web analytics

Windows-ul nostru cel de toate zilele

În lumea conectată de azi, computerele sunt tot mai expuse amenințărilor digitale. Conectate la Internet sau nu, riscul infectării cu programe nedorite continuă să crească.  Dacă în 2004 dura 20 de minute până când un computer cu Windows XP expus la Internet era infectat, în numai patru ani, în 2008, timpul a scăzut la 4 minute. Acum, că nu mai sunt actualizări de securitate, timpul a ajuns de ordinul secundelor.

Ce putem face?

Actualizări

Cel mai important pas în a ne proteja computerul cu Windows este să fim la curent cu actualizările de securitate. Dacă licența ne este OK și WGA (Windows Genuine Advantage) ne lasă, putem folosi mecanismul integrat de actualizare – Windows Updates.

Dacă WGA insistă, din greșeală, desigur, că Windows-ul nostru nu este activat în mod corect, folosim Autopatcher și suntem protejați. Autopatcher determină versiunea de Windows instalată, identifică toate patch-urile necesare, le descarcă și le aplică, fără să repete erorile făcute de WGA.

Dacă nu avem conexiune la Internet, sau dacă avem o conexiune cu limită de trafic (rar întâlnită în România, dar utilizatorii de Mi-Fi știu la ce mă refer) și multe computere de actualizat, putem folosi WSUS Offline Update. Acesta ne lasă să ne creăm pachetul de actualizări, pachet pe care îl ducem la computerul izolat și acolo îl executăm, actualizând computerul fără conexiune la Internet.

Bun, metodele astea ne actualizează sistemul de operare. Ce facem cu restul de programe folosite? Unele programe se actualizează singure (Firefox, Adobe Acrobat, Skype), altele nu. Dacă ai instalat programele prin Ninite, atunci e simplu: rulezi din nou programul de instalare și acesta îți va actualiza toate programele ce au versiuni mai noi. Dacă nu… folosești un program de patch management (nu am verificat niciunul, așa că nu fac recomandări), ori verifici tu periodic, ori (dacă ai prea mulți bani sau ești companie) folosești un serviciu ca Flexera sau SolarWinds Patch Management.

Antivirus

Al doilea pas în protecția computerului ce rulează Windows este folosirea unui antivirus. Eu consider că nu există nimic mai bun decât Bitdefender și l-am instalat pe computerele mele și ale familiei (doar pe cele cu Windows). “De ce Bitdefender și nu altceva?” este o discuție separată ce vreau să rămână separată.

Browser și blocarea reclamelor în browser

Deoarece majoritatea atacurilor vin prin Internet, folosirea unui program mai sigur pentru interacțiunea cu Internetul este esențială. Eu recomand browserele bazate pe software scris de Mozilla Foundation: Firefox, SeaMonkey, PaleMoon. PaleMoon și Firefox au și versiuni pe 64 de biți, dar PaleMoon nu folosește aceleași extensii ca și Firefox. Prin urmare, eu folosesc Firefox.

Chrome nu este o opțiune pentru mine din mai multe motive. Pe de o parte, folosește mult prea multă memorie. Pe de altă parte, este optimizat pentru benchmark-uri (teste) de JavaScript și, într-adevăr, la teste iese în frunte. Problema este, însă, că acele teste nu sunt modele de utilizare zilnică și nu sunt reprezentative pentru felul în care folosim browserele zi de zi. Să alegi o unealtă după un criteriu ce nu are legătură cu folosirea acelei unelte este cel puțin greșit.

Alt motiv pentru care nu folosesc Chrome este telemetria – informații despre mine pe care Chrome le trimite la Google. Mai punem la socoteală și faptul că are mai puține extensii și că face foarte dificilă blocarea reclamelor (Google din ce credeți că trăiește?) și a scripturilor din pagini.

Safari și Opera sunt acum clone de Chrome, așa că nu avem alt browser de încredere în afară de Firefox.

Pentru blocarea reclamelor, este bine să folosiți cel puțin AdBlock Plus. Ghostery aduce un plus de securitate și privacy, dar complică experiența de navigare. Amândouă sunt extensii de Firefox și au o mulțime de alternative – mai multe detalii despre soluții anti-tracking găsiți la Comparitech. Multe asemenea alternative ademenesc utilizatorii cu grafice și teste ce arată (evident!) că produsul lor folosește cu 5% mai puțin timp de procesor sau cu 20MB de memorie mai puțin. Mi se pare penibil să alegi o unealtă ce economisește 20MB de RAM, când tu risipești 300MB folosind Chrome – fix scump la tărâțe și ieftin la făină. Și nici nu îmi place să îmi fac zilnic de lucru ca să rezolv un bug sau un altul al unui program nou, ce nu s-a maturizat. Una peste alta, eu recomand soluții ce și-au dovedit valoarea și seriozitatea în timp.

Telemetrie și privacy

De la Windows 95 încoace, toate versiunile de Windows raportează la Microsoft din ce în ce mai multe lucruri despre noi. Uite, de exemplu, ce raportează Windows 10 (și se pare că se vor “actualiza” și Windows 7 și 8 să facă la fel):

Deci, în ordine: locația ta (unde te afli), tot ceea ce se vorbește pe lângă computer și date de diagnostic (pare benign, dar cuprinde toate programele pe care le pornești și tot ce scrii pe computer). Pe lângă asta, îți lipește un “advertising ID” la toate cererile făcute de browser, astfel încât orice website să te identifice în mod unic și neechivoc. Și ce dacă? Păi atunci va fi posibil ca să ți se reconstituie toată activitatea online, orice site vizitat, orice comentariu lăsat etc. Mai mult, degeaba mergi tu prin proxy, cu alt nickname și cu altă adresă de e-mail, să te războiești cu cineva, logurile de la webserver te vor da de gol din cauza lui advertising ID. Dacă în loc de o păruială în comentarii, tu lași comentarii politice într-o țară cu regim dictatorial, te-au prins, mulțumită telemetriei introduse de Microsoft.

Putem scăpa de telemetrie? Teoretic, dacă dăm banii pe Windows 10 Enterprise, ni se va da voie să oprim telemetria. Teoretic. Practic, va trebui să credem Microsoft pe cuvânt.

Așa că, practic, vă invit să mergeți la http://www.getblackbird.net/, să downloadați Blackbird și să vă protejați computerul cu Windows de spionii de toate felurile. Eu am făcut-o.

Și, de final, am o întâmplare interesantă. Un prieten din România, ce are aplicațiile de Facebook și Facebook Messenger instalate pe telefon, a întrebat un măcelar despre o mașină de tocat industrială. Atât, a întrebat prin viu grai, în limba română – nu a căutat pe Internet, nu a scris e-mail, nu a trimis SMS. Acasă, când a intrat pe Facebook, a observat că Facebook îi servea reclame la mașini de tocat industriale…

À bon entendeur salut!

48 Comments

  • klaus 2017-04-13 14:09 Reply

    Microsoft “poate” pentru că-s prea mulți ca mine. De ce crezi că pe piață nu s-a impus în competiție alt sistem de operare?

    • ketherius 2017-04-13 14:55 Reply Author

      Ei, dar s-a impus. Cel mai răspândit sistem de operare, ca număr de dispozitive, este Android, adică Linux.

      • klaus 2017-04-15 08:43 Reply

        Android e un produs făcut de cei ce au făcut și Linux? Fuck! Parcă-s venit de pe altă planetă.

        • ketherius 2017-04-15 09:11 Reply Author

          Android e făcut de Google, dar este un Linux cu o interfață grafică specializată și cu o mașină virtuală (Dalvik) ce execută aplicațiile Android.

          • klaus 2017-04-17 09:53 Reply

            Keth, ce părere ai de kaspersky?

            • ketherius 2017-04-18 09:44 Reply Author

              Ei bine, în 2001 cei de la Softwin (cei care fac Bitdefender, atunci numit AVX) erau fericiți că au scăpat de concurență. De ce? Pentru că cel care era inima echipei de la RAV, Costin Raiu, a plecat la Kaspersky, lăsând echipa RAV în derivă.

              În 2003, GeCAD a vândut RAV lui Microsoft, care l-a redenumit Windows Defender și l-a introdus în distribuția de bază de Windows.

              În concluzie, am o părere foarte bună despre Kaspersky, au un produs de top și au oameni capabili în echipă.

              Preferința pentru Bidefender este un pic subiectivă: pune mai puține întrebări și nu prea ia decizii greșite (nu blochează programe de care am nevoie, nu blochează comunicarea când joci un joc online, înțelege că un fișier e muncă și nu virus etc.). Și, important pentru mine, nu mă freacă la cap cu “vaaaaai, ai versiunea gratuită, hai să te actualizăm la versiunea plătită, ca să ai muuuuult mai multe avantaje“. Tace și își vede de treabă.

  • Elena 2017-04-13 14:36 Reply

    Era un documentar ARTE cum au luat oameni la întâmplare și le-a zis tooot despre ei. Inclusiv preferințele, ce cumpărau cu cardul, tooot, aflând din computer, etc. Așa că nu mă obosesc să mă protejez de ăștia mari care dacă vor oricum pot afla tot. 🙂
    Uneori ne mai lasă impresia că suntem liberi și neinfluențați.

  • Elena 2017-04-13 14:42 Reply

    Mi se pare că în viitor translatorii vor rămâne fără job. Au inventat și un dispozitiv care traduce automat, instant, ceea ce vorbești în altă limbă.

    https://futurism.com/skype-can-now-translate-your-voice-calls-into-10-different-languages-in-real-time/

    • ketherius 2017-04-13 14:59 Reply Author

      Skype e făcut de Microsoft. Ce calitate crezi că au traducerile alea? Poți să îi iei în serios abia după ce folosești serviciul și nu îți poți da seama că e tradus de computer.

  • Lotus 2017-04-13 17:01 Reply

    Eu scriu de pe un desktop unde rulează Windows XP pe 32 de biți. Nu mai rețin când l-am instalat ultima dată. Ca soluții de securitate folosesc un firewall gratuit și ocazional varianta gratuită de Sandboxie. Nu folosesc nici un antivirus propriu-zis.

    Pe sistemul meu, Chrome este mult mai rapid decât Firefox. Extensii se găsesc acum din belșug, Chrome fiind cel mai popular browser. Gestiunea memoriei este uneori o problemă: dacă am multe pagini deschise, browserul eliberează pe câteva din memorie, iar atunci când trec la ele le reîncarcă. Lipsa de actualizări este o altă problemă: Chrome nu mai primește actualizări pentru XP din aprilie 2016, adică de un an, iar alternativele bazate pe Chrome care își fac actualizări sunt potențial instabile. Nici Firefox nu va mai suporta XP-ul: luna trecută am fost anunțați că versiunea 52 va fi ultima care va rula pe XP și va mai primi actualizări de securitate până în septembrie. PaleMoon, de asemenea, a sistat dezvoltarea variantei pentru Atom/XP. Confruntat cu atâta lipsuri ale unui sistem de operare deja antic și având ceva cunoștințe despre cum aș putea să-l schimb, un cititor s-ar putea întreba de ce nu trec la o versiune mai nouă. Răspunsul este, după cum probabil n-ați intuit, lenea.

    Totuși, primul loc pe lista mea de așteptare este ocupat de Windows 7, nu de 10, deoarece ultimul are o mulțime de opțiuni de tracking/spionaj, iar unele, spre deosebire de cele listate de tine, nu pot fi dezactivate. Evident, M$ duce o politică tot mai agresivă și urâtă în noile sale versiuni de Windows, care sunt, în plus, tot mai prost concepute, adresându-se maimuțelor și nu oamenilor. Nivelul, adică, scade continuu.

    Legat de pățania prietenului tău din România, o să fac o nouă trimitere la Cetin. Nu ca s-o supăr pe Cudi sau pe Renata, ci pentru că Cetin a abordat săptămâna trecută același subiect – al aparentelor coincidențe digitale. Iar dacă opiniile lui Cetin pot fi criticate, un lucru nu i-l puteți pune sub semnul întrebării, și anume traficul. Ori atunci când ai trafic, ai și cititori care să poată confirma.

    • ketherius 2017-04-13 17:33 Reply Author

      Fereastra aia cu opțiuni era ceea ce oferea Microsoft. Blackbird dezactivează toate opțiunile de telemetrie/tracking, pe toate versiunile de Windows.

      Sub aspect pur tehnic, Windows 10 este la fel de stabil ca și Windows 7, dar consumă mai puține resurse, de unde preferința mea pentru el. Cu Blackbird, și Windows 10 este utilizabil.

      Despre coincidențe digitale nu pot să vorbesc, pentru că nu mi se întâmplă. Combinația mea de sistem de operare, antivirus, securitate, securitate în browser, adblock și puțină atenție când dau click pe ceva m-au scutit de infecții sau coincidențe digitale – pe mine, pe Cudi, pe părinți și chiar și pitica noastră folosește internetul fără să producă probleme.

  • ketherius 2017-04-13 17:47 Reply Author

    Firewall-ul meu pune pe lista neagră orice adresă de IP care încearcă să se conecteze pe un port pe care n-ar trebui să încerce. Practic, cineva care încearcă să găsească un geam deschis pe care să intre se va găsi pe lista neagră timp de 24 de ore.

    Bun. Pe servere există între 250 și 1500 de asemenea dubioși în fiecare zi. Pe firewall-ul de acasă, în schimb, numărul lor creștea. Când am ajuns la 130.000, am schimbat ISP-ul. 130 de mii de adrese diferite care încercau să intre în rețeaua mea de acasă. Cineva – guvern, instituție de trei litere, cineva foarte hotărât – era intrigat că nu poate să intre în routerul meu și a tot încercat vreo doi ani de zile, până am schimbat ISP-ul. Aici este mai bine, pentru că ISP-ul face, undeva mai sus de mine, ce făcea și routerul meu. Prin urmare, numărul infractorilor a scăzut până aproape de zero.

  • Iosif 2017-04-14 01:29 Reply

    ketherius,ma întreb ce va deveni aceasta societate supertehnologizata,daca printr-un fenomen oarecare (cosmic ori voit de cei din “Olimp”),ar cadea în ‘pana’ toti satelitii de pe orbita terestra ? Bineînteles este un scenariu la care ma gândesc de ceva vreme discutând cu fiul meu care este efectiv ‘drogat’ de acest VIRUS PLANETAR de care se pare ca lumea devine din ce în ce mai dependenta. Cred ca suntem f.f. aproape de un cataclism mondial,provocat de ,dumnezeul acestui veac “Mamona” lucrarea omului fara credinta în superioritatea lui Dumnezeu “omul faradelegii” acest tradator-vânzator de HRISTOS,”Antichrist” (Religia-stiinta,politica militara,si politica financiara mondiala) acest Nou Imperiu Mondial (Noul Babilon) N.O.M.,despre care si pruncii din clasele primare stiu,însa putini îl mai stiu pe M.Eminescu,G.Enescu,M.Viteazul,Decebal etc…

    • ketherius 2017-04-14 16:30 Reply Author

      Dacă vom fi capabili să folosim tehnologia ca pe un mijloc de a ne ușura viețile, lăsându-ne timp pentru simplitate și pentru spiritualitate, va fi bine, vom putea evolua.

      Dacă tehnologia va continua să fie un scop în sine, distrăgându-ne de la scopurile noastre și crescând complexitatea existenței noastre zilnice, atunci suntem pe un drum periculos.

      • Elena 2017-04-15 02:39 Reply

        Uau, nu mă așteptam să zici asta, Keth. 🙂
        Paradoxul e că tehnologia ar trebui să ne lase mai mult timp liber, mașină de spălat automată, mașină de gătit, tocat, mixat, robot, etc. Dar de fapt suntem din ce în ce mai ocupați: tv, fb, tel vorbim cu orele, etc. Duminica nu mai e duminică că tot mai facem treburi, etc.

      • Iosif 2017-04-15 04:15 Reply

        Vezi tu,ketherius,cât de relativa este aceasta viata ? Punând la fiecare fraza în fata acest “daca”,ce conditioneaza viata în toate aspectele ei,se evidentiaza incertitudinea în care se zbate întreaga omenire,cu toata revolutia tehnico-stiintifica contemporana,care nu e capabila sa ofere nici o singura certitudine privind originea si sensul vietii decât una singura si sigura; evolutia spre moarte.
        Singura conjugarea Verbului Être,(A Fi) la toate (timpurile si persoanele) ne va lumina Calea spre descoperirea si activarea genei nemuririi a (tineretii fara batrânete si viatii fara de moarte),iar aceasta a facut-o doar Un Singur Om^,nascut din femeie,Hristos. A trai asemeni Lui înseamna a renunta la sine (Ego) sacrificându-ti geniul cu care esti dotat (mostenirea genetica) în favoarea semenilor,IUBINDU-I asa cum te iubesti pe tine însuti,si facându-le ceea ce ti-ar pace sa-ti faca ei tie.Restul sunt detalii ! 🙂

  • Lotus 2017-04-14 15:51 Reply

    De linux ce zici?

  • ketherius 2017-04-14 16:33 Reply Author

    Am avut mari speranțe, cândva. Mama, de exemplu, are Linux pe laptop și nu vrea să audă de Windows.

    De când cu systemd, în schimb, am renunțat la orice idee de Linux. Eu, cum ziceam, folosesc OpenBSD.

  • Lotus 2017-04-14 17:12 Reply

    Adică un sistem de operare salvat de la înec de autorul Trilemei? 😀

    • ketherius 2017-04-14 20:38 Reply Author

      Salvat? Pe dracu’! A cumpărat niște publicitate ieftină, atâta tot. Faptul că tu crezi că a fost vreun salvator arată că a fost o investiție bună.

      • Lotus 2017-04-15 13:19 Reply

        De unde știi ce cred eu?

        • ketherius 2017-04-15 15:25 Reply Author

          Adică afirmi lucruri pe care nu le crezi? Ești tu așa de parșiv?

        • Lotus 2017-04-15 16:17 Reply

          A cumpărat niște publicitate, e adevărat, dar nu chiar ieftină, ci de vreo 20000 de dolari + plata articolelor. Cam asta cred eu.

          • ketherius 2017-04-15 16:53 Reply Author

            Nu trebuie să fie ieftină pentru tine, ci pentru cine plătește. Și ieftin se definește și în raport cu cât ar costa să obții aceeași expunere prin alte moduri de publicitate.

            Dacă mă gândesc bine, a fost un chilipir pentru el.

            • Lotus 2017-04-16 08:25 Reply

              Păi ieftin se definește în raport cu prețul pieței, nu cu banii tăi. Eu zic că a plătit mult și nici n-a obținut foarte mare expunere: câteva articole, pierdute în negura timpului. A avut la un moment dat și o pagină pe Wikipedia, care i-a fost ștearsă pe motiv că nu îndeplinește criteriul notabilității.

              • ketherius 2017-04-16 11:23 Reply Author

                Right…

  • Elena 2017-04-15 11:07 Reply

    Pentru calculat coeficientul de inteligență gratis.

    http://mensa-romania.ro/testari-mensa/test-online/

    • Elena 2017-04-15 11:18 Reply

      Și pentru vorbitorii de engleză: http://www.mensa.org/workout.php

      • ketherius 2017-04-15 12:16 Reply Author

        De la adresa asta: “This quiz is provided for entertainment purposes only; it is not an IQ test. “

        • Elena 2017-04-15 13:04 Reply

          Vor să-l faci pe cel cu bani. Întrebările sunt ok, la final primești punctaj, deci e ok. Fă-l pe cel în română.
          Mai bine zi-ne în care categorie te încadrezi:
          A) ‘dăștept’
          B) longeviv
          * B) cică conform unor statistici cei care sunt foarte inteligenți trăiesc mai puțin (probabil se consumă mai mult. Factorul stres). 🙂

  • ketherius 2017-05-04 14:08 Reply Author

    Un test de la Tom’s Guide a testat cât de bine reușesc programele antivirus să se protejeze de atacuri:

    Of the 19 programs tested, three succeeded on all counts: Bitdefender Internet Security 2017, ESET Internet Security 10 and Kaspersky Internet Security 17.0. It’s difficult to rank the rest of the programs, as each one succeeded and failed to varying degrees.

    (Sursa)

    • Lotus 2017-05-04 16:06 Reply

      Articolul pare un advertorial pentru av-test. Fun fact:

      The question is: why the hell did AV-TEST do it? Why make things worse for themselves and others?

      Little is known about the real reasons (AV-TEST has made almost no comment about the changes), but we can try to figure it out for ourselves. And first we need to look at the economics of the testing business.

      Yes, testing is a business with its own economy. I understand that very well. Performing a good test is not just a matter of brains – it requires investment in infrastructure, office space and salaries. And just like many businesses, there is a correlation between quality and profit. Sometimes companies consciously lower the quality to increase profit. In the short term that approach can really pay off. But in the long term it leads to degradation and oblivion.

      Fun pentru că autorul rândurilor citate este Eugene Kaspersky.

      Eu unul acord mai multă greutate testelor de la matousec.com. Din păcate, nu cred că le-au mai făcut de mult timp.

      • ketherius 2017-05-05 10:48 Reply Author

        Why did AV-TEST do what? Ce ai arătat tu este un fragment scos din context, deci irelevant (până dai tot contextul).

        De matousec nu auzisem și este clar de ce: sunt un grup de oameni ce s-au autointitulat “experți”, se pricep doar la Windows și pretind că:

        We also have experience with malware analyses, development of penetration tools, and vulnerability research. We have provided various research and consultation to the leading vendors of Internet security suites, HIPS, personal firewalls, behavior blockers, and similar software. In addition, we have been involved in the design and development of various security related software.

        Cu toate astea, nu au numit nici un singur client. De ce? Ori au mințit și nu există nici un asemenea client, ori au făcut o treabă atât de proastă, încât clienții ar da numai referințe negative dacă ar fi contactați de alți potențiali clienți.

        Printre produsele pe care le recomandă sunt chestii de care n-am auzit, sau despre care nu am auzit aprecieri la superlativ.

        Una peste alta, seamănă foarte mult cu țeapa “web of trust” – un grup ce scrie advertoriale despre antiviruși, pretinzând că ar fi experți.

        Slavă Domnului că nu au mai scris nimic nou de un an!

        • Lotus 2017-05-05 11:04 Reply

          Eu aș zice că nu-i scos din context. A scoate ceva din context înseamnă a selecta un anumit pasaj care, citit doar el, îți lasă o altă impresie decât dacă l-ai citi în cadrul textului în care apare. Ori fragmentul citat de mine nu cred că transmite o altă idee decât cea cu care rămâi după ce citești tot articolul. Articol pe care l-am și linkuit. Am selectat asta pentru că asta era esența: că la un moment dat (articolul e din 2013) av-test.com au coborât ștacheta testelor pe care le realizau, pentru profit. Asta e ideea care reiese din fragmentul citat de mine și asta e ideea principală cu care am rămas eu după lectura articolului. Deci nu văd de ce ar fi scos din context.

          Mie îmi plac cei de la matousec pentru că testează chestii esențiale ale antivirușilor (HIPS) și nu detecția pe bază de semnături și euristici, care e apă de ploaie și care se verifică cu religiozitate în multe alte laboratoare. Detecția pe bază de semnături e o chestie de marketing, nu o protecție reală.

          Am dezinstalat WOT de pe toate browserele, după ce am scris un articol pe Simplu pe tema celor din spatele acestei extensii.

          • ketherius 2017-05-05 11:23 Reply Author

            Detecția pe bază de semnături este utilă pentru malware ce nu este polimorfic. Detecția după semnătură este mai rapidă decât cea euristică din motive evidente.

            Faptul că spui “detecția pe bază de semnături și euristici” arată că nu știi despre ce se vorbește.

            Algoritmii euristici sunt singura metodă de a găsi virușii noi și neidentificați încă: antivirusul începe să simuleze execuția programului pe care îl verifică și caută semne ale unui comportament malițios: caută și modifică procese, agață întreruperi de sistem, modifică fișiere de sistem, copiază fișiere sistem în locuri în care le poate modifica, apoi modifică system path să includă fișiere modificate etc. Dacă găsește așa ceva, fișierul este considerat suspect și infectat.

            Oricum, nu are rost să îți țin un curs despre sisteme de operare, ca să înțelegi cum funcționează un virus și un antivirus. Dacă te interesează, caută “Modern Operating Systems” de Andrew Tanenbaum. O găsești și ciordită, în format PDF.

            • Lotus 2017-05-05 12:32 Reply

              Nu asta e obiecția la detecția pe bază de semnături, că n-ar fi rapidă, ci că nu poate ține pasul cu numărul uriaș de viruși ce apar zilnic. Pentru că nu doar virușii polimorfici scapă acestei detecții, ci și ceilalți viruși, cât timp nu au fost încă identificați. Am scris despre asta mai pe larg aici.

              Pe Wikipedia termenul „euristici” e folosit într-un sens foarte larg. În comunitățile de specialitate și chiar în manualul multor soluții de securitate termenul „euristici” e folosit într-un context mult mai restrâns, respectiv acela de metode prin care se pot detecta variante sau membri noi ale unei familii de viruși cunoscută. Cu alte cuvinte, dacă ai poza infractorului iar acesta și-a făcut o operație estetică, e posibil să-l poți detecta. Dar dacă e un cu totul alt infractor, adică virus, atunci de regulă euristicile îl lasă să treacă.

              Acesta este și sensul în care folosesc eu acest termen. Sens în care nu mai este adevărat că euristicile sunt singura metodă de detecție a virușilor încă neclasificați (a căror semnătură încă nu există în baza de date).

              Mai departe, protecția nu se rezumă la detecție. Un firewall poate să nu folosească nici un mecanism de detecție, nici pe bază de semnături și nici euristică, și tot te protejează eficient împotriva anumitor forme de atac. La fel o face un program de tip sandbox sau HIPS.

              Un HIPS nu este interesat de semnături și euristici. El supraveghează controlul și funcționarea anumitor procese critice. În momentul în care un program se atinge de un astfel de proces (zonă de memorie, registru etc) într-o manieră ce poate conduce la vulnerabilități, utilizatorul e întrebat dacă îl aprobă. Nu prea contează dacă ai descărcat un virus, acesta va fi oprit la prima încercare de a face ceva nociv.

              Evident, tipul ăsta de protecție se adresează unui utilizator experimentat, deoarece la început vei fi asaltat de o grămadă de cereri de aprobare, existând multe programe benigne ce au nevoie de accesarea diferitelor servicii cheie. Dar odată aprobat (sau blocat) un proces, această regulă poate memorată pentru programul în cauză, iar treptat lucrurile se liniștesc.

              Kaspersky folosește HIPS de când lumea. Bitdefender n-o face pentru că vrea să-și ferească utilizatorii de mesaje suplimentare și ăsta e motivul pentru care eu n-am încredere în el.

              Un sandbox creează un spațiu virtual sau o clonă a calculatorului, de unde rulează un program. Dacă acel program e virus, modificările lui afectează acel spațiu virtual, acel calculator-clonă, și nu sistemul real. Comodo Internet Security a trecut de la HIPS la un sistem pe bază de sandbox. Astfel, el are o bază de date cu mii de programe benigne, sigure. În momentul când rulezi un program nou, semnătura lui digitală (dacă există) și checksum-ul sunt verificate în acea bază de date. Dacă există, atunci programul e safe și poate rula. Altfel, el este rulat într-un sandbox, de unde nu poate afecta sistemul real. Sigur, există diferite grade de acces la sistemul real și în acest sandbox, după cum uneori ai nevoie să rulezi un program direct de pe sistemul real, pentru că de exemplu vrei să îți facă niște modificări care să se păstreze, așa că și această metodă se adresează utilizatorilor mai experimentați.

              Pentru toți restul, există Bitdefender și antivirușii clasici. Pentru că oricât de bine ar fi făcut un antivirus, ideea ca cineva să te protejeze fără să te întrebe ce și cum, adică fără să-ți afișeze diverse ferestre și notificări, gândind el în locul tău pentru toate cazurile, nu te poate proteja decât până la un anumit nivel.

            • Lotus 2017-05-05 12:44 Reply

              De exemplu, ca idee, eu am instalat pe PC Sandboxie. Este gratuit și îți permite virtualizarea oricărui program, inclusiv a browserului.

              Dacă am nevoie să intru pe un site cu warez sau să rulez un crack, îl rulez în acest program. La fel, dacă am nevoie să instalez un program – el va fi instalat pe calculatorul virtual, adică în sandbox. După care pot chiar să văd ce modificări a făcut acel program, ce fișiere noi a scris etc. Când doresc, pot să îl rulez din nou, în sandboxul între timp infectat, sau pot să resetez sandboxul și să îl rulez într-un sandbox curat. Toate astea în timp ce sistemul meu este neatins.

              • Lotus 2017-05-05 12:48 Reply

                dacă am nevoie să instalez un soft dubios, bineînțeles. altfel, îl pot instala direct pe sistem, dacă știu că e sigur.

  • ketherius 2017-05-05 14:39 Reply Author

    Iar vorbești fără să știi ce vorbești. Crezi că, dacă poți să instalezi un program, ai devenit expert? Dacă citești niște materiale de marketing, acum te crezi expert?

    „euristici” e folosit într-un context mult mai restrâns, respectiv acela de metode prin care se pot detecta variante sau membri noi ale unei familii de viruși cunoscută. Cu alte cuvinte, dacă ai poza infractorului iar acesta și-a făcut o operație estetică, e posibil să-l poți detecta. Dar dacă e un cu totul alt infractor, adică virus, atunci de regulă euristicile îl lasă să treacă.

    “Euristic” nu este substantiv, ci adjectiv. Prin urmare, se folosește lângă un substantiv: algoritmi euristici sau metode euristice.

    Algoritmi euristici de detectare există de pe vremea lui TBAV, care era capabil să prindă viruși necunoscuți. Algoritmii euristici studiază comportamentul programelor pentru a detecta comportament suspect și a prinde virușii. Adică, pentru a folosi analogia ta, un algoritm euristic nu scompară toți vizitatorii cu poza infractorului, sperând să vadă o asemănare. Asta ar permite alarme false și ar băga în belea vizitatori nevinovați.

    Nu, un algoritm euristic se uită la ce fac vizitatorii: dacă merg pe culoar, prin fața exponatelor, la o distanță sigură, atunci sunt vizitatori inocenți. Dacă pun mâna pe exponate, dacă aruncă mizerii pe jos, dacă scrijelect cu briceagul pe pereți, dacă fac poze la încuietori și camerele de supraveghere, dacă stau mult timp într-un loc și privesc gardienii în loc să privească exponatele, atunci sunt suspecți și trebuie evacuați.

    Acesta este și sensul în care folosesc eu acest termen. Sens în care nu mai este adevărat că euristicile sunt singura metodă de detecție a virușilor încă neclasificați (a căror semnătură încă nu există în baza de date).

    Algoritmii euristici nu au nevoie de semnături, deci ce ai spus tu acolo arată că nu știi ce înseamnă cuvintele pe care le înșiri. Plus că un cuvânt înseamnă ceea ce înseamnă, nu ceea ce crezi tu că înseamnă.

    Mai departe, protecția nu se rezumă la detecție. Un firewall poate să nu folosească nici un mecanism de detecție, nici pe bază de semnături și nici euristică, și tot te protejează eficient împotriva anumitor forme de atac. La fel o face un program de tip sandbox sau HIPS.

    Un firewall permite sau nu conexiuni. Atât. Dacă regula de firewall este să permită conexiunea, atunci un malware poate intra foarte bine pe acolo, fără dureri de cap. Exemplu sunt milioanele de servere de IIS sau SQLServer care au fost infectate cu malware deși aveau firewall. Te-ai băgat în alt domeniu despre care nu ai habar – rețele, protocoale și servere de aplicații.

    Un HIPS nu este interesat de semnături și euristici. El supraveghează controlul și funcționarea anumitor procese critice. În momentul în care un program se atinge de un astfel de proces (zonă de memorie, registru etc) într-o manieră ce poate conduce la vulnerabilități, utilizatorul e întrebat dacă îl aprobă.

    Un HIPS (Host-based Intrusion Prevention) este un program ce detectează intruși pe baza comportamentului, deci HIPS este foarte interesat de algoritmii euristici.

    Evident, tipul ăsta de protecție se adresează unui utilizator experimentat, deoarece la început vei fi asaltat de o grămadă de cereri de aprobare, existând multe programe benigne ce au nevoie de accesarea diferitelor servicii cheie.

    Nu, dacă sistemul HIPS este configurat cum trebuie, nu are nevoie să întrebe. Numai cele simpliste au nevoie de confirmări.

    Kaspersky folosește HIPS de când lumea. Bitdefender n-o face pentru că vrea să-și ferească utilizatorii de mesaje suplimentare și ăsta e motivul pentru care eu n-am încredere în el.

    Kaspersky folosește HIPS pentru că Kaspersky folosește algoritmi euristici. Bitdefender folosește algoritmi auristici, ca și Kaspersky. Uite ce zice Bitdefender:

    The IDS module from Bitdefender took some of the monitoring functions and together with AVC will monitor suspicious behaviors on the system.

    In a HIPS system, the user has to take some actions and in some cases, this is pretty annoying because the novice users can block legitimate actions when installing software and this can affect the functionality of that software or the stability of the operating system.

    Adică un sistem HIPS își enervează utilizatorul cu întrebări, pe când motorul euristic al lui Bitdefender își vede de treabă singur. Asta este mai bine, deoarece un utilizator poate da răspunsul greșit când este întrebat dacă MSguiSQL3863.dll are voie să “write shared pipes”.

    Când faci apologia sandbox-ului, să ții cont că algoritmii euristici emulează funcționarea programului investigat într-o mașină virtuală internă, adică într-un sandbox.

    Dacă tu folosești un adjectiv pe post de substantiv, nu înțelegi ce înseamnă cuvântul. Dovadă stau explicațiile tale penibile, ce folosesc minciuni și lucruri înțelese parțial – iar ceea ce n-ai înțeles, ai suplinit cu fantezia care nu-ți lipsește. Una peste alta, ai făcut o ciorbă de termeni citiți pe net, ciorbă care arată că habar nu ai cum funcționează lucrurile, dar te lași impresionat de marketing sau de părerile grupului în care te învârți.

    Trist și periculos este că există oameni care consideră că tu chiar te pricepi “la softuri” și vin la tine pentru sfaturi.

    • Lotus 2017-05-05 16:09 Reply

      Nu ai dreptate, știu ce vorbesc. M-ai întrebat dacă am idee cum funcționează un virus. Nu mai rețin detaliile, dar într-o vreme aveam idee până la nivelul scrierii unui cod viral demonstrativ în asamblare și felului în care se injectează codul într-un executabil exe sau com.

      Nu sunt simple materiale de marketing cele scrise de mine mai sus.

      Nu văd care-i faza cu adjectiv-subiectiv. Ce vrei să spui cu aia? Că am scris „euristicile îl lasă să treacă” în loc să scriu „algoritmii euristici îl lasă să treacă”? Sau nu-mi dau seama ce obiecție ai. Am zis eu că nu-i adjectiv, sau ce?

      Ce zici tu este definiția teoretică a euristicilor. Sau a algoritmilor euristici, ca să-ți fac pe plac. Ți-am zis că, din punct de vedere practic, din ce știu eu, modul de implementare în antivirușii actuali se apropie mai mult de felul cum am defenit eu aceste metode. Sau hai să zic așa, în fișierele Help ale unor antiviruși pe care eu i-am avut eu instalați pe PC, așa erau explicați acești algoritmi. Deci așa erau implementați (cel puțin) de acele soluții de securitate. Acum, dacă tu vrei să îmi citezi studii teoretice, posibil, nu zic nu…

      Signature scanning works very well for detecting threats which have already been identified but how do antimalware programs detect new, previously unseen threats? One of the methods used is heuristics.

      Fragmentul citat mai sus este de pe blogul celor de la ESET. Ce rezultă din el? Că euristicile sunt una dintre metodele ce pot fi folosite la detectarea virușilor noi. Cu alte cuvinte, nu toate aceste metode de detecție a virușilor noi intră la capitolul algoritmilor euristici, așa cum ai susținut tu. Deci definiția comportă diverse nuanțe.

      Indiferent de nuanțe, metodele euristice chiar pot genera și chiar generează deseori alarme false (chiar și în cazul definiției pe care o dai tu acestor metode).

      Un algoritm euristic se uită la ce zici tu, dacă vizitatorii pun mâna pe exponate, dar într-o anumită limită, un număr de fracțiuni de secundă, într-un context parțial și limitat, și numai după ce au verificat în prealabil dacă moaca lor seamănă cu cea a unor infractori căutați. 😉

      Algoritmii euristici nu au nevoie de semnături, deci ce ai spus tu acolo arată că nu știi ce înseamnă cuvintele pe care le înșiri. Plus că un cuvânt înseamnă ceea ce înseamnă, nu ceea ce crezi tu că înseamnă.

      Pe de-o parte, nu am zis nicăieri că au nevoie de semnături. Dar ei sunt aplicați după ce mai întâi fișierul a fost scanat pe bază de semnături. Înțelegi acum sensul fragmentului pe care l-ai citat? Deci la început sunt scanați după semnături. Ulterior, sunt scanați cu metode euristice. Deci cei care sunt scanați cu metode euristice sunt cei care nu sunt încă clasificați, adică nu au încă semnătura în baza de date. Că dacă ar fi avut-o, erau deja detectați în prima etapă și nu se mai ajungea la scanarea lor euristică.

      Așadar, o metodă euristică este o:

      metodă de detecție a virușilor încă neclasificați (a căror semnătură încă nu există în baza de date)

      în sensul că este o metodă folosită la detecția acestor viruși. Că virușii clasificați sunt detectați la prima etapă, cu metode non-euristice. Greu cu tine!

      Apropo de asta, îți dai seama acum de ce spun atât de des că mă citești anapoda? Avem stiluri diferite de a ne exprima și uneori înțelegi altceva decât am vrut eu să transmit.

      Pe de altă parte, deși eu nu am zis lucrul ăsta până acum, să știi că algoritmii euristici se pot folosi și de semnături, de exemplu atunci când caută versiuni noi ale unor viruși polimorfici care au semnăturile ușor modificate față de semnătura de bază. Că există și cazuri din ăstea.

      Dacă regula de firewall este să permită conexiunea, atunci un malware poate intra foarte bine pe acolo, fără dureri de cap.

      Păi da, și dacă regula e să nu permită conexiuni, atunci un malware nu poate intra pe acolo. Și atunci firewallul te protejează eficient împotriva virușilor care te-ar fi atacat prin intermediul acelei conexiuni deschise, adică te protejează eficient împotriva unor forme de atac. Ceea ce… nu e fix ce am zis eu? Doh!

      La fel, dacă firewallul îți ascunde porturile pe care nu le folosești, atunci îți face calculatorul mai greu de depistat și scanat din afară, și deci te protejează încă împotriva unui alt număr de posibile infecții, și așa mai departe.

      M-am băgat într-un domeniu în care, din nou, mă citești greșit.

      Un HIPS (Host-based Intrusion Prevention) este un program ce detectează intruși pe baza comportamentului, deci HIPS este foarte interesat de algoritmii euristici.

      În timp ce s-ar putea spune că teoretic ai dreptate, pentru că evident tot ce nu merge la sigur (nefiind bazat pe o semnătură) poate fi considerat ca având la bază o metodă euristică, în practică există diferențe notabile între cele două abordări. De regulă, algoritmii euristici se folosesc în momentul scanării, în timp ce sistemul HIPS este permanent activ. Algoritmii euristici sunt focalizați pe programul scanat în timp ce sistemul HIPS monitorizează serviciile și zonele critice ale sistemului, nu un program anume. Concret, Bitdefender folosește euristici dar nu are un sistem HIPS, în timp ce Comodo folosește atât euristici cât și un sistem HIPS, iar cele două componente (algoritmii euristici și sistemul HIPS) sunt diferite (și pot fi activate sau dezactivate separat în interfața Comodo).

      Tu discuți mai mult teorii, sau vezi lucrurile dintr-un punct de vedere, foarte înalt, teoretic. Eu îți zic cum este practic.

      Nu, dacă sistemul HIPS este configurat cum trebuie, nu are nevoie să întrebe. Numai cele simpliste au nevoie de confirmări.

      Aici îmi pare rău să-ți spun dar nu ai tu habar despre ce vorbești. Un sistem de operare este foarte complicat, să nu-ți imaginezi că e așa de simplu să setezi un HIPS din fabrică.

      De exemplu, instalezi un program despre care HIPS-ul tău nu știe nimic, că nu e atât de popular. Acel program are nevoie să acceseze un anumit buffer din memorie, sau să folosească un serviciu critic al sistemului, sau să instaleze un driver, lucru pe care îl fac multe rootkituri, etc. În funcție de sensibilitatea HIPS-ului (sau a programului antimalware cu HIPS, că iarăși îmi vei zice că e adjectiv), vei primi niște notificări că programul ăla face ceva critic sau dubios și vei fi întrebat dacă-i dai voie. Este naiv să-ți închipui că nu-i așa. Eu am un HIPS care e setat să mă anunțe de fiecare dată când rulează un program nou, care n-a mai rulat pe sistem. Detectează și când acel program se modifică, de exemplu în urma unui update. Sigur că poate fi configurat să bage un anumit program la safe și să nu mă mai întrebe, dar e pueril să-ți închipui că poți să-l configurezi din fabrică pentru orice calculator și orice situație.

      Dacă nu mă crezi pe mine, îți pot da un link spre forumul celor de la Bitdefender, care confirmă ce spun. Mai exact, numărul (inevitabil mai mare) de notificări este motivul pentru care ei au preferat să nu implementeze un modul HIPS. Deci iată, dacă pe mine nu mă crezi, îți pot da linkul spre autorii antivirusului tău preferat.

      Ți-am zis, eu discut din punct de vedere practic. Tu ce soluții HIPS ai folosit concret până acum?

      Kaspersky folosește HIPS pentru că Kaspersky folosește algoritmi euristici. Bitdefender folosește algoritmi auristici, ca și Kaspersky. Uite ce zice Bitdefender:

      Am explicat mai sus. Acum nu mai știu interfața de la Kaspersky, dar în Comodo ai opțiunea să dezactivezi HIPS-ul, componentele euristice, sandboxul, firewallul etc. Sunt module separate.

      Între timp m-am uitat pe site-ul celor de la Kaspersky. Modului HIPS este cel de la categoria Application Control. Iar la categoria Virus Scan poți alege (cel puțin indirect) nivelul euristicilor. Ori când spui „metode euristice” în cazul unui antivirus, la aceste metode te referi, nu la tot ce ține de protecție, inclusiv la HIPS.

      Bitdefender are euristici dar nu are HIPS. Modului IDS nu este HIPS. Și iată, exact ce-ți ziceam mai sus: „In a HIPS system, the user has to take some actions and in some cases, this is pretty annoying”. Deci chiar ei recunosc că au optat pentru altceva decât HIPS, ceva ce ei numesc IDS, pentru a reduce numărul alertelor. Adică ce ziceam eu mai sus. 😉

      Adică un sistem HIPS își enervează utilizatorul cu întrebări, pe când motorul euristic al lui Bitdefender își vede de treabă singur. Adică un sistem HIPS își enervează utilizatorul cu întrebări, pe când motorul euristic al lui Bitdefender își vede de treabă singur. Asta este mai bine, deoarece un utilizator poate da răspunsul greșit când este întrebat dacă MSguiSQL3863.dll are voie să “write shared pipes”.

      Da, un utilizator poate da un răspuns greșit la o întrebare de genul: după cum ziceam, soluțiile bazate pe HIPS se adresează utilizatorilor peste medie. Da, monitorul euristic al lui Bitdefender își vede de treabă singur. Dar asta nu-i mai bine, în orice caz nu din punct de vedere al securității. 😉

      Când faci apologia sandbox-ului, să ții cont că algoritmii euristici emulează funcționarea programului investigat într-o mașină virtuală internă, adică într-un sandbox.

      Spune-mi te rog, îmi permite Bitdefender să instalez un joc virusat și să mă pot juca pe el fără să-mi infectez sistemul și fără să primesc avertismente? Sau să instalez un alt program, după care să văd ce fișiere noi a creat și ce setări a modifica în regiștri? Și să-l pot rula când doresc eu, chiar așa virusat? Din nou, fără să-mi infectez calculatorul?

      Că dacă nu, eu țin cont, dar n-aș zice că e chiar sandbox. Mai degrabă aș zice că nu cunoști tu terminologia din domeniu. 🙂

      Dacă tu folosești un adjectiv pe post de substantiv, nu înțelegi ce înseamnă cuvântul. Dovadă stau explicațiile tale penibile, ce folosesc minciuni și lucruri înțelese parțial – iar ceea ce n-ai înțeles, ai suplinit cu fantezia care nu-ți lipsește. Una peste alta, ai făcut o ciorbă de termeni citiți pe net, ciorbă care arată că habar nu ai cum funcționează lucrurile, dar te lași impresionat de marketing sau de părerile grupului în care te învârți.

      Nu este adevărat, eu folosesc și am folosit astfel de programe. Tu – nu cred.

      Trist și periculos este că există oameni care consideră că tu chiar te pricepi “la softuri” și vin la tine pentru sfaturi.

      Păi dacă ar fi așa n-ar fi trist, deoarece fiecare poartă responsabilitatea propriilor alegeri. Din fericire, nu-i așa. 🙂

      • ketherius 2017-05-05 16:12 Reply Author

        Bla-bla-bla … habarnistul se dă expert din nou. Am stabilit că nu te pricepi, ce scrii tu pe subiectul ăsta e nul.
        TL;DR

        • Lotus 2017-05-05 16:21 Reply

          Nu știu de ce ești atât de agresiv mai nou, dar singurul lucru ce poate fi stabilit obiectiv este că ai răspuns la o listă de niște argumente cu un atac la persoană.

          Pe baza acestei constatări, ce ai stabilit tu personal, în forul tău lăuntric, nu prea mă interesează. 🙂

          • ketherius 2017-05-05 16:30 Reply Author

            Acceptă că nu te pricepi la tot și gata! Pământul se va învârti la fel în jurul Soarelui, chiar dacă nu ești tu deținătorul adevărului absolut.

            • Lotus 2017-05-05 16:37 Reply

              Păi eu accept că nu mă pricep la tot. Accept chiar și că pot fi considerat un zero barat în domeniu. Dar nu prea accept cu tragere de inimă, și asta din compasiune pentru tine, deoarece din tot ce ai scris mai sus am dedus că te afli într-o situație și mai precară decât a mea.

              Acum, recunoaște și tu că ești la ciclu.

              • Cudi 2017-05-05 16:38 Reply

                E nemâncat, măi.

              • ketherius 2017-05-05 16:57 Reply Author

                Eu îmi cunosc meseria. Tu, în schimb, ai dovedit că bâjbâi. Prin urmare, sunt obligat față de cititorii blogului, să subliniez că nu ai habar despre ce vorbești și că nu trebuie să te ia cineva în serios când vorbești de computere. Datoria față de cititorii blogului, alții decât tine.

                Observă, te rog, că nu te-am contrazis când ai scris inepții de același calibru pe blogul tău. Aici nu pot să las să treacă neobservate asemenea prostii.

                • Lotus 2017-05-05 17:15

                  A, deci de aia ai reacționat așa, că ai fost contrazis pe domeniul în care lucrezi și unde te știai cel mai tare! 🙂

                  Te invit să comentezi și la mine pe blog, ori de câte ori ai ceva de spus și dorești s-o faci. La mine nu prea e atât o chestie de blogul pe care sunt cât de subiectul discutat.

Leave a Reply

Your email address will not be published. Required fields are marked *

%d bloggers like this: