Štíty nahoru! Chraňte své servery lépe

Hmmmmm

Štíty "NAHORU"?! Lol, už chybí jen "nakopejte jim zadek" a "all your base are belong to us"...

Tak tady to je:

"We are Microsoft, you will be assimilated, resistance is futile ..."

Cpt. Gill Bates, Borgs ship no.587

Ale "stity nahoru" chtel mozna autor nejak netrivialne upozornit na oblibenou sluzbu ShieldsUp! uzivanou prevazne proti MS systemum

1 z 15ti, Borgs cube no. 587 :)

Je to chyba návrhu OS a antivir je pouhá berlička.

Uz jsem myslel, ze to dneska neprijde :)

no sorry ale moje servery antivirus skutecne nepotrebuji...zatim. Tim nechci tvrdit, ze tomu tak nidky nebude, ale napr. argument ze pro linux viry nejsou protoze je malo rozsiren je ponekud vedle, kdyz vetsina web serveru jede pod linuxem ze...takze zatim se podobnym clankum muzu jedine hlasite a skodolibe smat...

Ha, udicka zabrala

co udicka, poradny úd to byl

Tak co, jaka byla dovolena?

Nejste nejak mimo(ň)?

Spis asi jinej smysl pro humor... Pekny den.

...řekla jeptiška a navlékla si na svíčku kondom - tolik starý vtip.

Takže dva antiviry nestačí a je lepčí si pořídit ještě třetí? A ty tři už budou stačit? Nebylo by lepší si jich pořídit raději pět nebo rovnou deset? No, pro výrobce antivirů určitě ano. A to si myslíte, že vás těch deset antivirů ochrání? Že aspoň jeden "nezaspí"? Ale kdepak - zaspí vždycky a všichni. Nejdřív totiž musí vir vzniknout. Pak se některému zákazníkovi musí začít zdát, že se v systému "něco děje", a zaslat podezřelé soubory AV firmě k analýze. Pak musí AV firma "najít jádro pudla" a nakonec začlenit nově nalezenou "vešku" do databáze. U uživatelů dojde k pravidelné aktualizaci jednou za den, na serveru dejme tomu jednou za 6 hodin. A za tuto dobu se čiperný vir může rozšířit na milióny počítačů...

A ostatní AV firmy jsou na tom stejně, nemůžou chytat "darebáka", kterého ještě nikdy nikdo neviděl. Takže jeden nebo deset antivirů - je to "prašť jako uhoď" (tedy z hlediska virové nákazy - finančně je to rozdíl pořádný): Pokud budu mít smůlu, tak mě nějaká nová virová nákaza zasáhne i kdybych měl třeba 100 antivirů...

No, ono to dneska funguje malinko jinak. Vetsina AV ma nejaky druh heuristiky, ktera bud rovnou oznaci podezrely kod za vir, nebo ho AV pusti, ale posle do "centraly" k analyze. Takze reakce muze byt i do hodiny. A vice jader znamena, ze stoupa pravdepodobnost, ze alespon jeden AV pripadnou novou nakazu odchyti (pri pravidelne a dostatecne frekventovane aktualizaci - tech 6hod je na serveru skoro bych rekl hazard, ja mam nastaveno 3 a stejne moc nespim :)

vetsina kvalitnich vyrobcu antiviru jsou dneska v ZDI, takze je jedno jestli mas 2 antivir nebo 5 (1 je samozrejme malo). Podstatny je aby chranily na ruznych mistech infrastruktury a byly od ruznych vyrobcu. Ad uvadena statistika: to ze firmy maji antiviry a firewally nevypovida o tom ze av a fw jsou na nic, jenom ze samotne jejich vlastnictvi nestaci. Je potreba jeste nasadit dostatecnou bezpecnostni politiku a tu dodrzovat. Ze mam v aute airbag taky neznamena ze nemuzu nabourat

Myslím, že heuristika funguje pouze na "běžné nákazy", ale nezachytí sofistikovaný útok. Dám Vám příklad: pokud do supermarketu vstoupí skupinka cikánů nebo bezdomovců, je třeba zaktivovat všechny zaměstance a členy ochranky-pravděpodobnost krádeže je velmi vysoká, i když jsme v krámu právě tyhle konkrétní osoby ještě neviděli. Když si ale "pan Kohout z poslanecké sněmovny" objedná exotický výlet pro kamarády, klidně mu to několik let prochází a udělá škodu za mnoho miliónů korun... Protože tady takový útok těžko někdo může očekávat.

Nebo jiný příklad. Vyrazíme si s přítelkyní do přírody "zaskotačit" a jí se to tak líbí, že začne slastí "hulákat na lesy". Jak pozná heuristický analyzátor, že jde o činnost vysoce příjemnou a žádoucí a že se nejedná o znásilnění ("zvonku to naozaj vyzerá úplně stejně"). Četl jsem dost rad ženám typu "nechte se znásilnit a moc se nebraňte - je lepší být znásilněná, ale živá, než neznaásilněná, ale mrtvá".

Ostatně není to tad dávno, kdy Nimda dokonale oblafla všechny antiviry, protože do počítačů vtrhla "dírou" Mikrosoftu...

Kdepak, ty cikány v supermarketu chytnete snadno i s důkazy, ale občas se najde někdo, kdo vám "prodá Karlštejn" a nikdo nepojme podezření.

Ostatně i kdyby se to i nakrásně někomu podařilo do hodiny zanalyzovat (o čemž pochybuji - než "rozlousknete" podezdřelý kód a pochopíte, co má vlastně dělat - to není na deset minut ani pro "profíka") a dát do databáze a vy to za 3 hodimy zaktualizujete, tak má vir 4 hodiny času na "zaplevelení". A za tu dobu se může taky stát, že činností toho vira naprosto zkolabuje internet a vy se k těm aktuálním databázím jen tak nedostanete...

Ale heuristika prece neni primarne o tom, ze chyta viry, ale o tom, ze analyzuje podezrele postupy aplikace a v pripade, ze najde neco nestandardniho, spusti poplach. Takovy to "dvakrat mer a jednou rez"...

Dal jsem Vám několik příkladů, proč heuristika nefunguje a nemůže fungovat v normální společnosti a ani v IT to nebude lepší. Tisíce let lidé kradou a stejně dlouhou dobu se vymýšlejí protiopatření - a krade se dál. Dal jsem příklad, že nelze určit "podezřelou" činnost. Tak ještě jednou: denně se uskuteční stovky miliónů souloží (a mnohé jsou i sado-maso - tedy dosti drsné chování se milenců k sobě i řvaní). Jak lze mezi tím odhalít těch pár tisíc znásilnění (zvláště když se žena raději moc nebrání, aby nepřišla o život)? Navenek ty soulože vypadají podobně.

Z hlediska virového nebezpečí je podezdřelá operace "zápis na disk" a "přístup na internet". Jenže to dnes dělá v hojné míře každý P2P program, IM programy, IP telefonování,... Kdyby byl heuristický filtr příliš pečlivý, pracovníci v AV firmách by byli zahlceni hlášeními podezdřelých operací a k analýze pořádného viru by se nedostali ani za 10 let... Proto musí být analyzátor nastaven tak, aby zasílal jen "rozumné" množství podezření - tedy ty "nejokatější případy". A když se bude vir chovat jen trochu "slušně", projde heuristickou analýzou, jak nic...

Tak, jako zloději neustále vymýšlejí, jak se vloupat do stále více zabezpečených objektů (a daří se jim to), zrovna tak budou tvůrci virů neustále vymýšlet, jak najít nějakou novou cestičku, aby si AV programy, ani jejich heuristika "neškrtly".

Spisovatel by z vas byl jiste dobry, vsechna cest :)

Vase sociologicke priklady pominu, v IT to funguje prece jen trochu jinak. Kazdy spravny "ajtak" je tak trochu paranoik (a ani to neznamena, ze po nem nejdou, ze ano :) - a ja k nim patrim taky. Radeji tedy prekousnu nekolik false-positive vydledku, nez aby mi to AV propustil vira.

Tedy radeji v RT scanneru nastavim nekolik vyjimek, ktere nutne potrebuju k zivotu, nez abych vypinal celou heuristiku...

Napsal jste: "Radeji tedy prekousnu nekolik false-positive vydledku". Kolik je to několik? Jeden týdně, denně, za hodinu, za minutu? Pokud je to jeden týdně - tak to moc paranoidní nejste - máte nastaveny měkká pravidla a nějaký "darebák" jimi snadno proklouzne. Pokud je to jedno hlášení za minutu, tak to už tak automaticky odklepáváte "povolit", že povolíte i toho "darebáka". Pokud je to něco mezi tím, proklouzne vám vir, buď proto, že jsou ta pravidla pořád ještě dost měkká nebo proto, že se hádáte po telefonu s manželkou/milenkou/rodiči/dětmi/zákazníky/dodavateli/šéfem/podřízenými/... a v nepozornosti ho stejně povolíte...

Já neříkám, že heuristiku vypnete vy, já říkám, že ji odflakují AV firmy. Co by dělaly s několika tisíci hlášení podezdřelých operací za hodinu? Myslíte, že by je stačily ODPOVĚDNĚ zpracovat? Navíc i heuristická analýza zpracovává jen podezdření, které programátory AV firem napadnou, že by "tak nějak" mohl útok nastat. Myslíte si že někoho napadlo, že darebáci použijí letadla na zbourání Dvojčat? Myslíte, že se tomu nějakou heuristickou analýzou dalo zabránit? A co když Usáma a spol připravuje právě teď nějaký překvapivý útok o rozměru "IT dvojčat"? Tak odvážný, neuvěřitelný a nečekaný, jako byla ta letecká Dvojčata. Myslíte, že ho 10 AV programů i s jejich "vymakanou" heuristikou zachytí?

Jak jste řekl (a já z toho odvodím): můžete být paranoidní, jak chcete, pokud po Vás půjdou, stejně vás dostanou...

Duvod proc heuristika nemuze fungovat je ten, ze kdybych ja delal nejaky vir, tak bych si vzal zastoupeni antiviraku na trhu, a poradne vir zkousel na rekneme trech nejzastoupenejsich ktere maji tak 70procent trhu a teprve kdyz by si ty tri ani neskrtli tak bych ho pustil...

Tak nejaky poradny vir udelejte, nikdo vam prece nebrani...