% защита:

1. Не работать с правами Administrator без особой необходимости. Не устанавливать программы неизвестного происхождение с правами Administrator. Основная учетная запись с правами Limited User
2. В Sofware Restriction Policies уровень безопасности по умолчанию – Disallowed. То есть, разрешен запуск только тех программ, которые находятся в папках %SystemRoot% и %ProgrammFiles%.
3. Для еще большее надежности, пользователь правами Limited User, не имеет прав добавлять новые записи в свой StartUp.
4. firewall – любой

И это все, больше в компьютере нет никаких защитных программ (даже антивируса), есть только то что заложено в самом Windows.
Я долго думал и так и не смог придумать, как в такой конфигурации заразить компьютер вирусом? Может у кого-то на этот повод есть какие не будь предложение? Предложение, скачать и запусти какой не будь EXE вирус не принимается, потому что мне нет прав не запуск не установленных программ, а запускать неизвестную программу с правами Administrator, я не собираюсь.

P.S. Данная конфигурация компьютера у меня уже 2 года, а правила - не работать с правами Administrator без особой необходимости, я придерживаюсь года 4.

[maXmo]

Я долго думал и так и не смог придумать, как в такой конфигурации заразить компьютер вирусом? Может у кого-то на этот повод есть какие не будь предложение?

Есть идея, ща проверю

[sewell]

То есть, защищенность других OS основывается не на том, что вирус (вредоносную программу) невозможно написать, на том, что вирус сложно (невозможно) запустить.

А вот здесь и ошибочка... Вирус не должен быть обязательно программой в общепринятом виде, которую можно "пощупать". А атаки, направленные на переполнение буфера в обход пресловутой DEP? А черви, которые могут вообще не писаться на диск и в автозагрузки? А атаки проводимые прямо из сети и.т.д.?
Ваши меры защиты достаточно весомы, но они отнюдь не безупречны. А тем более комфортность работы в такой ОС очень сомнительна, ИМХО.

[megadat]

Firza, ну не знаю. сидеть постоянно со связанными руками и ногами...это как-то малоинтересно... ходить только по проторенным дорожкам в интернете и полагаться на виндовс?
заплатки выходят к ней уже по состоянию свершившего факта обнаружения уязвимости и массовых страдании пользователей. антивирусы конечно тоже не реагируют в момент зарождения дички, но пара тройка часов и все будет
ограниченная учетка? вы думаете она не на виндовс находится, и вы считаете, что вирусорисователи не знают о прижившейся тенденции проводить много время под ограниченными учетками массы пользователей?
и сеть. от неё никуда не деться. стена виндовса или плохо справляется, или никак с некоторыми моментами, которые могут прийти именно из сети. конечно, потом выпустят заплаты очердные, но это будет потом.
вы уверены, что никогда и никак ваш компьютер не подвергался никаким неприятностям? откуда такая уверенность? не вижу, значит нету?

[zerocorporated]

антивирусы конечно тоже не реагируют в момент зарождения дички, но пара тройка часов и все будет

Вы переоцениваете возможности "анти" средств. В раздел "Помогите" зайдите и уведете как эта "пара тройка часов" проявляется на практике...

ограниченная учетка? вы думаете она не на виндовс находится, и вы считаете, что вирусорисователи не знают о прижившейся тенденции проводить много время под ограниченными учетками массы пользователей?

Часто приводят такое высказывание "Если голова болит лучше её отрубить", на самом деле его вот так можно правильно сказать "Если голова приносит больше неудач чем побед её лучше отрубить".

стена виндовса или плохо справляется, или никак с некоторыми моментами, которые могут прийти именно из сети.

Интересно было бы послушать чем отличается встроенный в windows файервол от comodo или Outpost к примеру при фильтрации входящего трафика...

[megadat]

Вы переоцениваете возможности "анти" средств.

ни в коем случае. анти средства - это не более чем растяжка по периметру; что наступает, что переступает, а что обходит.
а раздел помогите...всегда важен момент из-за которого пополняется раздел . ведь можно и ограниченной учеткой "взять" на борт "повод" для раздела помогите. авз считает сервис виндовс по переключению пользователей вредным для здоровья
самое интересное, что такое я уже видела, от этого и утратила веру в ограниченную учетку, как в панацею от всех бед

"Если голова приносит больше неудач чем побед её лучше отрубить".

ещё можно выдернуть шнур и выдавить стекло.

к примеру при фильтрации входящего трафика...

тут порадовать не смогу чем-то оригинальным, ибо реакция на фаервол у меня именно идет по исходящему трафику. вошло так вошло, от слова вошло панацеи нет, а вот интересней чтоб не вышло, то что вошло. вот в этом направлении хотелось бы найти панацею...
я не знаю. может быть во многом не права, но все равно не считаю, что отрезанные руки, ноги и головы есть выход из всех проблем. такая хирургия конечно повышает уровень снижения "необдуманных шагов", но если четко знать какие шаги можно делать какие нет, то наверное можно было бы не быть у себя на компьютере незваным гостем

[maXmo]

вошло так вошло, от слова вошло панацеи нет, а вот интересней чтоб не вышло, то что вошло.

где ж оно интереснее-то? Зверьё и без выхода может порезвиться как угодно, тем более с админскими правами. А резалка всех исходящих – это руки, связанные потуже, чем в ограниченной учётке.

[megadat]

Зверьё и без выхода может порезвиться как угодно

ну не знаю. звери, начиненные деструкторами попадались редко. и резвость всегда зависит от миссии.

А резалка всех исходящих

не резалка, а контроль. разные вещи.
в одном случае, я контролирую, в другом - меня, чтоб вдруг ничего плохого не случилось
мне часто приходится тестить "разное" и всегда почти надо админские права. у меня другой выход, чтоб не связывать себе руки, ноги, чтоб не рубить головы и не выдергивать шнур - пользую для сомнительных дел "снимки" системы, сформированные так, что там брать нечего в случае чего, а вот покопаться интересно. в общем не использую "живую" винду для дел сомнительных. )

[maXmo]

не резалка, а контроль.

самообучение, что ли? Это ещё хуже.