Hlavní navigace

Vlákno názorů ke zprávičce OEM laptopy a bezpečnost Windows 10 od OFI - ad bezpečnost - souhlasím s názorem, že nejvhodnějším...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 18. 3. 2016 23:00

    OFI (neregistrovaný) ---.net.upcbroadband.cz
    ad bezpečnost - souhlasím s názorem, že nejvhodnějším řešením bezpečnosti ve Win je v současné době ponechat zabezpečení v režii MS. Určitě nejlepší poměr cena (nulová) / výkon (PC je minimálně bržděno). Od WinXP používám na domácích PC Security Essentials, vlastně předchůdce současného integrovaného Defenderu. FW postačí od MS, navíc význam FW se podle mě přeceňuje, ochrana v tomto smyslu je předsunuta už na routeru/síťovém FW. Bezpečnostní balíky třetích výrobců z principu věci snižují stabilitu systému, zvlášť při čím dál častějších aktualizacích systému (což je současný trend).

    ad stabilita - chcete stabilní Win? Pak máte asi tyto možnosti:
    1. Windows 7 + zakázat doporučené aktualizace. Podpora od MS do 14.1.2020.
    2. Windows 10 Pro/Ent + režim CBB (Current Branch for Business). Pakticky to znamená zatrhnout "odložit aktualizace" (nebo tak nějak) v konfiguraci WU. Není dostupné pro home edici.
    3. Windows 10 Ent LTSB (Long-Term Servicing Branch). Tohle asi jen pro extrémní požadavky na stabilitu prostředí a vzhledem k licencování není prakticky dostupné pro jednotlivce / fyzické osoby. Více o různých režimech WU zde.
  • 20. 3. 2016 13:42

    Jarda_P

    FW z Widli nehlasi neznama odchozi spojeni. To by za normalnich okolnosti bylo v poradku, ale jedna se o Widle, takze je lepsi treba ZoneAlarm, kde se clovek aspon muze dozvedet, ze ma uz zase virus v systemu.

  • 21. 3. 2016 18:03

    Lael Ophir (neregistrovaný) ---.kmen.nat.praha12.net

    Jo, firewall typu ZoneAlarm je pro uživatele nejlepší. Každých pár minut na něj vyskočí hláška "proces bflmpsvz.exe (PID 123456) se pokouší připojit na 12.34.56.78 port 321; povolit, zakázat, vytvořit pravidlo?" Uživatel samozřejmě neví o co go, a buď jako vždy odklepne "vytvořit pravidlo", nebo po nejpozději padesátém pup-upu odinstaluje ZoneAlarm.

  • 21. 3. 2016 18:22

    Jarda_P

    Samozrejme, vyzaduje to alespon na pul inteligentni uzivatele, kterych na Wkdlich tolik neni, protoze si je MS tak vychoval. Uzivatele, kterym dochazi alespon to, jake maji na stroji aplikace a jake spustili a jsou ta schopni posoudit relevantnost dotazu. Take by ti uzivatele meli vedet, ze staci odpovedet jednou a az do updatu SW to tak vydrzi. Pricemz MS to mohl usnadnit tim, ze by na Internet nelezly vselijake nesmyslne aplikace, ktere tam nemaji co delat, jako treba Widloexplorer.

  • 21. 3. 2016 20:07

    Lael Ophir (neregistrovaný) ---.kmen.nat.praha12.net

    "Chcete psát na počítači dopisy, vést účetnictví, nebo dokonce skládat hudbu? Na prvním místě se naučte jména všech executables, pak alespoň základy TCP/IP jako jsou čísla portů." Přesně s tímhle přístupem byste na trhu narazil. Společnosti jako Microsoft, Apple a dnes i Google staví na tom, že přinášejí snadné IT pro každého, s minimalizací úrovně znalostí nutné pro používání počítače. Podobně postupují všichni další, kdo se snaží svůj produkt prodat masám. Kdyby to tak nebylo, musel byste být automechanik abyste mohl autem dojet na nákup a instalatér abyste si dal sprchu.

    Windows Explorer samozřejmě má lézt na síť. Podporuje minimálně SMB, WebDAV a FTP. To samé mimochodem podporuje na Windows i třeba Total Commander, a na Linuxu zase Nautilus a další.

    A nejvtipnější je to, že vámi navrhované opatření navíc ani nefunguje. Samotné jméno procesu je o ničem, když můžete mít dva executables stejného jména. Dále jakákoliv aplikace může spustit browser, který smí léze na síť, a pomocí něj uploadovat nebo downloadovat soubory. Na Linuxu asi povolíte přístup na net utilitě wget, ale tu klidně může spustit jakýkoliv kus malwaru a nechat ji uploadovat i downloadovat. Pak je tu samozřejmě možnost napsat plugin pro browser nebo libovolný jiný kus SW, který má povoleno po síti komunikovat. Kdybyste chtěl být hodně hardcode, tak můžete provést DLL injection. DLL bude natažená v kontextu procesu, a ani v tomto případě vám firewall nepomůže. Takže na jedné straně chcete aby se sekretářky, účetní, projektoví manageři, recepční, lékaři, architekti a lesníci učili zpaměti seznam procesů a portů. Na druhé straně to malwaru nijak nezabrání ve fungování.

  • 21. 3. 2016 20:28

    Jarda_P

    Prosim vas, nedelejte z toho hned kovbojku s psychologickou zapletkou. Vetsine useru uplne staci, aby po spusteni Firefoxu pochopili, ze dotaz na povoleni firefox.exe je normalni, dotaz na povoleni bflm.exe neni. Tohle zvladne i cviceny makak.

    Windows Explorer mozna na sit ma lezt, ale ne bez duvodne. Krome toho tyhle firewally rozlisuji mezi domaci siti a Internetem, takze kdyz user poleze na SMB, neni duvod se ho ptat. Pokud si nekdo da pripojit WebDAV uloziste v Jizni Tramtarii na Inernetu, tak by mu take melo byt jasne, ze to vyvola dotaz firewallu. Nicmene v praci to funguje tak, ze clovek nic takoveho nedela a Widlous Explorer se najednou sam usnese, ze se mu chce kamsi na Internet.

    Dva executables stejneho jmena mit muzu. Myslicho uzivatele by melo varovat, ze firefox.exe, ktery nebyl updatovan, najednou zada znovu o povoleni, ktere jiz dostal. ZoneAlarm totiz procesy nerozlisuje jen podle jmena, takze dalsi firefox.exe znamena dalsi dotaz.

    Mate samozrejme pravdu v tom, ze ochrana takovymto firewallem neni na 100%. Existuji techniky, jak zneuzit aplikaci s povolenim tak, aby to nevyvolalo dotaz firewallu. Nicmene ne kazdy malware pochazi z dilen NSA a Mossadu, takze tyto techniky casto nejsou pouzity. Predpokladam, ze autorum se nechce s nimi srat, protoze spolehaji na masove rozsireni standardniho widloveho firewallu a jiste procento lidi s jinym firewallem se jim nevyplati resit. Takze ve vetsine pripadu zatim takovy ZoneAlarm dokaze ucinne varovat uzivatele, ktery si da praci, aby precetl, co to pise, namisto aby to automaticky odklepl, coz bohuzel je casta reakce. Sam jsem to videl, prestoze jsem uzivatele pred tim varoval. A take ho nakonec ISP ustrihl od Internetu za posilani spamu a seznam povolenych aplikaci ve firewallu byl zajimavy. Predpokladam, ze nyni si to jiz pamatuje.

  • 22. 3. 2016 13:30

    Lael Ophir (neregistrovaný) 192.168.1.---

    Firewall s povolováním odchozích spojení typu ZoneAlarm prostě vyžaduje znalosti, které naprostá většina uživatelů nemá a nikdy mít nebude. A hlavně to nebrání scénářům které jsem popisoval, a nejsou na vývoj nijak náročně. Takže i kdybychom všechny uživatele naučili zpaměti seznam executables, seznam TCP portů a všechny ty vychytávky typu "když firefox.exe chce připojení, ale není to poprvé po instalaci FW a nedošlo před tím k update Firefoxu, tak to není v pořádku, s výjimkou případu kdy má URL za hostname tečku a jiné číslo než obyčejně, protože pak to být v pořádku může a nemusí", tak to nepomůže. Autoři malwaru začnou používat jednu z těch jednoduchých technik které jsem popisoval, a jste přesně tam kde bez dotazů na odchozí spojení, jen jste všem uživatelům vzal pár týdnů života :)

    Ad ZoneAlarm totiz procesy nerozlisuje jen podle jmena, takze dalsi firefox.exe znamena dalsi dotaz - to sice ano, ale když jsem ho viděl naposledy, tak v dotazu zobrazoval jen jméno procesu, ne celou cestu.

  • 22. 3. 2016 13:56

    Jarda_P

    Hele, polovicka neni zadny pocitacovy geek, ale zvladla to. Zvladli to i jini, kterym jsem to vysvetlil. Je to jen o ochote po nejakou dobu cist hlasky.

  • 22. 3. 2016 14:26

    Lael Ophir (neregistrovaný) ---.kmen.nat.praha12.net

    Nepodléhejte iluzím. Žijeme ve světě, kde uživatelé otevřou v mailu přiložený executable (zvlášť pokud má obsahovat screensaver s nahatou modelkou) a s klidem odklepnou bezpečnostní varování. Někteří si rozbalí ZIP heslem které najdou v textu emailu a spustí executable. Další dostanou email zjevně přeložený pomocí Google Translate, s klidem otevřou link na stránku typu www.csob.whatever.cc/phishing-is-fun a zadají přihlašovací údaje k ebankingu.

  • 22. 3. 2016 14:39

    Jarda_P

    Jo, to mluvite o vasich uzivatelich, jak je MS vychoval. Ze staci klikat a myslet se nemusi, Widle mysli za vas. Takovym od viru pomuze leda tak to, ze jim ustrihnete vsechny kabely od pocitace. Ja mam na mysli uzivatele, kterym jeste zbyl kousek mozku a kteri jsou schopni udrzet pozornost na vysvetleni dele, nez 7 vterin jako zlata rybicka.

  • 22. 3. 2016 16:48

    Lael Ophir (neregistrovaný) ---.kmen.nat.praha12.net

    Tak samozřejmě můžete tvrdit, že by počítače měli používat jen študovaní odborníci a měly by být separátní místnosti, do které si vezmete bílý plášť a galoše. Jenže používání počítačů má veliký přínos hlavně pro populaci bez technických znalostí. Je tedy potřeba přizpůsobit počítače lidem, ne lidi počítačům. Zkuste se zeptat v Microsoftu, Applu a dnes i Googlu, jak se to má dělat. A dokonce ani distra Linuxu nenutí uživatele memorovat se seznamy procesů a portů.

  • 22. 3. 2016 17:37

    Jarda_P

    Tak jiste. Lidi si koupi televizi a k ni si aspon trochu prectou navod. Nicmene kdyz si koupi pocitac, s nepomerne slozitejsim ovladanim, tak maji pocit, ze vedi uplne vsechno.