Защищаем ОС с помощью разграничения привилегий

Тема в разделе "Борьба с типовыми зловредами", создана пользователем Dragokas, 4 окт 2016.

  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.307
    Автор: Крис Касперски
    крис касперски ака nezumi aka souriz aka elraton aka laoshu aka толстый нутряк

    Защищенная ось без антивирусов и тормозов
    (опубликовано в журнале "Хакер" #092, 2006 год.)

    Некоторые воспринимают антивирус как неотъемлемую часть операционной системы и просто не мыслят свое существование без защитных пакетов от разных производителей, свободно пропускающих заразу, но вызывающих жуткие тормоза и целый ворох конфликтов, вплоть до выпадения в BSOD. Самый лучший антивирус — это сама ось! Нужно только научиться правильно ею пользоваться!

    Введение

    Windows NT (и все производные от нее системы — W2K, XP и частично Vista) изначально проектировалась как защищенная оси, способные постоять за себя и дать вирусам решительный отпор без каких-либо дополнительных средств, в том числе и широко разрекламированного Microsoft Anti-Spy-Ware. Но, чтобы не увязнуть в терминах, необходимо уточнить ряд определений.

    1.png
    Рисунок 1 твоя операционная система — это твоя крепость, а всякие там антивирусы идут лесом

    Терминологические войны

    Условимся называть вирусами саморазмножающиеся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Эпоха вирусов закончилась вместе с крушением MS-DOS, когда единственным средством добычи новых программ были дискеты товарища или, в лучшем случае, FIDO и BBS. С эпидемиологической точки зрения, все это создавало крайне напряженную обстановку. Копировать программы друг у друга — все равно что ширяться из одного шприца. С другой стороны, антивирус годичной давности считается вполне свежим и актуальным. Основными носителями вирусов были люди, а не файлы, поэтому масштабы эпидемии определялись исключительно интенсивностью копирования программ.

    С появлением сети пользователи стали закачивать дистрибутивы программ из инета, а вирусам для размножения перестали требоваться люди. Используя дыры в подсистемах безопасности и ошибки типа переполнения буфера, любой вирус буквально за несколько часов может заразить практически все уязвимые узлы, при этом ему совершенно не обязательно внедряться в исполняемые объекты. Зачем привлекать к себе лишнее внимание, когда можно ограничиться временным проживанием в оперативной памяти. Если заражен хотя бы 1% всех машин в сети, то вирус, умирая при перезагрузке, через незаткнутые дыры будет возвращаться вновь и вновь. Такие вирусы принято называть червями, и это один из наиболее распространенных типов компьютерной заразы на сегодняшний день.

    Еще существуют «психологические» вирусы, представляющие собой обыкновенные исполняемые файлы и распространяющиеся через вложения электронной почты, ICQ, web и ftp. Свою историю они ведут от «крэкеров интернета», завлекающих бесплатным доступом в сеть, а на самом деле, форматирующим жесткий диск. Этот подкласс заразы назвали Троянским Конем. Сейчас же времена первобытного варварства остались позади, и большинство троянов не уничтожают информацию, поскольку это сделает их пребывание слишком заметным, а скрыто устанавливают шпионскую закладку, похищающую пароли и содержимое электронных кошельков. Такие компьютеры принято называть зомби или дронами. Собрав огромную армию дронов, хакер может совершать распределенные атаки и делать кучу других антисоциальных вещей. Например, рассылать спам.

    2.png
    Рисунок 2 вирусы — такие колючие и разные!

    Антивирусы — за гранью возможного

    Антивирусы в настоящее время практически полностью утратили былую значимость и усиленно пытаются отойти от пропасти, на дне которой они находятся. Вирусы, заражающие исполняемые файлы, за последние несколько лет фактически перевелись, к тому же запретить запись в исполняемые файлы средствами операционной системы намного проще, дешевле, быстрее и надежнее, чем устанавливать антивирусный пакет. И уж совсем бессмысленно пытаться лечить зараженные объекты, ведь в любой момент их можно переустановить с дистрибутивной копии, хранящейся на CD-R/RW или скачанной из сети. Но автономный сканер — это еще туда-сюда. Лично я примерно раз в год скачиваю демонстрационную версию какого-нибудь антивируса и проверяю свое хозяйство на предмет: "а вдруг?" Впрочем, до сих пор все было чисто и никаких "авдругов" со мной не случалось.

    Антивирусный монитор, следящий за всеми создаваемыми/открываемыми файлами и проверяющий их на лету, — это дополнительные тормоза (подчас очень значительные): конфликты, критические ошибки, голубые экраны смерти и прочий ничем не оправданный геморрой. Вся проблема в том, что антивирус может ловить только те вирусы, о которых знает, а вирусы сейчас пишут все кому не лень, так что даже при экстраординарной степени оперативности никакой гарантии, что вся зараза будет распознана, у нас нет. Более того, вирус, упакованный слегка подправленной версией крутого протектора, имеет 100% шансы остаться незамеченным! Сложные протекторы уже не распаковываются на эмуляторе ЦП, и для их снятия требуется статический распаковщик, входящий в «движок» антивирусной базы и справляющийся только со строго конкретными версиями протекторов и очень болезненно относящийся даже к незначительным изменениям структуры упакованного файла. Да что там структура! Обычно бывает достаточно внедрить в точку входа jump на инструкцию, неизвестную эмулятору (например, что-нибудь из набора SSE/SSE2), и антивирус идет лесом, поскольку переменная длина x86 инструкций не позволяет ему определить начало следующей машинной команды!

    3.png
    Рисунок 3 голубой экран смерти, вызванный антивирусным монитором

    Реально, антивирусы могут отлавливать только не модифицированные версии Троянских Коней, да и то с оговорками. Просто смешно видеть, как на какой-нибудь файлопомойке типа www.download.ru пишут: "все программы проверены последними версиями антивирусов X и Y". Вы либо доверяете своему поставщику, либо нет. Как нельзя быть чуть-чуть беременной, так и нельзя доверять наполовину. Если разработчик (или дистрибьютор) задастся целью внедрить закладку — будьте уверены, он внедрит ее так, что никакой антивирус не поможет. Запускайте программы, полученные только из надежных источников, и только с минимально необходимым уровнем привилегий. Криво спроектированная программа, запущенная с администраторскими привилегиями, способна уронить всю систему так, что "ремонт" последней (в плане времени) обойдется дороже полной переустановки, но… никакого отношения к вирусам такая программа не имеет, поэтому антивирус скромно пропускает ее между ног, а вот правильно настроенная ось способна предотвратить свое обрушение, причем совершенно бесплатно и без тормозов!

    Что же касается червей (и, в частности, нашумевшего MS BLAST, известного так же под кличкой Love San), то это вообще песня. Удаляют его антивирусы, не удаляют — что толку?

    Пока есть дыра, он словно феникс из пепла будет появляться вновь и вновь. К тому же всегда существует вероятность, что кто- то умный напишет свой собственный shell-код, не имеющий с MS BLAST'ом ничего общего, а потому и не детектируемый _никаким_ антивирусом! Некоторые дыры можно закрыть брандмауэром, но в общем случае, для этого необходимо установить заплатку от производителя уязвимого продукта, которым может быть как сама ось, так и один из ее компонентов: IE, FireFox и т. д.

    Еще существует такой тип антивирусов как ревизоры, в задачу которых входит проверка целостности существующих файлов и контроль за вновь созданными. Некоторые ревизоры так же контролируют и реестр, особенно ветки, прямо или косвенно ответственные за автоматический запуск программ. Во времена MS-DOS это была очень хорошая штука, но сейчас… винчестеры так разжирели, что процедура сканирования отнимает кучу времени (а если работает в фоне, то это уже тормоза), к тому же многие сканеры содержат ошибки, позволяющие заразить файл без изменения его контрольной суммы (см. статью "как подделывают CRC16/32", опубликованную в хакере), не говоря уже о том, что при правильная политика разграничения доступа сводит актуальность сканеров на нет, тем более, что начиная с W2K система сама контролирует целостность жизненно-важных файлов через механизм SFC. Ну вот, сейчас кто-то скажет, что SFC легко обмануть, там ведь и сканер обмануть ничуть не сложнее, особенно если вирус стелсируется на уровне ядра или вообще не внедряется ни в какие объекты файловой системы, существуя лишь в виртуальной памяти какого-нибудь процесса.

    Контроль за целостностью виртуальной памяти процессоров берут на себя как антивирусы, так и персональные брандмауэры, распознающие и отсекающие все известные способы внедрения в чужое адресное пространство, да вот только… работает этот механизм кое-как. Зловредному коду, запущенному с пониженными привилегиями, доступ к чужим процессам можно запретить средствами самой операционной системы, а код, запущенный с правами администратора, пройдет сквозь все уровни защиты, как нож сквозь масло (при условии, что его писал не пионер, а хотя бы комсомолец). Самое неприятное, что существует множество легальных программ, например, мультимедийных клавиатур и мышей, использующих внедрение в чужое адресное пространство для реализации своих мультимедийных возможностей, поэтому, слепой запрет брандмауэра/антивируса приведет к их неработоспособности! Значит, необходимо предоставить пользователю возможность выбора. А сможет ли он отличить честную программу от нечестной? Но даже не это самое страшное. Чем глубже внедряется брандмауэр/антивирус в систему, тем сложнее зловредному коду его обойти, но и тем больше конфликтов и глюков он (брандмауэр/антивирус) вызывает.

    Получается так, что грамотно настроенной системе никакой антивирус не нужен, а с безграмотной никакой антивирус все равно не справиться (брандмауэр стоит ставить только затем, чтобы отделить домашнюю локальную сеть от Интернет и следить за сетевой активностью установленных программ, выявляя не только шпионов, но и легальные программы, пытающиеся проверить корректность регистрации).

    Эвристики

    Эвристика это одно из многих buzzwords конца XX — начала XXI века, то есть ученое или специальное словечко, способное произвести впечатление на непосвящённого. Это усилительное (часто бессмысленное) слово, используемое в профессиональном жаргоне для придания продукту тех черт, которыми он не обладает, или обладает, но совсем не в той мере.

    Идея эвристики уходит корнями в эпоху ранней юности MS-DOS и в общих чертах сводится к выявлению признаков, часто встречающихся в вирусах, но практически никогда — в легальных программах. Тогда это было легко! Код вируса писался на чистом ассемблере и укладывался в линейную структуру, которую легко "переваривал" эмулятор, распознающий ряд заложенных в него шаблонов. Например, если функция FindFist вызывалась с маской *.com или *.exe, это давало основание предположить, что мы имеем дело с программой внедряющейся в исполняемые файлы. Но стоило зашифровать маску, использовать самомодифицирующийся код или другие хитрые приемы, как эвристик шел лесом. Шаблонный поиск уже не работал, а на полный анализ не хватало вычислительной мощности и хотя существовали эвристики, срабатывающие в 90% случаев (реальных 90%, а не "макетоидных"), большого распространения они не получили, поскольку требовали огромного времени на анализ, а пользователь он, как известно, ждать не любит.

    Сейчас вычислительные мощности многократно возросли, но вместе с ними возросла и сложность вирусов. На место ассемблера пришли языки высокого уровня, линейный код распался и вирус превратился в запутанный клубок функций, взаимодействующих друг с другом самым невероятным образом. Сравните структуру вируса Boot/Brain.A, написанного в далеком 1984 году с червем W32/Bagle.AG@mm, созданным десять лет спустя — в 2004.

    4.png
    Рисунок 4 структура вируса Boot/Brain.A, написанного в 1984 году

    5.png
    Рисунок 5 структура червя W32/Bagle.AG, написанного в 2004 году

    Даже если антивирусу удастся побороть упаковщик и передать эвристику распакованный код… никаких вирусных признаков ему все равно там ни за что не обнаружить, ну разве что это будет совсем пионерский вирус. Наличие незашифрованных текстовых строк с ключами реестра, ответственными за автозапуск, имен исполняемых файлов антивирусных программ, команд в стиле "rm -rf /" с высокой степенью указывает на зловредную программу, но… их очень легко зашифровать.

    Еще эвристик может анализировать таблицу импорта и аргументы, переедаемые функции GetProcAddress, и, если там встретиться WriteProcessMemory, VirtualAllocEx, CreateRemoteThread или что-то еще в этом роде, антивирус сделает вывод, что имеет дело с программой, способной внедряться в другие процессы — верный признак червей и… отладчиков. Причем, черви сплошь и рядом используют свою собственную реализацию GetProcAddress, принимающую не имя функции, а ее хэш!

    Что касается классических вирусов, внедряющихся в исполняемые файлы, эвристик может проанализировать адрес точки входа, проверив, не указывает ли он в последнюю секцию файла или в PE-заголовок и если да, то забить тревогу. Но это всего лишь два способа внедрения из… очень многих! В моей книге ("компьютерные вирусы снаружи и изнутри") собрана неплохая коллекция методов внедрения, большинство из которых с точки зрения антивируса вполне законны и визуально ничем не отличаются от нормальных программ.

    Ситуация осложняется тем, что многие вирусные приемы сейчас активно используются протекторами и если эвристик не утихомирить, он отправит в топку добрую половину легальных программ, чего допускать ни в коем случае нельзя!

    Конечно, иногда эвристик все-таки срабатывает (особенно в свете того, что все больше и больше вирусов пишутся пионерами, научившимся программировать раньше, чем читать), но возлагать на него какие- то надежды — это все равно, что пытаться обыграть казино. Если создатель вируса не лось, он многократно прогоняет его через различные эвристики, добиваясь их полной и безоговорочной капитуляции. В смысле молчания.

    Кстати говоря, еще во времена MS-DOS мыщъх носился с идей антивируса, распознающего не вирусы, а… легальные программы! Уже тогда количество существующих вирусов и их модификаций на несколько порядков (не двоичных!) превысило число популярных программ! В антивирусной базе содержатся контрольные суммы легальных программ, рассчитанные по алгоритму MD5, который очень сложно подделать, в результате чего факт заражения распознается влет независимо от алгоритма внедрения, а все неизвестные антивирусы программы попадают в категорию потенциально зараженных. При тесной кооперации разработчиков ПО с антивирусными компаниями, "потенциально зараженных" программ будет немного и это (в основном) будет программы, написанные на коленке неизвестно кем и неизвестно как. Ошибки, допущенные при их создании, зачастую несут ничуть не меньший ущерб чем вирусы. Забавно, но к этой идеи антивирусная индустрия начала подходить только сейчас, предлагая услуги по сертификации ПО, однако, сама сертификация — чисто формальная процедура и даже если цифровую подпись напрямую подделать нельзя (криптография не велит), можно подкупить (ввести в заблуждение) выдающего его человека, то есть круг замыкается.

    Никакие, даже самые совершенные антивирусы ни от чего не спасают! При этом они стоят немалых денег, пожирают сетевой трафик частыми обновлениями, вызывают конфликты и тормозят работу системы, между тем система вполне может справиться с вирусами и сама — никакие дополнительные костыли ей не нужны!

    "Песочница" как средство от вирусов и прочей заразы

    Я сейчас скажу кое-что, но только если вы пообещаете, что не будете кидать в меня камни. Ага, это вы сейчас говорите, что не будете…. ну да ладно, мне уже все равно. Короче, в отличии от, например, BSD, Windows NT _не_ является многопользовательской операционной системой, поскольку только один пользователь может работать с компьютером в любой момент времени и, прежде чем переключиться на другого, необходимо завершить текущий сеанс, закрыв все приложения и лишь потом… А вот в BSD все очень просто: нажал Alt-F# и переключился на соседнюю консоль и все! В Windows XP наконец-то появилась возможность переключения сеансов разных пользователей без завершения, но… механизма взаимодействия между пользователи как не было, так и нет. Да и неудобно это все равно…

    Правда, в текущем сеансе можно запускать программы от имени другого пользователя, но это во-первых, совсем не то, а, во-вторых, далеко не все программы соглашаются на такой запуск, и еще меньше из них сохраняют свою работоспособность в полном объеме. Так что без бубна здесь не обойтись. Если нет бубна, на худой конец сойдет и обычный оцинкованный таз.

    Идея противостояния вирусам в общих чертах заключается в выборе правильной политики разграничения доступа, тогда вирус (или другая зловредная программа) просто не сможет напакостить и нанести сколь ни будь значительный урон. А для этого все потенциально опасные программы нужно запускать в своеобразной песочнице. В идеале — на виртуальной машине типа VM Ware, однако, про VM Ware мы уже неоднократно писали, а вот про разграничение доступа — материалов практически нет.

    Начнем с того, что никогда, ни при каких обстоятельствах не следует постоянно сидеть под "администратором", поскольку при этом любая запущенная программа может делать с системой все, что ей вздумается. Под администратором следует заходить в систему только для выполнения "ремонтных" работ — установки новых драйверов, изменения параметров конфигурации и т. д. А все остальное время проводить под "опытным пользователем" или просто "пользователем" с ограниченным доступом. Чем меньше у вас привилегий, тем меньше их и у каждой запущенной вами программы, однако, под обыкновенным пользователем многие программы работать отказываются, поскольку требуют записи в каталог Program Files или в другие "злачные" места, поэтому приходиться громко бить в бубен и долго трахаться, но зато потом! Потом наступает тишь да благодать! Ни вирусов, ни другого малваре.

    Необходимости в периодическом резервировании, естественно, никто не отменял. Надежнее всего, конечно, резервироваться на CD-R/RW, DVD-RW, ZIP, стримеры и прочие внешние носители информации, однако, это непроизводительно, неудобно, да и надежность у винчестеров все же повыше будет, чем у того же CD -RW. Поступим так. Создадим нового пользователя с администраторскими правами (Пуск -> Панель Управления -> пользователи и пароли -> Имя -> Пароль -> Другой -> Администраторы), назовем его, к примеру, "backup", зайдем под его именем в систему, создадим каталог general-stores (т. е. общее хранилище) и скопируем туда все, что необходимо. Затем, щелкнув по каталогу правой кнопкой мыши, в появившемся контекстом меню выбираем вкладку "свойства", а там "безопасность" со списком допущенных лиц. По умолчанию каталог доступен для всех, что никак не входит в наши планы, поэтому удаляем "всех" на хрен, предварительно сбросив галочку "переносить наследуемые от родительского объекта разрешения на этот объект". Все!!! Теперь этот каталог недоступен никому, даже системе! И только владелец, создавший его (то есть "backup"), может войти в раздел "безопасность" и вернуть "всех" на место. Внимание! Администратор этого сделать _не_ сможет!!! Ну вообще-то, чтобы так не извращаться, после удаления "всех" можно добавить пользователя "backup", делегировав ему полный доступ к каталогу. Все же остальные пользователи, включая членов группы администраторы, добраться до этого каталога не смогут. Хорошая защита от вирусов и прочих деструктивных программ, неправда ли? (ну вообще-то, если зловредный код получит права администратора, он запросто сможет забить диск мусором на секторном уровне, но к счастью, такие вирусы практически не попадаются). Кстати говоря, задумаемся, а что произойдет, если случайно (преднамеренно) удалить пользователя "backup"? Ведь тогда к архиву доступ не сможет получить _никто_! К счастью, штатная утилита chkdsk распознает такую ситуацию и если видит подобный каталог-зомби, она автоматически возвращает "всех", воскрешая информацию из небытия.

    Нашей следующей задачей будет постройка "песочницы" для всех тех программ, что могут быть атакованы из сети, к числу которых принадлежит IE, Fire Fox, Outlook Express, The Bat, ICQ и другие. Каждая из них должна быть запущена из-под ограниченного пользователя, не имеющего доступа ни к каким каталогам, кроме тех, что явно нужны самой программе. В принципе, можно завести одного ограниченного пользователя на всех, обозвав его к примеру "sandbox" (то есть песочница), однако, в этом случае червь, пробравшийся через IE, сможет разрушить почтовую базу, накопленную за многие годы, что будет обидно. Поэтому лучше всего дать каждой программе по пользователю (конечно, это увеличивает потребности системы в памяти, но не столь радикально).

    Итак, создан ограниченный пользователь "sandbox", в свойствах "безопасности" каждого каталогов (или всех дисков целиков) "sandbox" добавлен и доступ ему запрещен (политика запрета имеет приоритет над политикой разрешений, поэтому удалять "всех" совершенно необязательно). По завершению этой нехитрой операции, у sandbox'а останутся только те каталоги, которые ему нужны (как правило, это каталоги самой программы, причем без права записи в исполняемые файлы).

    Попробуем запустить в песочнице ну… например, Fire Fox. Создаем ярлык с firefox.exe (если только это не сделал инсталлятор), щелкаем по нему правой клавишей, идем в "свойства" и там взводим галочку "запускать от имени другого пользователя". Говорим "ОК" и запускаем. Появляется грозное диалоговое окно, требующее ввода имени и пароля. Вводим. И… ни хрена Горящий Лис не запускается! Между прочим, в Linux/BSD подобная операция протекает без каких бы то ни было проблем. А здесь нужен бубен или более конкретно — файловый монитор Марка Руссиновича, показывающий на каких именно файловых операциях программа обламывается (вот так, значит, разработчики относятся к сообщениям об ошибках). Качаем файловый монитор: http://www.sysinternals.com/Utilities/Filemon.html (он, кстати, занимает меньше двухсот килобайт и распространяется совершенно бесплатно). Запускаем из-под администратора (создаем ярлык и взводим уже известную нам галочку "запускать от…"), запускаем! В данном случае файловый монитор запускается (потому что запрограммирован правильно) и мы быстрым спортивным шагом идем в Options à Filter/Highlight или нажимаем <CTRL-L>. В появившимся диалоговом окне взводим все галочки, кроме "Log Successes", поскольку мониторить успешные операции нам на хрен не нужно! Нам нужны ошибки! Нажимаем "OK" и перезапускаем программу (фильтр будет действовать только после запуска). Вновь запускаем Горящего Лиса. Что мы видим? Сначала идут ошибки поиска динамических библиотек в тех каталогах, где их нет — ну это нормально. А вот дальше… дальше, Горящий Лис пытается создать папку Mozilla прямо в каталоге WINNT (в ней он хранит свои настройки, кэш страниц и т.д.), куда его, естественно, не пускают и он тихо умирает.

    6.png
    Рисунок 6 файловый монитор показывает на чем обламывается запуск Горящего Лиса

    Да… задача. Пробуем утилиту командной строки runas, запустив ее так:
    Код (Text):
    runas /user:sandbox firefox.exe
    (при этом firefox.exe должен быть в текущей директории). Нас деловито спрашивают пароль и… Ни хрена! Теперь, Горящий Лис лезет в Document-n-Setting\Default User, куда ему доступа так же нет! В чем же дело?! В чем причина?! А в том, что для корректной работы большинства программ необходимо загрузить еще и профиль пользователя, от имени которого мы их запускаем, поэтому правильный вариант выглядит так: "runas /profile /user:sandbox firefox.exe". Теперь запуск проходит без проблем!

    А вот Опера хранит кэш не в профиле пользователя, а непосредственно в своем каталоге (впрочем, это зависит от ее настроек), поэтому sandbox'у необходимо присвоить права на запись в "program files\opera".

    Остальные программы "распутываются" аналогичным образом. Если не помогает файловый монитор, качаем монитор реестра (http://www.sysinternals.com/Utilities/Regmon.html) и смотрим в каких ветвях нуждается программа. Маленький подводный камень — перенаправить ввод с клавиатуры на файл, увы не удастся и пароль придется каждый раз вводить вручную, что напрягает. Впрочем, программисты запросто напишут программу лишенную этих недостатков. Нам же главное — создать кучу пользователей, распределив правда доступа так, чтобы зловредные программы не имели никаких шансов ни для размножения, ни для шпионской деятельности.

    Заключение

    Создание защищенной системы без использования антивирусов — это реально! Пускай, на первоначальном этапе нам придется проделать большой объем работы и очень много думать головой, создавая столько пользователей, чтобы полностью изолировать одно потенциально опасное приложение от всех остальных, но и с другой стороны, не запутаться какой пользователь на что отвечает. Зато какая благодать давать своим домашним играть на вашей машине, зная, что они _ничего_ плохо с ней не смогут сделать, ну разве что очень-очень сильно захотят.

    7.png

    Рисунок 7 после предварительной настройки политики доступа женщинам компьютер тоже можно доверять!
     
    sanada, Kиpилл, Candellmans и 2 другим нравится это.
  2. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.307
    Демонстрация варианта настройки прав безопасности: Безопасность без антивируса для чайников

    ______________
    Дополню, что статья 2006 года и возможно, на тот момент приведённых советов было достаточно для защиты ОС подобными методами взамен установки антивируса.
    На мой взгляд, на данный момент указанные методы можно использовать только в качестве дополнительного слоя защиты, а не полноценной замены механизму активного мониторинга.
     
    Последнее редактирование: 7 окт 2016
    Kиpилл, E100 и akok нравится это.
  3. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    А не проще ли подобное решить при помощи EMET или HIPS? Потому что "статейные" советы хороши для систем с минимальными изменениями со стороны пользователей (а попросту - для рабочих ПК). А домашняя система с ее установкой непроверенного софта/игр из непроверенных мест - это постоянный источник опасностей. Сам попадался на .mp3 файле, который на самом деле .exe Хотя и знаю и чужие примеры имеются. Причем, на тот момент, файлик мало кем ловился и основной антивирус даже не почесался. Сработал только толи Adguard толи сам IE, написав что сменилась дом страничка браузерная.
    Так что защита рабочего места заключается в запрете установки/открытия файлов по маске и... и все. А устанавливают специально обученные компетентные люди. А дома просто приучить пользователя сканировать скачанное перед установкой/запуском/открытием.
     
    Candellmans и SNS-amigo нравится это.
  4. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.307
    Theriollaria, EMET и HIPS как дополнительные средства защиты, которые также будут хороши для определённых ситуаций (но не непробиваемы), а для других наоборот будут вызывать новые конфликты, впрочем как и советы из статьи (хотя как в ней уже было сказано здесь главное только один раз грамотно настроить, в тоже время EMET может вызывать различные конфликты из-за своего активного мониторинга, в отличие от варианта с пассивной защитой из статьи).
    Насчет установки пользователем ненадёжного дистрибутива программы, могу привести пример на том же шифровальщике.
    Если для работы с документами завести нового пользователя. Установить MS Office от его имени. Затем убрать права на папку с Документами всем, кроме этого пользователя, то шифровальщик обломается, даже имея права Администратора.
     
    Последнее редактирование: 4 окт 2016
    Candellmans нравится это.
  5. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Что есть то есть: EMET дает кучу конфликтов.

    Странный пример. Тогда и остальные пользователи доступа к папке иметь не будут, при удаленном пользователе. Это скорее уж защита ОТ пользователя, а не защита самого пользователя.
    Вы же понимаете, что настроить можно все. Но установка антивируса - это скорее компромисс между желанием защитить себя и минимальным вложением собственного времени/знаний для этого. Даже встроенный брандмауэр можно настроить так, что не снилось ниодному из альтернативных файрволов, включая аппаратные комплекты. Просто потому, что Вы сами же - создатель правил. Но практике же никто не будет сидеть и отвечать на 100500 запросов установленного софта. Просто потому, что система с Windows - это прежде всего куча пиратского софта, игр, фильмов, музыки, и непроверенного софта из непонятных источников.
    Это не Linux, где действительно достаточно убить пару дней и, далее, лишь добавлять иногда новые правила.

    Так что останусь при собственном мнении, что подобная пассивная защита подойдет для неизменяемых систем (например на работе).
     
    Candellmans и SNS-amigo нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Надо бы сделать в заголовке темы пометку 2006 год или ретро.

    Да можно было и можно сейчас защитить ОС из ретро списка, без антивирусов и тормозов.
    Комодошных хипсов еще не было в помине, а наш ранний VIPO уже был и успешно защищал.
     
    Theriollaria нравится это.
  7. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Привет. Там есть указание на то, что статья древняя. Но все это можно воспроизвести и сейчас. Но вот трудозатраты несопоставимы с результатом.
     
    SNS-amigo нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Я имел ввиду - название темы. :Biggrin:
     
    Theriollaria нравится это.
  9. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.307
    SNS-amigo, а я вижу смысла этого делать, здесь в статье нет ничего такого ретро (на мой взгляд), за исключением разве что факта, что в Windows 7 больше не работает способ редиректа расположения Hosts через параметр реестра.
    Если способ из статьи справится с шифровальщиком, а современный антивирус нет, кого из них назовём ретро? :Biggrin: (сарказм, отвечать не нужно)
    --- Объединённое сообщение, 4 окт 2016 ---
    Честно говоря, грамотно настроить EMET, чтобы еще и не конфликтовал в последствии трудозатрат может оказаться намного больше (особенно если не знать что такое внедрение в процесс и пр. вещи), при чём эти трудозатраты будут нарастать, пока юзер устанавливает в систему всё новое ПО (а ведь ещё нужно детально изучить интерфейс).
    А это не имеет значения, сколько пользователей. По описанной методике MS Office установлен от имени одного и того же пользователя (но не текущего). Поэтому любой пользователь будет иметь возможность запустить MS Office и получить доступ к файлам, зная пароль этого пользователя. А для обычных операции вроде копирования можно запустить проводник от имени того пользователя. Если создать ярлык с автоматическим вводом пароля, всё будет работать в пару кликов, не сложнее чем при обычном использовании ПК. Точно тоже самое с доступом к файлам по сети.
    Я встречал много людей, которые совершенно по разному относятся к безопасности.
    Некоторые, к примеру, очень редко устанавливают новое ПО на основную систему. Если нужно - то на виртуалку или песочницу.
    Некоторых, всё по барабану.
    Поэтому и ценность описанного в статье метода, что так делают редко, и нет готового анкл-бенса на основе DACL привилегий, чтобы его проглотить, даже не прожевав, а ОС за тебя всё переваривала. А как результат, malware под него плохо заточена, либо не затачивалась вообще. А ведь это не какое-то левое ПО, а стандартная функция (модель) защиты файловых объектов Windows.
     
    Последнее редактирование: 4 окт 2016
    Kиpилл, Candellmans и SNS-amigo нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Видимо частица НЕ пропущена. Иначе смысл другой. :Biggrin: Да, нет.
    EMET, да, можно настроить и старый. Мы с тобой как-то это даже обсуждали.
     
    Dragokas нравится это.
  11. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Пользователям сложно объяснить, почему нельзя ставить все, что хочется. Пароли записывают на бумажке (в лучшем случае) в худшем -прямо на мониторе клеют. А вы говорите еще про 2й пароль, который отдельно нужно помнить. Защита, это замечательно, но запустится ли такое в принципе (не пробовал а потому интересно), когда пользователь который ставил Офис -стерт насовсем? Не сойдет ли с ума система, в поисках несуществующего пользователя?
    Людям, которые пользуются парой десятков сайтов и не ставят новое по три раза на дне, не о чем в принципе беспокоиться. Угрозы для них - это спам/зловреды из писем и бараны с флешками. А от этого пассивный метод защиты не спасет -ибо зловред таки попал на ПК пользователя.
    В современной ОС самый большой и страшный источник угроз - сама M$ которая одну функцию патчит, а две другие при этом портит. Ну и своевременность закрытия дыр опять же. Если этого нет - система без антивируса - в проигрыше. Ибо настроить на 100% защиту у Вас не получится т.к система периодически развивается и патчится. Прописанное ранее может не заработать спустя неделю.
     
    Candellmans и SNS-amigo нравится это.
  12. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.307
    Почитайте статью. Там описан этот случай. Ключевые слова - chkdsk.
    А зачем Вы мне это говорите. Я же ничего не рекламирую и я не автор. :) А если бы рекламировал, то удосужился бы сначала написать программу, автоматизирующую все выше описанное, о чём Вам выше и писал, что можно повесить на ярлык с батником, а пароль внутри, ничего записывать на бумажку не нужно; у автора статьи даже строчка батника указана, правда нужно доработать.
    Поэтому какой-то у нас с Вами совершенно неконструктивный разговор. Я и так прекрасно всё понимаю то, о чём Вы пишите. Это заранее очевидно. И тема скатывается в оффтоп.
     
    Последнее редактирование: 5 окт 2016
    Candellmans нравится это.
  13. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Раз спрашиваю значит не понял.
    Нормальный разговор. Просто у автора подход, как в Linux. Чтобы 1 раз помучиться и настроить, а далее уже сидеть и пожинать результаты. Идея хороша. Но я, к примеру, не настолько хорошо знаю систему, дабы понять, кто именно вызвал процесс - мимикрию никто не отменял. Тем более, что в безантивирусной системе проверить подлинность источникак как бы и невозможно. Ладно, ладно, я понимаю что настраиваем чистую ОС + по мере добавления софта но...
    Настройка скатывается до ситуации с Jetico Personal Firewall, который замечательный файрвол, но только когда все правила Вы собственноручно вбили. Я все-таки предпочел бы еще какую надстройку (в нашем случае).
     
    Candellmans нравится это.
  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.219
    Симпатии:
    4.978
    Если честно согласен со статьей в чем то ... если до меня конкретно захочет кто то добраться,то антивирус вряд ли спасет.
    А так у меня антивирус периодически отсутствует.
    Периодически стоит либо любой бесплатный либо подаренный вендором,использую из соображений добросовестности.
    Отписываюсь про баги,присылаю вирусы.

    Но за последние не знаю сколько лет нет ни одного случая,когда антивирус как то спас бы меня от заражения)))
    В моей учетке это в основном средство быстрой проверки чего либо скачанного и тестирования,на учетке жены для спокойствия...моего.
     
    SNS-amigo нравится это.
  15. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    А чем бесплатный хуже платного? Добавить файрвол приложений (или правила прописать брандмауэру) и получается полноценный защитник.

    Я не согласен не со статьей в принципе а с подходом. Никто не спорит, что можно убив неделю,отследить все установленные приложения и прописать правила на все случаи жизни. Но зачем? Любой антивирус как раз берет на себя часть функций. Для особых паранноиков фон испанцы из Panda выпустили браузер, к которому прилагается собственная виртуальная машина (считай отдельная Linux машина чисто для браузера). Там уж точно ничего не попадет внутрь системы т.к нет взаимодействия с ней.
    Меня неустраивает только количество потраченных сил/времени. А так, по принципу: "не косячит тот, кто ничего не делает" здесь похоже: не имеет вирусов тот, кто ничего не устанавливает не открывает. В этом случае, действительно, что есть антивирус, что нет - не имеет значения. Тем более, что в Win 10 Защитник не особо то и отключается пр отсутствии других установленных ав продуктов. Т.е совсем уж без антивируса теперь и не получится. Эдакая защита от дурака выходит.
     
    SNS-amigo нравится это.
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.219
    Симпатии:
    4.978
    Кто ничего не качает... вот когда нету под рукой набора троянов, но срочно надо заразить систему для очередной задачи и судорожно тыкаешь на все,как казалось бы,"злачные" ссылки ... максимум что наживешь это немного adware.
    Порой действительно не понятно как люди умудряются так заразиться,что ой ой.
    Вопросов только шифровальщики не вызывают - там схема стандартная.
    Я ОС особо не настраивал.

    И про качать\не качать.
    Ну музыка иногда.
    Некоторые программки и исходные коды.

    Большинство досуга доступно онлайн.
    То есть комп в доме исользуется абсолютно по назначению и развлекает всю семью.
    --- Объединённое сообщение, 5 окт 2016 ---
    Скажем так ... упаковано дороже)
    Но в ЛС или на почту я иногда письма получаю такие,что волосы дыбом хотят встать))
    Когда опусы очередного специалиста читаешь и советы.
     
    Последнее редактирование: 5 окт 2016
  17. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Просто чтобы настроить все или жить совсем без антивируса -нужно много знаний (для настроить). Вон та же эпопея с модемом. Лезли ключи проверять и т.д а модем просто новые разъемы не понимает. Мелочь, но это надо либо знать, либо эмпирически дойти. случайно. Помнишь под НГ играли в игру/угадайку? Где я загадывал, чтобы переключить для HDD режим на Ultra DMA, его надо было отключить в биосе. До этого точно только случайно дойти можно было.

    Или элементарные правила безопасности не ходить/ не открывать/предварительно проверять... Вирусы не сами попадают -мы их запускаем сами себе.

    Что же до знаний применительно к нашей темы то упомяну небезызвестную служку svchost.exe Чтобы не пропустить зловреда маскирующегося под нее (или даже использующего эту службу) надо точно понимать, откуда может быть запущен процесс (папка) а откуда нет. И таких нюансов множество. Поэтому, на мой взгляд,
    статья из серии почему Linux лучше чем Windows. Почему-то никто не уточняет, что криво настроенный Linux - вполне себе дырень в безопасности. А защита там лучше лишь потому, что большинство игр с ломалками/трейнерами и креками идут именно под Windows. Убираем этот огромный пласт и получаем действительно, гораздо более безопасную ОС (которая для игроманов бесполезна хотя и более взломостойка). Да даже если под Windows пользовать исключительно бесплатные/купленные игры, то шансы заражения сильно меньше.

    Или использование ящиков от m@il.ru ... Ящики, которые взламываются сотнями. Сколько стонов о взломанных аккаунтах от игроков (игры тоже от m@il.ru)! Дак не пользуйтесь ящиком, который сам блочится если в него не входить 30 дней. А его восстановление и вовсе квест на крепкие нервы. Или ящики yahoo. вседе бы старейшая компания но... сначала они сделали возможным зарегистрировать ящик повторно если бывший владелец ним не пользуется н-дцать лет. Т.е я регистрирую ящик, зная его название и, что ты ним не пользовался несколько лет и получаю не только твой ящик но и его содержимое! Ну, допустим, криворукие админы допустили такое. Но вот уже несколько раз базы пользователей "утекали" в сеть. КАК можно доверять компании, неспособной поддержать приватность ящика?

    Т.е банальный неудачный выбор ящика ведет к постоянным взломам аккаунта. А я уже не говорю, что кроме игр в ящиках содержатся и деловые контакты и даже данные о кредитках/платежных системах. Т.е прозевав взлом ящика получаешь проблемы, как если бы потерял паспорт.

    Измени отношение. Просто когда читаешь очередной подобный "опус" помни - это просто чье-то мнение. Если ты думаешь не так - это нормально. И совсем не факт, что ошибаешься ты ;)

    PS: Я вполне могу ошибаться в своем мнении, но я именно так считаю.
     
    SNS-amigo нравится это.
  18. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.219
    Симпатии:
    4.978
    Я всегда тактичен )
    Но взлом ящиков - причем тут антивирус?
    Уже говорят что яху сканил переписку для анб и цру,но антивирус сюда как припаять*?
     
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Kиpилл, Если не открывать никаких сайтов, кроме этого форума, то и мышки с клавой как защита хватит.
    Но если иногда покликать по рекламе и баннерам, что здесь выскакивают, то можно нахапать по колено.

    Так недавно порнуха здесь пролезла, а раньше агрессивная реклама шла по всем сайтах, использующим одну и ту же партнерку, все выходные жгла тысячи сайтов, пока к вечеру понедельника не очнулись и не прикрыли.
    Так антивирь бесплатный+бесфаервольный+беспроактивный не спасет, хоть три поставь. Да что там фаервол, если сайт будет начинен набором эксплойтов. Не одним каким-то, от которого все давно пропатчились, а НАБОРОМ типа RIG или Neitrino, который все равно пробьёт защиту любого бесплатного защитного решения, хоть и семидвижкового.
     
    Последнее редактирование: 5 окт 2016
    Theriollaria нравится это.
  20. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Очень даже прямой. Напомню мы все еще обсуждаем настройку системы на работу без антивируса. Почтовый ящик, как и взломанные игрушки и флешки коллег - как раз основной источник заразы. Т.е неправильно выбранная служба сведет "на нет" все потуги настройки безопасности.

    Антивирусы всегда имеют доступ к тому, что защищают. И представители сайтов, почтовых сервисов ОБЯЗАНЫ по первому требованию правоохранительных органов предоставлять любую информацию о пользователе. А если додумаются до того КАК сделать, то у вас провайдеры будут стучать на пользователя. Получится второй Китай или Индия (читал статейку, что как раз Индия добилась таких успехов, что имеет досье на каждого своего жителя). Т.е 2 страны с 1.5 млрд населением уже сделали то, что многие страны лишь пытаются создать!

    У Яндекса даже в лиц. соглашении написано, что все, что попало к ним в облако сразу становится их собственностью. Конечно смешно, что за сохраненный пользователем пиратский фильм по логике отвечает уже компания, но тем ни менее, такой пункт у них есть (по крайней мере 2г. назад точно был).

    Есть хороший анекдот на эту тему.
    Пользователь: А какой антивирус Вы мне посоветуете? Касперского или от Симантек?
    Бывалый: Все зависит от того, на какую спецслужбу Вы хотите работать.
     

Поделиться этой страницей