6 ответов в этой теме

[andrewl76]

Я давно пользуюсь Dr.Web для Linux, в т.ч. и на личных компьютерах довольно длительное время, т.к. убеждённый  сторонник OpenSource и ОС Linux. Я заметил, что Dr.Web для Linux по сравнению с версией для ОС Windows или даже для MacOS совсем не так динамично развивается, что, конечно, понятно (разная популярность и распространённость ОС, а также до сих пор не 100%-очевидная необходимость подобного ПО для ОС на базе ядра Linux). Dr. Web  для ОС Windows пытается защитить пользователей от попыток применения эксплойтов и уязвимостей ОС и много чего ещё, "вгрызаясь" в внутренние механизмы взаимодействия ОС и пользовательского ПО, насколько это только позволяет сама ОС. Стоит ли ожидать чего то подобного в версии Dr. Web для Linux - развития функционала продукта "вглубь" - не только контроля файловых объектов и сетевых соединений, но и самых продвинутых техник атаки ОС Linux вредоносным ПО (в т.ч., с вредоносной активностью только в ОЗУ), типа "анти-эксплоит" и т.п.? Или данное направление (Linux) "не настолько перспективно"? Я заметил, что и Drweb для Android полгода уже не обновлялся...

[andrewl76]

Уточнение: я понимаю, что зоопарк версий дистрибутивов, настроек ядра ОС, различных защитных подсистем, типа SELinux, AppArmor, режима загрузки ядра с опцией lockdown (сторонние модули не загрузишь) и т.д. и т.п. и так серьёзно затрудняют поддержку продукта Dr.Web для Linux даже на сегодняшнем его уровне "вгрызания" в механизмы ОС Linux в целях защиты и как бы предубеждают разработчиков против дальнейшего погружения в это, но! Ведь есть и обратная сторона медали - для пользователей, которые понимают "тему", наличие, например, специализированного модуля ядра от Drweb для Linux, реализующего расширенные механизмы защиты ОС, пусть и ценой потери части производительности, удобства работы и т.д., было бы очень "крутой фичей"! Ведь развернуться есть где (взять, хотя бы, в качестве примера, проект LKRG, или модуль altha в AltLinux и очень много чего ещё)! Никакая Windows не позволит даже и близко так развернуться!

[Alexander007]

andrewl76

 

Доброго дня . По поводу эксплойт , атаки .  Все блокируются известными вирусными базами. Т.е успешено применяется все методы блокировки , Spider Guard отвечает за реальную защиту и блокируют любые атаки.  Не стоит переживать о будущих реальных атак. Все инциденты на атаки Linux, Dr.Web будет реагировать немедленно и сообщит вирусному мониторингу - среагирует на ситуацию.  Есть облачная технология Dr.Web Cloud - поможет блокировать эксплойты в реальных времени при запущенные на Linux , то срабатывает эвристическое поведение на основе машинных обучение. 

Сообщение было изменено Alexander007: 15 Февраль 2024 - 17:04

[andrewl76]

Кстати, пользоваться продуктом в режиме проверки TLS соединений стало почти комфортно, совсем мало сайтов "привередничают", хоть и снижение скорости заметно (но это - ладно, понятно, цена дополнительно защиты) - спасибо разработчикам!

[VVS]

Alexander007, Вам 3 дня RO за флуд (бессодержательное сообщение).

Модератор.

[andrewl76]

andrewl76

 

Доброго дня . По поводу эксплойт , атаки .  Все блокируются известными вирусными базами. Т.е успешено применяется все методы блокировки , Spider Guard отвечает за реальную защиту и блокируют любые атаки.  Не стоит переживать о будущих реальных атак. Все инциденты на атаки Linux, Dr.Web будет реагировать немедленно и сообщит вирусному мониторингу - среагирует на ситуацию.  Есть облачная технология Dr.Web Cloud - поможет блокировать эксплойты в реальных времени при запущенные на Linux , то срабатывает эвристическое поведение на основе машинных обучение. 

 

Установка на любые ОС поддерживаются.

Ваш ответ понятен, но мне очень хочется заглянуть глубже под "капот" работы DrWeb для Linux. Например: ведь даже при работе с файловыми объектами у Вашего ПО есть три режима (обычный, усиленный и "параноидальный"). По умпочанию всё ориентировано на минимальный "импакт" на удобство работы пользователя. Я выставил режим "усиленный" - блокируются все исполняемые файлы и скрипты до их проверки - меня вполне устраивает работа ОС в этом режиме (чуть медленнее стало при запуске программ). А вот если, например, внутри процесса Linux, например, браузера начнёт выполняться "странная" последовательность системных вызовов и т.п., явно характерная для вредоноса, как (и почему?!) "движок" Drweb для Linux с его "эвристикой" и т.д. на это отреагирует и отреагирует ли вообще - ведь это всё "безобразие" происходит, в данном случае, почти только в ОЗУ? Понятно, что контроль работы пользовательских процессов - это очень значительная дополнительная нагрузка на ОС. Однако в версии для ОС Windows функционал "анти-эксплоит" (или, как он точно называется, "анти-руткит"?) - он же ведь больше про это - про блокировку проникновения вредоносного кода из ОЗУ наименее привилегированных процессов в более привилегированные и далее, в ядро ОС (поправьте, если неправ) ценой потери части производительности (стоит того!)? Я именно про это. Упрощая: стоит ли ожидать, что версия DrWeb для Linux будет также активно и "смело" (при активации соответствующих настроек) бороться в вредоносным кодом именно в ОЗУ, а не только на этапе загрузки кода (и данных) из файловой системы в ОЗУ?

[andrewl76]

Опасаясь попасть в бан за флуд, как тот парень, что быстро ответил мне ранее, который недостаточно внимательно вчитался и разобрался в моём вопросе, всё же, добавлю: я много экспериментировал с настройками ОС, способами и методами защиты ОС Linux от вредоносного воздействия. Например, довольно долго (дольше всего) использовал дистрибутив ОС Gentoo Linux, со сборкой всего ПО из исходных кодов только локально, но моём "железе", в том числе, с установленным Dr Web для Linux, с разработкой самописных модулей SELinux для клиентских приложений (браузеров, медиаплееров и т.д.). Но, в конце концов, пришёл к выводу - что даже в этом случае, наиболее оптимальным будет отдать вопрос ИБ ОС в руки профессионалов. Слишком обширна область возможного внедрения вредоносного кода - скачиваемые архивы с исходным кодом - не панацея - URL, сам исходный код может быть модифицирован (путём взлома компьютера или сайта разработчика ПО, модификации "на лету" при скачивании) и т.д. Иногда, это даже удобнее - пользователь скачивает "чуть-чуть модифицированный" исходный код, собирает пакет или даже ядро ОС - всё сам! "Антивирусное" ПО в таком сценарии может просто отдыхать (если пропустит создание вредоноса в файловой системе при сборке)! Линуксоиды такие мысли яростно "хейтят" - и понятно почему! - Ломается вся "романтика" и устоявшиеся (полу-)мифы о свободном ПО, которое "может проверить и проверяют каждую секунду миллионы профессиональных кодеров по всему миру"). Мой вывод на данный момент: не слишком доверяйте этой устоявшейся "романтике" в плане ИБ: то, что вы собрали исполняемые модули из исходного кода - не панацея! Вы уверены, что там всё "чисто"? На сайте - "чистый" архив, а скаченный  - "заряженный") Проверка цифровых подписей? А погуглите, например, уязвимости в популярнейшем apt (и не только!) при проверке целостности скаченного пакета, если, например, скачивать, не по https и т.д.!) В общем, моё мнение: даже при работе с ОС Linux, наверное, всё же, лучше довериться профи. И поставленные мной ранее в теме вопросы - это лишь своеобразная проверка - а насколько реально хороши эти "профи" (в данном случае из Dr.Web)? Или лучше "по-старинке, из исходников, очень аккуратно"? Итак, линуксоидам: 1) выберите дистр, "разрабам" которого вы в достаточной мере доверяете. 2) если всё же беспокоитесь по поводу ИБ - выберите дополнительное защитное ПО, "разрабам" которого вы достаточно доверяете. Как-то так)