Firewall + HIPS

[tanganika]

Да - прав си- аз обаче отправям предизвикателство към Tanganika от китайско естество! Има ли шанс CIS срещу Kingsoft!? Поздрави

Като чета това което са написали

http://rootkit.com/newsread.php?newsid=885

изглежда създателите на rootkits не признават никаква защитни програми ( най-малко антивирусните ) та единствената ми надежда остава в HIPS програмите поне малко да им противодействат.

Според теб на какво ниво е стената и HIPS-а на Kingsoft ?

[Гост tnn]

http://www.binarynow.com/products/kingsoft...t-security/Не намирам информация за наличие на HIPS. Защитната стена добре изпълнява основните си задачи. Интегрираният пакет е впечатляващо добър. При WinXP SP3 е с обща маса около 190 mB - системата е пъргава както при всички китайски програми. Липсват честите въпроси при CIS и многото предупредителни съобщения на KIS 2010. Доста програми са без HIPS - това едва ли ги прави по-лоши. Поздрави

[S235]

При WinXP SP3 е с обща маса около 190 mB - системата е пъргава както при всички китайски програми.

Винаги ми е било любопитно да разбера- какво разбираш под "обща маса" и как я определяш?

Поздрави.

[Гост tnn]

Винаги ми е било любопитно да разбера- какво разбираш под "обща маса" и как я определяш?

Поздрави.

Виждам я като отворя "Добавяне или премахване на програми" при Контролен панел.

[tanganika]

tnn

Доста програми са без HIPS - това едва ли ги прави по-лоши. Поздрави

 

Не ги прави по-лоши,но ги прави по-непрепоръчителни за защита на важна/ценна информация.Поздрави

[Гост tnn]

Не ги прави по-лоши,но ги прави по-непрепоръчителни за защита на важна/ценна информация.Поздрави

Това е твое мнение. Аз и с най-добрите с HIPS съм форматирал с цел преход към свеж Win при чисто начало. Методите с "евристики + дефиниции" не вярвам някога за загубят важността си. Намирам ги за нещо като база, над която могат да добавят всякакви допълнителни компоненти. Поздрави

[Night_Raven]

Доколко HIPS продуктите пазят важна информация е относително понятие и много зависи от неща като потребителска намеса. Ако потребителят е опитен, тогава да, HIPS предоставя по-пълноценна и по-трудно преодолима защита. Ако потребителят не е опитен, тогава HIPS всъщност е по-лош избор от една програма, която разчита на дефиниции.

Казвал съм го и друг път, ще го повторя отново и сега (и колкото пъти е нужно): в компютърната сигурност всичко е относително. Няма най-добър вид защита и няма най-добра програма от всеки вид. В някои категории има по-добри и по-лоши програми, но "най" няма. Доколко дадена защитна програма е удачна зависи много от операционна система, други инсталирани програми, потребителя, хардуер и др. Изборът на защитен софтуер трябва винаги да се съобразява с възможностите на потребителя, нуждите му/й, възможностите на компютърната система и останалия софтуер. В дадена ситуация може програма X да е по-добър избор от програма Y. Във втора ситуация може пък програма Y да е по-добър избор от програма X. В трета ситуация може пък програма Z да се окаже по-добър избор от програми X и Y.

То е така и в други области. Когато човек си купува кола да речем, той се съобразява с това колко ще я кара, какво шофиране ще извършва, с какъв бюджет разполага, какви са условията за шофиране където ще шофира и т.н. Всеки си избира автомобил на базата на това какво му е нужно и какво е оправдано да се купи. Все пак иначе всеки щеше да се хвърля на Mercedes-и, BMW-та и прочее скъпи возила.

[tanganika]

А аз пак ще попитам,ако ползваната антивирусна програма няма дефиниции тогава кой ще опази ОС от инфектиране при среща с непознат зловреден код ? Когато потребителя е неопитен дали ще бъде с антивирусна или HIPS разлика няма,вероятността за инфектиране е същата.

[Night_Raven]

Защо пък антивирусната да е без дефиниции? Защо гледаш нещата от тази гледна точка?

А и дори дефинициите да не са най-актуалните, защитата пак може да е по-добра от HIPS програма. Не казвам, че е, а че може да е.

[tanganika]

Ами антивирусните програми с най-добра проактивна защита,евристики и т.н. мълчат като пукели когато съм свалял нови rogue,а когато съм се надявал да им видя проактивните защити в действие не се е случвало нищо.

[Night_Raven]

Не отговори на въпроса(ите) ми.

А и антивирусните не се специализират в защита на rogue програми.

[tanganika]

Не отговори на въпроса(ите) ми.

А и антивирусните не се специализират в защита на rogue програми.

Как могат антивирусните програми да имат дефиниции за новия зловреден код ? Та им остава да се надяват на евристики,енджини и проактивни защити които обаче са пълен провал в 98 % от случаите.

 

 

А и антивирусните не се специализират в защита на rogue програми.

В такъв случай положението е още по-зле.

[Night_Raven]

Не. Явно не четеш. Попитах защо (автоматично) приемаш, че дадената антивирусна няма да има дефиниции. Защо сравняваш необновена антивирусна с HIPS?

[tanganika]

Не. Явно не четеш. Попитах защо (автоматично) приемаш, че дадената антивирусна няма да има дефиниции. Защо сравняваш необновена антивирусна с HIPS?

Как може антивирусната да има дефиниции за зловреден код който не е попаднал в лабораторията им ? Колкото и бързо да реагират антивирусните лаборатории все ще са няколко дена по-назад.Другия вариант е създателя на зловредния код първо праща творението си в антивирусните лаборатории и след това го пуска из нета,което ми се струва малко вероятно.

[Night_Raven]

Добре, нов въпрос. Защо автоматично приемаш, че даден потребител ще се зарази със супер нов зловреден код? Не че не е възможно, но шансовете са на практика доста малки.

 

Нека приемем, че вероятността потребител да се зарази с още парещ и пресен зловреден код е голяма. Според мен не е, но за примера нека приемем, че е. Щом приемаме това, приемаме и друго нещо: че потребителите не се справят добре с HIPS. Дотук добре. Сега уточняваме, че въпросният лош и непослушен зловреден код напада 2 системи. Първата система е на Иванчо, който разполага с актуална и обновена антивирусна, но HIPS липсва. Втората система принадлежи на Пенчо, който разчита на ултра-мега-супер-хипер як HIPS, който си го е избирал от тестовете на Matousec, и не ползва антивирусна.

Какво става след атаката... Антивирусната на Иванчо не реагира и той остава с пръст в уста. HIPS-ът на Пенчо се обажда, но Пенчо не разбира много и цъка Allow/Permit на поразия. Оказва се анално прецакан. Крайният резултат е един и същ и в двата случая - безполезна система, която ще трябва да се чисти отделно или ще се преинсталира директно.

Какво става ясно? Става ясно, че условието за успеваемост в първия случай е бърза реакция от страна на антивирусната лаборатория и/или шанс да се получи заразяване с някаква не толкова актуална гадинка, докато условието за успеваемост във втория случай е потребителят да е наясно как да реагира.

Като ги сложим на кантарче тези двете нещица не мисля, че то ще се наклони в полза на HIPS. Прекалено много потребители не са наясно с този тип механизми и на практика комбинацията "HIPS + некадърен потребител" е по-често явление, отколкото комбинацията "антивирусна програма + прясна заплаха". Шансът да се зарази човек с нещо много ново е по-малък от този да попаднеш на потребител, който гледа въпросите/съобщенията на HIPS програмата като теле в железница.

 

И нека кажа още нещо, защото може да помислиш да го ползваш като довод. HIPS механизмите може да ти изглеждат по-лесни за работа, защото рядко се попада на реална заплаха. През на практика между около 94% и 99% от времето потребителят се занимава да отговаря на въпроси, свързани с легитимни програми и процеси, които полза/инсталира. Тогава се клика по-смело бутончето за разрешаване и това дава някакво чувство на сигурност, че потребителят владее ситуацията. Тестовете (като тези на Matousec) също не доказват много, защото при стартиране потребителят има готовност да блокира нещото, защото знае какво да очаква малко или много. Когато в играта влезе истински зловреден код обаче, нещата придобиват друга светлина и изведнъж вземането на решение не е толкова лесно, колкото е изглеждало на пръв поглед, защото потребителят вече се изправя лице в лице с неизвестното/неочакваното и правилното решение изисква повече обмисляне и знания.

Да се шофира автомобил на чисто трасе/полигон или на компютърна симулация например е лесно. В първия случай човек е по-спокоен и уверен, защото може спокойно да прави каквито маневри иска. Във втория случай дадена грешка не е фатална, защото е симулация - всичко е просто една игра. Когато обаче дойде време за истинско шофиране в града, сред останалите участници от движението, без инструктор на съседната седалка, ситуацията се променя коренно. Ситуациите трябва да се преценяват по-добре, защото всяка грешка може да струва скъпо (просто финансово и/или и... иначе).