Z antywirusem czy bez niego - oto jest pytanie

[preter]

Witam szanownych forumowiczów!

Na początku zaznaczę, że z zamiłowania zajmuję się informatyką, a konkretnie systemy operacyjne i sieci komputerowe. Od jakiegoś czasu zastanawiam się nad porzuceniem najbardziej klasycznej formy ochrony komputera jaką jest antywirus. Mając w zanadrzu pewne doświadczenia z HIPS-ami z Comodo Firewall oraz z darmowej wersji Online Armor, zakupiłem program Online Armor w wersji Premium. Korzystam na codzień z trybu Open Safer, ochrony plików i rejestru oraz z trybu Banking Mode przy przelewach internetowych i mam włączone UAC w Windows Vista (choć przyznam się, że pracuję na koncie z prawami administratora). Obok Online Armor Premium zainstalowałem Avasta Free. Jednak zastanawiam się czy w takim przypadku jest sens korzystać z antywirusa z włączoną ochroną skanowania w czasie rzeczywistym. I tu rodzi się moje pytanie: czy rozsądne byłoby pozbycie się Avasta na rzecz tylko skanowania dysków i pendrive-ów na żądanie - MBAM?

Nie szukam w sieci żadnych cracków, pirackich kopii gier czy programów, a uTorrenta używam tylko do pobierania obrazów ISO systemów linuksowych. Korzystam tylko ze sprawdzonych od kilku lat źródeł informacji i korzystając z Eset SS, Kaspersky IS, czy Avast Free w połączeniu z firewallem (Comodo, PC Tools, PrivateFirewall) jeszcze nigdy nie miałem problemów z wirusami, spyware, malware etc. Na koniec dodam, że praktycznie od zawsze korzystam z Opery jako przeglądarki, co zapewne też wpływa na poziom ochrony komputera.

Z góry bardzo dziękuję za odpowiedź.

Pozdrawiam,
preter_m

[polak900]

ja bym wywalił avasta i zainstalował sobie immuneta w chmurze

[Konto usunięte]

Ja zrezygnowałem - używam SpySheltera Premium i LnS jako zaporę, UAC na maxa, DEP na max i właśnie MBAM tylko na żądanie.
Jest tak już kilka ładnych miechów, żadnych piratów nie pobieram i problemów nie ma żadnych, a lekkość niesamowita.

Avast jest bardzo lekki, no ale skoro nie ma większego ryzyka, to ja bym polecił i z niego zrezygnować. Oprócz MBAM polecam użyć EMETa do maksymalnego ustawienia mechanizmów Windowsa (DEP, ASLR).

[Eru]

Oprócz MBAM polecam użyć EMETa do maksymalnego ustawienia mechanizmów Windowsa (DEP, ASLR)

Z tym to lepiej ostrożnie

[Konto usunięte]

Dlatego można w nim ustawiać dla wszystkiego pojedynczo - u mnie tak samo np. starsze wersje Dropboxa nie wspierały wszystkich zabezpieczeń, PC Tools Toolkit wywalał się przez DEP, ale dało się to wszystko skonfigurować osobno dla każdej aplikacji z poziomu EMETa, dzięki czemu nie obniżamy poziomu bezpieczeństwa całego systemu.
Niebezpieczne jest wymuszenie włączenia ASLR na wszystko, ale aby w ogóle móc to zrobić, trzeba pobawić się rejestrem zgodnie z instrukcją EMETa, a więc nie da się przez przypadek

[preter]

Czy pisząc o EMET macie na myśli to :

[Aby zobaczyć linki, zarejestruj się tutaj]

?

[Eru]

Dokładnie to

[Ambient]

preter podałeś link do starej wersji, kilka dni temu wyszła nowa v2.1

[Aby zobaczyć linki, zarejestruj się tutaj]

a tutaj lista zmian:

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

jest nawet wątek o EMET u nas

[Aby zobaczyć linki, zarejestruj się tutaj]

A na temat używania czy nie antywirusa mam takie zdanie...im więcej wiesz, im więcej doświadczenia i umiejętności masz, im lepiej (bezpieczniej) sobie radzisz w sieci...t w końcu główny kierunek używania teraz komputerów, tym mniej przemawia za tym, żeby mieć ochronę real-time w postaci AV. Zgadzam się z poprzednikami, że korzystanie z dobrej zapory w połączeniu z przyzwoitym monitorem oraz pracą na koncie z ograniczonymi uprawnieniami wraz z polityką restrykcji wobec aplikacji, to wystarczająco solidne i lekkie dla systemu zabezpieczenie. EMET jest tu świetnym dodatkiem podobnie jak Pretty Good Security (PGS)

[Aby zobaczyć linki, zarejestruj się tutaj]

[preter]

Dziękuję Wam wszystkim za pomoc. O EMET słyszę po raz pierwszy. Ale z tego co wyczytałem na rationallyparanoid.com to jest to bardzo przydatny program przy zabezpieczaniu systemu.

[Ambient]

jest nawet wątek o EMET u nas

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie zauważyłem tematu

[ichito]

I zobacz ile tego masz na laptoku,( OA, Mamutu, EMET) może jest i lekko, ale to nie gwarantuje bezpieczeństwa komputera ,( nawet jak znasz reguły aplikacji, procesy systemowe i śmiem twierdzić, że wszystko to nie ogarniesz i takna 100% nigdy do końca, bo to nie możliwe), tak jak nie gwarantuje mi tego mój pełny pakiet zabezpieczający na pokładzie z av.Nawet jak znasz zwyczajne korzystanie ze swojego komputera, zawsze może Cię coś podkusić i ....klikniesz co nie potrzeba, a wtedy klops.

No właśnie ile tego jest?...sprowadzając rzecz do absurdu można nie mieć nic...skutki są chyba wyobrażalne. Ponieważ "coś" jednak być musi, to decyduję się na "tylko tyle" i "aż tyle. AV spełnia różne funkcje (zwłaszcza rozbudowany AV lub w pakiecie), które często są dublowane z podobnymi w zaporach z monitorem lub w samych monitorach...po co? Mam kontrolę nad procesami, autostartem, zachowaniem programów, ich uprawnieniami w systemie i w działaniu...EMET nie obciąża systemu w sposób zauważalny i też chroni przed wykorzystaniem wrażliwych mechanizmów systemowych do wykonania ataku...jest przydatny?...jest, bez dwóch zdań.
Zaominasz, że zabezpieczenia to też blokady pewnych mechanizmów przez same przeglądarki zarówno te firmowe-wbudowane, jak i przez doinstalowane dodatki. AdBlock, NoScript, BetterPrivacy. KeyScrambler...to tylko przykłady takich dodatków znakomicie zwiększających nasze bezpieczeństwo w trakcie aktywności w sieci. Dołóż do tego własne rozeznanie, nawyki, świadomość zagrożeń...chyba wystarczy

I znowu musisz coś dołożyć. Niektóre pakiety zabezpieczające mają już to w sobie, a i są lekkie dla systemu i funkcjonalne, plus posiadają silnik antywirusowy.Na razie nie przekonam się na używanie czegoś samego bez av, być może jestem niedojrzały mentalnie, ale to już stwierdził ktoś nie wiem czy mądrzejszy do końca od mnie.(kwestia sporna).

Nic nie muszę...wirtualizer jest dla mnie jak aktywna "kopia bezpieczeństwa"...jedni robią obrazy dysków, migawki...ja pracują na wirtualnym systemie. Shadow Defender, WTF czy Returnil (ten na nieco mocniejszych komputerach) są świetnym uzupełnieniem, a nie obciążają systemu, jak może niektórym się wydawać.
Nie wiem po co ironia nawiązująca do "dojrzałości mentalnej"...tu chodzi o przełamanie własnych obiekcji i przyzwyczajeń, a nie o jakieś "studia transcendentalne" i osiąganie "wyższych stanów stanów świadomości".

[andrzej76]

Nie wiem po co ironia nawiązująca do "dojrzałości mentalnej"

To nie ironia, po prostu napisałem , że nie dojrzałem jeszcze , albo już nigdy nie dojrzeję do używania komputera bez programu z silnikiem antywirusowym. Są kilkuletnie przyzwyczajenia, nawyki, itp., i tego nie zmienisz w chwilę. Co do reszty programów typu HIPS, monitory behawioralne, niestety nie przekonują mnie do końca. Np. taki Mamutu - używałem, znasz procesy i aktywność aplikacji w systemie , to dobra rzecz, wiesz co zablokować, nie jesteś pewien - zezwolisz i kiszka, wtedy co dalej...bez av?, syf w kompie, nie zneutralizujesz tego, no bo czym, nie posiadasz aplikacji która usunie to lub oczyści w systemie. Oczywiście, jak używasz tych samych aplikacji przez dłuższy okres czasu i nic nie dorzucasz do kompa, to wiesz co zezwolić, gorzej jak instalujesz co jakiś czas nowe programy i bloker Ci komunikatami sypie, a nie jesteś pewien. Wiem , wiem, zaraz można odpisać , że są skanery online i inne tego typu, no tak są, ale czy pozwalają na usunięcie infekcji z systemu? Chyba raczej nie, bo ją tylko wskazują.

Ja mam jeden pełny pakiet zabezpieczający , w którym mam zaporę sieciową, HIPS, silnik antywirusowy, wirtualizer - wzajemnie to się uzupełnia, chroni - i najważniejsze dla mnie wygoda, nic do szczęścia więcej nie potrzeba, nie potrzeba mi kilku aplikacji różnych firm, by być w miarę bezpiecznym.

Myślisz, że wtyczki do przeglądarki chronią ją przed atakami czy infekcją systemu jak coś pobierzesz przez nią? Dziennie jest tworzonych setki wirusów i expolitów. Nie polegał bym na nich tak do końca.

[nikita]

wiesz co zablokować, nie jesteś pewien - zezwolisz i kiszka, wtedy co dalej...bez av?, syf w kompie, nie zneutralizujesz tego).

Dlatego np. SS udostępnia możliwość sprawdzenia pliku na VT, ale to skrajność i nie należy do najwygodniejszych rozwiązań. Ogólnie to, czy się zezwoli czy nie, zależy od świadomości użytkownika na temat działania malware. Podpisy cyfrowe ułatwiają sprawę, więc uważam, że to powinny być obowiązkowe działania szanujących się producentów popularnego oprogramowania. Zwykle niepożądany proces chce "coś" uruchomić, następuje jakieś zdarzenie systemowe, które nie jest naturalne dla innych programów. Świadomość takich sytuacji, oraz świadomość zdarzeń systemowych związanych z zaufanymi aplikacjami może znacznie wpłynąć na decyzję o schowaniu AV do szafy.

Kwestia dla mnie nie leży u podstaw tego, "czy korzystać, czy nie?" lub "ale jestem geekiem, nie mam AV" tylko "czy wiem jak działa malware?". A to schematowe myślenie może ułatwić decyzję. Mówisz, nie zneutralizujesz syfu jak klikniesz "allow". Dlatego dodaje się funkcjonalności takie jak przykładowo "RunSafer" a OA.

Malware nie może działać bez żadnych akcji - należy po prostu wiedzieć jakie to mogą być akcje, jakie procesy za sobą ciągną i jakich zapisów na dysku chcą dokonać.

Aktualnie jestem na etapie pisania pracy dyplomowej z tego (i powiązanych) tematu, więc mam nadzieję, że w nieodległej przyszłości podzielę się z Wami jakimiś ciekawostkami. Teraz nie mogę ze względu na silnik plagiat.pl...

[andrzej76]

tylko "czy wiem jak działa malware?".

I o to chodzi właśnie, ja nie wiem jak działa np. nowe malware 0-day, i zapewne większość nie wie, i nie wiem jakie mogą być akcje, procesy, bo nie tworzę ich, a Ci którzy to robią wpadają na coraz to nowe pomysły, i ciężko rozszyfrować wtedy takiego malware jak się podszyje pod proces systemowy np. svchost.exe. Tu Ci ani hips, ani blokernie pomoże, jak klikniesz "allow" bo uznasz że to bezpieczne.

Dlatego dodaje się funkcjonalności takie jak przykładowo "RunSafer" a OA.

No właśnie, dlatego dodajesz, a co będzie bez tego i silnika av w systemie - kiszka.

Dlatego używam pełnego pakietu, ale to też nie chroni systemu, jak nie chroni reszta programów typu hips, bloker.( kilku w systemie, nie jednego oprogramowania zabezpieczającego konkretnej firmy) Jeśli pakiet jest lekki to nie przeszkadza, że ma silnik av i nie jest to nawet kwestia przyzwyczajeń.

[ichito]

Andrzej...
po pierwsze ochrona wielowarstwowa...kłania się podstawowa zasada ochrony, o której wiele już było na forum Nie chcę się rozwodzić na temat skuteczności AV i tego, czy wystarczą...nie są do końca skuteczne - bo nie mogą...nie są wystarczające - bo jakby wynika to z definicji.
Piszesz o zagrożeniach "0-day"...AV je wykrywa? Jak?...po to zostały stworzone HIPSy/blokery/monitory...nawet jak zrzucimy na większość pracy na oprogramowanie, to i tak jakaś część mechanizmów obronnych musi spoczywać na użytkowniku, bo nie ma innej możliwości. Od niego się wszystko zaczyna (decyzje o sposobie ochrony) i na nim kończy (ostateczne decyzje decyzje to on w końcu musi podjąć np. o usunięciu podejrzanego pliku-o przeniesieniu do kwarantanny-o uznaniu go za zaufany)
Jak spojrzysz na moją wypowiedź, to zobaczysz że AV u mnie są, ale jako programy pomocnicze, uruchamiane okazjonalnie i kontrolnie. W końcu sygnatury i mechanizmy pomocnicze również mają swoje zalety.
Dziękuję Nikicie...jego zdanie w dyskusji jest istotne i pokazuje inny, niż mój dotąd punkt widzenia. Mam nadzieję, że jego praca o której pisze, kiedyś u nas zawita choćby w cytatach
Jeszcze odnośnie dodatków do przeglądarek...część z nich działa "niesygnatorowo" czyli blokuje z góry pewne wykryte na stronie mechanizmy(np. NoScript)...są więc niejako umownym "przeglądarkowym HIPSem" blokującym z góry pewne mechanizmy (coś jakby "lista aplikacji niezaufanych)...inne bazują na "czarnych listach" (np.AdBlock). Ich skuteczność dla mnie nie podlega dyskusji.

[nikita]

Dlatego dodaje się funkcjonalności takie jak przykładowo "RunSafer" a OA.

No właśnie, dlatego dodajesz, a co będzie bez tego i silnika av w systemie - kiszka.

Ale mam na myśli, nie to że dodawane są moduły jak RunSaferżeby uzupełniać lukę między HIPS-em a AV, bo może stać się tak, że trend będzie szedł w kierunku analizy zagrożeń z wykluczeniem AV. Skoro zagrożenia są co raz bardziej skomplikowane, to silniki analizujące obiekty będą wymagały większej ilości dyskryminatorów dla oceny zagrożenia, a to z kolei wpłynie na czas analizy.

Ale to tylko hipotetyczne założenia, bo może okazać się coś zupełnie innego. Oczywiście nie proponuje nikomu "zaprzestania korzystania" z AV, ale wydaje mi się, że odejdzie do lamusa Dla przykładu, wg pozycji "Mity bezpieczeństwa IT..." (John Viega) poziom doświadczenia użytkowników systemów zabezpieczającychnegatywnie wpływa na rozwój technologii, ponieważ jest zbyt niski. Niezrozumiałe nowości nie są mile widziane, mimo to że są skuteczniejsze i wydajniejsze. Do tego dochodzi biznes - producenci narzędzi zabezpieczających muszą zadowolić nie tylko rynek ale i siebie, więc nie podejmują zbyt radykalnych kroków. Według mojej opinii to będzie jeszcze dosyć długo decydowało o egzystencji skanerów AV, bo większość "roboty" odprawia automat.

Mam nadzieję, że jego praca o której pisze, kiedyś u nas zawita choćby w cytatach

Będziecie pierwszą grupą osób, która publicznie przeczyta najciekawsze części moich wypocin do końca września powinno się udać!