» Kaspersky Internet Security - KIS (часть 8)

Проблемы с гаджетом в KIS2012 были, при включении защиты после загрузки, гаджет не отображал текущую информацию. Проблема решилась отключением гаджета, затем его новой активацией.

Alex_Lost
Цитата:

А разве фильтрация всего WEB потока, выполняемая WEB антивирусом зависит от того, какая программа качает этот поток?

Исходя их здравого смысла - да! На мистику я не полагаюсь. Проблемы теоретически могут быть только при защищенных соединениях. Но судя, что проблемы имеются при отработке данных идущими именно через Оперу (а может, что не только через Оперу).

Цитата:

Получается, все анализируется, как то я сомневаюсь, что KIS знает в лицо всякие USD.

Досконально он и не должен их знать. KIS должен только знать вредоносный этот "USD" или нет. А папки размещения временных файлов или кеша "USD" - ему знать не обязательно.
Но если WEB поток идет через дополнительный внутренний прокси (например TOR-агент), то так его (трафик) воспринимает KIS?

А вообще, если в настройках было указано не обрабатывать трафик Оперы, то мои вопросы не имеют смысла. Но на оффоруме я комментариев по этому вопросу не увидел, посему и задал эти вопросы.

cdrom2

Цитата:

Досконально он и не должен их знать. KIS должен только знать вредоносный этот "USD" или нет. А папки размещения временных файлов или кеша "USD" - ему знать не обязательно.

Здесь я был неверно понят. Во первых, USD здесь аналог Оперы, по которой был вопрос. Речь не идет сейчас о проверке именно его вредоносности. Но он закачивает поток из инета, и каспер поток проверяет, и это точно видно, потому что 10 гиг в темпе - это не временные файлы или кеш USD, нету у него никаких таких временных файлов и кешей. Эти 10 гиг мусора - есть временные файлы KIS, куда он сливает копию закачиваемых файлов, чтобы их по пути проверять. И хотя сами по себе эти файлы есть четкое подтверждение, что каспер пускает через себя трафик, но при этом, к сожалению, это еще и свидетельство как каспер гадит в системе, сохраняя дикие по объему копии файлов "просто так", по ходу. Потом то он их, конечно удаляет...
Причем речь не о переливке, сперва скачали сюда, потом перебросили туда, а именно о полном дубле. И для USD, и для DM, да и для всего остального, кроме разве торрентов.

Alex_Lost
Цитата:

Во первых, USD здесь аналог Оперы, по которой был вопрос. ...Но он закачивает поток из инета, и каспер поток проверяет,

Понятно. Раз он "захламляет диски", то
1. В этом случае KIS мог бы и информировать пользователя, что проверка потребует "столькото дискового пространства" и предложит выбрать пользователю диск куда он будет мусорить...
2. А вообще KIS должен различать как проверять траффик в зависимости от типа приложения. А именно: для кеша (исключая файлы закачки) браузеров можно пускать через временные файлы KIS, для торрентов и т.п.- нет (т.е. проверка только при завершении\приостановке задачи, но тогда KIS должен знать куда шла закачка и кеширование). Т.е. кешироваться во временных файлах KIS должны только скрипто-подобные данные.

Цитата:

Получается, все анализируется, как то я сомневаюсь, что KIS знает в лицо всякие USD.

Да, всё анализируется за исключением клиентов для пиринговых сетей.

Цитата:

Дело в том, что Антивирус Касперского 2011 работает в режиме сервера, переводя на себя весь интернет- и почтовый трафик для проверки, а также сам устанавливает интернет-соединения. Кроме того, Антивирус Касперского 2011 проверяет трафик портов, используемых по умолчанию популярными программами.

http://support.kaspersky.ru/faq?qid=208639988
Как обладатель стороннего файрвола, пока не откроешь касперу 1110 локальный порт приложение в сеть не попадёт.
Ну или отключать в настройках каспера:

Alex_Lost

Цитата:

Получается, все анализируется, как то я сомневаюсь, что KIS знает в лицо всякие USD.

KIS пофигу лица "всяких USD" - KIS проверяет, указанные ему, порты!


Цитата:

А разве фильтрация всего WEB потока, выполняемая WEB антивирусом зависит от того, какая программа качает этот поток?

Не зависит.

P.S. Фильтровать трафик качалок то ещё извращение!

WildGoblin

Цитата:

Фильтровать трафик качалок то ещё извращение!

Ну внести в исключения
- не проверять трафик
- не проверять открываемые файлы

все равно ФА перехватит

KapralBel

Цитата:

Ну внести в исключения
- не проверять трафик

Всегда так и делаю.

Еще про "Поиск уязвимостей"...
Частенько в рекомендациях, при обнаружении уязвимости (в т.ч. в случае когда уязвимость обнаружена, но еще не выпущено исправление), специалисты по безопасности рекомендуют не выполнять определенные действия (не запускать в приложении файлы определенного типа, не выполнять определенные действия при открытии неизвестных страниц и т.д.)
Но в этом случае пользователь не будет никак проинформирован, если он захочет запустить в уязвимом приложении файл определенного типа.
Даже если исправление будет выпущено, то пользователь не всегда "сходу" начнет через браузер скачивать и устанавливать это обновление.

Т.е. HIPS никак не подвязан к Поиску уявимостей :
1. "запуск приложения инициирует поиск уязвимости в данном приложении"
2. постоянное напоминание, что запуск приложения или использование компонента приложения может быть небезопасно, т.е. "запуск приложения информирует пользователя об конкретной уязвимости."
Можно, конечно, периодически сканировать выбранные приложения или сканировать всё подряд сразу после очередного обновления, но как угадать какое приложение (по информации из последних обновлений) будет уязвимо в этот раз?
Спасибо.

Как гарантированно на 100% отключить KSN в KIS 2012? Что нужно поменять в реестре и ещё в каком-то файле вроде есть настройки?
Кто-нибудь уже разобрался с 2012-ым?

Mercedes_Benz
А чем мешает КСН?

Что за шняга сегодня с обновлениями? Вернее, с их хронологией и отчётностью. На трёх компах одна и таже байда: вроде обновляется, а в отчётах и трее стоит 12:31:00.

Цитата:

Что за шняга сегодня с обновлениями? Вернее, с их хронологией и отчётностью. На трёх компах одна и таже байда: вроде обновляется, а в отчётах и трее стоит 12:31:00.

только у меня 10:31:00

Mercedes_Benz

Цитата:

Кто-нибудь уже разобрался с 2012-ым?

С 2012 не разобрался, но уверен что, как и раньше, единственный способ гарантировано отключить KSN - не ставить KIS.

Сборник самых свежих ключей (от 21.07.2011) для Kaspersky Anti-Virus всех версий.
Размер : 1.02 Mb
Сборка включает в себя актуальные на текущий день ключи для:
- Kaspersky Anti-Virus 5
- Kaspersky Anti-Virus 6
- Kaspersky Anti-Virus 7
- Kaspersky Anti-Virus 8
- Kaspersky Anti-Virus 9 (2010)
- Kaspersky Anti-Virus 2011
- Kaspersky Anti-Virus for WKS&FS
- Kaspersky OpenSpace Security
- Kaspersky Internet Gateway
Ссылка

Romush
Здесь принято выкладывать на другие файлообменники
И в варезнике http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=48329&glp

KapralBel

Цитата:

А чем мешает КСН?

Может тем, что превращает компьютер в, входящий в ботнет, зомби?

WildGoblin

Цитата:

Может тем, что превращает компьютер в, входящий в ботнет, зомби?

Каким образом?

KapralBel

Цитата:

Каким образом?

Путём включения KSN?

WildGoblin
)))) Не прикидывайся блондинкой

Какая связь между включением КСН и ботнетом?

KapralBel

Цитата:

Какая связь между включением КСН и ботнетом?

Прямая связь (наверное надо было написать не настоящее название "ботнет", а политкорректное - "облако", клоуд компьютинг и т.д.).

Хорошо, что плохого в облаке?
Вообще, и в облаке ЛК в частности?

WildGoblin
KapralBel
Извиняюсь за вторжение в ваш междусобойчик, но мне кажется, что вопрос нужно перевести в плоскость полезности КСНа. "Хорошая девушка Лида... А чем же она хороша?"
Что делает КСН? Собирает статистику об отдельно взятых файлах с компов пользователей (а это и есть ботнетство) и выдаёт её потом в виде фраз типа "Этот файл использовали менее 10 пользователей" или "этот файл признан безопасным 542-мя пользователями". И что? Мне от этого ни холодно, ни жарко. Я сам принимаю решение - запускать мне этот файл или нет.
Вывод: КСН как аппендикс - вроде ничего плохого, но и полезности с гулькин нос.

niketeen69

Цитата:

Что делает КСН? Собирает статистику об отдельно взятых файлах с компов пользователей (а это и есть ботнетство) и выдаёт её потом в виде фраз типа "Этот файл использовали менее 10 пользователей" или "этот файл признан безопасным 542-мя пользователями".

Вот это как раз и отключается

Не отключается передача в ЛК хэша неизвестных программ м спуск вердикта по ним и измененного вердикта (до прихода новых баз)

Слушаю теперь опровержения

Цитата:

Слушаю теперь опровержения

А что здесь опровергать? Пусть будет так: "отключается и передаёт хэш". Где смысл-то? И что значит "неизвестная программа"? Для кого/чего она неизвестна? Если Вы, многоуважаемый друг, на пальцах объясните мне - среднестатистическому юзеру-неблондинке - как данная технология реально сможет повысить безопасность рабОты за компом, то я буду благодарен и по-другому взгляну на КСН.

niketeen69

Цитата:

И что значит "неизвестная программа"?

У меня есть вывод - вы совсем не разбираетесь в моделе защиты КИС
Поэтому пойдем сначала, с азов

Идем только по настройкам "по умолчанию"
1. Программы имеющие цифровую подпись - заносятся в "Доверенные", которым можно все
2. Если цифровой подписи нет - то
* берется информация о её вшивости из КСН
* если КСН не знает ничего о программе - то вшивость оценивается локально... Но как только КСН узнает о программе все - он спускает на компы уточненый вердикт
* ну все это если в базах нет вердикта вида "Бяка - кусь-кусь" , тогда антивирус делает кусь-кусь
3. если что-то резко поменялось по ранее известным программам
* Например разработчик скомпроментировал свою ЭЦП, как в свое время было с стухнетом
* Ну или выяснилось - что прога не смотря на оценочные 100 баллов бякости - чиста аки слеза младенца
* или наоборот - несмотря на нимб и крылышки (тм есть хвост и рога)
это мгновенно спускается по КСН

Достаточно ?

KapralBel

Цитата:

Хорошо, что плохого в облаке?

В том, что твой компьютер контролирует кто-то другой? В том, что твои данные (хотя бы и их хеши) передаются неизвестно куда и неизвестно для чего могут быть использованы впоследствии?

niketeen69

Цитата:

Извиняюсь за вторжение в ваш междусобойчик, но мне кажется, что вопрос нужно перевести в плоскость полезности КСНа.

Не стоит извинятся - междусобойчики в ПМ происходят, а в топике публичное общение.

Цитата:

Что делает КСН? Собирает статистику об отдельно взятых файлах с компов пользователей... Вывод: КСН как аппендикс - вроде ничего плохого, но и полезности с гулькин нос.

Вы немного не в теме - больше читайте и пополняйте свои знания.
P.S. Для начала хотя бы прочитайте [more="Положение об использовании Kaspersky Security Network"]ПОЛОЖЕНИЕ ОБ ИСПОЛЬЗОВАНИИ KASPERSKY SECURITY NETWORK

В настоящем Положении изложен порядок получения и использования информации, указанной в приведенном ниже перечне.
Настоящее Положение относится к продуктам Антивирус Касперского, Kaspersky Internet Security, правообладателем которых является ЗАО «Лаборатория Касперского».

В целях выявления новых угроз информационной безопасности и их источников, а также повышения уровня защиты информации пользователей, обрабатываемой с помощью ЭВМ, совершенствования функционала продуктов, разрабатываемых ЗАО «Лаборатория Касперского», после включения Пользователем функции предоставления информации в разделе «Обратная связь» окна настройки соответствующего продукта, компьютер пользователя будет автоматически отправлять в «Лабораторию Касперского» информацию в соответствии со следующим перечнем:

* Информация об установленном на компьютере аппаратном и программном обеспечении, в том числе версия операционной системы и установленные пакеты обновлений, объекты ядра, драйверы, сервисы, расширения Microsoft Internet Explorer, расширения системы печати, расширения Windows Explorer, загруженные объекты, элементы Active Setup, апплеты панели управления, записи файла hosts и системного реестра, версии браузеров и почтовых клиентов.
* Уникальный идентификатор, присваиваемый установленному на компьютере пользователя продукту «Лаборатории Касперского», и номер версии продукта.
* Информация о состоянии антивирусной защиты компьютера, а также данные обо всех потенциально вредоносных файлах и действиях (в том числе название вируса, дата и время обнаружения, названия и размер зараженных файлов и пути к ним, IP-адрес атакующего компьютера и номер порта компьютера пользователя, на который была направлена сетевая атака, название потенциально вредоносной программы).
* Информация о загружаемых пользователем программах (URL-адрес, размер файла).
* Информация о запускаемых программах (размер, атрибуты, дата создания, информация заголовка PE, регион, имя, местоположение, упаковщик).

Также для дополнительной проверки в «Лабораторию Касперского» могут отправляться подозрительные файлы или их части.

Сбор, обработка и хранение персональных данных пользователя не производятся.
Предоставление вышеуказанной информации является добровольным. Функцию предоставления информации можно в любой момент включить или выключить в разделе «Обратная связь» окна настройки соответствующего продукта «Лаборатории Касперского».[/more].

KapralBel

Цитата:

Не отключается передача в ЛК хэша неизвестных программ...

Хотелось бы добавить - не отключается штатным способом, за неимением такового.

Не могу не откомментировать:

Цитата:

1. Программы имеющие цифровую подпись - заносятся в "Доверенные", которым можно все

Уже после этого пункта можно сказать: Всё, с такой настройкой, у вас больше нет никакой защиты!


Цитата:

* Например разработчик скомпроментировал свою ЭЦП, как в свое время было с стухнетом
* или наоборот - несмотря на нимб и крылышки (тм есть хвост и рога)
это мгновенно спускается по КСН

Опасаюсь только, что после запуска доверенного зловреда, "спускаться по КээСэНу" это всё будет в загадочную тишину.

KapralBel
Ну это только часть механизма защиты - алгоритм присвоения программе определённого статуса (доверенная и т.п.), в соответствие с которым ей разрешаются/запрещаются некие действия (запись, выход в инет и т.п.). И этот алгоритм даже блонди понятен.
Меня интересует другое - насколько полезен сервис КСН мне, если окончательное решение о доверии/недоверии к проге принимаю я и выставляю ей соответствующие права? О КейсМенеджере Каспер кричит как о "бяке-кусь, кусь", а я заношу её в "доверенные". Т.е. получается, что КСН мне как собаке пятая нога.
Какой толк в панеле "Контроль программ" от звёздочек-бюстов, которыми при помощи КСН определяется некая "популярность" той или иной софтины? Какие действия я должен предпринять, если у Ворда "популярность" в плане безопасности - 5 бюстов; а у ОпенОфиса - 3?
Одним словом, я считаю, что КСН для рядового юзера не более чем красивый, но нефункциональный наворот. И заморачиваться по поводу того, есть он или нет, включать или не включать особо не стоит. Главное, "чтобы костюмчик сидел": Каспер выполнял свои прямые супружеские обязанности.

WildGoblin

Цитата:

В том, что твои данные

Данные или программы ?


Цитата:

Хотелось бы добавить - не отключается штатным способом, за неимением такового.

Ну если мне понадобится - я найду как отключить . Но мне как то некошерно советовать и давать такие вещи


Цитата:

Уже после этого пункта можно сказать: Всё, с такой настройкой, у вас больше нет никакой защиты!

И в чем её опасность?


Цитата:

Опасаюсь только, что после запуска доверенного зловреда, "спускаться по КээСэНу" это всё будет в загадочную тишину.

Аха да... нет подписи - права доверненной проги - только если ручками туда запихать
Но этот случай проходит по статье ССЗБ, не так ли?

Добавлено:
niketeen69

Цитата:

Меня интересует другое - насколько полезен сервис КСН мне, если окончательное решение о доверии/недоверии к проге принимаю я и выставляю ей соответствующие права?

Ну в таком случае - действительно может возникнуть коллизия - о разном отношении к конкретной программе
А кто будет прав/не прав - это надо смотреть в конкретном случае


Цитата:

Одним словом, я считаю, что КСН для рядового юзера не более чем красивый, но нефункциональный наворот

Неверно
Не для рядового - а для того кто считает, что он может (ну или реально может) обеспечить безопасность своего компа, не обращая внимания на рекомендации антивируса
И то в этом случае все-таки опираться на мнение вендора... а если не нравится - то принимать решение самому
Если уж сам перенес программу в доверенные - то КИСуля её там и оставляет...


Цитата:

Какие действия я должен предпринять, если у Ворда "популярность" в плане безопасности - 5 бюстов; а у ОпенОфиса - 3?

Ну лично мне это тоже пофик - сколько там пользователей юзает - менкк 10 или более миллиона
Если мне прога нужна - я её буду юзать... и что из того, что её юзает менее 10 человек
Вообще в этой ситуации - это проблемы тех, кто её не юзает
Отключите КСН и не будете видеть это...

Дело в том что ХИПС, не ограничивается только звездочками.. а большая часть гораздо полезнее

Если бы была возможность выбора то и спора никакого бы не было, а то вроде как есть вопрос Хотите ли вы принять участие, а на твой ответ программа тупо забивает и в любом случае принимает участие. Мне допустип пофигу что передает KSN, пароли она точно не передаст, ну или в крайнем случае ЛК их не сможет использовать, а на все остальное мне наплевать, я живу в Украине, а в нашей стране до борьбы с пиратством как до Владивостока на велосипеде, а спорить можно до 100000000000000 страницы на эту тему