Na moich komputerach od dłuższego czasu nie ma antywirusa (rezydenta). Po prostu w moim przypadku taki antywirus jest nieco szkodliwy. Poza tym bez antywirusa można całkiem nieźle żyć.
Niedziela, maj 11. 2008
Dlaczego nie używam antywirusa
Dlaczego nie używam antywirusa
Nie używam antywirusa z kilku powodów. Po pierwsze w moim przekonaniu oprogramowanie zabezpieczające nie powinno wprowadzać nowych podatności do systemu. Pakiety antywirusowe stają się coraz bardziej rozbudowane i złożone. W tak dużym kodzie, z którego znaczna część często pracuje jako usługa z uprawnieniami SYSTEM, prawdopodobieństwo wystąpienia błędu jest duże, a jego skutki - poważne.
Po drugie antywirusy często dodatkowo niepotrzebnie obciążają system. Tu nie ma się co rozpisywać, antywirus powinien robić swoją robotę nie zajmując niepotrzebnie zasobów systemowych. Nie interesują mnie "ładne" okienka, migające ikonki i tym podobne badziewia.
Po trzecie antywirusy mają brzydką cechę usuwania moich zabawek. Skoro zajmuję się testami penetracyjnymi, to normalne jest, że na moich komputerach znajdują się narzędzia podpadające pod kategorię hacking tools. Nie życzę sobie by jakiś narwany antywirus mi je "znikał". Zresztą nie tylko ja mam z tym problem...
Co w zamian?
Brak antywirusa wcale nie znaczy, że mój system jest siedliskiem robaków/wirusów/trojanów i tym podobnych stworzeń. Mam swoje metody...
Po pierwsze pracuję na koncie zwykłego użytkownika. W zasadzie pracuję tak mniej więcej od roku 2001 od czasów Windows 2000. Oznacza to, że na Windows 2000/Windows XP da się pracować bez praw administratora, choć różni eksperci (zwykle mający dość znikome pojęcie o temacie) twierdzą inaczej. Owszem, istnieje pewien problem z dostawcami aplikacji, którzy często robią wszystko, by ich dzieło nie działało z konta zwykłego użytkownika. Mnie się jednak zwykle udaje znaleźć rozwiązanie (temat długi, na początek polecam małą lekturę), gdy to się nie udaje, zawsze mogę skorzystać z czegoś innego...
Po drugie jako zwykły użytkownik nie mam praw zapisu do katalogów typu %programfiles% oraz %systemroot%. Dzięki temu złośliwy kod, który ewentualnie uruchomiłby się w kontekście mojego użytkownika nie spowoduje uszkodzenia systemu. Co najwyżej będę musiał wyczyścić swój profil. Tak, moje super tajne dane mogą zostać w międzyczasie wysłane w siną dal...
Po trzecie korzystam z Software Restriction Policy, z której wykorzystaniem blokuję wykonywanie programów z miejsc, do których mam zapis. Tutaj pewnym wyjątkiem/problemem jest profil użytkownika. W ramach kompromisu bezpieczeństwa i wygody pozwalam na uruchamianie programów z mojego pulpitu. Swoją drogą od pewnego czasu pracownikiem firmy Microsoft jest Crispin Cowan. Ciekawe co będzie rezultatem jego pracy.
Po czwarte wyłączam AutoRun/AutoPlay. I to wyłączam skutecznie, blokując interpretację pliku autorun.inf. Co prawda jest to w pewnym stopniu zabezpieczenie nadmiarowe z uwagi na wykorzystanie przeze mnie Softare Restriction Policy, ale jednak uważam, że SRP zbyt łatwo obejść umieszczając na pendrive skrypt, a do jego wykonania używając jak najbardziej legalny cmd.exe. Swoją drogą istnieje spora lista plików wykonywalnych, do których zwykły użytkownik nie powinien mieć dostępu (patrz szablony zabezpieczeń NSA lub NIST), aczkolwiek dla mnie byłoby to zbyt duże utrudnienie...
Te zasady połączone z pewną dozą zdrowego rozsądku pozwalają mi zachować czystość systemów, z których korzystam. W sumie nie wiem, co jest ważniejsze, te metody, czy wspomniany zdrowy rozsądek.
ClamAV
Od pewnego czasu na moich komputerach zainstalowany jest również ClamAV w wersji dla Windows. Co prawda jego historia błędów nie jest może krystalicznie czysta, ale zachowuje się tak, jak ja tego chcę, czyli skanuje to, co mu każę i kiedy każę. A głównie każę mu sprawdzić do instalacji jakich niespodzianek namawiają mnie różnej maści phisherzy.
Ślady
Czego szukali w 2008 roku...
...i trafili na mój blog, jak trafiają na mój blog czytelnicy? Miałem 101,914 odwiedzin i 145,978 wyświetleń strony, co daje tylko 1,43 strony na wizytę. Z ciekawości kilka dodatkowych informacji: źródła odwiedzin, najpopularniejsze treści, goście,
...i trafili na mój blog, jak trafiają na mój blog czytelnicy? Miałem 101,914 odwiedzin i 145,978 wyświetleń strony, co daje tylko 1,43 strony na wizytę. Z ciekawości kilka dodatkowych informacji: źródła odwiedzin, najpopularniejsze treści, goście,
Weblog: Wampiryczny blog
Przesłany: Cze 06, 20:08
Przesłany: Cze 06, 20:08
Microsoft Security Essentials
Pojawiła się wersja beta Microsoft Security Essentials dostępna, jak na razie, dla ograniczonej liczby użytkowników. Choć z zasady nie używam antywirusa (rezydentnego), planuję przyjrzeć się temu produktowi, ale raczej dopiero wówczas, gdy wyjdzie z fazy
Pojawiła się wersja beta Microsoft Security Essentials dostępna, jak na razie, dla ograniczonej liczby użytkowników. Choć z zasady nie używam antywirusa (rezydentnego), planuję przyjrzeć się temu produktowi, ale raczej dopiero wówczas, gdy wyjdzie z fazy
Weblog: Wampiryczny blog
Przesłany: Cze 24, 07:46
Przesłany: Cze 24, 07:46
Ciekawy scenariusz ataku: KHOBE
Warto zapoznać się z artykułem KHOBE – 8.0 earthquake for Windows desktop security software opisującym ciekawy przykład ataku, który pozwala na obejście zabezpieczeń opartych o SSDT hooking. Jest to specyficzny przypadek race condition (TOCTOU). W pewnym
Warto zapoznać się z artykułem KHOBE – 8.0 earthquake for Windows desktop security software opisującym ciekawy przykład ataku, który pozwala na obejście zabezpieczeń opartych o SSDT hooking. Jest to specyficzny przypadek race condition (TOCTOU). W pewnym
Weblog: Wampiryczny blog
Przesłany: Maj 10, 22:34
Przesłany: Maj 10, 22:34
http://www.guardian.co.uk/technology/2007/sep/20/guardianweeklytechnologysection.spam
GMER jest OK, choć jak dla mnie, wolałbym, by był mniej "bałaganiarski". Nie lubię, gdy coś mi się uporczywie kopiuje do %systemroot% i jego podkatalogów.