» Безопасная работа в Windows без антивируса

Вопросы к propovednikNT.

1. "путём несложного обхода политик SRP"
пруфлинк в студию.

2. "запуск из архиватора winrar, запись в разрешённые папки C:\windows или C:\program files в которые почему то пользователь имеет право записи".
Ни винрар, ни любая другая программа, запущенная из-под юзера не даёт таких прав. Указанные папки по-умолчанию доступны юзеру read-only (разумеется, если используется NTFS). Дыры в temp, Printers и т.п. закрываются несколькими дополнительными правилами, указанными в топике.

3. "не спасает от вирусов, которые сами устанавливаются через эксплоиты в систему"
Эксплоитам очень трудно (но теоретически возможно) пробить ASLR. Для защиты браузеров есть NoScript, а если не устанавливать Adobe Flash то проблема отпадает полностью. Adobe Flash - дырявая и умирающая платформа, HTML5 рулит!
Дыры в макросах MS закрыли http://support.microsoft.com/kb/2532445
Губаревича не читал, читал Вадима Поданса.

Периодически нахожу в EventLog попытки запуска из временной папки юзера, разумеется безуспешные.
Для работы на предприятии политика идеально подходит, в чём я постоянно убеждаюсь. В соседней фирме постоянно проблемы из-за игрушек, вирусов и кривых рук пользователей-администраторов.
Когда оказываю услуги друзьям, знакомым - честно предупреждаю о преимуществах и недостатках этого метода. Большинство соглашается на проактивку.

Добавлено:
На ютубе уже давно есть html5. Для игр вместо флеш будет canvas. Вот демки: http://habrahabr.ru/blogs/webdev/97443/

1 Надеюсь, что поможет

2 У тебя вредоносный код уже выполнился, а ты мне про какие-то папки)

3 ASLR обходидся, NoScript спасает от некоторых xss атак, гы в ишаке встроенный фильтр есть и удобней в сто раз. Дальше вообще бред на бреде. Кстати Поданс-один из первых учеников Губаревича-отца основателя великого трактата о ядах протокола безопасной. Поначалу Губаревича воспринимали в серьёз и старались разубедить, но перл оказался упертым, что впрочем доставляло, он и сейчас проповедует в своём бложике) Держи полное собрание сочинений Губаревича можешь не благодарить. А вот здесь Поданс начинает приходить в себя от разрушительной проповеди Губаревича и даже укоряет своего духовного отца в толстом троллинге.

Добавлено:

Цитата:

Для работы на предприятии политика идеально подходит, в чём я постоянно убеждаюсь.

Тебе в школе такое рассказали? Интересно, что сказал бы по этому поводу твой папа?

Цитата:

В соседней фирме постоянно проблемы из-за игрушек, вирусов и кривых рук пользователей-администраторов.

В соседней квартире, где живёт твой приятель постоянно проблемы из-за игрушек, вирусов и кривых рук. А ты решил всем поведать, что ты не такой, как твой приятель, а правильный пацан, который имеет винду тока так. Верно?

Цитата:

Добавлено:

Цитата:
Для работы на предприятии политика идеально подходит, в чём я постоянно убеждаюсь.

Тебе в школе такое рассказали? Интересно, что сказал бы по этому поводу твой папа?

Цитата:
В соседней фирме постоянно проблемы из-за игрушек, вирусов и кривых рук пользователей-администраторов.

В соседней квартире, где живёт твой приятель постоянно проблемы из-за игрушек, вирусов и кривых рук. А ты решил всем поведать, что ты не такой, как твой приятель, а правильный пацан, который имеет винду тока так. Верно?

Не вижу смысла что-то доказывать. В соседней фирме три компа (три рабочих места) на несколько человек, работающих по сменам (4 смены по 12 часов). У кого-то из сотрудников не запускается любимая игрушка (в комплекте с вирусом) - тупо вырубает антивирь (права-то админские). Кто запустил виря - неизвестно. Местный админ поставил программу-блокиратор флешек. Как думаете, она помогла? Кроме того из-за антивируса и горы софта, который можно беспрепятственно ставить пользователям с правами админа дикие тормоза.


Цитата:

2 У тебя вредоносный код уже выполнился, а ты мне про какие-то папки)

За два года практики пока ни у кого не выполнился.


Цитата:

ASLR обходидся

Была бы интересна ссылка на сайт с рабочим эксплоитом.
У меня есть возможность загрузиться с другого диска и просканировать потом систему.

Я живу в провинции, и тут 10-летние компы с 256Мб ОЗУ не редкость. Для таких компов защита политиками особенно актуальна.

Одному приятелю поставил две винды с дуал-бутом. Все разделы шифрованные с разными паролями, чтоб одна винда не видела другую. Одна винда для его сына - с админскими правами и антивирусом, другая для приятеля с политиками. Разница в скорости работы впечатляет.

Добавлено:

Цитата:

А вот здесь Поданс начинает приходить в себя от разрушительной проповеди Губаревича и даже укоряет своего духовного отца в толстом троллинге.

Цитата из блога по Вашей ссылке http://blog.windowsnt.lv/2011/07/14/common-antivirus-protection-mistakes-russian/#comment-73:


Цитата:

Автор первого комментария явно незнаком с деятельностью профессиональных вирусописателей.
На МОМЕНТ выхода новой версии вируса , ВСЕ АНТИВИРУСЫ отсасывают в полный рост. На то он и НОВЫЙ штамм вируса , что бы его никто не видел и не знал о его существовании. У профи все вири тестятся сразу же на десятке самых распространённых заапдэйченых антивирях – это же ясно как белый день.
А вот попадаются вири только после явно массового заражения – от сотен тысяч заражённых машин и более. Только когда есть возможность заполучить тело вируса в системе и проанализировать его. Но обычно это происходит далеко не так скоро и даже бывает, не происходит вовсе.
Самая лучшая политика – SRP с белым списком по хэшу.

Цитата:

Самая лучшая политика – SRP с белым списком по хэшу.

Аминь

Когда добавляют хэш, откуда уверенность, что программа не зараженная? Допустим, на virustotal всё чисто. А вирус еще не занесли в базу! SRP блокирует запуск программ, но он не блокирует запуск зараженных программ. А заражена ли программа или нет - не всегда известно!!

Скажите, а можно можно разрешить запуск определенных exe файлов, если разрешено запись в папку? Например, программа требует, чтоб было разрешено создавать новые файлы (с расширеним .ini например). Или если exe файлов много, и их сложно вручную добавить в список. Сделать так, чтоб новые файлы могли создаваться, но если это exe/bat/com/reg файлы, чтоб они не запускались.

Anmawe

Цитата:

Скажите, а можно можно разрешить запуск определенных exe файлов, если разрешено запись в папку? Например, программа требует, чтоб было разрешено создавать новые файлы (с расширеним .ini например). Или если exe файлов много, и их сложно вручную добавить в список. Сделать так, чтоб новые файлы могли создаваться, но если это exe/bat/com/reg файлы, чтоб они не запускались.

Пожалуй, лучшее решение - использовать политику, это позволяет очень тонко настроить разрешения. На примере русскоязычной XP: GPEdit.MSC -> "Политика "Локальный компьютер" -> "Конфигурация компьютера" -> "Конфигурация Windows" -> "Параметры безопасности" -> "Политики ограниченного использования программ".

Цитата:

Adobe Flash - дырявая и умирающая платформа, HTML5 рулит!

Цитата:

Преимущества флеша над HTML5 по пунктам:
— HTML5 со всеми своими компонентами никак не вылезет из состояния рабочего черновика, поэтому каждый производитель браузера или другой программы разбора HTML вправе реализовать любую фишку по-своему или же не реализовать вовсе. О кроссбраузерности и единообразии вида/поведения можно забыть. Даже старый добрый JavaScript для полной кроссбраузерности обрастает тоннами костылей типа jQuery, prototype, MooTools etc., что не добавляет приложению ни скорости, ни стабильности.
— компоненты HTML5 для работы с аудио и видео еще 100 лет не будут согласованы из-за позиции производителей браузеров. Видео с поддержкой полупрозрачности фона и компонентов для работы с камерой и микрофоном нет даже в черновиках. Во флеше это уже давно и стабильно работает.
— ключевые компоненты HTML5 вроде canvas, svg, webGL и css transitions имеют свой собственный синтаксис управления, не имеющий аналога в старом добром HTML4/CSS2 и во многом похожий (сюрприз!) на комманды из флешового ActionScript. Так что преимуществ для разработчика тут нет.
— для работы с флешом вполне можно использовать исключительно бесплатное ПО (например flexSDK + FlashDevelop), все больше и больше компонентов флеша выкладывается под свободными лицензиями, так что борцы с проприетарщиной пусть идут мимо.
— для работы со встроенными датчиками мобильного устройства (компасы, гироскопы, мультитач итд) во флеше есть отличные иструменты, в HTML5 всё сырое, размазано по черновикам и не имеет стандартного синтаксиса.
— Flash — формат прекомпилируемый в байткод, а значит — по определению быстрее полностью интерпретируемых языков, используемых в HTML5, хотя и медленнее нативных приложений для конкретной оси. Что мы, кстати, отлично видим на Винде. На линукс, понятно, все делается в последнюю очередь, ибо денег с него Адобе не имеет. А вот с Макосью — отдельная история — эппловцы просто не захотели раскрывать адобовцам некоторые запрашиваемые ими детали архитектуры ОС, поэтому флеш для макоси полон костылей и велосипедов.
— народ еще не успел в полной мере вкусить всей глючности HTML5, поскольку
а) таких приложений не так много
б) по сложности они обычно не дотягивают до топовых флешовых
в) по большей части заточены под конкретный двожок WebKit, а точнее под конкретный браузер Safari под iOS
г) SEO-школьники еще не успели засрать инет баннерами на HTML5 (в первую очередь потому, что пользователи IE увидят совсем не то, что на них изображено на самом деле )
А вот когда каждая вторая страничка будет засрана мелькающим говном, реализованным на canvas, css transition, svg или не дай б-г на webGL и когда все это великолепие (принципиально неубиваемое стандартными адблокерами) начнет кушать 100% проца и памяти — вы еще будете с теплотой вспоминать о легко отключаемом флеше.
— Единственным плюсом HTML5 является его индексируемость поисковиками «из коробки». Но и флеш можно заставить тем или иным способом индексироваться, например давать скрытую ссылку на XML с исходными текстами.

© Zergius Eggstream
+100

Выбрал пункт В повседневной работе в Windows я использую учётную запись "Администратор" Антивирус не использую вирсов нет, а вот за тех кто использует антивирусы я бы не ручался, если система не упала ещё не факт, что всё в порядке. Возможно тормоза и нагрузка на сеть производимые вирусами списываются пользователями антивирусов на работу антивируса, ну какие вирусы у меня же антивирус крутой стоит
Когда использовал пиратку постоянно приходилось переустанавливать систему хотя я использовал учётную запись пользователя и стоял ещё паранойно настроенный аутпост и нод. Всё это НЕ СПАСАЛО иногда вирус валил сперва аутпост и нод, а затем уже систему.

Антивирус сам по себе угроза и тормоз для системы, когда чето лагать начинает его первым делом отключают.

Какое зло есть антивирус.
http://www.anti-malware.ru/forum/index.php?s=&showtopic=5684&view=findpost&p=146206
Тишина и это на anti-malware где каждый второй работник антивирусной компании.

Для обходя сигнатурного детекта хакеру достаточно поправить 1байт в вредоносном кодеhttp://www.anti-malware.ru/forum/index.php?s=&showtopic=19384&view=findpost&p=140184
Автор подтверждает работоспособность модифицированного файла http://www.anti-malware.ru/forum/index.php?s=&showtopic=19384&view=findpost&p=140203

Про скорость добавления зловредов в базы одним из самых-самых антивирусов http://xoxmodav.net/?cat=2166

И ещё тема http://www.anti-malware.ru/forum/index.php?showtopic=20517 невнятное бормотание прихвостней антивирусных компаний, пост #14 так и остался без ответа. Ответ очевиден и не в пользу антивируса, далее в современных домашних антивирусах используется IPS без анализа протоколов, поэтому новый эксплоит для той же уязвимости будет пропущен.

Интересная статья про обход классического IPShttp://www.anti-malware.ru/node/4449

Надёжные фаерволы http://www.avirus.ru/content/view/190/116
Эксперты Stiftung Warentest пришли к выводу, что антивирусные пакеты от AVG, F-Secure, G Data, McAfee, Panda и Symantec могут сделать компьютер более уязвимым к атакам извне. При установке они требуют замены фаервола Windows на свой собственный, уступающий встроенному по надежности защиты. Худший результат показал фаервол Kaspersky Internet Security.

У Microsoft тоже однозначное мнение про все эти программные поделки театр безопасности и точка. http://www.securitylab.ru/analytics/297158.php

Скорость в угоду защите, большинство антивирусов не защитят от заражения детектируемым вирусом. Пишет gold beta tester лк http://www.anti-malware.ru/forum/index.php?showtopic=19803

На резидентный антивирус смотрю, как на г… Методом ан…го огораживания не пользуюсь. Иногда провожу день чистых окон, использую Live cd, за всё время ничего подозрительного. Советую всем, периодически проверятся с Live cd и даже тем, у кого "хороший" антивирус. Работаю администратором и зачем ещё пользователя создавать в 7. Отключать типа "опасные" службы в 7 зачем? Для них есть виртуализация uac. Живу под виндой и моск себе не парю. Если начну испытывать проблемы с вирусами, ну мало ли, то свалю на соляру или фряху.

1vampir1
Не знаю как кому, но лично мне из кучи ссылок и много буков достаточно одной фразы
Цитата:

3 Защита от фишинга. Мне удобнее и надёжнее пользоваться адресной строкой.

чтобы понять, что пишуший такие строки полный профан и не в курсе тех же hosts-овых вирусов.
Впрочем, чему удивляться, если большая часть подобных откровений пишется пользователями со статусом Newbie. Если малость переиначить буквы в статусе, то получится НУБ. И это неудивительно - ведь распространителям зловредов невыгодно чтобы пользователи были защищены.
PS. Хотя при всём этом считаю что антивирусы не являются панацеей.

В защите от фишинговых сайтов удобнее и надёжнее пользоваться адресной строкой и своими мозгами, если они есть конечно.
Мог бы прогнать, что нибудь и поинтереснее хостовых вирусов
Вбос засчитан.

Добавлено:

Цитата:

Если в windows админские права выдавать при необходимости, пользоваться лицензионным софтом, имеющим цифровую подпись, качать софт с официальных сайтов, популярных и старых раздач, то в windows будет примерно также безопасно, как и в ubuntu.

Есть отличия в безопасности Linux от Windows. Все вопросы к красноглазым. Я же могу добавить один плюс в копилку безопасности Linux это мандатное управление доступом Security-Enhanced Linux.

Добавлено:

Цитата:

Антивирус сам по себе угроза и тормоз для системы, когда чето лагать начинает его первым делом отключают.

Согласен скорости и стабильности антивирус не добавляет. Но на современном железе нормальный антивирус практически незаметен. Отключение антивируса надо пресекать заранее! Отбирая права на управление антивирусом. В идеале работа с правами пользователя.

propovednikNT
Зачем мне что то гнать, если для этого есть ньюбы?
Для "особо одарённых" - в закладках могут храниться не адреса сайтов, а их айпишники.

Цитата:

Зачем мне что то гнать, если для этого есть ньюбы?
Для "особо одарённых" - в закладках могут храниться не адреса сайтов, а их айпишники.

ВиталеГ ты??? Сейчас расскажешь про то, как Nod32 защищает от подобных пакостей
Убейся оп стену lol.

Айпи сначала еще нужно получить - резольвингом имени сайта... Вот на этом то уровне и срабатывает фишинг. А если те же айпи еще и напрямую руками в адресную строку вбивать - ошибиться еще легче, чем написать vcontakte

Если нет возможности пользоваться мозгом и отличить vkontakte от vcontakte, хотя в данном случае это неважно. То пользуйтесь антифишингом, но учтите гарантии тут никакой. Знакомая скачала трояна под видом Skype в полной уверенности что качает с оф. сайта, трояна к счастью задетектил антивируc.

Добавлено:
Я всё заметил мой ответ выше, и добавить нечего.
По поводу остального. Во первых не резольвинг, а резолвинг. Во вторых ты серьезно считаешь, что сломают вконтактит и перенаправят меня вместо страницы регистрации к дяде хакеру. И антифишер узнает об этом раньше, чем починят уютненький. Неверю!
Очередной вброс на тему, как страшно жить.

Цитата:

Знакомая скачала трояна под видом Skype в полной уверенности что качает с оф. сайта

Без лоха и жизнь плоха.

Цитата:

трояна к счастью задетектил антивируc

Неужто? Ведь некоторые ньюбы утверждают бесполезность оных, обосновывая это наличием адресной строки.

Цитата:

и отличить vkontakte от vcontakte

Нет даже малейшего желания разбираться в разновидностях этого дерьма.

Проповедник, пишу с телефона, так что ник не вставляется, сорри. Взлом днс серверов для подмены айпи - вполне реален, но речь не об этом. Я отвечал на пост выше - что можно хранить айпи в закладках. Для получения айпи нужно знать адрес сайта - со всеми вытекающими. Значит, фишинг будет работать как обычно - если только юзер не педант и не вводит адрес ручками. А насчет мягкого знака - я пишу по нормам русского языка, ерь в данном случае необходим для норм произношения, а как там по ихней транслитерации правильно - мне как то фиолетово однако оффтоп вышел

Добавлено:
Про антифишинг молчу никогда не пользовался, хотя ссылки с рыбалкой видел много раз.

Для защиты от "сегодняшних" угроз антифишинг бесполезен проактивности в нём 0.
Сказку про "особо одарённых" хакеров которые используют палёные сервера читал.
Антифишинг помогает домохозяйкам отсекая 90% фишинговых ссылок, а если к антифишинговой защите антивируса приложить ещё и "Самый безопасный браузер" фишеры вымрут как класс Если что, то фраза "фишеры вымрут как класс" это попытка передёрнуть-сознательно исказить что-либо с целью обмана и доказательства чего-либо заведомо неверного, была... да.

Вот не надо тут арбузерные войны разжигать и так сплошной оффтоп с рекламой авиры и других ...

Цитата:

Неужто? Ведь некоторые ньюбы утверждают бесполезность оных, обосновывая это наличием адресной строки.

Окстись, хотя прожить без антивируса можно запросто, но не всем. Я за использование антивируса, но на своих компах я им не пользуюсь-смысла не вижу.[off]Как то один мой одногрупник в споре о целесообразности службы в армии по призыву, сказал: В армию неизбежно придётся идти кому то, но не нам. Мы лучше на гражданке с тёлками гулять будем(c)[/off]


Добавлено:

MERCURY127 Что бы получить доступ к вкладкам придётся немного хакнуть браузер к примеру.

Добавлено:

Цитата:

и так сплошной оффтоп с рекламой авиры и других ...

Авира неплохой эвристический сканер и... в рашке слабо распространена, возможно некоторая доля рекламы Avira не повредит и расширит кругозор пользователей.

Цитата:

возможно некоторая доля рекламы Avira не повредит

Конечно, авире не повредит...
Цитата:

и расширит кругозор пользователей.

Тоже согласен... Пользователи увидят, что их KIS/KAV/DrWeb не такой уж и отстой.

Скажите, а "запускать то, что хочешь/нужно, и ходить на сайты, которые хочешь" и "надежная защита от вирусов" - это вещи несовместимые? Либо первое выбираешь, либо второе? Мне кажется, что в основном заражаются потому, что тыкают туда, куда им хочется тыкать. Ведь нельзя узнать, что данные сайты и программы (скаченные откуда угодно) точно безопасны.

Какие неудобства в ограниченной учетке в XP? Я сижу в ней, иногда использую "запуск от имени", чтоб прогу с админскими правами запустить. Антивирус не установлен.

Интересно как метод SRP огораживания спасёт от этого "не валяй дурака" если не в состоянии обеспечить приемлемый уровень ИБ ставь антивирус!

Цитата:

Интересно как метод SRP огораживания спасёт от этого

propovednikNT: а вход удаленного пользователя в систему должен быть разрешен, или как?


Цитата:

Скажите, а "запускать то, что хочешь/нужно, и ходить на сайты, которые хочешь" и "надежная защита от вирусов" - это вещи несовместимые? Либо первое выбираешь, либо второе?

Есть дыры (например, в совсем ещё недавних версиях джава машины), для которых никуда тыкать не нужно. Достаточно просто зайти на зараженную страницу, чтобы подхватить вирус.

От подобных дыр ничто не поможет, так как все программы не обновишь (да и для некоторых заплаток не существует). Антивирус повышает безопасность системы, но не более того. Он не спасет от какого-нибудь совсем свежего вируса.
Какой-то ничтожный процент риска потерять все данные остается в любом случае.

Цитата:

вход удаленного пользователя в систему должен быть разрешен

Вполне хватит пользователя, которым в интернеты ходишь.
Смысл в том, что при открытии заражённого документа произойдёт выполнение целевого кода в системе, в целом это не так опасно, если работа ведётся с правами пользователя. К сожалению один эксплоит никто использовать не будет. Дальше можно будет поднять права допустим через уязвимость в библиотеке обработки шрифтов, ту самую, что использовал Duqu. SRP и здесь тоже отдыхает. Привёл как очередной пример недееспособности защиты с помощью SRP. Уязвимость для Windows версии 9 Adobe Reader/Acrobat закроют завтра. Для 10 версии дыра не считается критической из-за наличия в Adobe Reader/Acrobat X песочницы, поэтому заплатка выйдет в январе 2012 года.


Добавлено:

Цитата:

Антивирус повышает безопасность системы, но не более того. Он не спасет от какого-нибудь совсем свежего вируса.

Точно, а зачастую именно такие вирусы и лезут в новые дыры. Но их процент ничтожен по сравнению с заражениями через старые дыры и старыми вирусами, неплохо детектируемыми антивирусом, поэтому советую четырём умникам поставить антивирус и своевременно обновлять систему и софт.

Цитата:

Он не спасет от какого-нибудь совсем свежего вируса.

А эвристический анализатор на что?

propovednikNT там и дальше читается ряд критикал, которые еще не прикрыли..
Не кормили бы вы..

Цитата:

А эвристический анализатор на что?

Систему грузить, фолсить. Эвристический анализатор не УГ, это фича.


Цитата:

там и дальше читается ряд критикал, которые еще не прикрыли..

Верно, там зачастую каждый день, что-то интересное читается. Решил для примера продукцию Adobe взять. Исходя из заявления топик стартера, что на Flash Player он смотрит как на Г, предложил ему вариант с Reader /Acrobat.