» Kaspersky Anti-Hacker

grnic

> ОЧЕНЬ волнует вопрос с обновлением приложений, не могли бы Вы прояснить ситуацию
Предложите, плиз, как бы Вы хотели видеть реализацию этого аспекта?
думаю как и простой экспорт логов > чтонить типа полу текстовой полу бинарный файл > правила видны как текст а сигнатуры IDSa as binary..


Цитата:

Да, мы это планируем.. Но не в ближайшем паблике. Сейчас мы чуть притормозили здесь на предпроцессорах snort'а

Да не проблема Коля Главное что в планах есть..

PS: @ssxp.net mail glan svoy..

Добавлено:
ПС.... советую зделать четкое разделение между IDS (detection system aka notice user) and IPS(prevention system aka drop packet)

Добрый день всем.

К сожалению, следующая публичная версия прототипа KIS 2006 задерживается в связи с тем, что проектной группе необходимо время для отладки новой технологии IStreams3, которая заменит технологию IStreams2, основанную на использовании security descriptors, и которая неожиданно повлекла серьёзные проблемы с программами типа chkdsk.

Однако, за прошедшее время работа над другими частями проекта также не стояла на месте, в чём я предлагаю Вам убедиться, посмотрев на скриншоты, снятые с текущей внутренней сборки.

Спасибо всем большое за высказываемые пожелания, они являются очень полезными для нас.
Надеемся на Вас и в дальнейшем. Думаю, мы сможем выпустить следующую публичную версию в районе 10-20 апреля.

С уважением,
Николай Гребенников

Анти-хакер
1) Отображение сетевой активности

2) Список доступных сетей


Возможность задания почасового расписания

Окно заблокированных к исполнению приложений

Изменение концепции расположения хранилищ (отчетов, карантина, бекапа)

Возможность задания списка портов для проверки почтового траффика

Возможность классификации писем прямо из окна отчёта задачи анти-спам


Улучшения окна отчётов:
1) выбор отображаемых столбцов

2) поиск в отчётах

3) контекстное меню для записей


Новые типы обнаружений модуля Проактивной защиты:
1) внедрение в чужой процесс

2) часть anti-rootkit

grnic
03:29 02-04-2005
Цитата:

1) Отображение сетевой активности

Здорово! Но:
Снова не видно самой службы, только хостер. Планируете реализовать? (пример: Process Explorer by SysInternals, там можно посмотреть командную строку, то бишь ключ, с которым запущен хостер). Можно сделать и еще проще. Хостер, путь к хостеру, ключ, имя службы.
А вообще, впечатляет. Чего-либо подобного у конкурентов я не видел...

>Новые типы обнаружений модуля Проактивной защиты:
>1) внедрение в чужой процесс

Пожалуйста, сделайте это отключаемым.
И как обстоит дело с тем, что последняя версия Антихакера очень долго реагирует на то, что приложение "изменилось"? Аутпуст выдаёт предупреждение мгновенно, со списком изменённых файлов.

Gideon Vi

Цитата:

последняя версия Антихакера очень долго реагирует на то, что приложение "изменилось"

По разному КАН реагирует. Когда мгновенно, когда через пару дней. Самое неприятное, что нельзя понять алгоритм этой реакции. На изменение одного и того же приложения реакция всегда разнится.

grnic
Очень интересно будет взглянуть на следующую публичную версию. Кстати, она будет только на английском или русская сборка тоже планируется?

Barral
будет и руссская...

ivas, так или иначе, согласись - это очень неудобно и даже опасно.

grnic

Здравствуйте.

Мои предложения такие:
1. Сделайте пожалуйста, чтобы в список разрешенных потенциально опасных программ можно было добавить программу не только с полным путем к файлу и названием по вашей класификации, но и просто по названию (без пути к файлу). Например, у меня несколько резервных архивов, в каждом одна и та же программа - KAV Personal Pro 5.0.20 ругается на каждый архив - приходиться добавлять в список разрешенных одну и ту же программу несколько раз.
2. Сделайте класификацию вирусов и опасных программ более понятной (еще лучше было бы ее унифицировать с другими разработчиками антивирусов - но это пока только мечты). Можно также встроить модуль, который давал бы краткое описание обнаруженого объекта - не такое полное, как в Энциклопедии, а чтобы иметь минимальное представление о природе объекта и его опасности. Это может быть какая-нибудь небольшая встроенная в продукт база описаний возможностью обновления - чтобы не лезть каждый раз за описанием в Интернет. Пример реализации можно посмотреть в продукте Regrun Security Suite (www.greatis.com). Такая встроенная база очень помогает.
3. Мой любимый пунктик - сделайте регистрацию для домашних пользователей одноразовой. Я согласен даже заплатить больше - но один раз, а не каждый год по новой. Так вы "привяжете" пользователей к продукту - если есть уже оплаченный качественный продукт, то вряд ли пользователь пойдет к конкуренту - жадность и бедность не позволят.
Пользуясь одним продуктом этот пользователь будет рекламировать его своим знакомым. Или другой вариант - можно ввести систему помесячной оплаты ваучерами - как DrWeb. Сумма порядка $5 в месяц никого думаю сильно не напряжет. В год с одного пользователя таким образом вы получаете $50.

Спасибо.

ALL

Чтобы не сочли за флуд, наверное KIS лучше обсуждать в специальной теме (кто не знает - она находится по этому адресу: http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=15081&start=0).


Добавлено:
Скобка ")" в конце адреса не нужна.

Выскажите, плиз, мнение по поводу Зон:
1) Можно сделать 2 зоны (Trusted/Internet). Можно дать возможность определять дополнительные.
2) Какие параметры нужны для зон? (варианты: какие IDS правила включены? какие FW-правила действуют? включен ли stealth mode?)
3) Что включать для Trusted зоны (Netbios, ... что ещё?)

Т.е. возможна примерно следующая схема работы:
1) при инсталляции определяем сеть, в которую входит машина - предлагаем назвать её trusted (как у OP) - решает пользователь.
2) делаем доп. блок в настройках Zones mngt -> возможность добавлять, удалять, изменять зоны.
3) после чего есть два варианта
3.1) для каждой зоны свой набор всех настроек (тут вопрос - куда добавлять новое правило - сразу во все зоны или только в конкретную?),
3.2) или - в каждом правиле добавляются булевые поля по количеству зон (тут правда вопрос, что делать со stealth модом).

Что Вы думаете о возможности создавать свои IDS правила? Если нужны, то по каким критериям?

grnic
imho (подчёркиваю, имхо!) можно сделать 3 зоны:
- TRUSTED
- LAN
- INTERNET
Чем обусловливается такое деление:
TRUSTED: максимально ослабленные настройки, например, для localhost (но не для программ, которые пытаются пройти localhost -> web) или пары компьютеров, соединённых в сеть (домашняя сеть, например).
LAN: настройки ослаблены по сравнению с Internet Zone, но всё же есть ограничения. Для лок.сетей районного масштаба или lan организации.
INTERNET: всё остальное. Небезопасные узлы.
По поводу Netbios и зоны LAN: в моём представлении, при назначении зоны LAN сетке следует задать вопрос - разрешить ли Netbios, т.к. дырка большая и не хочется, чтобы было открыто по умолчанию. Нетбиос можно для trusted (в моей терминологии) включить.

По правилам надо подумать, как будет лучше.

---

Отвечаю на старый вопрос по поводу того, что должен делать KAH, если приложение изменилось:
предлагаю сделать настройку --
"Запретить обновленному приложению любые действия, при этом остаются в силе правила для старого приложения" - т.к. часто приходится откатываться на предыдущие стабильные версии с новых беток, а так получим рабочие сохранённые правила и возможность не задавать вопрос снова при откате. При этом хорошо бы писать версию файла (приложения) в окошке правил, ну или md5/ дату или причину добавления правила.
"Разрешить обновлённому приложению доступ по правилам, действительным для старого приложения, но оставить правила и для старого". Пояснение аналогично предыдущему пункту
"Разрешить доступ, натроив новое правило" - старые правила для старого приложения остаются, для нового создаётся новое независимое.
"Разрешить обновлённому приложению доступ, обновить правила для приложения" - обновление всех правил, старое приложение в них заменяется новым. (по умолч.)

Добавлено:
а, ну да, на скриншоте "Пример изменённого окна правил для приложений" опять не видно пути к приложению (только в попапе). Можно тогда ввести колонку примечаний? Я уже приводил пример тут с Яндекс.деньгами, есть два приложения в разных каталогах. Как понять, на что ругается программа, если не видно пути/примечания?

albel
grnic

Цитата:

По правилам надо подумать, как будет лучше.

я предлогаю а-ля Tiny Firewall

Это для каждой "гадости" столько настроек? По-моему перебор, с учётом того, что количество этой "гадости" растёт в геометрической прогрессии. И потом, это для известных троянов, а с новыми как быть? Эвристический анализатор их обнаружит, скорее всего, а классифицировать, определить тип, степень опсности и способы проникновения? Всё таки по-моему слишком мудрено.

Добавлено:
Мне больше по-душе предложение ув. albel

SXP
мне казалось, что продукт всё же позиционируется и для домашних пользователей. Меня, например, охватывает суеверный ужас при виде такого количества настроек. Зачем оно надо? Имхо всё необходимое исчерпывается правилами фильтрации пакетов/правилами для приложений.

grnic
Кстати, есть предложение сделать древовидную структуру правил в списке правил:
|--Application1
| |- Rule1
| |- Rule2
|--Application2
| |- Rule1
|-+Application3 (правила скрыты, раскрываются по нажатию плюсика рядом с именем приложения)

Имхо так гораздо проще будет всё настраивать.

ivas

Цитата:

столько настроек? По-моему перебор,

поддерживаю.

albel
он позиционируется как все сразу т.к небудет болше разделения между Personal / Personal Pro зато похоже будет как в 4.х - 2 интерфейса...

и не выглядит это очень станшно просто добавится еще 1 вкладка
Applications | Packet Filter | IDS ... кто незнает туда не полезет..
а там уже список правил ИДС... эо не вызовет никаких затруднени

ivas

Цитата:

Это для каждой "гадости" столько настроек? По-моему перебор, с учётом того, что количество этой "гадости" растёт в геометрической прогрессии. И потом, это для известных троянов, а с новыми как быть? Эвристический анализатор их обнаружит, скорее всего, а классифицировать, определить тип, степень опсности и способы проникновения? Всё таки по-моему слишком мудрено.

не смешивай плз эвристик антивируса и блокировку траффика по сигнатурам.. какой нафиг здесь эвристик... а ИДС все равно конфигурироватся будет... только так он будет использован бесподезно как Parental FIlter / blocking by words... а так можно еще и троянов блокировать тем кто умеет.. зачем губить продукт ради дигенератов.. незнаеш что это - не лезь... дай другим


Цитата:

Зачем оно надо? Имхо всё необходимое исчерпывается правилами фильтрации пакетов/правилами для приложений.

затем что не каждый пакет ты заблокируеш пакетным фильтром... опят же... пугает - не лезь... есть много людей которые отдадут за эту фичу все что только можно...

пример - LdPinch.. он отправляет пароли через интернет експлорер... и заблокировать его можно только по характерному куску отсылаемых данных и никак иначе


Цитата:

Кстати, есть предложение сделать древовидную структуру правил в списке правил:

уже предлогал.. вроде согласились...



Добавлено:
albel
ivas

Цитата:

Это для каждой "гадости" столько настроек?

Цитата:

столько настроек? По-моему перебор,

поддерживаю.

вы вобще понимаете что это за настройки? Эти настройки вас... никак не должны касатся.. настроили фильтрацию пакетов.. доступ к программам пожалуйста.. а тем кому этого мало добьются болшей безопасности.. я согласен.. картинка Тини.. испугает многих но на самом деле не все так страшно... настройки ИДС никак не пересекаютс с настройками программ и правил

SXP

Цитата:

Эти настройки вас... никак не должны касатся

тогда пусть они будут далеко в менюшках. ОДной галкой, а не
Цитата:

возможности создавать свои IDS правила?

albel
они будут в отдельной вкладке... у теба был на компе хоть 1 такой файрвалл с возможностью писать свои правила в ИДС например
Blink firewall
Tiny firewall
InJoy firewall
?

поставь.. посмотри... ощути эту мощ..

SXP
Зачем? Если в данный момент меня более всего устраивает KAH? Далеко не на 100%, но всё же.
Мне не нужна мощь, мне нужна стабильность и простота в настройке.

albel
ну как говорится одно другому не мешает... просто настраивать правила для программ и пакетов... нет проблем настраивай.. а ИДС пусть другие настраивают

Где мне найти ключ к Анти-хаку?

Nokia 6310
15:41 07-04-2005
Цитата:

Где мне найти ключ к Анти-хаку?

В магазине!

Nokia 6310

Или в теме про Anti-Hacker в Варезнике - но не в этой теме, здесь обсуждаем саму программу а не поиск ключей. А так от модератора схватишь.

Вот ключи к Касперу и АнтиХаку
http://kostas.fromru.com/kasper_KEY.zip

Mamonoff
Здесь не принято постить ключи к платным продуктам. Вот где это можно:
http://forum.ru-board.com/forum.cgi?forum=35

СПАСИБО ВАМ ВСЕМ!!!ОГРОМНОЕ ВАМ СПАСИБО!!!=)

Добавлено:
СПАСИБО ЕЩЁ РАЗ

Кто может объяснить в чем дело: Стоит Anti-Hacker 1.5.92.0 - работает претензий нет. Постоянно что то ловит В основном отражает атаку Helkern. Но с такого количества разных ip что просто диву даешься. Что может быть? На самом деле такая реальная ситуация - атак много или еще что то?

К сожалению KAH с...ет и причмокивает. Проверил анонимность по этой ссылке http://www.leader.ru/secure/who.html - сайт засек версию ОС и тип браузера. И это в "режиме невидимости"! Объясните что делает этот режим, в справке не разобрался.

ooocog
Читаем тут: _http://www.kaspersky.ru/news.html?id=1193624
Дополнительную информацию ищем тут: _http://www.yandex.ru/yandsearch?rpt=rad&text=Helkern

Цитата:

сайт засек версию ОС и тип браузера

И то, и другое передается самим браузером открытым текстом в HTTP-сессии. В Опере, если мне не изменяет склероз, можно самому написать эту информацию в настройках броузера. Режим невидимости тут ни при чем.

ivas

Спасибо большое. Теперь убедился что ситуация реальна