Перейти к содержанию
Виталий Я.

борьба фанатов Eset и Kaspersky в блоге Agnitum

Recommended Posts

Виталий Я.

Господа, как бы то ни было, данный ответ гораздо конкретней в плане ответа конкурентам на их голословные заявления в прессе и в партнерской сети о сравнительно невысоком качестве наших продуктов. Что воистину нехорошо, товарищи, так это в экспертных статьях чужие антивирусы походя "поливать" или проф. тестирования на утечку и самозащиту на партнерских семинарах охаивать. Но к вам это не относится.

Записанное видео не является в чистом виде исследованием, это лишь попавшийся нам на глаза в ходе внутренних тестов пример. Видео Ивана тоже выдернуто из контекста, почему и ратую за вдумчивый подход к защите. За мнения ваши спасибо, однако держать нос по вашему ветру вряд ли будем.

vaber, билд 6.5.2358 OSS по умолчанию с выделенным режимом advanced - я вчера ставил. И где Вы лично взяли такой скрин, понять не могу. Хотя кнопка "По умолчанию" в Host Protection и скидывает на "Оптимальный", что для меня было откровением.

Правила в outpost проактиве создаются таким образом, что практически есть дыра для проникновения в ring0 С учетом периода автонастроек, такое правило (угадаете?) создаться с большой вероятностью у многих пользователей в ходе повседневной работы. А с таким правилом малвара с легкостью может проникнуть в систему. Даже на повышенном уровне защиты.

Вы как минимум о 2 разных продуктах говорите - и разделяйте для себя в т.ч. их, пож-та. Firewall и Security Suite имеют разные дефолтные конфигурации. В Firewall нет "тихого режима" по дефолту. С дефолтным самообучением - сами понимаете, от какой мировой security-"печки" тренд идет. Конечно, для нормальной адекватной защиты нужно отключать еще и автоприменение правил. И работать в Advanced режиме Host protection, что и предлагается. Но т.к. "чайников", не желающих отвечать на вопросы продуктов, у нас все больше, приходится за них серьезно думать. Текущий выбор лучше, чем анноить пользователей алертами. Профи свои настройки сам сделает, а любителю лишь бы продукт стоял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber, билд 6.5.2358 OSS по умолчанию с выделенным режимом advanced - я вчера ставил. И где Вы лично взяли такой скрин, понять не могу. Хотя кнопка "По умолчанию" в Host Protection и скидывает на "Оптимальный", что для меня было откровением.

Скрин снят при инсталляции секурити сюит. Дистрибутив был загружен совсем недавно - версия инсталлятора - 2358.316.607.315 ;)

Вы как минимум о 2 разных продуктах говорите - и разделяйте для себя в т.ч. их, пож-та. Firewall и Security Suite имеют разные дефолтные конфигурации. В Firewall нет "тихого режима" по дефолту. С дефолтным самообучением - сами понимаете, от какой мировой security-"печки" тренд идет. Конечно, для нормальной адекватной защиты нужно отключать еще и автоприменение правил. И работать в Advanced режиме Host protection, что и предлагается. Но т.к. "чайников", не желающих отвечать на вопросы продуктов, у нас все больше, приходится за них серьезно думать. Текущий выбор лучше, чем анноить пользователей алертами. Профи свои настройки сам сделает, а любителю лишь бы продукт стоял.

Не имеет значения фаервол это или сюит - правила создаются в проактиве одинаково. От конфигурации не зависит -или сам фаервол входе работы создаст правило или создаст юзер, если ему придется запускать нужное приложение более одного раза. Создав это правило руткиту не составит труда попасть в ринг 0 и стать в системе. Причем эта ошибка в создании правил уже в ваших продуктах не менее полугода.

З.Ы. Прошу понимать, что я не клоню к тому, что дескать ваши продукты плохие. Вовсе нет. Я к тому, что такие вот, сорри, гавноролики, можно конечно снимать, но выкладывать на официальном блоге с целью демонстрации преимущества вашего проактива над конкурентами ни есть гут. Это просто некрасиво.

Засим все.

З.Ы.Ы. По поводу правила - дело в том, что многие приложение легальные потребуют создания правила в проактивке для своей работы (юзер не станет при каждом запуске своей программы по нескольку раз тыкать по алерту). Используя это. уже созданное, правило, вредоносный код может проникнуть в систему. Это чисто бага создания правил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин
Господа, как бы то ни было, данный ответ гораздо конкретней в плане ответа конкурентам на их голословные заявления в прессе и в партнерской сети о сравнительно невысоком качестве наших продуктов. Что воистину нехорошо, товарищи, так это в экспертных статьях чужие антивирусы походя "поливать" или проф. тестирования на утечку и самозащиту на партнерских семинарах охаивать. Но к вам это не относится.

Единственное заявление в прессе c нашей стороны, которое я могу припомнить - это вот это:

В 2007 г. заявила о себе как об игроке антивирусного рынка компания Agnitum. Этот вендор широко известен на рынке как разработчик персонального сетевого Outpost Firewall. Компанией был лицензирован венгерский антивирусный движок VirusBuster и выпущен новый продукт Outpost Security Suite. За такой короткий срок достаточно сложно сделать вывод о перспективах антивирусных решений Agnitum на российском рынке. Но, учитывая популярность Outpost Firewall и нестандартные маркетинговые ходы, применяемые Agnitum, можно предположить, что ее новые продукты займут своё место под солнцем. Хотелось бы надеется также и на то, что компания со временем сменит поставщика антивирусного движка или разработает свой собственный, поскольку уровень обнаружения вредоносных программ, который показывает VirusBuster, не выдерживает никакой критики.

Выделенный жирным текст вряд ли можно назвать "поливанием". После чего говорю о плохом качестве детекта Virusbuster (подтверждено множеством тестов). Ни словом при этом не принижая возможности проактивной защиты Outpost.

Все остальные обвинения по поводу охаивания тестов Matousec и прочего адресуйте, пожалуйста, компании Eset.

P.S. Когда "хозяин" блога вернется, спросите его, пожалуйста, почему мой пост на тему Вашего кино не прошел промодерацию на блоге Agnitum. Никаких оскорбительных высказываний он не содержал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Обычно пока такое в паблик не уходит - не исправляют.

У меня предложение к господам участникам темы - стать бета-тестерами Outpost, тогда ваши слова будут попадать напрямую к тестировщикам и сапорту, что будет несравненно большим вкладом, нежели публикация уязвимости тут.

Что касается "красоты" - я ответил выше про некрасивые пассы, от которых мы ощущаем себя как-то неловко. Если продукт технологичнее, пусть это не псевдо-пользователь в блогах покажет, а мы сами. Тем самым дадим почву для обсуждения, все ли гладко на деле, и в очередной раз повысим по итогам этой дискуссии уровень безопасности, реализованной при помощи наших продуктов. "Безопасность - это не свойство, а процесс".

В любом случае считаю, что от таких вот роликов по "проактивке", даже записанных "на коленке", пользы будет больше, нежели от попыток доказать что-то на словах. Если надоело слушать "У них антивирус никакой", нужно действовать сообразно обстоятельствам, показывая "какая" все-таки немаловажная часть антивируса. Надеюсь, тема для спора исчерпана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
З.Ы.Ы. По поводу правила - дело в том, что многие приложение легальные потребуют создания правила в проактивке для своей работы (юзер не станет при каждом запуске своей программы по нескольку раз тыкать по алерту). Используя это. уже созданное, правило, вредоносный код может проникнуть в систему. Это чисто бага создания правил.

Помню, при тестировании Jetico мне очень понравилось, что он очень чётко рапортует о том, какая именно программа просится в сеть. Этого очень не хватеает в Outpost, где часто всё липнет к explorer или svchost. Такие сообщения дезинформируют, и также невозможно создавать правила для прогамм, что требуют опосредованный доступ. Это для меня самый большой недостаток Outpost.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
У меня предложение к господам участникам темы - стать бета-тестерами Outpost, тогда ваши слова будут попадать напрямую к тестировщикам и сапорту, что будет несравненно большим вкладом, нежели публикация уязвимости тут.

Хм... Можно попробовать. Правда, текущее впечатление от службы поддержки не бодрит.

P.S. Что-то далеко эта страница засунута. Никогда на неё не попадал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
что будет несравненно большим вкладом, нежели публикация уязвимости тут

лично я пока описания уязвимости не публиковал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Wordmonger
Если продукт технологичнее, пусть это не псевдо-пользователь в блогах покажет, а мы сами.

Виталий, а как у вас с логикой? Неужели не очевидно, что если ваши ролики что-то "показывают" в плане превосходства одного продукта над другим, то, значит, ролик Ивана показывает ровно то же самое, только с противоположным знаком. Ролики-то одинаковые! И тогда получается, что верно как утверждение "OSS технологичнее KIS", так и его отрицание. Аристотель отдыхает?

Вероятно, "технологичность" OSS заключается как раз в том, что он попирает законы классической логики и базируется на логике интуиционистской, в которой "основным критерием истинности... является интуитивная убедительность". Разработчики Agnitum интуитивно убеждены, что их продукт лучше всех, поэтому в принципе любой записанный ими ролик автоматически подтверждает этот факт. Даже если на самом деле ролик демонстрирует лишь разницу в настройках по умолчанию у двух продуктов, что, очевидно, является идеологическим различием, но не имеет никакого отношения к технологии.

Является ли данная идеология (а-ля "алертим на всё, что движется, а пользователь пусть сам разбирается") единственно верной и потому всесильной, как учение Маркса (того, старого)? Об этом до сих пор спорят эксперты-практики, потому как есть мнение, что пользователь, который знает, какие действия каких программ надо блокировать, а какие разрешать, встречается так же редко, как достойный маркетинговый ход среди моря говнопиара. В частности, критика UAC в Windows Vista подробно представлена в международной компьютерной сети Интернет.

P.S. Любите "Вику" — источник знаний!

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winsent
В дело вступает антивирусны сканер....Не в полне ясно как сканер в режиме реального времени сумел вступить в действие

Улыбнуло. Горе "тестерам" из agnitum не в домек что это был не Сканер реального времени, а Проверка автозапуска при загрузки windows которую они не отключали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Всегда интересно почитать мотивированные возражения против необычных PR-ходов, а также узнать мнение разработчиков конкурирующих продуктов. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Тут Иван говорил, что не хочет попадать под критику стартапов.

Это я говорил.

От меня такой критики больше не будет.

[***:filtered]

Отредактировал Николай Головко

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В категории установленные программы необходимо добавить распределение по типу программ. ( актуальных для темы лечения ) Браузеры Антивирусы VPN - Сервисы Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...  
    • demkd
      ничего нового ---------------------------------------------------------
       4.99.5
      ---------------------------------------------------------
       o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
         Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
         запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.

         Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
         Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
         после появления меню выберите:
         Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS

         В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
         поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
         не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
         В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
         При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
         для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".

       o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
         если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
         автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
         следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
         (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
         (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
         (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
         (!) с отрисовкой окон и без удаленного доступа.
         (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
         (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.

       o Добавлены новые модули:
         o файл rein/rein.x64 отвечает за запуск uVS из меню.
         o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
         o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.

       o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
         запуску uVS и файлового менеджера.

       o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
         (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
         (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)

       o Улучшена функция создания загрузочных дисков.
         ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
         т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
         Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
         Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
         (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
         (!) флешки теперь мультизагрузочные.

       o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.

       o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.

       o Теперь окно лога передачи файла можно свернуть вместе с основным окном.

       o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.

       o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
         всегда имеет фиксированное имя "uvsrdp".
         Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.

       o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
         системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
         при этом исходный файл хотя бы частично попал в файловый кэш.

       o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
         Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.

       o uVS теперь совместим со штатной средой восстановления Windows 8.

       o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
         задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).

       o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.

       o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
         если был выбран режим захвата экрана GDI или DDA1.

       o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
         в удаленную систему.

       o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
         к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.

       o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.

       o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.

       o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").

       o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.

       
    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
×