07.04.2014, 10:58
Trochę długo trwało, ale mam nadzieję, że będzie mi to wybaczone 
Artykuł ten jest kontynuacją
Staram się w artykule nie faworyzować jakiś konkretnych rozwiązań czy programów, niemniej pewnie zdarzy mi się jakiś nazw użyć…to będą raczej wyjątkowe przypadki i nie będą związane z żadną reklamą czy akcją promocyjną…więcej nawet…sadzę, że te które wymienię będą dotyczyć raczej aplikacji mało znanych, ale w jakiś sposób mi bliskich.
Ochrona bazy czyli backup
W poprzedniej części staraliśmy się o to, by uzyskać wersję systemu maksymalnie zaktualizowaną, pozbawioną zbędnych składników systemu oraz niepotrzebnych programów, a na koniec sprawdzoną narzędziem do wykrywania luk i podatności. Zakładając, że mamy już taki "wzorcowy" system, powinniśmy teraz zadbać o to, by stał się on naszą wyjściową bazą do wszelkich dalszych działań. To bardzo ważne, by mieć taką zarchiwizowaną wersję systemuna wypadek jakiejkolwiek wpadki podczas instalowania programów w przyszłości, zmiany systemowych ustawień czy jakiejś...nie daj Boże...przygody ze szkodliwym oprogramowaniem. Pamiętać bowiem musimy, że dysponujemy systemem, który najprawdopodobniej stanie się celem ataków mniej lub bardziej przemyślanych na skalę do tej pory nienotowaną. Ponadto backup, który wykonywać będziemy na bieżąco, da nam możliwość wyboru stanu systemu do odtworzenia...w końcu od czasu do czasu coś zmienimy w naszym systemie...choćby wersję przeglądarki czy programu do ochrony.
Nie chcę proponować jakiś konkretnych programów do wykonywania kopii zapasowych systemu i danych...jest takich programów całe mnóstwo, zarówno darmowych jak i płatnych, a to który z nich wybierzecie w znakomitej większości zależy od Waszych potrzeb i umiejętności. Mogę tylko zasugerować, że wygodnym rozwiązaniem są programy IRS do bardzo szybkiego przywracania wybranego stanu systemu z tworzonych migawek/kopii systemu. W większości przypadków odtworzenie systemu zajmuje od kilkudziesięciu sekund do kilkunastu minut w zależności od programu, użytej technologii, rodzaju kopii i ilości danych do skopiowania.
A jeśli ktoś nie ma ochoty na tego typu regularne kopie systemu i chciałby jedynie mieć możliwość doinstalowania samych tylko poprawek do czystego zainstalowanego systemu XP, którego pakiet instalacyjny posiada? Owszem jest i taka możliwość – program nazywa się WSUS Offline Updatei oferuje stworzenie zbioru najbardziej aktualnych poprawek do systemu, ale również do pakietu Office 2003 (jego wparcie również się kończy 8 kwietnia) czy nawet zaktualizowanej wersji Microsoft Security Essentials.
Internet..."to be or not to be?"
To zasadnicze pytanie, ponieważ niejako definiuje dalszy sposób używania komputera z systemem XP oraz sposób konstruowania zabezpieczeń. W większości dostępnych w tej chwili źródeł podkreśla się zasadę, by maksymalnie ograniczyć dostęp takiego komputera do siecii to z bardzo prostej przyczyny – internet, jego przeglądana zawartość i to, co z niej pobieramy na dysk to w tej chwili podstawowy wektor wszelkiego rodzaju zagrożeń. Jeśli zdecydujemy się na odcięcie od sieci, to właściwie jedynym wektorem ataku są podłączane napędy wymienne i wtedy właściwie do ochrony wystarcza nam mechanizm blokujący automatyczne uruchamianie napędów oraz plików na nich zapisanych. W tej kategorii również jest wiele skutecznych programów od bardzo prostych do bardziej skomplikowanych, oferujących np. dodatkowe skanowanie zawartości napędów czy monitorowanie uruchamianych plików wykonywalnych.
To w kwestii napędów dodatkowych…co na dysku twardym?...wg mnie cokolwiek, co będzie kontrolować pojawiające się nowe piliki wykonywalne jak choćby
OK…a co gdy chcemy korzystać z sieci?...odpowiedź jest niebywale prosta, choć pociąga od razu za sobą rozwiązania, na które część nie miała do tej pory ochoty, a teraz raczej będzie musiała. Mowa oczywiście o zaporze czyli o programie znanym również jako firewall…nie, nie tej systemowej, chyba że ktoś jest mocno zaawansowany w tej materii. Zapora systemowa na XP jest bardzo uboga w funkcje i możliwości i dla znakomitej większości jej konfiguracja jest niemal niewykonywalna. Co nam da zapora?No przede wszystkim po zainstalowaniu i wstępnej (czasem w trakcie procesu instalacji) konfiguracji od razu narzuca swoje reguły i z góry ogranicza lub wręcz zamyka możliwości niechcianego połączenia się z naszą maszyną z zewnątrzoraz pozwala w znakomitej większości przypadków określenie sieci, z której korzystamy, jako zaufanej lub nie. W przypadku XP po 8 kwietnia (teraz w sumie też tak jest lepiej) najrozsądniej jest wybrać ustawienie „sieć niezaufana” inaczej też nazywana „publiczna” – dzięki temu nakładane restrykcje i tym samym bezpieczeństwo są większe.Dodatkowa zapora programowa poza restrykcjami na ruchu przychodzącym pozwala też na określenie, które aplikacje i w jaki sposób będą miały zezwolenie na połączenie się z siecią czyli tworzy reguły dla połączeń wychodzących . Dzięki temu unikamy niepotrzebnego „tłoku na łączach”, bo przecież nie wszystko musi stale być na aktywnym połączeniu, a ponadto mamy kontrolę nad tym jaki proces chce nawiązać połączenie, co ma szczególne znaczenie w przypadku infekcji jakimś malware…szkodniki często próbują nawiązać jedno- lub wielokrotne połączenia w celu pobrania kolejnych fragmentów szkodliwego kodu, a uniemożliwienie im tego poprzez zamknięcie połączenia pozwala od razu na zminimalizowanie skutków infekcji.
Zapory oferują różne możliwości i realizują to w różny sposób…starsze przeważnie nierozwijane już, choć mogą odstraszać surowym wyglądem, to wciąż w rękach w miarę zaawansowanego użytkownika będą skutecznym narzędziem, filtrując ruch sieciowy i ustalając dla niego reguły (w tym dla aplikacji). Nowsze, które są wyglądu i predefiniowanych opcji bardziej przyjazne użytkownikom nie ażtak obytym, dają znacznie większy komfort i łatwość obsługi, choć okupione to jest zazwyczaj zwiększonym zużyciem zasobów systemowych...skupiają się one raczej na regułach dla aplikacji, a ewentualne reguły dla pakietów dostępne są w opcjach zaawansowanych, ponadto oferują w większości dodatkowe moduły ochronne związane z ochroną proaktywną (HIPS/bloker/monitor). Trudno tu rozważać wszystkie opcje i możliwości oferowane przez zapory programowe…trudno omawiać wszystkie możliwe ustawienia i reguły dla sieci czy aplikacji…to temat rzeka, zależny przede wszystkim od preferencji, potrzeb i umiejętności konkretnego użytkownika, dlatego z konieczności mówię o sprawach najważniejszych i to w sposób raczej uproszczony.
Pod koniec chciałbym tylko dorzucić uwagę, że sprawdzać ruch sieciowy możemy w bardzo prosty sposób – celowo piszę „sprawdzać”, bo tylko tyle możemy w tym przypadku poza ewentualnie zamknięciem połączenia…żadnych trwałych reguł stworzyć nie możemy. Do tego celu służyć mogą wspomniane menadżery procesów, z których niektóre ( System Explorerczy Process Hacker ) oferują wykaz aktualnych połączeń lub narzędzie dedykowane połączeniom sieciowym jak np.
Na sam finał tego fragmentu krótkie info - jest kilka newralgicznych portów w systemie, których zamknięcie może ze względów bezpieczeństwa przynieść korzyści...jeśli nie zrobiliśmy tego za pomocą zapory programowej, warto skorzystać z dostępnych narzędzi.Sądzę, że najlepiej powody i sposób ich zamykania opisuje
Zastosowanie programów anty-malware...w miarę proste...i w miarę tylko skuteczne
Tytuł dla niektórych możliwe, że będzie jakiś obrazoburczy, ale niestety odzwierciedla aktualne warunki i możliwości takich programów. Pamiętać musimy, że koniec wsparcia producenta dla swojego systemu to także widoczny sygnał dla producentów oprogramowania na ten system, że czas przemyśleć również i ich wsparcie. Pół biedy, gdy do czynienia mamy z programami użytkowymi, narzędziowymi, multimedialnymi.. .gorzej gdy mówimy o programach anty-malware, bo te programy bazują przede wszystkim na dostępie do najnowszych informacji o zagrożeniach...bez tych informacji staja się bezużyteczne . Łatwo się domyślić, że dopóty będą skutecznie rozpoznawać i zwalczać zagrożenia, dopóki producent będzie aktualizował i dostarczał bazy sygnatur na swoje programy działające na Windows XP i można jedynie spekulować, czy na przykład programy oparte na chmurze nie staną się bardziej skuteczne, bo w tym przypadku informacji dostarcza też społeczność użytkowników, co producentowi ułatwić może sprawę.
Wielu producentów programów AV (umówmy się, że tak ogólnie je nazwiemy) już w jakiś sposób się opowiedziało czy będzie wspierać XP i ewentualnie jak długo…ich najbardziej chyba aktualna listę opublikowała AV-TEST, a znaleźć ją można pod
Jak widać niektórzy wspierać będą XP przez rok tylko, inni przez 2-3 i więcej…niektórzy nie wypowiedzieli się wcale i liczyć można jedynie, że jakoś „samo się to poukłada”. Możliwe, ale to żadna gwarancja dla użytkowników, którzy używali tych programów częstokroć płacąc za to niemałe pieniądze.
Jeśli do tej pory używaliście programów AV, to nierozsądnym byłoby zmieniać teraz swoje przyzwyczajenia …tym bardziej, że programy te podlegają nieustannej ewolucji, a zmiany jakie ona wprowadza skutkują nowymi rozwiązaniami, technologiami i opcjami których zadaniem jest wsparcie lub czasem wyparcie wręcz wykrywania sygnaturowego. Przykładem mogą tu być wszelkiego rodzaju monitory zmian systemu, blokery behawioralne, mechanizmy heurystyki, polityka ograniczania uprawnień czy nawet samodzielne piaskownice służące do izolowania uruchamianych podejrzanych plików czy procesów. Z tego wszystkiego musimy nauczyć się korzystać, bo inaczej będziemy skazani tylko na bazowanie na przestarzałych informacjach, jakimi są sygnatury i to już w momencie ich publikowania.
Nie chcę wywoływać kolejnej „wojenki” między użytkownikami konkretnych programów, więc nie będę tu polecał jakiegokolwiek programu AV…jest wciąż sporo na rynku i każdy może dobrać sobie coś odpowiedniego tym bardziej, że wciąż na stronach różnych organizacji są dostępne wyniki testów skuteczności dla systemu Windows XP. Pamiętać jednak trzeba, że wykrywalność to nie wszystko, a program AV jest jak buty, które kupujemy…ma nam „dobrze leżeć”
To odnośnie programów, których działanie opiera się na stałej pracy w tle...warto jednak przypomnieć, że dostępna jest cała rzesza programów, które uruchamiamy tylko na żądanie czyliwtedy, kiedy zaplanowaliśmy sobie kontrolny, standardowy skan lub w przypadku jakiś podejrzeń, że coś niedobrego w naszym systemie się dzieje. W tej grupie programów znaleźć możemy bardzo proste skanery, w których wskazujemy tylko lokalizację niepewnych danych, ale i takie które oferują kilka trybów skanowania i to jeszcze w połączeniu z dodatkowymi mechanizmami heurystyki...mamy skanery oparte na silniku AV jednego producenta, jak i wielosilnikowe, dające w większości przypadków bardziej rzetelne wyniki. Warto zaznaczyć, że część z nich dodatkowo oferuje bardzo zaawansowane narzędzia analityczne, które biegłym w temacie użytkownikom pomagają zdefiniować bardziej skomplikowane zagrożenia i usunąć je trwale z systemu.
Nie będę bardziej rozbudowywał tego zagadnienia...powszechność stosowania takich programów pozwala mi na skrócenie jego omówienia do niezbędnego minimum.
Na tym zakończę…reszta będzie w części kolejnej i na „trzeciej” chyba się już skończy. Nie sądziłem, planując ten temat, że podczas pisania wciąż nowe rzeczy będą przychodzić do głowy i że trzeba to będzie tak mocno przeorganizować. Mam jednak nadzieje, że tym razem „ilość przeszła w jakość”
----------------
edit 1:
No i właśnie wychodzi nadmiar pomysłów i spraw, które przychodzą do głowy...kiedy jedne przychodzą i zaprzątają uwagę, inne w tym samym czasie sobie odchodzą Do tekstu dodałem dwa ważne fragmenty - jeden dotyczący zamykania portów i przekierowujący do dokładnego opracowania na forum fixitów, drugi skanerów na żądanie.
edit 2:
Z powodów osobistych i brakiem wystarczającej ilości czasu, by napisać sensownie i rzetelnie, zmuszony jestem odłożyć pisanie ostatniej części artykułu. Miała być związana z ochrona proaktywną, restrykcjami i izolacjami dla aplikacji oraz wirtualizacją systemu...to trudne dość rzeczy i wymagające uwagi przy pisaniu, dlatego nie chcąc pisać bzdur skupiam się na razie na swoich sprawach.
Ze względu na nadchodzące zdarzenia (8 kwietnia już jutro), kolejna część będzie już właściwie nieaktualna, niemal na pewno zmienię nieco perspektywę pisania, choć i tak głównie wciąż celem będzie ochrona XP właśnie.
Przepraszam.
Artykuł ten jest kontynuacją [Aby zobaczyć linki, zarejestruj się tutaj]
poradnika, którego zamiarem jest pomoc w zabezpieczeniu systemu Windows XP. Problem ten, jak sądzę, dotyczyć wciąż będzie wielu setek czy nawet tysięcy polskich użytkowników, którzy świadomie lub przez nieuwagę zrezygnowali z alternatywnych rozwiązań (migracja do nowszej wersji Windows, do innego systemu, zakup nowego sprzętu z pre-instalowanym nowym systemem).Staram się w artykule nie faworyzować jakiś konkretnych rozwiązań czy programów, niemniej pewnie zdarzy mi się jakiś nazw użyć…to będą raczej wyjątkowe przypadki i nie będą związane z żadną reklamą czy akcją promocyjną…więcej nawet…sadzę, że te które wymienię będą dotyczyć raczej aplikacji mało znanych, ale w jakiś sposób mi bliskich.
Ochrona bazy czyli backup
W poprzedniej części staraliśmy się o to, by uzyskać wersję systemu maksymalnie zaktualizowaną, pozbawioną zbędnych składników systemu oraz niepotrzebnych programów, a na koniec sprawdzoną narzędziem do wykrywania luk i podatności. Zakładając, że mamy już taki "wzorcowy" system, powinniśmy teraz zadbać o to, by stał się on naszą wyjściową bazą do wszelkich dalszych działań. To bardzo ważne, by mieć taką zarchiwizowaną wersję systemuna wypadek jakiejkolwiek wpadki podczas instalowania programów w przyszłości, zmiany systemowych ustawień czy jakiejś...nie daj Boże...przygody ze szkodliwym oprogramowaniem. Pamiętać bowiem musimy, że dysponujemy systemem, który najprawdopodobniej stanie się celem ataków mniej lub bardziej przemyślanych na skalę do tej pory nienotowaną. Ponadto backup, który wykonywać będziemy na bieżąco, da nam możliwość wyboru stanu systemu do odtworzenia...w końcu od czasu do czasu coś zmienimy w naszym systemie...choćby wersję przeglądarki czy programu do ochrony.
Nie chcę proponować jakiś konkretnych programów do wykonywania kopii zapasowych systemu i danych...jest takich programów całe mnóstwo, zarówno darmowych jak i płatnych, a to który z nich wybierzecie w znakomitej większości zależy od Waszych potrzeb i umiejętności. Mogę tylko zasugerować, że wygodnym rozwiązaniem są programy IRS do bardzo szybkiego przywracania wybranego stanu systemu z tworzonych migawek/kopii systemu. W większości przypadków odtworzenie systemu zajmuje od kilkudziesięciu sekund do kilkunastu minut w zależności od programu, użytej technologii, rodzaju kopii i ilości danych do skopiowania.
A jeśli ktoś nie ma ochoty na tego typu regularne kopie systemu i chciałby jedynie mieć możliwość doinstalowania samych tylko poprawek do czystego zainstalowanego systemu XP, którego pakiet instalacyjny posiada? Owszem jest i taka możliwość – program nazywa się WSUS Offline Updatei oferuje stworzenie zbioru najbardziej aktualnych poprawek do systemu, ale również do pakietu Office 2003 (jego wparcie również się kończy 8 kwietnia) czy nawet zaktualizowanej wersji Microsoft Security Essentials.
Internet..."to be or not to be?"
To zasadnicze pytanie, ponieważ niejako definiuje dalszy sposób używania komputera z systemem XP oraz sposób konstruowania zabezpieczeń. W większości dostępnych w tej chwili źródeł podkreśla się zasadę, by maksymalnie ograniczyć dostęp takiego komputera do siecii to z bardzo prostej przyczyny – internet, jego przeglądana zawartość i to, co z niej pobieramy na dysk to w tej chwili podstawowy wektor wszelkiego rodzaju zagrożeń. Jeśli zdecydujemy się na odcięcie od sieci, to właściwie jedynym wektorem ataku są podłączane napędy wymienne i wtedy właściwie do ochrony wystarcza nam mechanizm blokujący automatyczne uruchamianie napędów oraz plików na nich zapisanych. W tej kategorii również jest wiele skutecznych programów od bardzo prostych do bardziej skomplikowanych, oferujących np. dodatkowe skanowanie zawartości napędów czy monitorowanie uruchamianych plików wykonywalnych.
To w kwestii napędów dodatkowych…co na dysku twardym?...wg mnie cokolwiek, co będzie kontrolować pojawiające się nowe piliki wykonywalne jak choćby
[Aby zobaczyć linki, zarejestruj się tutaj]
lub monitor zmian kluczowych obszarów systemu jak[Aby zobaczyć linki, zarejestruj się tutaj]
oraz jakiś menadżer procesów/autostartu jak Anvir Task Manager , który powiadamia również o wykrytych zmianach w autostarcie czy System Explorer , pozwalający na podgląd wielu innych ciekawych rzeczy dotyczących systemu oraz tworzenie migawek systemu (pliki i rejestr) i wyłowienie dzięki temu zaistniałych w systemie zmian. W ogóle dobrym rozwiązaniem na co dzień jest stosowanie tego typu menadżerów, bo to pozwala nie tylko na kontrolę systemu, ale również uczy nas, co się w nim dzieje i co ewentualnie zmienia. Bardziej zaawansowani mogą zainstalować coś „mocniejszego” czyli monitory zmian w czasie rzeczywistym jak WinPatrolczy WinSonar(o czymś jeszcze bardziej zaawansowanym będzie w dalszej części).OK…a co gdy chcemy korzystać z sieci?...odpowiedź jest niebywale prosta, choć pociąga od razu za sobą rozwiązania, na które część nie miała do tej pory ochoty, a teraz raczej będzie musiała. Mowa oczywiście o zaporze czyli o programie znanym również jako firewall…nie, nie tej systemowej, chyba że ktoś jest mocno zaawansowany w tej materii. Zapora systemowa na XP jest bardzo uboga w funkcje i możliwości i dla znakomitej większości jej konfiguracja jest niemal niewykonywalna. Co nam da zapora?No przede wszystkim po zainstalowaniu i wstępnej (czasem w trakcie procesu instalacji) konfiguracji od razu narzuca swoje reguły i z góry ogranicza lub wręcz zamyka możliwości niechcianego połączenia się z naszą maszyną z zewnątrzoraz pozwala w znakomitej większości przypadków określenie sieci, z której korzystamy, jako zaufanej lub nie. W przypadku XP po 8 kwietnia (teraz w sumie też tak jest lepiej) najrozsądniej jest wybrać ustawienie „sieć niezaufana” inaczej też nazywana „publiczna” – dzięki temu nakładane restrykcje i tym samym bezpieczeństwo są większe.Dodatkowa zapora programowa poza restrykcjami na ruchu przychodzącym pozwala też na określenie, które aplikacje i w jaki sposób będą miały zezwolenie na połączenie się z siecią czyli tworzy reguły dla połączeń wychodzących . Dzięki temu unikamy niepotrzebnego „tłoku na łączach”, bo przecież nie wszystko musi stale być na aktywnym połączeniu, a ponadto mamy kontrolę nad tym jaki proces chce nawiązać połączenie, co ma szczególne znaczenie w przypadku infekcji jakimś malware…szkodniki często próbują nawiązać jedno- lub wielokrotne połączenia w celu pobrania kolejnych fragmentów szkodliwego kodu, a uniemożliwienie im tego poprzez zamknięcie połączenia pozwala od razu na zminimalizowanie skutków infekcji.
Zapory oferują różne możliwości i realizują to w różny sposób…starsze przeważnie nierozwijane już, choć mogą odstraszać surowym wyglądem, to wciąż w rękach w miarę zaawansowanego użytkownika będą skutecznym narzędziem, filtrując ruch sieciowy i ustalając dla niego reguły (w tym dla aplikacji). Nowsze, które są wyglądu i predefiniowanych opcji bardziej przyjazne użytkownikom nie ażtak obytym, dają znacznie większy komfort i łatwość obsługi, choć okupione to jest zazwyczaj zwiększonym zużyciem zasobów systemowych...skupiają się one raczej na regułach dla aplikacji, a ewentualne reguły dla pakietów dostępne są w opcjach zaawansowanych, ponadto oferują w większości dodatkowe moduły ochronne związane z ochroną proaktywną (HIPS/bloker/monitor). Trudno tu rozważać wszystkie opcje i możliwości oferowane przez zapory programowe…trudno omawiać wszystkie możliwe ustawienia i reguły dla sieci czy aplikacji…to temat rzeka, zależny przede wszystkim od preferencji, potrzeb i umiejętności konkretnego użytkownika, dlatego z konieczności mówię o sprawach najważniejszych i to w sposób raczej uproszczony.
Pod koniec chciałbym tylko dorzucić uwagę, że sprawdzać ruch sieciowy możemy w bardzo prosty sposób – celowo piszę „sprawdzać”, bo tylko tyle możemy w tym przypadku poza ewentualnie zamknięciem połączenia…żadnych trwałych reguł stworzyć nie możemy. Do tego celu służyć mogą wspomniane menadżery procesów, z których niektóre ( System Explorerczy Process Hacker ) oferują wykaz aktualnych połączeń lub narzędzie dedykowane połączeniom sieciowym jak np.
[Aby zobaczyć linki, zarejestruj się tutaj]
, które pokazuje listę wszystkich aktywnie połączonych z siecią procesów wraz z określoną dla nich reputacją.Na sam finał tego fragmentu krótkie info - jest kilka newralgicznych portów w systemie, których zamknięcie może ze względów bezpieczeństwa przynieść korzyści...jeśli nie zrobiliśmy tego za pomocą zapory programowej, warto skorzystać z dostępnych narzędzi.Sądzę, że najlepiej powody i sposób ich zamykania opisuje
[Aby zobaczyć linki, zarejestruj się tutaj]
na je forum.Zastosowanie programów anty-malware...w miarę proste...i w miarę tylko skuteczne
Tytuł dla niektórych możliwe, że będzie jakiś obrazoburczy, ale niestety odzwierciedla aktualne warunki i możliwości takich programów. Pamiętać musimy, że koniec wsparcia producenta dla swojego systemu to także widoczny sygnał dla producentów oprogramowania na ten system, że czas przemyśleć również i ich wsparcie. Pół biedy, gdy do czynienia mamy z programami użytkowymi, narzędziowymi, multimedialnymi.. .gorzej gdy mówimy o programach anty-malware, bo te programy bazują przede wszystkim na dostępie do najnowszych informacji o zagrożeniach...bez tych informacji staja się bezużyteczne . Łatwo się domyślić, że dopóty będą skutecznie rozpoznawać i zwalczać zagrożenia, dopóki producent będzie aktualizował i dostarczał bazy sygnatur na swoje programy działające na Windows XP i można jedynie spekulować, czy na przykład programy oparte na chmurze nie staną się bardziej skuteczne, bo w tym przypadku informacji dostarcza też społeczność użytkowników, co producentowi ułatwić może sprawę.
Wielu producentów programów AV (umówmy się, że tak ogólnie je nazwiemy) już w jakiś sposób się opowiedziało czy będzie wspierać XP i ewentualnie jak długo…ich najbardziej chyba aktualna listę opublikowała AV-TEST, a znaleźć ją można pod
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widać niektórzy wspierać będą XP przez rok tylko, inni przez 2-3 i więcej…niektórzy nie wypowiedzieli się wcale i liczyć można jedynie, że jakoś „samo się to poukłada”. Możliwe, ale to żadna gwarancja dla użytkowników, którzy używali tych programów częstokroć płacąc za to niemałe pieniądze.
Jeśli do tej pory używaliście programów AV, to nierozsądnym byłoby zmieniać teraz swoje przyzwyczajenia …tym bardziej, że programy te podlegają nieustannej ewolucji, a zmiany jakie ona wprowadza skutkują nowymi rozwiązaniami, technologiami i opcjami których zadaniem jest wsparcie lub czasem wyparcie wręcz wykrywania sygnaturowego. Przykładem mogą tu być wszelkiego rodzaju monitory zmian systemu, blokery behawioralne, mechanizmy heurystyki, polityka ograniczania uprawnień czy nawet samodzielne piaskownice służące do izolowania uruchamianych podejrzanych plików czy procesów. Z tego wszystkiego musimy nauczyć się korzystać, bo inaczej będziemy skazani tylko na bazowanie na przestarzałych informacjach, jakimi są sygnatury i to już w momencie ich publikowania.
Nie chcę wywoływać kolejnej „wojenki” między użytkownikami konkretnych programów, więc nie będę tu polecał jakiegokolwiek programu AV…jest wciąż sporo na rynku i każdy może dobrać sobie coś odpowiedniego tym bardziej, że wciąż na stronach różnych organizacji są dostępne wyniki testów skuteczności dla systemu Windows XP. Pamiętać jednak trzeba, że wykrywalność to nie wszystko, a program AV jest jak buty, które kupujemy…ma nam „dobrze leżeć”
To odnośnie programów, których działanie opiera się na stałej pracy w tle...warto jednak przypomnieć, że dostępna jest cała rzesza programów, które uruchamiamy tylko na żądanie czyliwtedy, kiedy zaplanowaliśmy sobie kontrolny, standardowy skan lub w przypadku jakiś podejrzeń, że coś niedobrego w naszym systemie się dzieje. W tej grupie programów znaleźć możemy bardzo proste skanery, w których wskazujemy tylko lokalizację niepewnych danych, ale i takie które oferują kilka trybów skanowania i to jeszcze w połączeniu z dodatkowymi mechanizmami heurystyki...mamy skanery oparte na silniku AV jednego producenta, jak i wielosilnikowe, dające w większości przypadków bardziej rzetelne wyniki. Warto zaznaczyć, że część z nich dodatkowo oferuje bardzo zaawansowane narzędzia analityczne, które biegłym w temacie użytkownikom pomagają zdefiniować bardziej skomplikowane zagrożenia i usunąć je trwale z systemu.
Nie będę bardziej rozbudowywał tego zagadnienia...powszechność stosowania takich programów pozwala mi na skrócenie jego omówienia do niezbędnego minimum.
Na tym zakończę…reszta będzie w części kolejnej i na „trzeciej” chyba się już skończy. Nie sądziłem, planując ten temat, że podczas pisania wciąż nowe rzeczy będą przychodzić do głowy i że trzeba to będzie tak mocno przeorganizować. Mam jednak nadzieje, że tym razem „ilość przeszła w jakość”
----------------
edit 1:
No i właśnie wychodzi nadmiar pomysłów i spraw, które przychodzą do głowy...kiedy jedne przychodzą i zaprzątają uwagę, inne w tym samym czasie sobie odchodzą
Do tekstu dodałem dwa ważne fragmenty - jeden dotyczący zamykania portów i przekierowujący do dokładnego opracowania na forum fixitów, drugi skanerów na żądanie.edit 2:
Z powodów osobistych i brakiem wystarczającej ilości czasu, by napisać sensownie i rzetelnie, zmuszony jestem odłożyć pisanie ostatniej części artykułu. Miała być związana z ochrona proaktywną, restrykcjami i izolacjami dla aplikacji oraz wirtualizacją systemu...to trudne dość rzeczy i wymagające uwagi przy pisaniu, dlatego nie chcąc pisać bzdur skupiam się na razie na swoich sprawach.
Ze względu na nadchodzące zdarzenia (8 kwietnia już jutro), kolejna część będzie już właściwie nieaktualna, niemal na pewno zmienię nieco perspektywę pisania, choć i tak głównie wciąż celem będzie ochrona XP właśnie.
Przepraszam.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"