10 ответов в этой теме

[GCRaistlin]

Внесение файла в исключения и настраивание доступа приложений в превентивке в нынешнем виде является дырой в безопасности, т. к. файл опознается исключительно по расположению на диске. Соответственно, чистый файл может быть заражен / заменен вредоносное программное обеспечениеным, и DrWeb по-прежнему будет его игнорировать. Предлагаю дополнить механизм исключений отслеживанием контрольной суммы файла в исключениях. При несовпадении либо обращаться с файлом так, как если бы он был не в исключениях ("запрещать"), либо "спрашивать", что делать: обновить контрольную сумму или обращаться с файлом так, как если бы он был не в исключениях, либо обновлять контрольную сумму автоматически ("разрешать", как сейчас). Эти настройки (запрещать/спрашивать/разрешать) должны быть отдельны для каждого исключения / приложения.

 

Дополнительно при загрузке настроек, в которых определены исключения для файлов и/или настройки доступа для приложений, DrWeb должен искать соответствующие файлы и, если найдены и есть несовпадение контрольных сумм, спрашивать, не стоит ли их обновить - при любом состоянии настроек для конкретного исключения / приложения.

[VVS]

Внесение файла в исключения и настраивание доступа приложений в превентивке в нынешнем виде является дырой в безопасности, т. к. файл опознается исключительно по расположению на диске. Соответственно, чистый файл может быть заражен / заменен вредоносное программное обеспечениеным, и DrWeb по-прежнему будет его игнорировать.

Стоп, стоп...

В превентивке Вы указываете, какие действия для приложения Вы игнорируете.

А сам этот файл доктор игнорировать не будет.

[GCRaistlin]

Это не важно. Я хочу, например, чтобы приложению разрешался низкоуровневый доступ к диску, т. е. говорю Доктору: "Окей, с этим приложением все нормально, пусть работает с диском низкоуровнево". А потом какой-нибудь злоумышленник, получив доступ к моей машине, заменяет файл этого приложения на свой. Замечу, что для этого может быть и не обязательно иметь админский доступ к системе.

Сообщение было изменено GCRaistlin: 25 Октябрь 2019 - 13:47

[IlyaS]

А если изменился не файл, исключенный в превенте, а DLL?

[GCRaistlin]

Понятно, что дыра все равно останется. Но размер ее будет сильно меньше, чем сейчас.

[IlyaS]

ИМХО, тут половинчатых решений не будет.

[GCRaistlin]

Абсолютное решение тут невозможно в принципе. Но то, как исключения реализованы сейчас, с точки зрения безопасности неудовлетворительно совершенно.

[Konstantin Yudin]

любое исключение дыра в безопасности

[GCRaistlin]

Поэтому давайте оставим все как есть? Удобно.

Однако замечу, что компьютер существует для работы, а не для того, чтобы DrWeb считал, что тот надежно защищен. А так как представления DrWeb'а о подозрительной активности иногда отдают паранойей (типа "hosts должен быть умолчальным и никаким иным"), то исключениями пользуются и будут пользоваться. Соответственно, позиция "Раз пользуетесь исключениями, то ССЗБ" рождает парадокс: те пользователи, которые как раз заботятся о безопасности, при наличии альтернативы уйдут на антивирус, в котором эти самые контрольные суммы запилены. Так что кому от нее хорошо - загадка.

[RomaNNN]

Предложение нормальное и логичное по своей сути. Более того, в фаерволле уже сделано так, если выставлена галочка на проверку хеша.

 

Другой вопрос, насколько распространен кейс в реальной жизни.

[SergSG]

Другой вопрос, насколько распространен кейс в реальной жизни.

Это  https://bugs.drweb.com/view.php?id=149267покажет.