Как максимально защититься от malware в windows, которых нет в антивирусных базах?

[Anmawe 5]

Чтоб пользователь не ограничивал себя в запуске windows-программ и посещени сайтов. Это возможно? С помощью каких средств?

[WindowsNT 100]

Не ограничивая себя в запуске любых программ — нет, невозможно в принципе. Malware — это тоже программа, а стопроцентного способа отличить malware от не-malware не существует, иначе бы бы malware было бы давно побеждено. То есть, в настоящий момент, защита должна базироваться на ограничениях.

[Chest 0]

Как максимально защититься от malware в windows, которых нет в антивирусных базах ? Это всё равно, что задавать вопрос о том, как можно защититься от оружия, принципа действия которого никто не знает. )) Деже если типа конретного мыловаря нет в вирусной БД антивируса, то его всё равно можно вычислить методом эвристического анализа и заблокировать процесс до того, как он пустит корни в системе. А когда он появится в БД - тогда он будет обнаружен и уничтожен.

[WindowsNT 100]

Как максимально защититься от malware в windows, которых нет в антивирусных базах ? Это всё равно, что задавать вопрос о том, как можно защититься от оружия, принципа действия которого никто не знает. )) Деже если типа конретного мыловаря нет в вирусной БД антивируса, то его всё равно можно вычислить методом эвристического анализа и заблокировать процесс до того, как он пустит корни в системе. А когда он появится в БД - тогда он будет обнаружен и уничтожен.

Это не совсем так. Невозможность защититься антивирусом от malware, которого нет в антивирусных базах, говорит лишь о том, что в данном случае антивирусная программа неприменима, не более того. Вполне понятно, почему так получается, антивирусные программы работают по принципу "чёрного списка": "блокирую только то, что знаю, остальное разрешаю". Поэтому аналогия с оружием несколько неуместна.

И метод эвристического анализа не поможет, ибо он использует всё тот же принцип "чёрного списка": "блокирую только то, о чём смог догадаться, остальное разрешаю". В настоящий момент работы по созданию искусственного интеллекта ещё не закончены, эвристика далека не только от ста процентов, но и даже от пятидесяти. Если бы эвристика не только рекламировалась, а ещё и действительно работала, вирусописатели остались бы без работы. Но ведь реальность совсем иная, не так ли?

Однако, наверняка применим какой-нибудь другой инструмент. Например, Application Whitelisting. Принцип "белого списка" разворачивает безопасность к нам той стороной, какой она должна быть на самом деле: "запускается только то, что знаю как безопасное, остальное блокирую". Но автор вопроса в принципе желает иного: "как сожрать все таблетки подряд, но при этом не отравиться?"

В такой постановке вопроса — никак.

[A. 875]

Ответ на этот вопрос стоит примерно 20 млрд долларов

[rkhunter 150]

И половина из этих 20 принадлежит одной компании.

[Anmawe 5]

Какой антивирус по-вашему лучше всего защищает от известных, неизвестных угроз, и в каком самая большая антивирусная база? На мой взгляд - Kaspersky Internet Security.

[WindowsNT 100]

Какой антивирус по-вашему лучше всего защищает от известных, неизвестных угроз, и в каком самая большая антивирусная база? На мой взгляд - Kaspersky Internet Security.

Sorry, но это опять всё мимо. В данной постановке ваш ответ звучит примерно так: "какой из популярных чёрных списков наиболее точен и велик? на мой взгляд, это KIS. Его чёрный список самый классный".

Реальная безопасность всегда базируется на "белых списках". Антивирусные программы таковыми не являются. Поэтому ответ на вопрос автора "... не ограничивая себя в запуске Windows-программ.." однозначен: "защититься невозможно." Защита начинается с белых списков, даже если нам не нравятся ограничения свобод, налагаемые этим подходом.

[Mr. Justice 771]

WindowsNT

У меня к вам 2 вопроса:

1. Как вы отличаете "белую" программу от "черной"?

2. Как вы предлагаете защищаться от эксплойтов?

[WindowsNT 100]

1. "Белый список" составляется администратором заранее. На компьютерах с "белыми списками" борьба с вирусами, распространяющимися через флешки или "у меня винлокер, я что-то щёлкнул в Интернете", практически закончена. Заражений ноль, так как "белый список" не даст запустить ничего левого ни с флешки, ни из кэша браузера, ни из папки Temp. В то же время, оперирующие "чёрными списками" антивирусные программы войну с подобными угрозами проиграли, об этом факте говорят все массовые эпидемии.

"Белые списки" практически полностью (не все сто процентов, но всё же очень близко к этому) решают вопрос предотвращения запуска вирусов рядовыми пользователями. Составлять же этот список будет только администратор, пользователи этого решать не могут и не должны.

Вполне очевиден второй смысл вопроса, "как сам администратор решает вопрос цвета программы", но это уже остаётся на его совести и компетенции. На его мытых/немытых руках и доверии антивирусной программе, которой он проверит взятый неизвестно где исполняемый код. Если он склонен брать код "неизвестно где", безопасности не будет. Так или иначе, правами Администратора должна обладать только компетентная персона. Это тоже своего рода "белый список", без которого безопасности не будет.

Закрепив конфигурацией системы "белый список" разрешённых программ, а за пользователями — права рядовых пользователей, можно практически гарантировать невозможность заражения системы пользователями. Остаётся процент угрозы, исходящий от самого администратора. Но это — гораздо меньшая площадь атаки, нежели непонятно почему распространённая в настоящий момент точка зрения среди российских пользователей "это мой компьютер, поэтому вы не будете мне тут ограничивать права".

2. От 0-day эксплоитов никто не даст защиты. Никто и ничто. Однако, есть и хорошие новости:

- подавляющее большинство заражений червями происходит через эксплоиты весьма почтенного возраста. Реальных заражений через 0-day крайне мало, крайне-крайне мало. То есть, я предлагаю вовремя устанавливать обновления на систему и программы. И (о, чудо!) эксплоиту становится нечего эксплоитить.

- Остаётся небольшой процент угрозы от 0-day эксплоитов. Однако, ряд мер позволяет существенно, на порядки снизить ущерб от их атаки или даже превратить атаку в пустой выхлоп. В первую очередь, это всё те же права рядовых пользователей. Если используется эксплоит против пользовательской программы (топ уязвимых программ: Adobe Reader, Adobe Flash Player, Java Runtime), эксплоит получит привилегии не выше, чем привилегии этого пользователя. Более того, те же "белые списки" предотвратят запуск скинутого эксплоитом в папку пользователя исполняемого модуля. Да даже включение DEP, по умолчанию ВЫКЛЮЧЕННОГО в Windows XP, уже существенно помогает снизить площадь атаки!

- Эксплоитов, рассчитанных и понимающих на все упомянутые меры безопасности, в настоящий момент нет (или есть? где?). Подавляющее количество заражений происходит при несоблюдении одного из тех же упомянутых выше правил: невыдача повышенных привилегий пользователям; настройка "белого списка" программ; своевременная установка обновлений. Когда таковые эксплоиты будут появляться, жду появления технологий Memory Whitelisting, но до этого ещё далеко.

[Mr. Justice 771]

WindowsNT

Если я правильно понял, ваш вариант защиты предполагает наличия антивируса, по крайней мере у администратора и, следовательно, система "белых списков" в "глобальном" масштабе не самодостаточна. Верно?

[WindowsNT 100]

И да, и нет.

Таки "наш" вариант предполагает следующий порядок:

- Антивируса может и не быть; а если и быть, то по значимости он будет занимать четвёртое, а то и пятое место. Не выше. Конкретно в зоне моей ответственности антивирусы не применяются никак, так как эффективность "белых списков" на порядок выше;

- В глобальном масштабе безопасность базируется на ограничениях, поэтому вариант заданного вопроса "не ограничивая себя" исключён полностью;

- "Белые списки" при этом являются одним из трёх китов (лишь одним из трёх), уже по этому не являясь самодостаточной технологией. Однако, в тех же глобальных масштабах по отношению к ряду угроз (как-то: malware, получаемое со скайпов и флешек) она абсолютно самодостаточна, ибо запрещает абсолютно всё без разбору. Разбором занимается только администратор, территория которого - предмет отдельного разговора.

- В отличие от широко распространённого мнения тех, кто так жить не пробовал, технология не ущемляет прав и не мешает полноценно пользоваться компьютером подавляющему большинству пользователей.

[Mr. Justice 771]

- Антивируса может и не быть

Конкретно в зоне моей ответственности антивирусы не применяются никак

Тогда возвращаюсь к первоначальному вопросу: как определяется, что программа легитимная и ее можно внести в "белый список"?

[SDA 750]

По поводу белых списков программ, а такое понятие, как джойнер знаком? И как определить это без антивируса?

[WindowsNT 100]

Конкретно для моей среды так:

1. Запрашиваемая пользоватем программа проходит первый отбор, результатом которого предполагается быть "без этой программы вы можете прожить, поэтому она вам не нужна". Всякие скринсейверы, гуглхромы и даймонтулы отсеиваются без дискуссий.

2. Если первая проверка пройдена (программа нужна), проверяется, нет ли у неё уже установленного аналога (скажем, запрашивается WinRAR в то время как в системе уже установлен 7Zip).

3. Программа берётся администратором в заведомо легитимном источнике (сайт производителя, оригинальный компакт-диск) и кладётся в доступный только членам группы администраторов каталог.

4. Администратор отключает Whitelisting (иначе ничего не запустится, не установится), устанавливает программу в защищённый каталог (например, Program Files. Пользователи туда писать не могут), включает Whitelisting обратно и, проверив работоспособность, отдаёт машину пользователю.

В сумме всё звучит сложно, но это успешно работает во всех компаниях и на всех домашних машинах, находящихся в зоне ответственности. Обычные пользователи доступа на установку/запуск левака не имеют, поэтому "мы тут куда-то щёлкнули, а оно теперь сломалось" или "дети играли, теперь всё запорото" просто не бывает. На компаниях административные привилегии строго регламентированы, ими обладают только два человека, причём согласных исполнять нормы безопасности; на домашних машинах владелец тоже входит администратором только по необходимости, всю остальную деятельность ведёт от лица обычного пользователя. Легитимность программы и источника он доказывает себе сам.

По поводу белых списков программ, а такое понятие, как джойнер знаком? И как определить это без антивируса?

Сам пользователь всё равно не запустит ничего подобного, так как whitelisting не допустит запуска неразрешённых модулей. А записать программу в папку, из которой разрешён запуск, у пользователя нет прав. Какие-то модули в белом списке вообще перечисляются по хэшам.

Если же администратор сознательно отключил whitelisting и запускает абы что, то тут есть два момента:

1. Как он получил джойнер с легитимного сайта? Если он берёт, к примеру, Far Manager не с сайта производителя, а с торрентов, то сам себя наказал. Нарушил нормы безопасности. В этом смысле, в обычной среде, в обычной ситуации можно а) довериться сайту производителя, если он достаточно популярен; б) проверить скачанный модуль до запуска на virustotal; в) проверить скачанный модуль до запуска автономным антивирусом, если он есть.

2. Даже антивирус не сможет найти всё malware, это невозможно в принципе. Наука не научилась стопроцентно отличать malware от не-malware, поэтому избежание нежелательных связей (что тоже есть whitelisting) по-прежнему остаётся более приоритетной мерой безопасности.

[SDA 750]

3. Программа берётся администратором в заведомо легитимном источнике (сайт производителя, оригинальный компакт-диск) и кладётся в доступный только членам группы администраторов каталог.

Т.е. легитимность программы определяется закачкой с сайта производителя. В принципе подход нормальный, но есть небольшое но, например трояны типа Win32.Induc.2. Как сообщал в августе Доктор Веб, Win32.Induc.2. заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО. Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии.

Делайте выводы.

[Anmawe 5]

WindowsNT, я не говорил, что поставив антивирус, я буду запускать что угодно. Я спросил другое - какой антивирус по-вашему лучше защищает, в каком база хорошая, проактивная защита и т.д. Касперский мне нравится, потому что так контроль программ есть. В других антивирусах я не видел чего-то похожего.

[A. 875]

Т.е. легитимность программы определяется закачкой с сайта производителя. В принципе подход нормальный, но есть небольшое но, например трояны типа Win32.Induc.2. Как сообщал в августе Доктор Веб, Win32.Induc.2. заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО. Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии.

Делайте выводы.

Выводы: кто-то до сих пор не понимает разницы между троянами и вирусами.

[rlbckhoohgves 0]

Касперский мне нравится, потому что так контроль программ есть. В других антивирусах я не видел чего-то похожего.

Agnitum. Comodo.

[WindowsNT 100]

WindowsNT, я не говорил, что поставив антивирус, я буду запускать что угодно. Я спросил другое - какой антивирус по-вашему лучше защищает, в каком база хорошая, проактивная защита и т.д. Касперский мне нравится, потому что так контроль программ есть. В других антивирусах я не видел чего-то похожего.

Dear Anmawe, но вот же точная цитата вашего вопроса:

"Как максимально защититься от malware в windows, которых нет в антивирусных базах? Чтоб пользователь не ограничивал себя в запуске windows-программ и посещени сайтов. Это возможно? С помощью каких средств?"

Я умею читать, там чётко сказано: "не ограничивал себя". То есть, запускал всё подряд без разбору. И там нет текста "какой антивирус лучше". Там есть текст "с помощью каких средств". То есть, это вовсе не тот вопрос, который вы озвучиваете сегодня.

На первоначальную версию мог бы быть ответ:

"1. работайте ТОЛЬКО с привилегиями рядового пользователя

2. настройте Application Whitelisting

3. вовремя устанавливайте обновления

4. Резко критически относитесь в списку запускаемых и устанавливаемых вами программ,

это всё есть внутри вашего компьютера, ничего дополнительного ставить не нужно; и вы будете защищены НА ПОРЯДОК эффективнее, вы будете практически неуязвимы."

Такого уровня защиты не может обеспечить ни одна антивирусная программа. Но мешает критически важное слово "не ограничивая себя". Так не получится вообще никак, ничем и никогда.

Если же отвечать на сегодняшнюю версию вопроса, то счастья всё равно не будет. Все антивирусные программы работают на примерно одинаковом (одинаково плохом) уровне, ибо это уровень Application Blacklisting. Практически это доказывается разделом форума "Лечение компьютера" — у всех пострадавших установлены антивирусные программы, но заражения всё равно случаются массово. Некоторые из этих программ имеют возможности Whitelisting, это более высокий уровень защиты по определению, но покажите пальцем того, кто реально этим пользуется? И будете ли пользоваться вы лично?

И, конечно же, вопрос "какая антивирусная программа защитит от malware, которого нет в антивирусных базах, да чтобы пользователь себя не ограничивал" стоит даже дороже озвученных 20 млрд долларов. Это называется "искусственный интеллект", до которого человечество пока ещё не доросло. Application Whitelisting такую задачу выполняет успешно, но! ценой жёстких запретов.

[A. 875]

\

На первоначальную версию мог бы быть ответ:

"1. работайте ТОЛЬКО с привилегиями рядового пользователя

2. настройте Application Whitelisting

3. вовремя устанавливайте обновления

4. Резко критически относитесь в списку запускаемых и устанавливаемых вами программ,

это всё есть внутри вашего компьютера, ничего дополнительного ставить не нужно; и вы будете защищены НА ПОРЯДОК эффективнее, вы будете практически неуязвимы."

Duqu/Stuxnet смотрят на эти советы с улыбкой.

Ну и еще Рабинович наверное тоже, но по-другой причине.

[WindowsNT 100]

Duqu/Stuxnet смотрят на эти советы с улыбкой.

Ну и еще Рабинович наверное тоже, но по-другой причине.

Stuxnet: "An attacker who successfully exploits this vulnerability could gain the same user rights as the local user"

(http://technet.microsoft.com/en-us/security/bulletin/MS10-046)

Не работайте с привилегиями администратора. Минимизируйте ущерб. Об инсталляции руткита с правами пользователя речи бы уже не шло.

"In the case of Win32/Stuxnet, Exploit:Win32/CplLnk.A points to the malware stored on a USB device using the device descriptor, as in this pseudo-example:

\\.\Storage\Volume\USBStor\{CLSID value}\~WTR4141.tmp"

(http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Exploit%3aWin32%2fCplLnk.A)

Используйте Application Whitelisting. Вот тут Stuxnet был бы остановлен.

И вовремя устанавливайте обновления. Да, с момента обнаружения до выхода патча прошёл месяц. Однако, ходящий до сих пор (!) Conficker использует уязвимость, закрытую в 2008 году + авторан с флешек, вообще позорище. Вот где была (и остаётся!) действительно массовая эпидемия.

А Duqu в открытом виде in the wild вообще не было. Идеальную защиту, на все 100%, обеспечить неможно. Но эффективность описанных методов столь высока, что я ещё раз повторю — на уровне и обычного человека, и рядовой компании вы можете быть практически неуязвимы. Вопрос, применяете ли вы их или какие-то намёки про рабиновичей строите вместо изучения — другое дело.

[A. 875]

Stuxnet: "An attacker who successfully exploits this vulnerability could gain the same user rights as the local user"

(http://technet.microsoft.com/en-us/security/bulletin/MS10-046)

Не работайте с привилегиями администратора. Минимизируйте ущерб. Об инсталляции руткита с правами пользователя речи бы уже не шло.

Вы не то читаете. Для того чтобы заразиться Стаксом - права админа не нужны. Он их сам потом возьмет.

"In the case of Win32/Stuxnet, Exploit:Win32/CplLnk.A points to the malware stored on a USB device using the device descriptor, as in this pseudo-example:

\\.\Storage\Volume\USBStor\{CLSID value}\~WTR4141.tmp"

(http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Exploit%3aWin32%2fCplLnk.A)

Используйте Application Whitelisting. Вот тут Stuxnet был бы остановлен.

Расскажите мне какой вайтлистинг спасет вас от исполнения драйвера, который потом проинжектит dll-ку в доверенный процесс ?

Драйвера не вайтлистятся как правило, кроме того в данном случае они еще и были подписаны легально.

И вовремя устанавливайте обновления. Да, с момента обнаружения до выхода патча прошёл месяц. Однако, ходящий до сих пор (!) Conficker использует уязвимость, закрытую в 2008 году + авторан с флешек, вообще позорище. Вот где была (и остаётся!) действительно массовая эпидемия.

Какой месяц ? Вы о чем ? Стакснет гулял с той уязвимостью полгода примерно. В ситуации с Duqu (уязвимость исправлена только неделю назад) как минимум активно использовалась уязвимость 8 месяцев, как максимум 3 года.

А Duqu в открытом виде in the wild вообще не было.

Это вы мне будете рассказывать ?

[WindowsNT 100]

Ну а теперь расскажите, как оно было на самом деле .)

Да, и не забудьте пришить всё это в контекст проблемы автора вопроса!

[SDA 750]

Выводы: кто-то до сих пор не понимает разницы между троянами и вирусами.

Конечно, конечно Лучше сходить за комментариями к редплейту