» Kaspersky Anti-Hacker

albel
00:32 11-03-2005
Цитата:

Я ведь правильно понимаю

Правильней некуда.
Это не значит, что мочи не было, как он падал, но падал, ну а так как для локальной машины всех этих наворотов не надо, то я и не стал ничего экспериментировать, а просто поставил KAH.
Gideon Vi
01:51 11-03-2005
Цитата:

Вы не выясняли, из-за чего у вас падал Outpost?

У меня при старте падал. Не выяснял. Может, это и известная проблема и она решается, просто я не стал ее решать.

Gideon Vi

Цитата:

сообщение о атаке Helkern замучало

Выяснить, с каких адресов атака (у меня, в основном, была с 61.*.*.*) и создать блокирующее правило.

ivas
23:33 11-03-2005
Цитата:

Выяснить, с каких адресов атака (у меня, в основном, была с 61.*.*.*) и создать блокирующее правило.

Если брать меня, то у меня эта бомбежка со всего свету... Разве что многие повторяются и бомбят в одно и то же время, скажем в какие-нибудь 8:15 по Москве.

Сегодня обновил Оперу (просто проинсталировал поверх старой) и был прениприятно удивлён - каспер не следит за тем, обновились ли компоненты... это ведь плохо. У разработчиков данная фишка хотя бы в ту-ду есть?

>Выяснить, с каких адресов атака (у меня, в основном, была с 61.*.*.*) и создать блокирующее правило.

У меня это дело отовсюду сыплется. Сейчас просто отключил оцию "Показывать главное окно при атаке".

Gideon Vi

Цитата:

каспер не следит за тем, обновились ли компоненты...

Даже очень следит. На 8-9 страницах этого топика эта проблема поднималась.

TCPIP

Цитата:

многие повторяются и бомбят в одно и то же время,

А вот для времени правило не придумали.


Цитата:

Сейчас просто отключил оцию "Показывать главное окно при атаке".

Я уже давно включил эту опцию, только время от времени просматриваю журнал...

Gideon Vi
09:37 17-03-2005
Цитата:

каспер не следит за тем, обновились ли компоненты... это ведь плохо

Следит, но как-то непонятно как. Как впрочем и стандартный виндовый фиревол. Тут я часа 3 наверное сидел на новом FTPRush и уже скачал много файлов, как вдруг при очередном переходе к скачиванию файла... выскочило окно фиревола, сообщившее мне, что программа была заблокирована и мол надо разблокировать... Это с каких пирогов? А чего ж он до этого 3 часа думал? Так и с каспером --- обновишь Maxthon, уж весь руборд просмотришь, вдруг... на те "файл изменился".

TCPIP

Цитата:

вдруг... на те "файл изменился".

да-да, такое часто возникает. Мои мысли по этому поводу на предыдущей странице треда.
Если кратко, то сдаётся мне, что для каждого правила будет выдаваться сообщение "файл изменился", а при выборе "я продолжаю доверять..." может быть создано новое правило (ничем иным не могу объяснить тучу возникающих на пустом месте правил, приводящих к неработоспособности старых)

TCPIP

Цитата:

выскочило окно фиревола

Так это же в стандартное средство (встроеный брндмауэр).
albel

Цитата:

ничем иным не могу объяснить тучу возникающих на пустом месте правил, приводящих к неработоспособности старых

После создания правила для изменённого (обновлённого) файла, правило для "устаревшего" блокируется.

ivas

Цитата:

После создания правила для изменённого (обновлённого) файла, правило для "устаревшего" блокируется.

вот, млин, куча счастья при виде пары сотен блокированных дублирующихся правил.
p.s И ведь что самое обидное, при обновлении приложения, если были настроены правила по конкретным портам, а не взяты из предустановок, переписывать придётся ВСЁ.

albel
Да, проблем с настройками хватает. Для домашнего компа КАН ещё туда-сюда, а для сервака, к сожалению не катит.

Добрый день

Как заместитель директора департамента инновационных технологий хочу выразить Вам всем большую благодарность за внимание к продуктам ЛК, в частности KAH.

С другой стороны как менеджер линейки продуктов проекта KAV 2006 хочу Вас заверить, что
фраза "обновление продукта и реализация пожеланий пользователя будет на уровне, чуть большим нуля, не сомневаюсь" не будет соответствовать и уже не соответствует действительности - мы очень пристально следим за всеми высказываемыми предложениями и пожеланиями и сейчас, как раз, находимся в стадии улучшения заработавших (в первой версии прототипа KIS 2006) компонент продукта.

По вопросам на форуме:
> цены на kis будут вообще запредельными
Я не могу утверждать со 100% уверенностью, но с 90% - точно не будут.
Кроме того, на домашнем сегменте рынка будет предложено 2 продукта: KAV (AV и проактивная защита) и KIS.

> думаю у них в планах КАХ 2.0
На текущий момент я о таких планах не знаю.

> Гибкость настроек - не её конёк.
> нельзя посмотреть / изменить предустановки стандартных правил
> ОЧЕНЬ неудобный доступ к логам
Да, это недостатки - мы думаем, как их исправить, но не могли бы Вы предлагать также какие-то решения или ссылки на аналогичные продукты, в которых тот или иной аспект сделан эффективно и удобно?

> ушёл искать альтернативу
Я конечно, не могу Вас отговаривать, но всё же прошу тех, кто заинтересован в получении в следующей версии полноценного продукта от ЛК (в котором хороша не только AV-составляющая) - помогите нам улучшить KAH. Со своей стороны обещаю, что все поступившие предложений будут обязательно проанализированы и внедрены, если они будут действительно полезны.

В ближайшие пару недель должна выйти следующая полу-публичная версия KIS 2006 - в которой будет, кроме прочего, улучшена AH-составляющая - призываю Вас посмотреть на неё (ftp://ftp.kaspersky.ru/beta/kav2006/ и http://downloads1.kaspersky-labs.com/beta/kav2006/) и будем ждать Ваших отзывов и пожеланий.

P.S. Кстати, что Вы думаете об идее использовать правила Snort в KIS?

С уважением,
Николай Гребенников

ivas
23:22 18-03-2005
Цитата:

Так это же в стандартное средство (встроеный брндмауэр).

Дык! Я про то же! Я говорю, что это у них у всех такое поведение, что у KAH, что у стандартного фиревола. Может, я чего не понимаю, чего они не сразу срабатывают.albel
22:46 18-03-2005
Цитата:

то сдаётся мне, что для каждого правила будет выдаваться

Дело в том, что такое, похоже, происходит даже тогда, когда правило всего одно, как, например, в случае с ReGet.
grnic
15:04 19-03-2005
Цитата:

но не могли бы Вы предлагать также какие-то решения или ссылки на аналогичные продукты, в которых тот или иной аспект сделан эффективно и удобно?

С удовольствием (по мере возможности) и уже делаем это

PS. Прошу-умоляю, сделайте пожалуйста флажок на включение/отключение проверки IMAP-протокола... Я больше не могу. Да и флажок подключения сторонних приложений (не надстроек) кажинный раз после запуска KIS приходится снимать заново...
Впрочем, это не к вам и не сюда, но, быть может, так будет лучше понятно...

А в целом, что бы там ни говорили, идея KIS удачная, нужно лишь грамотно реализовать возможность подключения и отключения компонентов на лету.

grnic
Раз вы внимательно прочли ветку (версия для печати), то видели проблмы, с которыми сталкивались и продолжают сталкиваться пользователи.
Одни из самых важных:
- правилах для фильтрации пакетов просто необходимо предоставить возможность указания диапазона портов и их перечисление, например: 30100-30102, 30337-31338, 31789, 31791;
- в условиях для фильтрации такое же перечисление протоколов (а не один протокол на выбор);
- в списке правил для приложений, как минимум, необходимо при наведении курсора на название приложения хотя бы как подсказку (hint) выводить полный путь. А может и сразу прописывать полный путь, а то окно большое, а информации всего одна строка.
- "разрешить активность приложения в соответствии с его типом" слишком общая формулировка. Есть необходимость, в том числе, определения портов для программ и выбор протокола (не только ТСР, как это указано)

Это навскидку. Надо ещё подумать, да и завсегдатаи этого топика дополнят.

grnic
добавлю к замечаниям ivas:
- неудобный доступ к логам (т.е. следует сделать тучу кликов мышкой, чтобы включить ведение лога для конкретного правила)
- нет древовидного представления информации: группировки правил по приложениям, в результате тяжело отслеживать правила по отдельным приложениям, ведь они разбросаны по всему списку.
- ОЧЕНЬ напрягают действия программы при обновлении версий, посмотрите, это на прошлой странице обсуждалось.
- нужен, очень нужен корректный импорт/экспорт настроек. Лучше в виде xml, txt или .reg, а не файла внутреннего формата. Поясню: при переносе системы (или просто переносе программы на другую машину) пути к системным папкам могут быть другими, а тут достаточно будет в файле подправить путём search and replace, а не переконфигурировать всё.
- очень хочется видеть ослабление/отключения контроля компонентов для часто меняющихся программ

Цитата:

В ближайшие пару недель должна выйти следующая полу-публичная версия KIS 2006

спасибо, посмотрим. Я правильно понимаю, что AH-компоненту следует в дальнейшем ожидать не как самостоятельное приложение, а как часть KIS? Или отдельная ветка будет продолжена?

Цитата:

Я не могу утверждать со 100% уверенностью, но с 90% - точно не будут.

это конечно, оффтопик, как вопрос лицензионной политики, но я не понимаю, почему бизнес-лицензии стоят гораздо дешевле лицензий для домашних пользователей? Возьмём тот же KAV: цены для Wks начинаются от 900 р за лицензию и падают, а для дом.пользователя цены от 1000? Я понимаю, это стимулирует бизнес. Наша организация тоже приобрела лицензии Wks, потому как дёшево и надёжно. Но мне как домашнему пользователю (!) проще заказать доп.лицензию на компанию и установить её у себя дома, чем купить себе продукт - это будет дешевле. Согласитесь, что-то не так.
Для KIS цена, по которой я его куплю, составляет 1000 р (ну или 999, скажем, некий психологический порог). Простите, но я очень сомневаюсь, что он будет стоить меньше 2000

ivas
19:06 19-03-2005
Цитата:

Надо ещё подумать, да и завсегдатаи этого топика дополнят.

На вскидку, еще то, о чем я все время твержу:

отображение командной строки процесса: если запущено несколько служб, то не понятно какой svchost за какую службу отвечает и смысла в десятке висящих хостерах --- никакого.
отображение не только IP, но и имени хоста. В текущей реализации отбражается либо IP, либо только имя хоста (как только оно будет определено).

albel
Q:
Цитата:

Простите, но я очень сомневаюсь, что он будет стоить меньше 2000

grnic
A:
Цитата:

Я не могу утверждать со 100% уверенностью, но с 90% - точно не будут.

Глядишь, появится:
КАН -> Справка -> О программе -> Поддержка:
Kaspersky Labs
При участии: albel, TCPIP и иже с ними
http://forum.ru-board.com/topic.cgi?forum=5&topic=4760

ivas
в том посте о конкретных цифрах речь не шла. Я просто указал порог, который считаю приемлемым для продукта рынка домашнего пользователя (исходя из соображений антивирь 600 р. + файрволл 400 р.).

grnic
ждём выхода новой бетки, ответов на вопросы, пожеланий к оформлению репортов.

grnic
Ещё вспомнил. При смене пользователя в XP приходится выгружать КАН. Но это если 1 раз - то куди ни шло, а если 2 пользователя постоянно переключаются, включён интернет ... Одним словаом непорядок.

Г-н grnic как внезапно появился здесь, так же и исчез. Мелькнул, одним словом. Видимо и "недостатки, которые они планируют исправить" постигнет забвение. И их исправления мы не дождёмся.

ivas
14:51 25-03-2005
Цитата:

Г-н grnic как внезапно появился здесь, так же и исчез

Ну, ему-то простительно, он же не разработчик, а начальник. Его задача теперь дергать разработчиков...

TCPIP
Хоть бы словом обмолвился: принял он к сведению пожелания пользовательских масс или ... одно из двух. А может его разработчики уже послали?

ivas
> Г-н grnic как внезапно появился здесь, так же и исчез. Мелькнул, одним словом.
Это не так. Мы просматриваем все достойные внимания места с периодичностью в 1-2 дня.
Просто в последнее время мы проводили много обсуждений, в частности, по поводу AH и полное решение ещё не формализовалось.

> Видимо и "недостатки, которые они планируют исправить" постигнет забвение. И их исправления мы не дождёмся.
Не верно, мы очень тщательно проанализировали все что высказано выше, помучились с несколькими чужими файерволами и обсудили множество детале. Так что работа идет... и если Вы мне объясните, как на форум запостить скриншот, я Вам это докажу...

grnic
00:50 26-03-2005
Цитата:

как на форум запостить скриншот, я Вам это докажу...

Используйте тег [img][/img] и, как вариант хостера, _http://www.imageshack.us/index4.php

Что там с KIS'ом, в особенности с модулями брандмауэра и антиспама? К сожалению, все никак не найду время отписаться на вопросы Виталия Денисова. Но, дайте время...

TCPIP
Who is mr.
Цитата:

Виталий Денисов

Добавлено:
grnic
Ждём с нетерпением.

Пример изменённого окна правил для приложений


Добавлено:
В общем же вот часть из принятых решений:
1) расширить окна настройки правил для приложений и правил в виде списков с большим числом стобцов, при этом редактирование отдельных полей будет доступно прямо из таблицы,
2) отказаться от визарда настройки правила и поместить настройки на одно окно,
3) изменить настройку портов для поддержки: одиночного порта, диапазона портов, совокупности того и другого,
4) отказаться от "типов приложений" в текущем понимании KAH и приблизиться к понятию preset'ов Outpost
5) расширить базу приложений
6) ввести понятие "элементы сетевой активности" (на скриншоте показаны элементы сетевой активности ICQ)

Дополнительно: мы добавили во все списочные контролы функциональность поиска, изменения порядка столбцов и их выбор из списка доступных - это должно помочь диалогам настройки правил и отображения сетевой активности приложений.


Добавлено:
В. Денисов - разработчик почтовых подсистем KIS (Mail Monitor и AntiSpam).

По поводу изменений в AS:
1) добавляется функциональность ala mailwasher, когда будет открываться окно с доступными письмами и первыми N строчками письма - после чего можно будет либо отказаться от скачивания всего письма, либо скачать и проверять на вирусы и спам KIS'ом,
(сейчас правда мы встали на вопросе поддержки связи с клиентом - OE "отваливается" через 1 минуту после начала соединения...),
2) отказ от предустановленной базы - до обучения на 50 письмах в отчёте AS пишется "недостаточно информации для оценки",
3) возможность обучения из окна отчёта AS - т.е. теперь не важно, каким клиентом принимается почта - обучать AS можно всегда.

Ну, и в целом к почте:
4) возможность выбора событий (3) в Outlook'е, при которых происходит проверка письма; кейс - при снятии флажка OnDelivery мы не будем "насильно" скачивать письма с сервера для проверки (привет IMAP'у),
5) возможность выбора нескольких портов,
(возможно не успеем к ближайшему паблик билду, но тестовая версия уже работает)
6) поддержка IMAP & NNTP
(если не успеем п.6, то тестировать IMAP надо будет изменив порт POP3 на 143).

grnic
02:09 26-03-2005
Цитата:

1) расширить окна настройки правил для приложений и правил в виде списков с большим числом стобцов, при этом редактирование отдельных полей будет доступно прямо из таблицы,

О!
2-6: О-О-О-О-О.
"Леонид Ильич! Это олимпийские кольца."
Единственное, чего не видно (а хотелось бы), это как отображаются службы!

Цитата:

1) добавляется функциональность ala mailwasher

Почти то, что нужно. Очень интересно посмотреть.
Да, Виталий все спрашивает, как так, ручная фильтрация, так вот пример

grnic
Это всё, конечно, хорошо. Только понятно будет после некоторого времени использования в реальных, можно сказать боевых, условиях.
А вообще это положительный момент (повертуться лицом к потребителю). Заслуживает слов благодарности.

grnic

Цитата:

Пример изменённого окна правил для приложений

о, отличный скриншот. Пути к приложениям появились. Много места. Радует.

Цитата:

4) отказаться от "типов приложений" в текущем понимании KAH и приблизиться к понятию preset'ов Outpost

разумно.

Цитата:

5) расширить базу приложений

тут можем поспособствовать, думаю. Много правил уже есть, был бы нормальный экспорт в txt - минутное дело запостить

p.s. ОЧЕНЬ волнует вопрос с обновлением приложений, не могли бы Вы прояснить ситуацию? Сейчас ВСЕ правила для приложения нужно пересоздавать после обновления exe-шника приложения. Очень напрягает, особенно для программ типа emule, которым соответствует 10-12 правил. + Старые правила остаются в списке, засоряя его.
Как будет в будущей версии работать механизм? Это вопрос не только удобства, но и безопасности, как ни странно (поваторив настройку 3-5 раз, пользователь всё больше склоняется к варианту "Разрешить всё" ).


Цитата:

(сейчас правда мы встали на вопросе поддержки связи с клиентом - OE "отваливается" через 1 минуту после начала соединения...),

OE не отваливается, он диалог выдает "Your server is not responding for...". Почему бы не использовать технологию, применяемую в KAV? Т.е. раз в n-секунд почтовый клиент получает пару байт информации, тем самым создаётся видимость поддержки соединения. Пусть, скажем, генерится письмо "KAS handle...", передаваемое в OE, пока пользователь работает со списком на сервере, которое в правилах OE (можно предложить пользователю настроить) будет автоматом перемещаться в удалённые по завершении соединения. Тут можно ещё подумать...


Цитата:

6) поддержка IMAP & NNTP
(если не успеем п.6, то тестировать IMAP надо будет изменив порт POP3 на 143).

nntp для антиспама? ЗачеМ? К AV-компоненте, я понимаю, имеет смысл прикрутить поддержку nntp.

p.s. Спасибо за ответы и комментарии. Радует, что вы не забыли про пользователей (тут на форуме нередки просто случаи, когда разработчик появится, наобещает золотые горы, дождётся результатов тестирования и пропадёт, поэтому отношение изначально скептическое).

Кста.. нащет Снорта и КАХа.. я ЗА тлько еще хочется возможность ручками правила писать... чтоб можно было плохие пакетики опытным юзверям блокировать.

> ОЧЕНЬ волнует вопрос с обновлением приложений, не могли бы Вы прояснить ситуацию
Предложите, плиз, как бы Вы хотели видеть реализацию этого аспекта?
> тлько еще хочется возможность ручками правила писать...
Да, мы это планируем.. Но не в ближайшем паблике. Сейчас мы чуть притормозили здесь на предпроцессорах snort'а