Domanda:
Alternative all'antivirus per tenersi al sicuro
delacroix
2018-03-26 06:49:53 UTC
view on stackexchange narkive permalink

Ho letto molti articoli che parlano di come l'utilizzo di un AV sia meno sicuro che non averne uno per utenti di PC più intermedi che stanno attenti a ciò che fanno clic e scaricano.

Ad esempio, qui sono un paio di articoli:

Ho anche letto che quando un AV scansiona automaticamente un file eseguibile appena scaricato, l'hacker potrebbe potenzialmente abusare di una vulnerabilità nella scansione AV e farlo eseguire senza che tu lo esegua mai. Inoltre, devi ancora fidarti dell'AV che ha accesso al kernel del tuo PC e intercetta il traffico di rete per te e forse raccoglie anche dati su cose che non sai.

Quindi io mi chiedevo quali sarebbero stati i modi migliori per proteggere il mio PC senza fare affidamento su un software AV pesante e automatico? Finora riesco a pensare ad alcune cose (ma sarebbe davvero più sicuro fare queste cose che avere un AV?):

  • Usare estensioni come AdBlock e NoScript / ScriptSafe in modo che il codice dannoso non possa eseguire.
  • Monitorare il traffico di rete sul tuo PC di tanto in tanto per verificare la presenza di eventuali sospetti.
  • Utilizzo di uno strumento come AutoRuns ogni settimana per verificare la presenza di voci di avvio sospette.
EMET potrebbe essere una buona idea.
@forest Grazie, a quanto pare queste funzionalità sono già abilitate di default su Win10.
La maggior parte di loro lo è, sì.Credo che alcuni altri possano essere abilitati tramite le impostazioni del registro.
Non utilizzare AdBlock se vuoi essere al sicuro e non vuoi essere spiato.Usa invece uBlock Origin.
@RubbelDieKatz Perché AdBlock è cattivo?
@Rekovni Non è necessariamente un male, tuttavia uBlock Origin è migliore.AdBlock Plus era utilizzato per inserire nella whitelist annunci specifici per impostazione predefinita ed è di proprietà di una società pubblicitaria afaik.Non so molto dell'estensione AdBlock.Uso uBlock Origin con Poper Blocker da anni e raramente vedo pubblicità.Inoltre, uBlock Origin è più efficiente in termini di memoria rispetto alla maggior parte degli altri bloccanti.
I tuoi secondi due punti: "Monitoraggio del traffico di rete" e "Utilizzo di uno strumento come AutoRuns ogni settimana" non ti aiuteranno a tenerti al sicuro, poiché solleveranno sospetti solo una volta che sei già stato infettato.Questi sono anche processi manuali - che richiedono tempo - quindi tenderanno ad essere "rimandati" o completamente dimenticati.
Ho seguito l'approccio "niente" negli ultimi 5 anni senza _notizzare_ alcun compromesso.Naturalmente, l'assenza di prove non è una prova dell'assenza.Esecuzione di Windows 7 con tutto tranne il minimo necessario per mantenere il computer in esecuzione rimosso tramite NTLite.Nessun servizio non necessario, nessun programma di cui non mi fido al 100% o di cui conosco l'autore.Script del browser disabilitati, nessuna roba come Shockwave installata.A quanto pare (per quello che vale) funziona "benissimo", e il computer è di ca.Complessivamente più veloce del 30% rispetto a un computer con software AV.
@Damon il 30% più veloce?Che tipo di benchmark hai eseguito per determinare questo valore?
@Rekovni anche ublock è open source :)
@Damon il 30% più veloce?Mi prendi in giro vero?Ciò significherebbe che qualsiasi AV, o secondo il tuo argomento, anche tutti i servizi in esecuzione sul PC dovrebbero avere una media di poco più del 23% di utilizzo delle risorse in ogni momento.Diamo un'occhiata a questa macchina Windows 7 su cui mi trovo in questo momento: l'utilizzo della CPU sta saltando tra lo 0% e l'1%, vicino a 6 GB (circa il 75% della mia RAM) è disponibile per l'uso, l'accesso al disco è trascurabile.Dove prendi i tuoi numeri?
@Baldrickk: Questa è una conclusione falsa.AV in effetti risucchia la CPU tutto il tempo, ma non più del 3-4% circa di carico._Tuttavia_ consuma tempo molto, molto significativo scansionando le immagini al caricamento, aggiungendo riferimenti indiretti extra su più o meno ogni funzione API importante a metà (a funzioni _molto_ non banali che fanno alcuni "controlli extra" così come eseguono euristiche su combinazioni disyscalls e quant'altro) e disabilitando efficacemente le ottimizzazioni della memoria proprio come fanno i packer eseguibili.Inoltre, intercettazioni di tutto il traffico IP, più, più, più.Posso confrontare hardware identico ...
... qui sulla mia scrivania (niente AV, niente servizi non necessari) e da mio padre (che ha 75 anni, quindi fare acrobazie senza "rete di sicurezza" non fa per lui) - configurazione standard, servizi standard e AV -, e abbastanza sicuro c'è una differenza molto evidente in praticamente tutto ciò che fai, che è circa "un terzo" più veloce sulla macchina delle ossa nude.Potrebbe essere una differenza del 27% o del 31%, non inchiodarmi su una percentuale esatta.Ma sicuramente è qualcosa in quel campo da baseball.
@Damon quindi hai dei benchmark?non dipende dalla frammentazione del disco o qualcosa del genere?O con "scansione delle immagini al caricamento" intendi inserire la scheda di memoria dalla fotocamera nel PC?
@Baldrickk Ho misurato una velocità di 1:30 min rispetto a 4 min nella ricostruzione completa di un progetto software un po 'più grande quando si alterna tra AV acceso e spento.
@aventurin Era un test corretto, svuotare le cache tra un utilizzo e l'altro?Sebbene un AV possa certamente rallentare l'IO agganciando così tante funzioni comuni, da 1:30 a 4 minuti sembra un po 'eccessivo.O l'AV è astronomicamente lento o qualcos'altro rende più veloce il tuo test AVless.
Dieci risposte:
forest
2018-03-26 08:08:19 UTC
view on stackexchange narkive permalink

L'antivirus è più pericoloso in quanto analizza dati complessi controllati da un utente malintenzionato in un contesto altamente privilegiato. Questa è una ricetta per gli exploit di escalation dei privilegi. Di conseguenza, gli aggressori sofisticati possono spesso abusare dei programmi antivirus per ottenere i privilegi di SISTEMA. Questo non è un evento raro o che è solo un problema per i nemici di un governo potente. Il software AV è pieno di vulnerabilità legate all'escalation dei privilegi. Una rapida occhiata alla gravità delle vulnerabilità nell'elenco CVE di qualsiasi software popolare fornirà almeno un piccolo quadro della portata del problema.

Considera la tua minaccia modello

È necessario comprendere il proprio modello di minaccia. La situazione di una persona potrebbe imporre che l'AV sia dannoso, mentre la situazione di un'altra persona potrebbe imporre che sia benefico. Essere in grado di comprendere i rischi che si applicano a te e agli avversari che hai è fondamentale per poter prendere qualsiasi decisione relativa alla sicurezza, specialmente quelle come questa che non sono necessariamente bianche e nere.

L'AV può essere utile in situazioni in cui:

  • Il computer viene utilizzato da qualcuno che può essere facilmente indotto a installare malware.

  • Il computer gestirà i dati inviati dagli utenti che potrebbero essere ridistribuiti ad altri.

  • Scarichi molti programmi non affidabili, come warez.

L'AV può essere dannoso in situazioni in cui:

  • Il tuo l'avversario è almeno moderatamente sofisticato o si rivolge a te in particolare.

  • Sei l'unico utente del tuo computer e non scarichi programmi non firmati.

  • Mantieni aggiornato il tuo software e non ti aspetti che le persone brucino 0 giorni con te.

Il tuo modello di minaccia è ciò che determina se dovresti o meno utilizzare il software AV. Il mio suggerimento personale , supponendo che non scaricherai salvaschermi di delfini casuali e manterrai il tuo software aggiornato, è che potresti voler utilizzare un semplice programma predefinito come Windows Defender e utilizzare solo quando ne hai esplicitamente bisogno. Ogni volta che gli chiedi di scansionare il disco rigido, ci metti tutta la tua fiducia per non essere compromesso da alcun malware appositamente predisposto in cui potrebbe incappare. Se invece lo utilizzi quando prendi di mira programmi specifici che scarichi prima di eseguirli, riduci notevolmente i rischi.

Applica la firma del codice

Sarebbe preferibile se non fosse necessario scarica software non attendibile e utilizza invece eseguibili firmati attendibili solo da fonti ufficiali. Ciò è particolarmente importante per i file che desiderano essere eseguiti come amministratore, poiché questi hanno il maggior potenziale di danneggiare l'installazione. Assicurati che siano firmati! Non dare mai per scontato che la tua forza di volontà sia sufficiente per impedirti di commettere errori quando esegui un nuovo programma. Questo è ciò su cui fanno affidamento gli sviluppatori di trojan!

Per ridurre ulteriormente la possibilità di eseguire accidentalmente un eseguibile non firmato o non affidabile, puoi configurare la tua politica di sicurezza in modo che gli eseguibili non firmati non può essere eseguito. Ciò garantirà che qualsiasi malware dovrà avere una firma valida, firmata da una CA attendibile. Sebbene sia ovviamente possibile ottenere la firma di un file dannoso, è molto più difficile e tenderà a essere più un problema se sei un bersaglio specifico e non solo una vittima opportunista.

Se si restringe ulteriormente la politica in modo tale che solo gli eseguibili firmati da Microsoft stessa (e non solo una CA di cui Microsoft si fida), è possibile eliminare efficacemente qualsiasi possibilità di infezione da un trojan. L'unico modo per far eseguire un programma in quel caso sarebbe sfruttare uno 0day nel sistema operativo o compromettere le chiavi di firma interne di Microsoft (quelle sono entrambe nel regno delle capacità per attori avanzati sponsorizzati dallo stato). Questo può aiutare a prevenire i rari (ma non inesistenti) casi in cui il codice dannoso scivola nei repository di uno sviluppatore affidabile.

Protezione avanzata del sistema

Attivo sistemi precedenti a Windows 10, puoi utilizzare l ' Enhanced Mitigation Experience Toolkit (EMET) per migliorare la sicurezza del sistema senza aumentare in modo significativo la superficie di attacco, anche se tieni presente che EMET non riceverà aggiornamenti per molto più tempo. EMET funziona iniettando i processi con codice che li rafforza contro lo sfruttamento, aumentando le possibilità che un tentativo di exploit provochi il crash dell'applicazione mirata anziché essere sfruttata con successo. Se utilizzi Windows 10, la maggior parte di queste funzionalità di sicurezza sarà presente in modo nativo. Questo la rende la versione di Windows più sicura finora, nonostante i problemi di privacy potenzialmente problematici che potrebbe avere.

Puoi anche disabilitare i servizi non necessari (specialmente i servizi di rete, come quelli sfruttati da EternalBlue), utilizza AppLocker e leggi le guide sulla sicurezza fornite da Microsoft per consentirti di migliorare ulteriormente la sicurezza del tuo sistema. L'argomento della protezione avanzata del sistema è vasto.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/75197/discussion-on-answer-by-forest-alternatives-to-anti-virus-for-keeping-oneself-sa).
Un altro problema con il software AV è che per monitorare le comunicazioni Web crittografate eseguono fondamentalmente un attacco MITM contro il browser, e spesso lo fanno abbastanza male, quindi la connessione risultante è molto più debole di quella originale.
Per inciso, per gli utenti esperti vale la pena considerare l'utilizzo di macchine virtuali per isolare diversi casi d'uso.Ad esempio, ho tre VM che uso regolarmente: una per il lavoro normale (nessun AV installato), una per testare software non attendibile (utilizza AV online per scansionare i file prima dell'esecuzione) e una con un programma AV locale che viene utilizzato per eseguire scansioni diGli altri due.
keithRozario
2018-03-26 07:39:39 UTC
view on stackexchange narkive permalink

Questa è più un'opinione che un dato di fatto, ma la risposta è un "Forse!" >

Windows Defender (il Microsoft AV predefinito) è abbastanza buono; Windows Defender protegge dalla maggior parte delle minacce (ma non da tutte!). Ma ecco il punto: nessun AV protegge da tutte le minacce. Devi ancora ricorrere al buon senso e ad altre protezioni.

Questo tipo di assurdità "probabilmente" non verrà da Windows Defender, dal momento che possono testare il loro sistema operativo con il loro AV e assicurarsi che tutto funzioni (si spera!).

L'utilizzo di Windows Defender non è una soluzione definitiva, dovresti comunque:

  1. BACKUP, BACKUP e ho dimenticato di dirti di BACK SU! Il ransomware è ancora piuttosto comune e avere una buona strategia di backup è l'unico vero modo per evitare di essere una vittima. Esegui il backup in una posizione fuori sede e una con controllo delle versioni: utilizzo Dropbox! Fallo correttamente in modo che il ransomware non crittografi anche i tuoi backup.

  2. Assicurati che il tuo software sia aggiornato e non installare troppa spazzatura. Più app sono presenti sulla tua macchina, più è probabile che una di esse si muova. Aggiorna Windows nell'istante in cui prendi il tuo laptop, rimuovi tutto il bloatware e assicurati che tutto ciò che scarichi sia in aggiornamento automatico. Inoltre, non scaricare software da fornitori poco affidabili è un buon inizio.

  3. Usa NoScript / Ad Blocker per il tuo browser, i cripto-minatori che operano su Javascript non fanno tutti i soldi che ti aspetteresti, ma sono ancora in circolazione.

  4. EMET andrebbe bene, così come Windows Defender.

  5. Ho già parlato di backup!

  6. Utilizza un utente non amministratore come impostazione predefinita: crea un utente non amministratore separato e utilizzalo per l'uso quotidiano.

Per essere assolutamente al sicuro però, scollega il tuo computer da Internet e nasconditi in una caverna! :)

I cripto-minatori sono relativamente benigni rispetto ad altri problemi che possono verificarsi con Javascript, come il modo in cui i timer ad alta precisione hanno involontariamente consentito di sfruttare Meltdown.
@JAB Ed è per questo che le persone dovrebbero disabilitare JIT!Senza JIT, l'unico modo per ottenere un timer ad alta precisione è utilizzare le API pertinenti, che alcuni browser hanno ora reso più granulari.Con JIT, è possibile eseguire un loop ad alta velocità nel codice macchina per ottenere informazioni sui tempi.Anche se credo che ci siano ancora molti modi per ottenere tempi di alta precisione usando alcune stranezze CSS ...
"poiché è il più grande mercato di antivirus in circolazione"!Certo, hai bisogno di una mitragliatrice nel salone e un gallone di coca cola quando tutte le tue porte e finestre sono rotte e non fai nulla per il problema principale.
LUser
2018-03-26 17:18:37 UTC
view on stackexchange narkive permalink

Essendo una persona che lavora spesso contro gli AV, posso dire che fanno tutti schifo. Molte cose dipendono dal livello di sicurezza e dalla comodità di cui puoi vivere senza.

La conoscenza è potere Il primo strumento che consiglierei è l'istruzione. Sapere quali siti visiti è un grande aiuto. Evita i siti non affidabili. Ciò include siti di streaming e torrent. L'applicazione di patch al sistema operativo è un must, tieniti aggiornato sulle ultime minacce, disabilita il flash. Il problema che ho avuto costringendo le organizzazioni a utilizzare noscript e simili, era che gli utenti alla fine avrebbero fatto semplicemente clic su Abilita tutto.

Usa una VM con stato di salvataggio In alternativa, mi piace avere una VM a portata di mano per testare i file. Puoi mantenere gran parte del tuo sistema operativo in una VM. Ho lavorato in una rete in cui tutti abbiamo lavorato nelle VM e quando si sono attivate, fai clic su Ripristina ed è fatto.

Deepfreeze Ho usato deepfreeze nella nostra università molti anni fa ed è stato eccellente. Puoi semplicemente impostarlo e il tuo sistema operativo tornerà allo stato originale ogni volta. Ho lanciato il worm petya e ho lasciato che crittografasse il disco e riavviato la macchina e niente. Strumento eccellente!

Reti separate A casa tengo reti separate per gli "ospiti". Possono portare le loro cose e non devo preoccuparmi che arrivi alla mia parte della rete.

Avere un sistema operativo più sicuro Non mi piace davvero usare Windows perché sento che esegue tutto in un batter d'occhio. Questo ovviamente non è perfetto in alcun modo, perché OSX e Linux vengono hackerati tutto il tempo, ma sento che avere qualcosa che puoi controllare sia bello. Puoi disabilitare le macro e comunque ottenere l'esecuzione del codice da alcuni degli exploit disponibili.

Aggiungerò altri man mano che mi vengono in mente.

In definitiva, niente è perfetto. ma queste cose possono aiutare.

Va notato che per gli utenti che utilizzano Linux per la sicurezza, è utile dedicare del tempo ad abilitare e configurare SELinux o criteri MAC simili.
@Alpha3031 è stato bi # $ _ e schiaffeggiato da SeLinux alcune volte nella mia vita, penso che questa sia una buona idea.
**Bella risposta**!Non scriverò il mio :(. Per § "Avere un sistema operativo più sicuro" l'avrei messo in posizione 2, subito dopo "La conoscenza è potere", e gli avrei dato il titolo "Scegli il tuo sistema operativo".molti utenti ritengono di non avere libertà a questo livello, questo è semplicemente sbagliato e un comportamento da pecora C'è una scala completa di sistemi operativi che permette di ottenere un ** miglioramento della sicurezza molto maggiore ** rispetto a qualsiasi antivirus.
Aggiungerei: ** Non correre come amministratore tutto il giorno ** per lo stesso motivo per cui non corri nel tuo appartamento 24 ore al giorno con una pistola carica, una bomba a mano sbloccata e la luce rossa lampeggiante.Se non esegui come amministratore sul tuo sistema operativo, non sarai in grado di installare molti crapware e in particolare qualsiasi ransomware crittograferà solo i tuoi file personali e non i file degli altri utenti e non quelli di sistema.Qualsiasi danno sarà limitato, spesso a 0.
@danielAzuelos "non eseguire admin tutto il giorno e bloatware".Questo è il motivo per cui mi piace Linux.Scelgo cosa ci va dentro.Se c'è bloatware, è perché l'ho messo lì.Inoltre, mi piace il fatto che solo per poche cose ho bisogno di usare i privati dell'amministratore.
Puoi fare lo stesso su Windows e MacOS X (non eseguire admin tutto il giorno).
McMatty
2018-03-26 07:34:28 UTC
view on stackexchange narkive permalink

L'antivirus va bene, è "quello che abbiamo"

Non aspettarti che ti protegga da tutto, niente lo farà. Altrimenti, se vuoi proteggerti senza AV, dovrai passare attraverso un bel po 'di cerchi per rafforzare la tua macchina.

  1. Lista bianca delle applicazioni
  2. Controlla le patch del sistema operativo
  3. Disabilita macro DDE
  4. Applicazione regolare di patch a tutte le applicazioni sul tuo sistema
  5. Avere un feed per ciascuna delle tue applicazioni collegate a CVE
  6. Sysmon con una configurazione ridotta
  7. Separa il tuo desktop da quello attendibile e non affidabile. Sessioni del browser ed e-mail in una VM, ad esempio senza accesso a un altro che ad esempio contiene dettagli bancari. Elimina la VM non attendibile dopo ogni sessione
Sebbene i tuoi suggerimenti siano buoni, non rispondi realmente alla domanda se l'AV sia o possa essere dannoso."Va bene" non è una gran risposta.
La domanda era sulle alternative all'AV - non se fosse un controllo buono o cattivo
@forest non è questo il problema
La domanda inizia parlando di come l'AV sia meno sicuro e di voler trovare alternative.Devo aver letto troppo nella domanda.
The Dormouse
2018-03-26 13:24:05 UTC
view on stackexchange narkive permalink

Sono d'accordo con l'utilizzo di Windows Defender, ma penso che, nonostante quello che hai letto, un buon programma AV (leggi: molto apprezzato da fonti affidabili) sia la strada sicura da percorrere. Insieme al consiglio che è stato dato (a parte l'abitazione nelle caverne), penso che aggiungere SpyBot al tuo arsenale sia una buona idea. https://www.safer-networking.org/private/compare/ Non entrerà in conflitto con nessun programma AV e aumenterà la sicurezza del sistema. Puoi ottenere la versione gratuita, che ha alcune limitazioni, per verificarla. Ma se ritieni di volere più funzionalità, puoi acquistare la versione Home o Professional. Cordiali saluti, la versione gratuita deve essere aggiornata manualmente. Le versioni a pagamento lo fanno automaticamente. SpyBot immunizza il tuo sistema https://www.safer-networking.org/features/immunization/ così come scansiona e ripara malware e rootkit.

Per quanto riguarda il backup, Backup, backup, ecc., Consiglierei anche di impostare i punti di ripristino ogni volta che apporti una modifica significativa al tuo sistema.

Devo ancora essere colpito da malware (ovviamente ora mi sono infastidito) dopo essere stato online da quando il dial-up era di gran moda. Allora non ero attento al backup dei dati, ma dopo alcuni HDD fritti, ho imparato la lezione.

E infine, avere un firewall sicuro, che sono sicuro è qualcosa che si " l'ho già fatto, ma ho sentito di doverlo menzionare.

Non ho la stessa esperienza della foresta, ma dopo più di 20 anni sono riuscito a evitare il malware seguendo quello che ho suggerito.

Non sei mai stato colpito da malware, di cui sei a conoscenza ...
Informat
2018-03-27 22:07:29 UTC
view on stackexchange narkive permalink

Un AV è solo uno dei tanti livelli di sicurezza che chiunque utilizzi Windows dovrebbe implementare. L'utente deve solo tenere presente che non esiste un antivirus efficace al 100% e non è un proiettile d'argento.
Per quanto riguarda la compromissione di un software antivirus, è estremamente raro che accada, e la maggior parte delle volte notizie del genere sono solo FUD, hai anche citato Daily Mail, che è solo spazzatura secondo qualsiasi standard.

È molto più probabile che un sistema sia compromesso perché un AV non è installato, piuttosto che perché l'AV stesso è stato compromesso.
Dovresti preoccuparti che il tuo AV venga compromesso solo se sei contro una nazione sovrana e, se è così, hai già perso.

"è estremamente raro che accada" No, non lo è.
Sono d'accordo che è raro, foresta, puoi sostenere la tua affermazione che hai ragione e lui ha torto?Direi che è una delle forme più rare di acquisizione di privilegi nell'esecuzione del codice di tutte le forme esistenti.Non credo che potresti sbagliarti di più.A mio parere il modo più comune sarebbe il semplice download di malware che gli utenti ingenui scaricano e installano da soli.
Se il tuo processore può supportare l'esecuzione di AV senza che salti un Beat, allora penso che dovresti assolutamente usare AV.Ho usato per NON eseguire AV solo quando avevo un PC sottodimensionato.
@FreeSoftwareServers Una delle forme più rare di privesc?Che cosa?Il software AV è scritto _terribilmente_.È straordinariamente più facile da sfruttare che, ad esempio, sfruttare il kernel, che di per sé non è estremamente raro.Basta guardare gli elenchi CVE o gli avvisi specifici del fornitore.
@forrest tutto AV sembra una dichiarazione ampia e ho chiesto qualcosa per sostenere la tua dichiarazione
@FreeSoftwareServers Ecco un esempio per [Avast] (https://www.cvedetails.com/vulnerability-list/vendor_id-6567/Avast.html), un fornitore AV già rispettabile.Questo sito non è nemmeno vicino al completo e questo è per un solo prodotto.Che ne dici di [AVG] (https://www.cvedetails.com/vulnerability-list/vendor_id-5639/AVG.html)?[Sophos] (https://www.cvedetails.com/vulnerability-list/vendor_id-2047/Sophos.html)?[ClamAV] (https://www.cvedetails.com/vulnerability-list/vendor_id-8871/Clamav.html)?[Avira] (https://www.cvedetails.com/vulnerability-list/vendor_id-3336/Avira.html)?Di quanti altri hai bisogno?
leymannx
2018-03-28 12:29:22 UTC
view on stackexchange narkive permalink

Tutte le seguenti possibilità intercambiabili possono ridurre la possibilità di essere infettati da virus.

  • Aggiorna e aggiorna sempre il tuo sistema operativo e le tue app.
  • Usa un firewall.
  • Niente Internet.
  • Niente USB.
  • Un sistema operativo Unix (basato su) (Mac OS o una distribuzione Linux).
  • Un browser Internet regolarmente aggiornato e altamente sviluppato (Chrome o Edge).
In che modo Opera è più sicuro di Chrome o Firefox?
@delacroix - Estensioni del browser come vettore di attacco.Meno popolare è il browser, meno qualcuno cerca di inserire il suo malware lì.
Opera non è più sicuro di Chrome (anche se quasi tutto è più sicuro di Firefox).In effetti, Chrome ed Edge sono i browser più sicuri in circolazione.Chrome utilizza sandbox _extensive_ e separazione dei privilegi e dispone di un team di sicurezza molto, molto dedicato, mentre Edge utilizza funzionalità specifiche di Windows come la virtualizzazione orientata alla sicurezza per la sicurezza.Ti consiglio di utilizzare _solo_ Chrome o Edge (preferendo Chrome, se non altro perché il suo core è open source).
@forest - Cosa rende Firefox meno sicuro di qualsiasi altro browser?
@leymannx Oh potrei continuare su questo per anni.Utilizza jemalloc (almeno su Linux) che riduce l'efficacia di ASLR.Manca il sandboxing (e il suo attuale tentativo di "sandboxing" è piuttosto triste, avendo politiche molto grossolane).È multithread, non multiprocesso (sebbene stia cercando di supportare il multiprocesso, è ancora molto bacato).Il codice stesso è di bassa qualità, essendo pieno di cattivi cast (mentre, diciamo, Chromium rende fatali tutti i cattivi cast per implementare CFI).Non esegue il sandboxing della GPU e, se ricordo bene, gli sviluppatori hanno detto che non avrebbero mai sandboxato la GPU ...
Non separa il contenuto della pagina (albero DOM, JS, ecc.) Dal processo di visualizzazione della scheda.È pieno di comportamenti indefiniti (mentre Chromium viene regolarmente compilato con UBSAN), alcuni dei quali possono essere resi facilmente sfruttabili.Utilizza XUL nella sua interfaccia che è fondamentalmente JavaScript privilegiato.La versione ESR risolve solo bug critici per la sicurezza, lasciando intenzionalmente bug "moderati" nel codice.Ha bug esistenti veramente antichi, molti relativi alla sicurezza e vecchi di 7 anni o più (ad esempio la sua gestione SIGTERM su Linux e il bug che coinvolge i tag delle immagini e l'autenticazione HTTP).
Un'analisi accurata della sua gestione della memoria è stata [messa su Phrack] (http://phrack.org/issues/69/14.html).Non ha ancora risolto la vulnerabilità `file: //` di mesi fa che consente il bypass del proxy (Tor Project ha dovuto estrarre quel codice dal browser per renderlo funzionante).Prima di consentirle, controllavano manualmente tutte le estensioni con un controllo di sicurezza approfondito, ma di recente l'hanno eliminato e hanno eseguito analisi statiche automatizzate (portando all'accettazione di diversi plug-in dannosi).L'unica cosa in cui FF è bravo è avere un lento tasso di sviluppo, il che rende il fork più semplice (ad esempio TBB).
zaxebo1
2018-03-29 14:37:12 UTC
view on stackexchange narkive permalink

opzione 1) potresti considerare di migrare quante più macchine possibile su Linux. Se ciò non è possibile, migrare almeno alcune macchine critiche su Linux.

opzione 2) Se su alcune macchine potrebbe essere necessario solo Windows, è possibile distribuire Linux come hostOS e quindi utilizzare rdesktop per accedere a macchine client Windows sottili; oppure puoi utilizzare Windows VM per alcune attività e per il resto delle attività utilizzare l'host Linux.

opzione 3) sulle macchine su cui né l'opzione 1 o 2 è possibile, quindi distribuire la macchina Windows con tutto quanto sopra approcci come spiegato in altre risposte.

Overmind
2020-07-03 11:48:08 UTC
view on stackexchange narkive permalink

Oggi un antivirus può essere molto più complesso che in passato e può coprire un ampio spettro di cose come:

  • file antivirus
  • e -protezione della posta
  • protezione della rete
  • controllo dell'avvio delle applicazioni
  • criteri del firewall
  • criteri web - limitazione e registrazione dell'attività degli utenti
  • gestione delle password
  • crittografia dei dati
  • esplorazione dei processi
  • console di gestione per tutto quanto sopra

Io personalmente non non uso un antivirus (ma consiglio a tutti gli utenti medi di usarne uno) perché lavoro con molti file e strumenti che attiveranno avvisi, ma per farlo, in teoria quanto sopra dovrebbe essere coperto in modi alternativi .

[File]

Conoscere i propri file è molto importante in un sistema operativo. In passato era molto semplice: fino all'era di XP molti finivano per sapere se un file doveva esistere o meno all'interno delle cartelle del sistema operativo. Ora le cose sono più complesse e i sistemi operativi possono contenere centinaia di migliaia di file impossibili da aggiungere manualmente. Quindi dovremo utilizzare strumenti alternativi per rilevare modifiche non autorizzate. Ci sono strumenti che possono farlo e attivare alter se un file di destinazione viene modificato. La protezione del sistema operativo e di altri file critici come questo funziona. Qualsiasi modifica non autorizzata può generare una modifica o anche una modifica + la possibilità di annullare tale azione.

[E-mail]

La protezione e-mail può essere più correlato all'utente nel senso che la consapevolezza dell'utente è più importante di qualsiasi strumento di sicurezza quando si tratta di e-mail. Se gli utenti sono addestrati a non fare clic su collegamenti e ad aprire allegati da fonti non affidabili, quella parte è coperta molto meglio che con strumenti di filtro che consentiranno comunque a molti contenuti pericolosi di passare. Ovviamente anche negare estensioni pericolose per impostazione predefinita tramite il sistema di posta elettronica aiuta molto. La mia conclusione qui è semplice: la formazione degli utenti è più importante del filtraggio della posta.

[Rete]

Sul lato della rete ci sono molti strumenti che possono eseguire il monitoraggio, il rilevamento delle intrusioni, il rilevamento degli accessi condivisi. Questi strumenti non proteggono da attacchi molto avanzati che utilizzano vulnerabilità. Questo è un problema che un buon antivirus coprirà ma è difficile da coprire altrimenti. Preferirei che un antivirus gestisca questa parte, se possibile.

[Applicazioni]

È relativamente facile anche oggigiorno controllare cosa viene eseguito e cosa no su un computer. Partendo da elementi di base come UAC e finendo con strumenti che controllano e monitorano ciò che un programma può fare se avviato, puoi coprire questo aspetto abbastanza bene.

[Firewall]

i sistemi operativi hanno il proprio Firewall, quindi puoi anche usarlo. Sebbene il software antivirus possa controllarlo più facilmente tramite le proprie politiche, è praticamente la stessa cosa: se si effettua una buona configurazione, va bene in entrambi i casi: se eseguita nel firewall del sistema operativo o se eseguita nel firewall antivirus.

[Web]

Questa è un'area in cui il software antivirus può aiutare molto; un buon antivirus dispone già di database nella lista nera, ha possibilità di scansione in tempo reale per filtrare i siti Web durante il caricamento. Coprirlo senza alcuna funzionalità antivirus può essere piuttosto difficile e richiedere molto tempo. Non credo che un utente normale manterrà le blacklist configurate sul proprio browser. E poiché i browser hanno molte vulnerabilità ed exploit, questa è una parte che preferirei lasciare che una copertura antivirus. La formazione aiuta a coprire questa parte altrimenti, proprio come nel caso della posta elettronica. Nessuna apertura di pagine al di fuori di quelle strettamente note e necessarie, nessun problema. Per un sito di grandi dimensioni come g00gle avere problemi è altamente improbabile.

[Gestione password] Questo non è qualcosa di obbligatorio e può essere trattato comunque in dozzine di modi, quindi non lo è un aspetto davvero importante, ma anche alcune soluzioni antivirus possono coprirlo.

[Crittografia]

La crittografia dei dati sensibili può essere estremamente importante in molte situazioni e alcune soluzioni antivirus offrono supporto per questo. Ma non è un problema, oggigiorno i sistemi operativi possono farlo e ottimi strumenti di uso generale come TrueCrypt e VeraCrypt possono farlo sia a livello di contenitore che a livello di sistema.

[Processi ]

Buone soluzioni antivirus avranno un buon monitoraggio del processo e individueranno immediatamente anomalie e comportamenti errati del processo. Ma ci sono strumenti che possono coprire anche questo aspetto. Anche il vecchio esploratore di processi potrebbe essere sufficiente per individuare un cattivo processo che puoi poi terminare.

[C&C]

Ora supponendo che tu abbia coperto la maggior parte quanto sopra, può anche essere importante poter centralizzare tutto. Lo fai? È certamente possibile. Controllare le cose separatamente può rivelarsi difficile e richiedere tempo. Uso un file manager avanzato modificato per centralizzare il comando e il controllo di ogni aspetto di quanto sopra. Posso avviare qualsiasi cosa necessaria direttamente da esso senza utilizzare l'interfaccia utente o le funzionalità del sistema operativo. La shell funziona anche se l'interfaccia utente del sistema operativo o la shell del sistema operativo non è attiva. Questo lo rende valido e praticabile nel caso in cui qualcosa vada storto con una parte del sistema operativo.

A seconda del caso / della situazione specifica, potresti voler utilizzare alcuni o anche tutti i precedenti.

Alex Cannon
2018-03-29 07:42:03 UTC
view on stackexchange narkive permalink

Hai perfettamente ragione sui limiti e sui possibili maggiori rischi del software antivirus. Non solo è il singolo più grande componente software su un computer che contribuisce a rallentare l'I / O causando tutta la lentezza, ma il concetto di costruire un database sempre più grande di tutti i malware è viziato poiché è sempre nella migliore delle ipotesi giocare a recuperare dopo che il malware è rilasciato e scoperto.

Va ​​inoltre ricordato che il software antivirus esegue principalmente la scansione dell'I / O per impedire il trasferimento di qualsiasi software dannoso da o verso l'archiviazione permanente. Il software antivirus non esegue la scansione delle connessioni di rete o di altre fonti di I / O non di file di exploit software. Un exploit può entrare in una connessione di rete, sfruttare alcuni software in esecuzione e ora avere codice in esecuzione sul sistema. Questo codice può quindi disabilitare il software antivirus e quindi procedere all'installazione sul sistema.

Il tuo browser web è un software immensamente grande e complicato e, dato il suo ampio utilizzo, è probabilmente il più grande vettore di attacco per gli utenti che non scaricano software a caso, anche se non vengono utilizzati plug-in. Sfortunatamente ci sono solo quattro scelte di basi di codice per un browser conforme agli standard attuali. Microsoft Internet Explorer, Microsoft Edge, browser open source basati su Mozilla o Gecko (Firefox e molti altri) e browser WebKit / Blink open source (Konqueror, Safari, Chromium). Opera non è riuscita a tenere il passo con Javascript ed è passato a utilizzare Blink come motore di rendering.

Se Javascript non era già una superficie di attacco abbastanza grande e un problema di sicurezza, è stato aggiunto un nuovo tipo di Javascript chiamato WebAssembly a FireFox ora. Considera di disabilitarlo in FireFox in questo modo: vai su about: config quindi imposta javascript.options.wasm = false.

Altri hanno menzionato l'utilizzo di un firewall o non abilitare servizi di sistema non necessari, quindi menzionerò altre cose .

modifica: esistono diversi tipi di attacchi. Alcuni attacchi sono diretti contro un obiettivo e altri sono attacchi generici destinati a colpire un gran numero di sistemi. Alcune misure di sicurezza sono eccellenti per la protezione da attacchi generici, ma fanno poco per contrastare un attacco diretto. Altri metodi proteggono da attacchi generici e proteggono da attacchi diretti tipici, ma non riescono a proteggersi da un attacco diretto da parte di un utente malintenzionato che è disposto ad analizzare la tua configurazione specifica e impiega il tempo per capire come attaccarla. Come regola generale, minore è la base del codice e maggiore è l'enfasi sulla sicurezza durante lo sviluppo dell'applicazione ridurrà il numero di vulnerabilità della sicurezza in un programma. Se un programma è open source e se è popolare, verrà scoperto un numero maggiore di vulnerabilità e alla fine verrà segnalato o reso pubblico. Ciò riduce il numero complessivo di vulnerabilità di sicurezza nel programma, ma nella maggior parte dei casi aumenta il rischio di utilizzare il programma poiché le vulnerabilità vengono scoperte e conosciute dal pubblico molto più frequentemente. D'altra parte, il numero ridotto di vulnerabilità nel programma a causa della sua popolarità e delle patch significa che qualcuno che cerca deliberatamente il codice per scoprire nuove vulnerabilità avrà meno successo. In sintesi, se una vulnerabilità esiste ma non è nota a nessuno, rimane innocua fino a quando non viene scoperta. Quindi ci sono pro e contro per una maggiore popolarità e scoperta di bug nel software.

Mentire sulle versioni dell'applicazione: di questo si parla raramente. Spesso, per sfruttare con successo una vulnerabilità, è necessario conoscere la versione esatta del programma e del sistema operativo. Sfortunatamente il tuo browser web segnala la sua versione esatta e il sistema operativo su cui si trova ogni volta che ti colleghi a un sito. Valuta la possibilità di modificare l'UserAgent nel tuo browser e in qualsiasi altra applicazione che rivela troppe informazioni su se stessa.

Utilizza la sicurezza a livello di utente del tuo sistema operativo. Esegui il browser in un account utente con limitazioni che non è un account amministratore e preferibilmente diverso dal tuo account utente normale. Questo da solo fornisce più sicurezza di qualsiasi software antivirus. Tieni presente che il modo in cui funziona dipende dal tuo sistema operativo. Su Windows, anche un programma con restrizioni in esecuzione con altre finestre nella sessione può monitorare tutti gli input da tastiera tranne le finestre di immissione della password di sistema a schermo intero specializzate. Anche i client su * nix che utilizzano il sistema X Window possono monitorare l'input da tastiera.

Assicurati che DEP e ASLR siano abilitati. Windows potrebbe non abilitare DEP (memoria non eseguibile) per non Programmi Windows per prevenire arresti anomali dovuti a problemi di compatibilità. Abilita DEP per tutto ed esenta i programmi in crash se necessario. WehnTrust può essere utilizzato per aggiungere ASLR alle versioni di Windows NT5 ( https://archive.codeplex.com/?p=wehntrust il programma di installazione sepolto lì dentro).

Utilizza un sistema operativo oscuro. Windows, OS X e Linux sono diventati piuttosto popolari. Esistono ancora alternative come BSD e Solaris. Se configuri il tuo browser o altre applicazioni in modo da mentire sul loro sistema operativo, un utente malintenzionato potrebbe tentare di sfruttare la tua applicazione e far sì che si verifichi un arresto anomalo invece di funzionare. Modifica: come scritto sopra, dipende dalla situazione. Intorno al 2004, il numero di vulnerabilità di sicurezza scoperte in Linux è notevolmente aumentato rispetto a BSD e prima di allora il numero di vulnerabilità scoperte era simile. Credo che ciò sia dovuto al crescente aumento della popolarità di Linux rispetto a BSD. Sia BSD che Linux probabilmente contengono un gran numero di vulnerabilità, ma BSD sembra essere molto più sicuro a causa della sua scarsa popolarità, con il risultato che vengono scoperte pubblicamente molte meno vulnerabilità. Secondo la presentazione DEF CON 25 - Ilja van Sprundel, l'analisi dei sorgenti del kernel BSD ha rivelato una serie di vulnerabilità. Rimango ancora fedele a quello che ho detto, che eseguire un oscuro sistema operativo è più sicuro. Tuttavia, se sei il bersaglio di un attacco diretto in cui qualcuno è disposto a dedicare molto tempo all'analisi della tua oscura configurazione, allora sei meno sicuro!

Non trascurare i sistemi incorporati! Il tuo chip wifi ha una CPU e un firmware! Il tuo software antivirus non può fare nulla per impedire che i sistemi incorporati vengano attaccati da malware. I chipset WiFi hanno le proprie CPU e firmware e possono essere attaccati da remoto. Nell'estate del 2017 al Defcon hanno dimostrato un exploit di overflow del buffer remoto nei chipset Wi-Fi Broadcom! La dimostrazione non è andata oltre la modifica di una chiamata di funzione nel firmware Broadcom e l'invio di un pacchetto "di proprietà", ma un tale exploit consente il completo controllo del firmware del chipset wifi. Broadcom è utilizzato in molti smartphone e prodotti Apple! Qualcuno può DMA la memoria del sistema e inviare i dati utilizzando un canale al di fuori del normale spettro wifi. Possono anche scrivere sulla tua RAM e installare un root kit bypassando tutto. Potrebbero anche scrivere direttamente nella memoria della modalità di gestione del sistema del tuo computer. Poiché la memoria SMM può essere bloccata dal chipset (tranne quando la CPU è in SMM), nessuna scansione della memoria può nemmeno rilevarla. Non importa quanti programmi di sicurezza hai o quante VM ha il tuo computer. Questo è un attacco diretto allo squillo 0 / -1 / -2 !!! Non esistono antivirus o altri software in grado di rilevare un simile attacco. Non è molto più difficile per qualcuno che ha familiarità con lo sviluppo di un sistema integrato scrivere malware per esso rispetto a un normale sistema operativo per computer.

modifica: Vedo molte risposte negative alla mia risposta, ma ricorda che la domanda originale riguarda un'alternativa all'antivirus e qualsiasi persona di sicurezza IT esperta sa quanto possa essere inefficace un antivirus inutile essere a volte. Quindi alcuni dei miei suggerimenti come l'utilizzo di un oscuro sistema operativo stanno davvero facendo la stessa cosa che fa l'antivirus, ovvero costringere gli autori di virus a modificare il loro malware per aggirare il software antivirus. Sto offrendo soluzioni di sicurezza in qualche modo inefficaci al posto del software antivirus basato su database, che è ancora meno efficace!

-1 per "Usa un sistema operativo oscuro".Molti sistemi oscuri, come IRIX e HP-UX, sono incredibilmente insicuri.Confronta questo con Windows che ha probabilmente il kernel più analizzato staticamente (grande e complesso) esistente, o Linux che è completamente open source e regolarmente controllato.L'ultimo DEF CON ha tenuto un discorso che ha spiegato quanto siano orribili alcuni BSD e la sicurezza di Solaris non è davvero eccezionale (sebbene le zone siano una funzionalità di sicurezza straordinaria).
Inoltre, nascondere la versione del browser è _completamente inutile_.Non solo è banale rilevare la versione reale utilizzando un numero qualsiasi di tecniche di fingerprinting (rilevamento della funzionalità HTML5, ad esempio), ma attacchi come AnC hanno dimostrato che non è nemmeno possibile nascondere il layout della memoria del processo.
Bene, questo è un punto giusto.Ma c'è una differenza tra il numero stimato di vulnerabilità e le vulnerabilità scoperte e segnalate.BSD ha molte meno vulnerabilità scoperte e segnalate rispetto a Linux.Modificherò la mia risposta per riflettere questo.Anche se mentire su una versione del programma può essere sconfitto, di certo non danneggia nulla.
Usare un oscuro sistema operativo per essere meno sicuro contro un attacco diretto è un punto giusto che è stato ora affrontato, ma perché i voti negativi?
Inoltre, nonostante abbiano meno vulnerabilità _reportate_, molti sistemi operativi derivati da BSD (non esiste più alcun "BSD") sono scritti in modo meno sicuro.Il fatto che vengano emesse meno segnalazioni di bug per loro significa semplicemente che meno occhi sono sul codice.FreeBSD usa jemalloc a livello globale, NetBSD ha uno stack di rete orribile, DragonflyBSD ha aggiunto di recente il supporto NX al kernel (!), E persino OpenBSD non è eccezionale (almeno in termini di qualità del codice).In termini di bug sfruttabili per 10.000 righe di codice, direi che Linux e Windows ne hanno molto meno di qualsiasi BSD.
Stai dando consigli sulla sicurezza per NT 5?Direi che se qualcuno usa NT 5, la prima cosa che dovrebbe fare è scegliere un sistema operativo che non è stato interrotto più di 10 anni fa.
Per quanto riguarda la tua recente modifica, l'utilizzo di un oscuro sistema operativo non rende necessariamente il lavoro degli autori di malware molto più difficile, soprattutto perché ci sono così tanti linguaggi indipendenti dalla piattaforma di uso comune.Tutto ciò che fa è rendere banale per gli autori di malware sfruttare il sistema operativo.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...