15.03.2011, 08:28
Morphiusz...najpierw uruchamiasz malware, a potem piszesz, "Skąd przeciętny użytkownik ma widzieć...". A który z przeciętnych użytkowników testuje malware i to jeszcze HIPSem, do którego obsługi niestety trzeba mieć co nieco wiedzy i doświadczenia? Dlatego pisałem, że "HIPS nie dla każdego jest zrozumiały a tym samym potrzebny" . Dalej...to Twoje porównanie
"Rozwalają mnie testy OA Premium, gdzie koleś pobiera pliczki i klika blokuj przy pierwszym alercie dot. uruchomienia....
To tak jak by testował antywirusa, pobrał pliki na pulpit i koniec testu."
HIPS nie ma sygnatur w przeciwieństwie do AV...porównanie ich mechanizmów, możliwości, sposobu interakcji z użytkownikiem nie ma najmniejszego sensu. Po co mamy AV?...po to, żeby wykryć znane lub prawdopodobne zagrożenie na bazie jego opisu zamieszczonego w sygnaturach. Oczywiście mechanizm ten może być wzbogacony o analizę heurystyczną, która ocenia podobieństwo do znanego zagrożenia. Jeśli coś takiego się zdarzy, to albo z automatu jest blokada działania infekcji lub otrzymujesz ostrzegawczy komunikat i tu jest rola użytkownika, który musi podjąć decyzję...jak wiemy czasem błędną.
HIPS/bloker nie ma żadnych sygnatur...może mieć jedynie białą/czarna listę aplikacji (procesów, usług, bibliotek, itp.) które są dla niego zaufane lub nie...im ich więcej tym mniej kłopotliwa jest jego obsługa. Może to również realizować..."politykę zaufania" wobec zasobów komputera...podczas swojej własnej instalacji, kiedy...jak np.OA czy Real-Time Defender...uruchamia kreatora dając możliwość określenia czy ufamy wszystkiemu, co wykryje lub wybierając "poziom zaufania" ("mój komputer jest czysty"..."nie wiem, czy mój komputer jest czysty"..."mój komputer jest zainfekowany"). Od momentu tego wyboru HIPS przestaje pytać o zaufane aplikacje...chyba, że akcja nie jest typowa (nieznana dla HIPS) dla danej aplikacji...i pyta o wszystkie inne nieznane zachowania. Co znaczy jeszcze "nietypowa" akcja" - ponieważ HIPS/bloker chronią określone obszary systemu, a z założenia każdej aplikacji przyznajemy jakieś tam uprawnienia i restrykcje(grupowo lub indywidualnie) do działania w tym systemie, to każda próba przekroczenia tych uprawnień inicjuje ostrzeżenie.
Jeszcze może o trybie instalacji w kontekście tego wszystkiego, co wyżej...użytkownik ma do wyboru różne rozwiązania...albo cichy HIPS z obszerna bazą zaufanych aplikacji i procesów (nie musi wtedy w ogóle reagować)...albo możliwość włączenia tryby nauki przed instalacją...albo włączenie podobnego trybu w trakcie instalacji przy pierwszym pojawiającym się komunikacie...albo zatwierdzanie każdego pojawiającego się alertu...albo w ostateczności wyłączenie HIPSa podczas instalacji. Każde z tych rozwiązań zakłada jednak, że to co instalujemy jest dla nas znane i zaufane, a tym samym dopuszczamy wszystkie modyfikacje systemu.
Tak więc HIPS to chyba jedyny rodzaj zabezpieczeń, który wymaga stałej interakcji z użytkownikiem, a tym samym jest wobec niego wymagającym programem i niczego za nas sam nie zrobi...chyba, że w opcjach lub regułach grupowych zaznaczymy odpowiednie zachowania jak dopuszczenie lub blokadę i zakładając, że mamy już jakąś listę zaufanych aplikacji i procesów. Zezwalanie na cokolwiek nie jest w tym wypadku rozsądnym wyjściem.
"Rozwalają mnie testy OA Premium, gdzie koleś pobiera pliczki i klika blokuj przy pierwszym alercie dot. uruchomienia....
To tak jak by testował antywirusa, pobrał pliki na pulpit i koniec testu."
HIPS nie ma sygnatur w przeciwieństwie do AV...porównanie ich mechanizmów, możliwości, sposobu interakcji z użytkownikiem nie ma najmniejszego sensu. Po co mamy AV?...po to, żeby wykryć znane lub prawdopodobne zagrożenie na bazie jego opisu zamieszczonego w sygnaturach. Oczywiście mechanizm ten może być wzbogacony o analizę heurystyczną, która ocenia podobieństwo do znanego zagrożenia. Jeśli coś takiego się zdarzy, to albo z automatu jest blokada działania infekcji lub otrzymujesz ostrzegawczy komunikat i tu jest rola użytkownika, który musi podjąć decyzję...jak wiemy czasem błędną.
HIPS/bloker nie ma żadnych sygnatur...może mieć jedynie białą/czarna listę aplikacji (procesów, usług, bibliotek, itp.) które są dla niego zaufane lub nie...im ich więcej tym mniej kłopotliwa jest jego obsługa. Może to również realizować..."politykę zaufania" wobec zasobów komputera...podczas swojej własnej instalacji, kiedy...jak np.OA czy Real-Time Defender...uruchamia kreatora dając możliwość określenia czy ufamy wszystkiemu, co wykryje lub wybierając "poziom zaufania" ("mój komputer jest czysty"..."nie wiem, czy mój komputer jest czysty"..."mój komputer jest zainfekowany"). Od momentu tego wyboru HIPS przestaje pytać o zaufane aplikacje...chyba, że akcja nie jest typowa (nieznana dla HIPS) dla danej aplikacji...i pyta o wszystkie inne nieznane zachowania. Co znaczy jeszcze "nietypowa" akcja" - ponieważ HIPS/bloker chronią określone obszary systemu, a z założenia każdej aplikacji przyznajemy jakieś tam uprawnienia i restrykcje(grupowo lub indywidualnie) do działania w tym systemie, to każda próba przekroczenia tych uprawnień inicjuje ostrzeżenie.
Jeszcze może o trybie instalacji w kontekście tego wszystkiego, co wyżej...użytkownik ma do wyboru różne rozwiązania...albo cichy HIPS z obszerna bazą zaufanych aplikacji i procesów (nie musi wtedy w ogóle reagować)...albo możliwość włączenia tryby nauki przed instalacją...albo włączenie podobnego trybu w trakcie instalacji przy pierwszym pojawiającym się komunikacie...albo zatwierdzanie każdego pojawiającego się alertu...albo w ostateczności wyłączenie HIPSa podczas instalacji. Każde z tych rozwiązań zakłada jednak, że to co instalujemy jest dla nas znane i zaufane, a tym samym dopuszczamy wszystkie modyfikacje systemu.
Tak więc HIPS to chyba jedyny rodzaj zabezpieczeń, który wymaga stałej interakcji z użytkownikiem, a tym samym jest wobec niego wymagającym programem i niczego za nas sam nie zrobi...chyba, że w opcjach lub regułach grupowych zaznaczymy odpowiednie zachowania jak dopuszczenie lub blokadę i zakładając, że mamy już jakąś listę zaufanych aplikacji i procesów. Zezwalanie na cokolwiek nie jest w tym wypadku rozsądnym wyjściem.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"