Comments 45
Только непонятно почему не тестировались просто фаерволы с контролем любой подозрительной активности типа аутпоста, джетико или онлайн-армора. Наверняка бы результаты были бы лучше в разы.
онлайн-армор он тут Emsisoft
А зачем им было тестировать экзотические фаерволы, которые стоят у несущественно малого процента жертв? Ничего плохого о перечисленных фаерволах не думаю — просто констатирую факт: они редкость, «точиться» под них просто нет особого смысла.
А как же целевые атаки, заказчики и т.д.?
Я тоже про это думал, но пришел к выводу, что им не ставилось ТЗ вида «у жертвы N фаервол — нужно обойти», видно, что все что нужно было вот так обходить — описано в их вики. Там есть описание VBA32 — экзотика еще та — значит был заказ против «клиента» с ним на борту, а кто не описан в вики — против тех не точились и не исследовали ибо пофиг.
Скорее всего данная табличка использовалась не только для внутренних целей, но и для продаж продукта. С помощью малоизвестных антивирусов просто увеличили общий процент эффективности.
Кстати да — посоветуйте какой-нить фаервол (из триал или бесплатного). Надо задетектить подозрительную активность.
Антивирусы ничего не кажут.
Антивирусы ничего не кажут.
все эти антивирусы и фаерволы по сути своей костыли :) 4 правила спасут лучше
Таки да, согласен, при условии, что это личная машина.
А это не моя, одного из 2х юзеров, с которых есть подозрительная активность (машин пару сотен).
Почему-то каждый день при включении Каспер с этих 2х IP детектит попытку доступа на произвольные порты.
После этого ничего нет.
Комп и лайв CD прогонял, и так. Вроде ничего. Не понимаю. Просто внутренний параноик, и 2 крипто-атаки за пару месяцев не оставляют сей факт без внимания.
А это не моя, одного из 2х юзеров, с которых есть подозрительная активность (машин пару сотен).
Почему-то каждый день при включении Каспер с этих 2х IP детектит попытку доступа на произвольные порты.
После этого ничего нет.
Комп и лайв CD прогонял, и так. Вроде ничего. Не понимаю. Просто внутренний параноик, и 2 крипто-атаки за пару месяцев не оставляют сей факт без внимания.
Ага, спасут.
Только в случае, когда в системе нет никаких дыр. Тогда да, все это будет работать.
А так есть и повышение прав, и софт которому просто необходимо работать в AppData и вообще много всяких «не в лоб» решений. Достаточно пройтись по ресурсам посвященным бехопасности и ужаснуться, какие бывают хитрости в различных зловредах.
Только в случае, когда в системе нет никаких дыр. Тогда да, все это будет работать.
А так есть и повышение прав, и софт которому просто необходимо работать в AppData и вообще много всяких «не в лоб» решений. Достаточно пройтись по ресурсам посвященным бехопасности и ужаснуться, какие бывают хитрости в различных зловредах.
Ну не знаю :) В моей вселенной весь софт который пытается запуститься из AppData сразу отправляется в сад. А по поводу srp все многократно обсуждено, заспиртовано и отправлено в архив — ни одного сценария преодоления ограничений политики никто все еще в реальной жизни пока не видел. Если есть на примете что-то преодолевающее закон 4-х правил — показывайте, а иначе опять получится беспредметное обсуждение особенностей размножения сферических коней в.
Ну у вас просто подход страуса к жизни — если я чего-то не вижу, значит оно не существует.
А в целом, нельзя же быть на столько наивным.
Во всех операционках постоянно находят дыры и способы различных несанкционированных действий.
На этом делаются очень большие деньги. Никто в здравом уме не публикует их массово. Так, отдельные эпизоды всплывают.
Или вы правда думаете, что только ради каких-то каментов на хабре, кто-то выложит в паблик такие вещи? Ну-ну))
P.S. Просто пройдитесь по сайтам посвещенным безопасности. Ну или хотя бы в гугле поиском.
И попрбуйте додумать такую простую мысль. Все дыры что там описаны как закрытые и непробиваемые при наличии последних обновлений, когда-то были неизвестными и не закрытыми.
А в целом, нельзя же быть на столько наивным.
Во всех операционках постоянно находят дыры и способы различных несанкционированных действий.
На этом делаются очень большие деньги. Никто в здравом уме не публикует их массово. Так, отдельные эпизоды всплывают.
Или вы правда думаете, что только ради каких-то каментов на хабре, кто-то выложит в паблик такие вещи? Ну-ну))
P.S. Просто пройдитесь по сайтам посвещенным безопасности. Ну или хотя бы в гугле поиском.
И попрбуйте додумать такую простую мысль. Все дыры что там описаны как закрытые и непробиваемые при наличии последних обновлений, когда-то были неизвестными и не закрытыми.
Ну хорошо, Вот вам реальный пример:
У нас достаточно большая организация, несколько доменов, администрируемых разными админами. Когда мы настраивали свой — политика защиты была похлеще ваших 4х правил. Юзер полностью ограничен и имеет права на запуск только конкретного списка разрешенных программ, флэшки, cd/dvd — закрыты, обмен только через общие папки с мин.необходимыми правами, на всех компах антивирус. Казалось бы куда уж круче… И все жили долго и счастливо, по моему до 2008 или 2009, пока однажды не приходит к нам админ из соседнего отдела и не спрашивает у вас с сеткой все норм? Мы ну конечно, норм… а у нас говорит он коллапс наступил в сетевом окружении ни к одному компу подключиться нельзя, все тормозит по страшному. Мы думаем, ну вот видимо они не такие параноики в безопасности как мы, наверняка вирусняк пропустили. Проходит минут эдак 5 после его визита, и где-то с интервалом 30 сек на всех наших компах в комнате поочередно вересчит каспер… Что за фигня? Оказалось — пришел к нам в гости злобный Кидо (ну у него куча и др имен). Вирь, который через дырку в windows заражает комп через сеть и живет в памяти — заражает в сети другие компы. Каспер верещит — но виря не видит, видит хрень, которую тот подкачивает из инета и все… Сеть в ступоре была, пока заплатку на винду всех компов не поставили.
А Вы говорите… 4е правила :)
У нас достаточно большая организация, несколько доменов, администрируемых разными админами. Когда мы настраивали свой — политика защиты была похлеще ваших 4х правил. Юзер полностью ограничен и имеет права на запуск только конкретного списка разрешенных программ, флэшки, cd/dvd — закрыты, обмен только через общие папки с мин.необходимыми правами, на всех компах антивирус. Казалось бы куда уж круче… И все жили долго и счастливо, по моему до 2008 или 2009, пока однажды не приходит к нам админ из соседнего отдела и не спрашивает у вас с сеткой все норм? Мы ну конечно, норм… а у нас говорит он коллапс наступил в сетевом окружении ни к одному компу подключиться нельзя, все тормозит по страшному. Мы думаем, ну вот видимо они не такие параноики в безопасности как мы, наверняка вирусняк пропустили. Проходит минут эдак 5 после его визита, и где-то с интервалом 30 сек на всех наших компах в комнате поочередно вересчит каспер… Что за фигня? Оказалось — пришел к нам в гости злобный Кидо (ну у него куча и др имен). Вирь, который через дырку в windows заражает комп через сеть и живет в памяти — заражает в сети другие компы. Каспер верещит — но виря не видит, видит хрень, которую тот подкачивает из инета и все… Сеть в ступоре была, пока заплатку на винду всех компов не поставили.
А Вы говорите… 4е правила :)
А в «похлеще» входил запрет выполнения из папок %temp%, windows/temp и windows/system32/spool? А каким способом организовывался запрет на выполнение неразрешенных программ? Неужели srp? Но в любом случае у меня в 2008-2009-х в сетке из 35 компов ни одного случая заражения конфискером не было. А админил я там «приходяще» (раз в пару месяцев) и апдейты, закрывающие виндовую уязвимость были установлены намного позже — уже летом, когда эпидемия во всю шла. Может конечно и повезло, но по-моему там все-таки обламывалось первоначальное внедрение в процесс svchost из-за того что созданный вирусом файл находился в какой-либо папке вне списка разрешенных.
У нас в локальной сетке, более 500 компов, и для некоторых доменов (которые администрируем не мы) были открыты usb. Оттуда он к нам и залез.
> А в «похлеще» входил запрет выполнения из папок %temp%, windows/temp и windows/system32/spool?
А зачем? ведь кроме разрешенного списка файлов (драйвера и офисные программы) больше в системе ничего, ниоткуда запустить нельзя. Устанавливается это в групповой политике домена (Конфигурация пользователя\Административные шаблоны\Система\Выполнять только указанные приложения Windows).
> Может конечно и повезло, но по-моему там все-таки обламывалось первоначальное внедрение в процесс svchost из-за того что созданный вирусом файл находился в какой-либо папке вне списка разрешенных.
Фишка именно в дыре Windows — вирус заражает через сеть и живет в памяти даже не копируя себя на hdd (дырявый svchost — запускает его код переданный по сети, и на диске ему для работы ничего не нужно, он только подгружает всякую дрянь видимо из инет-сервера если есть выход, со всякими haсk-утилями типа rdp, которые в нашем случае уже были в БД антивиря). После выключения/включения вирус исчезает, но комп снова заражается от других компов в сети. Бухгалтерию так и спасали — вырубили все компы их отдела и отключили свитч к остальной локалке, а в их внутренней уже вируса не было.
> А в «похлеще» входил запрет выполнения из папок %temp%, windows/temp и windows/system32/spool?
А зачем? ведь кроме разрешенного списка файлов (драйвера и офисные программы) больше в системе ничего, ниоткуда запустить нельзя. Устанавливается это в групповой политике домена (Конфигурация пользователя\Административные шаблоны\Система\Выполнять только указанные приложения Windows).
> Может конечно и повезло, но по-моему там все-таки обламывалось первоначальное внедрение в процесс svchost из-за того что созданный вирусом файл находился в какой-либо папке вне списка разрешенных.
Фишка именно в дыре Windows — вирус заражает через сеть и живет в памяти даже не копируя себя на hdd (дырявый svchost — запускает его код переданный по сети, и на диске ему для работы ничего не нужно, он только подгружает всякую дрянь видимо из инет-сервера если есть выход, со всякими haсk-утилями типа rdp, которые в нашем случае уже были в БД антивиря). После выключения/включения вирус исчезает, но комп снова заражается от других компов в сети. Бухгалтерию так и спасали — вырубили все компы их отдела и отключили свитч к остальной локалке, а в их внутренней уже вируса не было.
Комод.
Благодарю. Но пишут, что: Comodo Firewall и Antivirus — теперь Comodo Internet Security
Интересовал только фаервол.
Интересовал только фаервол.
Раньше там при установке выбирался состав и антивирусняк можно было не ставить (он был дико тормознутым, но не как кошмарский, он просто всё долго делал). Наверняка так и осталось.
Нормальный сейчас антивирус. Если еще настроить HIPS и фаервол на ручной режим, так вообще не пробить.
В такой же режим можно настроить хипсофаервол практически у любого современного ав-комплекса, теперь многие позволяют копаться в тонких нутрах и настраивать оповещения/правила на чтение||запись в/из определенных ключей/файлов/папок, межпроцессовое взаимодействие, исполнение и т.д. Т.е кому какой продукт нравится, тот его и настраивает как душе угодно, но выходит обычно у всех примерно одно и тоже, только другой интерфейс и логотипчик.
При том раньше это был единственный известный мне антивирус, бесплатное использование которого было разрешено в коммерческих организациях. Как дела обстоят сейчас, увы, не знаю.
UFO just landed and posted this here
Avast, ESET и Norton показали лучшие результаты?
Я так понимаю все у кого чёрный цвет и занесли в Blacklist — имеют доступ к программе или есть свой человек в Hacking Team?
Я так понимаю все у кого чёрный цвет и занесли в Blacklist — имеют доступ к программе или есть свой человек в Hacking Team?
Вряд ли. Вот тут пишут, что Софос вообще не тестировали.
UFO just landed and posted this here
Akr0n, а белый цвет что обозначает? Не подскажете?
По-моему это не сравнительный тест антивирусов в классическом представлении, а результаты внутреннего тестирования реакции эвристики на поделки HT. Учитывая, какие методы использовали разработчики, подстраиваясь под антивирусы, сложно однозначно винить в чем-либо антивирусные лаборатории. Пройдет какое-то время, и эти поделки так же попадут в антивирусные базы.
В том-то и проблема, что так рекламируемые АВ компаниями «эвристики» — в целом набор шаблонов, а никакие не интеллектуальные системы. Т.е.: кто-то заразился -> исследовали зловред -> добавили шаблон для него. Эвристика для того и нужна, чтобы обнаружить угрозу, которой нету в базе. А по итогу получаем, что уже годы, как в антивирусах реализован эвристический анализ, но по большому счету это пшик.
Согласен. Есть слабая надежда, что эвристика в итоге разовьется во что-то более приличное. Этому также препятствует скорость работы, которая и по шаблонам то ощутимо снижает комфортность работы с компьютером. Что же будет, когда они врубят реальную эвристику… думаю, что компьютеры пока к этому не готовы, и антивирусные лаборатории идут на компромиссы (в т.ч. KSN и т.п.)
Согласен, и я бы даже добавил, что разработчики зловредов тоже составляют план тестирования своей продукции — где «тест пройден — это когда зловред не обнаруживается антивирусом». А стало быть они начинают тестировать с самых распространенных в целевой аудитории зловреда антивирусов (например, бесплатных) и заканчивают наименее распространенными, а какие то не тестируют вовсе — и тогда у такой антивирус остается невзломанным.
То есть можно сказать, что вышеприведенный список просто отражает «рейтинг» заинтересованности разработчиков малвары во взломе тех или иных антивирусов.
То есть можно сказать, что вышеприведенный список просто отражает «рейтинг» заинтересованности разработчиков малвары во взломе тех или иных антивирусов.
и чо кто победил?
С Avira Free и Full понятно. А вот с AVG странно :)
Много лет пользуюсь Symantec Endpoint Protection, неуправляемый клиент. Его почему-то всегда, во всех тестах упускают как вариант для сравнения. Но я не особо огорчаюсь — не знаю с ним проблем, особенно после выхода 12 версии.
Sign up to leave a comment.
Сравнительный тест популярных антивирусов от разработчика кибероружия Hacking Team