Что сильнее, слепая вера или знание?
Понедельник, 22 - Август - 2011 3 комментария
Ещё пару столетий назад основным средством лечения всех болезней была молитва. Серьёзно заболел? Отмаливай грехи свои, и Господь смилостивится над тобой. Впрочем, другого ничего и не оставалось делать — медицине не на что было опереться. После падения Римской империи труды Галена были забыты, а отсутствие знания легче всего заменить верой.
В наши дни на место церкви пришла технология, но изжить религиозные догматы всё так же сложно, как и сотни лет назад. Какова сегодняшняя парадигма борьбы с компьютерными вирусами? «Ставь антивирусную программу X, она всё ловит». Правда, довольно быстро оказывается, что X неидеален, и тогда апологеты веры срочно бросаются устанавливать «программу Y, которая теперь уж точно всё ловит!». Конец Y приходит столь же быстро, и тогда мантра может смениться на «у меня нет вирусов; а те, что есть — безвредные, они мне не мешают».
Сломать стереотипы подобного рода бывает сложновато, и борьба идёт десятилетиями. К примеру, с момента выхода Windows NT в 1993 году было однозначно ясно, что будущее — за ней. Ключевым свойством NT стала её концепция безопасности — понятия пользователей и групп, регулировка прав и ограничения доступа. Это была далеко не новая идея, но она, наконец, вошла на рынок микрокомпьютеров (PC Compatible). До полной победы Windows NT потребовалось десять лет, и всё это время ей приходилось нездорово конкурировать со своей «названной сестрой» — Windows 95/98/ME. Которая, к счастью, всё же отдала концы по причине своего математического убожества и отсутствия безопасности. С тех пор все Windows — Windows NT.
Пришлось немножко поработать, убеждая людей, что, выбирая NT, они выбирают именно то, что им необходимо — безопасность, надёжность, отказоустойчивость. Некоторые при этом смеялись, спорили, придумывали совершенно фантастические чудеса. Однако, поработав с Windows, которая не зависала от малейшего пука и стука, которая работала совершенно надёжно и не заражалась популярными вирусами типа WinCih, меняли своё мнение.
Последующее десятилетие (с 2002 года, момента выхода Windows XP) началось под знаком популяризации работы с ограниченными привилегиями. К настоящему моменту, уже практически каждый школьник знает, что, входя в компьютер с правами рядового пользователя, заразить систему вирусами ты не сможешь. Ограничение прав надёжно укрывает саму систему от заражения — в сотни, тысячи раз надёжнее, чем любая антивирусная программа Х, Y или даже Z. Победа метода работы с ограниченными привилегиями уже совсем близка, и это хорошо заметно по технологии User Account Control (UAC), внедрённой начиная с Windows Vista. Её идея заключается в том, что входящий в компьютер с привилегиями администратора пользователь всё же не обладает полным доступом, его права ограничены и расширяются только после дополнительного подтверждения.
С самого начала для меня было очевидным, что следует применять только Windows NT, и работать на ней только с ограниченными привилегиями. Однако, специалистам пришлось десять лет воевать с чумой необоснованных входов с правами администратора. Тем временем, появились новые угрозы, поэтому уже идёт борьба за применение более новых методик безопасности — например, Software Restriction Policies. Представляется вполне очевидным, что SRP победит и будет применяться повсеместно. Но не хочется терять очередное десятилетие, чтобы это увидеть.
Религиозная по сути парадигма «антивирусные программы защищают от вирусов» также будет опрокинута, рано или поздно. Слепая вера в волшебную программу с кнопкой «Сделайте мне зашибись» сменится на знание механизмов работы компьютера и компетентную настройку системы безопасности подготовленными специалистами. Но пока лишь остаётся перефразировать одно известное выражение: «Если вы не занимаетесь безопасностью, безопасность займётся вами».
Защищаться от компьютерных вирусов несложно. Учитесь.
Last Content Update: 31-Jan-2011
Peter Gubarevich 
К настоящему моменту, уже практически каждый школьник знает, что, входя в компьютер с правами рядового пользователя, заразить систему вирусами ты не сможешь.
Систему нет, а свой профиль очень даже можно заразить, а так же файлы общего пользования.
SRP умирает, Microsoft поставил на AppLocker:
AppLocker™ is a new feature in Windows® 7 and Windows Server® 2008 R2 that replaces the Software Restriction Policies feature. AppLocker contains new capabilities and extensions that reduce administrative overhead and help administrators control how users can access and use files, such as .exe files, scripts, Windows Installer files (.msi and .msp files), and DLLs.
Это всё так, уточнения к статье, а не противоречия, а вот что действительно интересно, так это принцип подсчитывания размера партиции в экзаменах Microsoft: Когда в симуляции при создании партиции в 80Gb почему-то правильный ответ 81918 Mb, а не 81920(80 x 1024Mb). Интересно почему?
1. Конечно, без SRP заразить профиль — элементарно. Но всё же стоит сравнивать последствия, ущерб. Заражение системы — однозначно, форматирование, зачистка MBR и переустановка всего с нуля. Масштаб поражения — вся машина, вся сеть, все ресурсы. А заражение профиля рядового пользователя ликвидируется вместе с самим профилем, объём работы и последствия минимальны. Руткит через профиль не всунешь.
2. Полностью отрицаю «умирает». Кто вам это придумал? Умирает не более, чем «умерла» Windows NT. Это всё равно, что говорить «Volkswagen Golf умирает». Да они выпускают всё новые и новые поколения этих гольфов. Верное выражение — «получает развитие».
Однако, при всех возлагаемых надеждах, скажите одну такую вещь — в каком проценте от общего числа инсталляций Windows 7 реально применяется AppLocker? А в каком проценте мог бы, если бы сейчас администраторы взялись за голову и настроили его? На мой взгляд, на сегодняшний день (а все мы живём сегодня) AppLocker даже не провалился. Он вообще находится «нигде», его нет. Вот и делайте ставки. А почему его нет?
3. Экзамены Microsoft не сообщают (и никогда не сообщали) правильные ответы на вопросы. С вас только спрашивают, а в конце дают результат, сдал или не сдал. Иной раз даже без количественных показателей (т.е., процентов). Если же у вас фокусничает симуляция тренировочного экзамена от конкретного поставщика — обратитесь с этим вопросом к поставщику .)
1. +1
2. Да, тут я всё-таки погорячился. Не «умирает», а не получает должного внимания со стороны производителя. AppLocker-а «не видно» по многим причинам, за индустрию отвечать не стану, а вот за свой зоопарк скажу: в нём ~2% — это Windows 7 и ~30% — это Windows 2000.
3. Microsoft сообщает, но не так детально как хотелось, в отчёте по экзамену все вопросы поделены на категории(их 7 или 8, не помню) и если допустить 1-2 ошибки(не добрать несколько десятков до 1000), то будет видно в какой категории, соответственно сделать предварительный вывод, а после уже проконсультировавшись с другими, кто сдавал, и найти «чиканутый» вопрос.
п.с.: за последовательное изучение Windows 7 планирую засесть в октябре, Applocker и XP mode трепещут :)
п.с.с: поздравляю c номинацией на MVP, я только что узнал