Według Cisco kupowanie antywirusów to kompletne marnotrawstwo

Podczas trwającej właśnie w Australii konferencji AusCERT 2008, szef bezpieczeństwa firmy Cisco stwierdził, że firmy marnują mnóstwo pieniędzy na zabezpieczenia takie jak aktualizacje oprogramowania i programy antywirusowe. A one po prostu nie działają – bowiem rozwój szkodników jest szybszy niż rozwój programów antywirusowych.

Szef bezpieczeństwa Cisco uważa, że najlepszym sposobem radzenia sobie z nieznanym jest zastosowanie białych list – czyli wykazów zaakceptowanego, uznanego oprogramowania, które ma prawo być uruchomione pod kontrolą systemu operacyjnego. „Robi mi się niedobrze od czarnych list. Trzeba przejść na białe listy – wiem co tam jest, ponieważ sam to tam umieściłem” – stwierdził specjalista.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar niedzwiedz_2
    niedzwiedz_2

    Bardzo dobry pomysł. Oczywiście nie dla wszystkich – na domowym desktopie raczej byłby problem z tym, żeby to działało – ale np duże firmy nie mają takich problemów. Potrzebują kilku programów i stron internetowych i tyle. Szef mógłby kontrolować listę ze swojego komputera. Przy okazji załatwiłoby to problem używania komputerów biurowych w celach prywatnych.

    A co do kosztów uaktualnień – w przypadku zastosowania Linuksa wszystkie uaktualnienia nie dość, że są za darmo to jeszcze same się instalują.

    1. Awatar hering
      hering

      Chłopie, a wiesz co to AppArmour? W Suse mam takie coś na desktopie i laptopie. Więc raczej nie ma problemu.

      1. Awatar Sławek
        Sławek

        AppArmour tylko w niewielkim stopniu obecnie może być wykorzystywany do łapania szkodników. Jest on raczej używany do ochrony przed lukami zero, ale jak ktoś instaluje sobie program, to jego sprawa. Sytuacja zmieniłaby się, gdyby producent musiał dostarczać własnych reguł. Wtedy AppArmour naprawdę zapewniałby bezpieczeństwo. Chyba, że ktoś zna sposób, w jaki program będzie wykorzystywany, to wtedy może ograniczyć mu np. prawa odczytu z innych katalogów w $HOME, prócz Documents i Desktop.

  2. Awatar Rsh
    Rsh

    Zawsze mówiłem, że to marnotrastwo, a co do moich domowych komputerów z Windows (rodzinie wygodniej używać WinXP) to wystarczyła drobna edukacja ich użytkowników + dezaktywacja IE i ani razu nie uświadczyliśmy żadnego AntiSpyware'a, SpyWare'a, Wirusa czy Antywirusa. Dezaktywacja super nowoczesnego IE jest kluczowwa do wyzbycia się problemów.

    1. Awatar skiter
      skiter

      Podpisze sie nogami i rękoma, sam 'przerobiłem' rodzine na FireFox'a, i jak sie okazało, wołanie o moją pomoc 'bo sie zepsuło' zminimalizowałem do prawie zera, pomijając mojego ojca co zawsze musi sie gdzieś napatoczyć z IE, bo mu pod FX nie działało :).

      1. Awatar tanatos.pl
        tanatos.pl

        wywal ikonki IE z pulpitu i startu (sprawdzone) 😛

        1. Awatar szczuro
          szczuro

          można też zrobić skrót do FF na pulpicie i dać mu ikonke IE 🙂 też sie nie połapią 😀

        2. Awatar Sławek
          Sławek

          Z FX można wywalić przycisk wyszukiwania i inne bajery, które go odróżniają od IE6. Wymagana jednak jest minimalna znajomość css i xml(w tym wypadku XUL), a być może nawet XPath. Trochę nie na temat.

  3. Awatar wujek_bogdan
    wujek_bogdan

    na podobnej zasadzie działają przecież repozytoria oprogramowania dla dystrybucji linuksa – programy, które trafiają do repo, trafiają tam po uprzednim przetestowaniu przez opiekunów, dystrybutorów, itd. gdyby ktoś się pokusił o stworzenie repozytoriów dla innych systemów, mogło by to częściowo rozwiązać problem.

    1. Awatar Sławek
      Sławek

      W przypadku firm ważniejszym wydaje się zakaz instalacji jakichkolwiek programów, ale jak to w Windows(bo chyba o nim mowa w newsie) uzyskać? Na Linuksie jest to dość proste, ale to już inna kwestia.

      1. Awatar skiter
        skiter

        Poprostu, sa 'użytkownicy', tak samo jak i w Linux tak i w Windows, sa prawa takie a nie inne, i jeden moze uruchomić IE a drugi jedyne co może to uruchomić: exploder.exe :), wszystko zależy od konfiguracji, jak dobrze admin poskłada, to wierz mi ale tak łatwo nie jest ( aczkolwiek łatwiej niz pod Linux ).

      2. Awatar Ku8a
        Ku8a

        na Windowsie jest akurat duzo latwiej zwlaszcza kiedy mowimy o wiekszym srodowisku np. 10 tysiecy komputerow.

      3. Awatar abc
        abc

        Nie takie całkiem proste – nie wiem czy da się w standardowej dystrybucji bez instalacji dodatkowych programów zablokować nadawanie atrybutu wykonalności (a tylko to jest potrzebne do odpalenia aplikacji)

        1. Awatar michalzxc
          michalzxc

          Poza /home i /tmp niema problemu, bo zwykły użytkownik nie może tam zapisywać. Natomiast te 2 katalogi (i płyty/dyski usb/…) montować z parametrem "noexec".

        2. Awatar krzy
          krzy

          Zdajesz sobie oczywiście sprawę, że wobec obecności w systemie perla ograniczenie takie jak noexec jest w dużej mierze dekoracyjne?

        3. Awatar michalzxc
          michalzxc

          @krzy:
          To detale/"utrudnienia"…
          Najpierw trzeba określić czy dostęp do perl`a/python`a/…/ jest użytkownikowi potrzebny. Jeśli nie jest to "z górki", a jak jest to dał bym grupę która może uruchamiać perl`a (nikt inny nie może) i programom których dany użytkownik potrzebuje (które korzystają z perl`a) dąłbym "setgid" i daną grupę.
          Czyli użytkownik nie uruchomi perl`a (/bin/perl), ale wybrane programy będą mogły "to zrobić".

        4. Awatar haael
          haael

          programom których dany użytkownik potrzebuje (które korzystają z perl`a) dąłbym “setgid” i daną grupę

          W Linuxie nie da się ustawić setgida dla skryptów. Tzn. da się, ale on nic nie robi.

          Już Lepiej zaprojektować jakiś sandbox, żeby można było uruchamiać programy z bardzo małym zestawem uprawnień, żeby nie mogły za łatwo korzystać z sieci.

          Użytkownik potrzebuje czasem różnych programów, których nie ma w systemie, więc zabranianie mu instalowania wszystkich programów, to wylewanie dziecka z kąpielą.

        5. Awatar Sławek
          Sławek

          @haael: Racja. Wszystko wynikiem, że program z bitem setgid lub setuid nie otrzymują dodatkowych uprawnień przy uruchomieniu, ale gdy o to poproszą(setuid), o ile sę nie mylę.

          Można jednak spróbować takie coś:
          #!/usr/bin/sudo /usr/bin/perl
          Wymaga to jednak sporządzenia odpowiedniej listy w pliku /etc/sudoers.
          Najlepszym rozwiązaniem jest jednak tutaj chyba SELinux.

    2. Awatar dzikus
      dzikus

      Ta już ja dziękuję za takich deweloperów, raz już wybrałem Debiana i jego deweloperów poprawiających openssl. Teraz stawiam na CentOS'a :). Używam do tego SELinux'a i to nawet na Desktopach.

  4. Awatar h-n-s
    h-n-s

    Chcesz wygrać z wirusami…zainstaluj Linuksa.

  5. Awatar hg378q5ty
    hg378q5ty

    Ciągle powtarzam że na Windowsa jest więcej antywirusów niż wirusów na Linuksa.

  6. Awatar haael
    haael

    A nie wystarczy po prostu usunąć z Outlooka opcję uruchamiania programów z załączników? To chyba główny wektor wirusów.

    1. Awatar niedzwiedz_2
      niedzwiedz_2

      Poza tym jeszcze IE – wiele firm z niezrozumiałych dla mnie powodów dalej go używa…

      1. Awatar przepior
        przepior

        Moj ojciec ma w formie obsluge internetowa do konta bankowego. Dziala tylko w ie. Czytnik kart chipowych dziala chyba pod obiema przegladarkai (zainstalowanuy jest tez ff), ale applety javy nie chca dzialac poprawnie. Ale wsytarczylo zmienic nazwe internet explorer na Bank i tylko ie uzywana jest do banku, a do ogladania stron jest ff. Tak wiec czasami ie jest niezbedne 😉

        1. Awatar przepior
          przepior

          w firmie mialo byc 😉 Przepraszam, ale malo spalem ostatnio.

      2. Awatar Budyń
        Budyń

        Nie wiem, dla kogo niezrozumiałych – jeżeli masz kilka wewnętrznych aplikacji webowych działających wyłącznie pod IE 6.0 to nie ma takiej siły, aby aby migrować na cos innego. To ogromne koszty, i nie robi się tego dopóki system działa, a przynajmniej dopóki się nie zwróci.

  7. Awatar erketre
    erketre

    Nie rozumiem jak można instalować antywirusa, przecież toto gorsze niż wirus. Pod windą wystarczy wyłączyć 3/4 zbędnych serwisów, zainstalować FF nie trzymać żadnych dokumentów na partycji systemowej i na wszelki wypadek zrobić sobie obraz systemu z partimage

    1. Awatar Lupinek
      Lupinek

      Zapora sieciowa to podstawa ;]

      1. Awatar barteq
        barteq

        Zapory potrafią się wyłączyć/być z zewnątrz zdezaktywowane. Lepszy pomysł to NAT za jakimś ruterem z biedronki (zapewne na linuksie ^^).

        Sam nie stosuję antywirusów w domowym windowsie. Marnotrastwo zasbów, energii i de facto pic na wodę.. Podstawa to edukacja użytkowników, dosczętne wycięcie śladów IE i instalacja Opery/Firefoksa, a życie staje się prostsze. Antywirus nie zastąpi mózgu, tak samo jak ABS nie da stuprocentowej pewności uniknięcia wypadku – to tylko jedna z wielu metod – do tego nieskuteczna na tyle, na ile by się chciało.. Bo czym jest usuwanie przez antywirusa niewykonalnych (bez interpretera) plików .php z powodu ich 'zawirusowania' ? Oczywiście wspomniany plik był shellem w PHP słuzacym do celów testowych, a antywir (jakiś norton) pozbawił mnie wszystkich jego kopii z pendrive bez mojego pytania, ba! nie dało się go odzyskać z kwarantanny bez walki, a po skopiowaniu zostawał znowu usunięty… robota głupiego.. Wiecej nie popelnie tego bledu jak wkladanie pendrive w trybie RW do jakiegokolwiek windowsa.. – strata plików gwarantowana i to z powodu.. mechanizmów ochronnych..

    2. Awatar wujek_bogdan
      wujek_bogdan

      to zalezy kto tego kompa uzywa. jesli w miare swiadomy uzytkownik to masz racje. jesli kompa uzywaja przypadkowe osoby to antywirus jest konieczny, a w szczegolnosci jesli sa to milosnicy stron XXX

  8. Awatar bezpieczenstwo
    bezpieczenstwo

    wczesniej ci specjalisci od bezpieczenstwa sie troche osmieszali ale teraz udalo im sie zrehabilitowac biala lista napewno zrewolucjinozuje bezpieczenstwo komputerowe

  9. Awatar hez
    hez

    A co to jest wirus?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *