McAfee Deep Defender

[Tatry03]

Co si myslite o tomto?

http://www.itnews.sk/spravy/bezpecnost/ ... i-botnetom

Je realne, aby antiviry opustili signatury a presli len cisto na heuristiku a cloud reputaciu?

[james008]

Co si myslite o tomto?
Je realne, aby antiviry opustili signatury a presli len cisto na heuristiku a cloud reputaciu?

Realne to prakticky je, dnes se prosazuji ruzne hlouposti, ale z pohledu efektivity a dobre ochrany to ovsem realne neni.
Aby takovy system dobre fungoval, musela by stejne byt pro reputaci nejaka lokalni nezavisla databaze, a to jsou proste
zase signatury a vzorky jak je zname.

Trosku se rozkecam o cloudech s dovolenim.......jelikoz me dost stvou.....
Podstata Cloudu obecne, tohoto modniho vystrelku poslednich let, je dost nebezpecna a nevyhnutelna cesta do pekla.
Odrazi to stav, kdy ve velkych firmach (ktere stale rostou) postupne nahradili znale techniky tzv. manazeri,
kteri jsou tam po znamosti, nebo z politickych duvodu, popr. z duvodu chybne koncepce fungovani podniku.
Chybna koncepce je zalozena na minimalizaci vykonne pracovni sily/specialisty, a premanazerovani podniku,
ze mnohdy na deset techniku mame pet manazeru kteri jakozto vyborni obchodnici a manazeri casto vi o problematice
kulove, jsou spise lajky s naucenymi zaklady. Tento trend zasahuje vsechyn odvetni, nejen security, potazmo VT,
a vysledky jsou znat na to, ze je dnes na svete casto nebezpecno, a to i globalne, a to vse v ruku v ruce s podklady
nejakych dalsich "odborniku", kteri ve studiich ukazuji jak je to skvele a bezpecne, k tomu jeste takove kraviny naridi
globalne nejaka smernice nebo narizeni politika, a je to cele v prd..zadku.

Bezpecnostni pravidlo c.1 (potazmo kdyz ne 1, tam minimalne v prcni desitce) je: Decentralizace, dalsi pravidlo je nezavislost.

Je rozdil kdyz utokem zasahnu jednotku pc, nebo datove centrum, a rozsirim pres "bezpecny cloud software" skodlivy kod
na cele stromy jednotek, stovky, ci tisice...... atd. Jak je pak jednoduche pro utocnika vyuzit chyby lidskeho faktoru,
exploitu, nebo selhani sw ci hw k tomu, aby si delal se stadem ovci co jen chtel.
Napadena jednotka nemuze zachranovat jinou napadenou jednotku, protoze pokud se napadne datove centrum, budou v prd..zadku vsechny jednotky kompletne

Kdyz uz se banda idio...nechytrych rozhodla standardizovat a prosazovat (hlavni trend poslednich let nasazuje gigant
co ho nedavno jeste vedl takovy brylaty pan, a ted jen kibicuje) globalne cloud technologie, bylo by hloupe se proti moznym
rizikum branit zase dalsim cloud resenim. Nebudu se branit proti negativum pusobeni alkoholu, tim ze ho budu pit ze?

Ad konkretne reseni McAfee. Ano reseni hw antiviru je dobry napad...objeveni ameriky...sam jsem pred mnoha lety bombardoval nektere av spolecnosti
s hotovym resenim (mysleno navrhem ne vyrobkem) jak mit av na vymenitelnem chipu na MB a vhodnym zpusobem update (zasilani cipu firmam klasickou
postou primo vyrobcem, a tak eliminace mozneho zavedeni falesneho obsahu na cip, atd. atd.).
Reseni od McAffe vypada dost nedotazene, a take je velkym problemem monopolizace platformy, rict ze budu chranit jen Intel je dost na povazenou.
Reseni by melo byt Unifikovane pro jakykoliv pocitac, jinak nema smyslu. Vyuziti cloudu je uz uplne znevazuje moznosti produktu, i kdyby jsme se zamerili
pouze na reputacni system, tak co se asi stane, kdyz reputace neco skodliveho mylne oznaci za spravne.
Reputacni systemy obecne vzato a podobne silenosti maji primarni ulohu ulehcit scaner casti praci, a nescanovat vse, popr. u nejistoty rozhodnout na zaklade
prikloneni k reputaci. Tohle si myslim by melo byt na uzivateli, popr. na nejakem lokalnim adminovi ve firme.

System stada ovci a nejake vyssi moci co rozhoduje o tom co je a neni spravne muze byt ale i k dobru, a to napr. pro lidi pocitacove neprilis gramotne,
jako jista berlicka k vymyceni zombie pocitacu. Osobne bych ale v takovych pripadech radeji videl, aby na strane providera internetoveho pripojeni
byla k tomu doplnkova moznost vyzadat si pripojeni pres proxy server, ktery by traffic scanoval na prilohy a blacklist odkazu a ip, atd,
aby se predeslo vubec tomu, ze se najky kod z venku dostane na pc (samozrejme flashky a cd apod, to si uzivatel muze zaprasit pc sam, ale hlavni gro dneska,
je svinstvo z hloupeho klikani do vseho mozneho, coz proxy s av ve velmi velkem procentu nedovoli)

V domacnosti tak udela vetsi praci treba male pc s intel atomem na ktere si nahraju nod32, nejakou proxy a necham nodu scanovat dany port proxy
na ktery pripojim prohlizece v domacnosti. (berte pouze jako priklad, naposledny jsem to provozoval na nodu verze 4 tusim)
Dalsi reseni je proxy se squidem an tuxu, kde si dam restrikce a vytvarim si blacklist, coz mam posledni dobou nejradsi, popr do procesu zapojim
nejaky scanovaci engine.

Add posledni: ze zbezneho pohledu .....U McAffe to jeste to poradne nezavedli, a uz nyni me napada nekolik zpusobu, jak lze zavest skodlivy kod pred tim, nez tahle vec muze
zafungovat, popr ji podvrhovat data ktera ji prijdou bezpecna. Ono neni jednoduche dnes udelat neco, co by bylo neprustrelne. Napady by byly,
ale stalo by to moc penez, a ty dnes spolecnosti maji v mensim obsahu nez kdy jindy. Kdyby byl antivir ci security balik nejakym vyrobkem
farmaceuticke oblasi, treba tabletkou na zvyseni libida, meli bychom dnes diky obrovskym penezum dokonale ochranne baliky,
a firmy, ktere by meli ve vyvoji zapojeno tolik odborniku, ze by bylo pro opacnou stranu bitevniho pole dost tezke neco pusobit,
mozna by se nebylo ani proti komu branit, kdyby vetsina nekalych zivlu makala za slusny plat nekde v security firme.
Kdyz to vezmu kompletne v souhrnu, je urcite lepsi kdyz existuje mnoho druhu ochran, nez kdyby jich bylo malo,
ale je nutne dost rozlisovat kam s tim, co to ma delat, zda to je vhodne, a zda nektera reseni (hlavne cloudova, a ruzna jina co napr. odesilaji
vzorky mimo lokalni pocitac na analyzu) nemuze byt v konecne m dusledku pro bezpecnostni politiku brano jako "legalni trojsky kun".
Pokud udelam ochranu pomoci HW, nenicil bych tu vyhodu tim, ze ji dovolim ovlivnovat jakymkoliv zasahem z venci.

[Tatry03]

Velmi putave citanie james.

Cloud ako taky teda nie je najlepsie riesenie.

Okrem ineho ma prekvapilo, ak som to dobre pochopil, ze kontrola prevadzky na vyskyt skodliveho kodu nie je bezna u prevadzkovatela pripojenia.
Nemyslia si ludia nahodou, ze ked sa pripojujem k internetu cez nejakeho operatora, tak ma tento chrani pred stiahnutim virusu?
Mejly napriklad su kontrolovane len na spam a nie na virusy?

[james008]

Velmi putave citanie james.

Cloud ako taky teda nie je najlepsie riesenie.

Okrem ineho ma prekvapilo, ak som to dobre pochopil, ze kontrola prevadzky na vyskyt skodliveho kodu nie je bezna u prevadzkovatela pripojenia.
Nemyslia si ludia nahodou, ze ked sa pripojujem k internetu cez nejakeho operatora, tak ma tento chrani pred stiahnutim virusu?
Mejly napriklad su kontrolovane len na spam a nie na virusy?

To jak kdo a cim kontroluje ci nekontroluje je ruzne, a odpovida danemu nastaveni sluzeb daneho poskytovatele.
V praxi se provider velmi zridka zabyva kontrolou cehokoliv, co vyslovene nezpomaluje, ci neohrozuje jeho zdroje.
na vas vetsinou kasle, popr vam dava moznost si to ridit sam rucne.
Zmineny spam obvykle orezava jen to nejhrubsi zrno, a pak uz musi nastoupit vase rucni filtry.
Av kontrola je vetsinou volitelna a velmi slaba. Mnoho lidi dokonce nechce aby mu neco kontrolovalo jeho data,
a tak ta moznost existuje jako nejcastejsi.

[Tatry03]

Opat tvrde slova, ale aspon clovek vie na com je.

[Pavuk29]

Opat tvrde slova, ale aspon clovek vie na com je.

Tak mne rozhodne vadi, ked sa ku mne nedostane vsetko. Mne vadi aj to, ked mi provider cisti postu od virusov. Ja sa sam chcem rozhodnut, co je fuj a co fuj nie je.

[cernohous13]

Mne vadi aj to, ked mi provider cisti postu od virusov. Ja sa sam chcem rozhodnut, co je fuj a co fuj nie je.

Tak si pořiď poštovní holuby, ty nikdo nelustruje

[Pavuk29]

Mne vadi aj to, ked mi provider cisti postu od virusov. Ja sa sam chcem rozhodnut, co je fuj a co fuj nie je.

Tak si pořiď poštovní holuby, ty nikdo nelustruje

A mačky?

[james008]

Opat tvrde slova, ale aspon clovek vie na com je.

Tak realita je vzdy surova, a to pekne a samozrejme je jen v reklamach

Tak mne rozhodne vadi, ked sa ku mne nedostane vsetko. Mne vadi aj to, ked mi provider cisti postu od virusov. Ja sa sam chcem rozhodnut, co je fuj a co fuj nie je.

Tak to je, proto placene emaily byvaji zridkakdy nejak kontrolovany, i kdyz tu sluzbu si muzes zapnout.
U freemailu se musis spokojit s tim, ze za tebe obcas nekdo rozhodne, protoze to dostanes
a mas drzet hubu, a pokud se ti to nelibi, mas jit jinam Neplatis, nebudou nic resit.
Naopak u tech placenych ti vyjdou vzdy vstric, proto si platim vlastni mailhosting, abych byl svobodny

Tak si pořiď poštovní holuby, ty nikdo nelustruje

A mačky?

Ja se obavam ze by vam ty macky a holuby brzy prolustrovala EU, pozadovala by
letovy plan, ockovaci prukaz, narazove testy, vzorek moci a stolice (podle zvirete co muze poskytnout ),
promerila by zda holub ci macka nevybocuje svymi rozmery z norem, zda vydavane zvuky zviretem
jsou do jiste hranice decibelu, ...a zda nejsou zbarveni protievropsky a nevydavaji zadne tistene
materialy ktere by znevazovaly stranu a sovetsky svaz...moskvu....eee....teda...to je ted jinak.....
zapomel jsem aktualizovat......ted to je evropsky parlament a brusel......

[sudanec]

Mne sa nechce tak dlho pisat ako Jamesovi, ale podla mna je cloud good, not evil. A podla mna uz naozaj antivirusy nepotrebuju ziadne lokalne databazy vzoriek, ak vychadzame z predpokladu, ze pocitac je aj tak furt v Internetoch. Nie je to vseobecne riesenie ale pre bfu podla mna dobre a relativne efektivne.

[james008]

Mne sa nechce tak dlho pisat ako Jamesovi, ale podla mna je cloud good, not evil. A podla mna uz naozaj antivirusy nepotrebuju ziadne lokalne databazy vzoriek, ak vychadzame z predpokladu, ze pocitac je aj tak furt v Internetoch. Nie je to vseobecne riesenie ale pre bfu podla mna dobre a relativne efektivne.

Jak vyresis nakazenou flasku strcenou do notebooku ktery je momentalne na dovolene v horach bez connectu? Co asi tak udela tyden neaktualizovany cloud pseudo-antivirus?
Jen jeden priklad ze sta. Ad2, Vis ze i polocloud av engine ma vysledky dobre jako kombinaci vrozku a cloudu, a kdyz bys posuzoval detekci jako celek bez pripojeni k netu,
tak je pak i dobry av vykonny asi jako AVG shit?
Proc ma byt cloud dobry? Co prinasi krom mensi zateze pc? Myslis ze je normalni, kdyz mas smlouvu plnou osobnich udaju, nebo fotku nahate manzelky,
kdyz si nektere z av cloud reseni rekne ze to je podezrele, tak ze tyto dokumenty leti pres pul sveta nekde do centraly treba v cine, tak se v tom hrabe
nekdo jiny at uz technik nebo automat?
Nechces rovnou vzit jednou za mesic sve osobni udaje a dokumenty, zabalit je do raru a poslat nejakemu frajerovi, aby si je prohledl
a rekl ti, zda v tom necem neni nejaka breberka?
Proc branit pc antivirem proti troj.backdooru, kdyz stejnou cinnost vykonava dany cloud av?

je normalni branit vniknuti do budovy ochrankou, a pak tam poustet uklizecky, aby vynasely ven pred budovu tajne dokumenty,
aby je mohly oprasit? To hadam ne ze?

Je jednoduche napsat ze neco je a neni ok, ale pokud nenapises proc, tak to je jen zaujeti stanoviska bez padneho duvodu.
Mne se libi cerna, tobe ne, proc? To se mi neche psat tak dlouze Chci mit takovy nazor, protoze se mi libi a je to trendy?

[sudanec]

Mne sa nechce tak dlho pisat ako Jamesovi, ale podla mna je cloud good, not evil. A podla mna uz naozaj antivirusy nepotrebuju ziadne lokalne databazy vzoriek, ak vychadzame z predpokladu, ze pocitac je aj tak furt v Internetoch. Nie je to vseobecne riesenie ale pre bfu podla mna dobre a relativne efektivne.

Jak vyresis nakazenou flasku strcenou do notebooku ktery je momentalne na dovolene v horach bez connectu? Co asi tak udela tyden neaktualizovany cloud pseudo-antivirus?

to iste co lubovolny iny neaktualizovany antivirus, ktory, kedze si v horach, nemal ako stiahnut definicie.
Inak vacsina firemnych politik flashky okrem firemnych zakazuje. Ak je nakazena aj ta firemna, tak smola.

Jen jeden priklad ze sta. Ad2, Vis ze i polocloud av engine ma vysledky dobre jako kombinaci vrozku a cloudu, a kdyz bys posuzoval detekci jako celek bez pripojeni k netu,
tak je pak i dobry av vykonny asi jako AVG shit?

Ano, to je fakt. Ako som aj pisal, zmysel to ma, ked je pocitac pripojeny do siete prakticky furt. Ja som trebars s firemnym pc pripojeny do Internetu zhruba 99.8% casu, teda mne by to nevadilo. Podobne je na tom podla mna v 21. storoci vacsina ludi v zapadnom svete minimalne.

Proc ma byt cloud dobry? Co prinasi krom mensi zateze pc? Myslis ze je normalni, kdyz mas smlouvu plnou osobnich udaju, nebo fotku nahate manzelky,
kdyz si nektere z av cloud reseni rekne ze to je podezrele, tak ze tyto dokumenty leti pres pul sveta nekde do centraly treba v cine, tak se v tom hrabe
nekdo jiny at uz technik nebo automat?

iba velmi v skratke;
Pre mna osobne: zdielanie a synchronizacia dat (mam ich synchro na mobile, tablete, notebooku, pc bez prace)
Pre male teamy: synchronizacia prace, praca na projektoch, zdielanie dat, riadenie projektov
Pre velke firmy: vsetko co je vyssie + uspora na IT technikoch + nemusim mat servery, kupovat novu infrastrukturu, riesit kopec problemov trebars pri ISO27001 (ktora nema problem s vyuzivanim certifikovanych cloudov)
A hrabe niekto iny; ak si v claude s nejakou certifikovanou bezpecnostou, tak sanca, ze sa to deje, je mensia ako u teba vo firme. Navyse v tej cloud room priamo nikto k datam nevie pristupit, su rozlietane po centrach svetoch a vesmiroch, casto v cloudoch aj sifrovane

Nechces rovnou vzit jednou za mesic sve osobni udaje a dokumenty, zabalit je do raru a poslat nejakemu frajerovi, aby si je prohledl
a rekl ti, zda v tom necem neni nejaka breberka?
Proc branit pc antivirem proti troj.backdooru, kdyz stejnou cinnost vykonava dany cloud av?

je normalni branit vniknuti do budovy ochrankou, a pak tam poustet uklizecky, aby vynasely ven pred budovu tajne dokumenty,
aby je mohly oprasit? To hadam ne ze?

Je jednoduche napsat ze neco je a neni ok, ale pokud nenapises proc, tak to je jen zaujeti stanoviska bez padneho duvodu.
Mne se libi cerna, tobe ne, proc? To se mi neche psat tak dlouze Chci mit takovy nazor, protoze se mi libi a je to trendy?

Momentalne trebars slovenska legislativa neumoznuje davat osobne informacie a citlive zo statnych organov do cloudov mimo republiku; a mozno by to tak aj malo ostat, na to nemam zatial pevny nazor.
Nemam cas teraz dlho vypisovat, ked tak mozme poriesit neskor. Ale ak chces viest o cloudoch odbornu debatu, dam ti maily na ludi co o tom vedia radovo viac ako ja.

[Pavuk29]

to iste co lubovolny iny neaktualizovany antivirus, ktory, kedze si v horach, nemal ako stiahnut definicie.

Ale vtedy sa nemoze zaktualizovat smejd na flashke.

Ano, to je fakt. Ako som aj pisal, zmysel to ma, ked je pocitac pripojeny do siete prakticky furt. Ja som trebars s firemnym pc pripojeny do Internetu zhruba 99.8% casu, teda mne by to nevadilo. Podobne je na tom podla mna v 21. storoci vacsina ludi v zapadnom svete minimalne.

Ano, ale treba brat do uvahy, kolko ludi je pripojenych napriklad mobilnym pripojenim, kde si spravidla obmedzeny datovym limitom. Nie kazdy ma firemny neobmedzeny net, a my, chudobni pracujuci, a trebars studenti, mame nejake obmedzenia. A aby mi data zozral nejaky blby AV? To by dopadlo tak, ze by mi objem dat za dva dni zozral AV svojou premavkou a ja by som 28 dni siel tych par kB/s. Alebo zaplatil dalsi balik, aby som mohol chvilku surfovat, kym mi to zasa nezozerie
Takto si AV zbasti denne par kB, co prezijem.

[Pavuk29]

Este na okraj:
Keby chcel toto niekto zaviest vo firme, kde mam ja pocitace na starosti, tak by som protestoval vsetkymi dostupnymi prostriedkami.

[sudanec]

Ano, ale treba brat do uvahy, kolko ludi je pripojenych napriklad mobilnym pripojenim, kde si spravidla obmedzeny datovym limitom. Nie kazdy ma firemny neobmedzeny net, a my, chudobni pracujuci, a trebars studenti, mame nejake obmedzenia. A aby mi data zozral nejaky blby AV? To by dopadlo tak, ze by mi objem dat za dva dni zozral AV svojou premavkou a ja by som 28 dni siel tych par kB/s. Alebo zaplatil dalsi balik, aby som mohol chvilku surfovat, kym mi to zasa nezozerie
Takto si AV zbasti denne par kB, co prezijem.

Pozri si niekedy kolko to taha dat. Su to (teda aspon z mojho pohladu) zanedbatelne mnozstva. E-maily mi zeru viac.
Navyse zrejme nerobis on-demand scan ked si mimo ale ked sedis v pokoji niekde s ethernetovym pripojenim.