[Статья] Какой Антивирус/Фаерволл выбрать под Windows?

Discussion in 'Безопасность и Анонимность' started by Cthulchu, 10 May 2015.

  1. Cthulchu

    Cthulchu Elder - Старейшина

    Joined:
    22 Nov 2007
    Messages:
    406
    Likes Received:
    702
    Reputations:
    85
    Дорогой читатель, в этой статье вы не найдете стандартного набора советов от майкрософта, хотя об этом тоже есть смысл написать для тех, кто уверен, что лучше четко следовать готовым правилам, чем думать самостоятельно. Статья была написана для форума айтишников, посему пестрит нелицеприятными терминами и сленгом. Дальше в статье приводится более полезная информация по вопросу. Понимание терминов необязательно, но так легче понять принципы распространения вредоносных программ. давайте мы быстренько опишем некоторые термины для вас:

    ИРЦ - Internet Relay Chat. Протокол обменом информации. Создан для достаточно сложной и гибкой системы чатов. Вот как ирц выглядит у меня:
    [​IMG]

    Трафик - Трафик - это вы. И я. Посетители, иными словами. Другое понятие трафика - сетевой трафик. Фактически, поток бит информации в эфире, или проводах.

    ТДС - система распределения трафика.

    Ключ - ключевое слово, что люди вводят в поиск.

    Малварь/Вирус/Троян - вредоносный код, что выполняется на стороне клиента, не будучи капсулированным в браузер.

    Сплойт/Эксплойт - это код, что эксплуатирует уязвимость програмного обеспечения клиента для получения доступа к целевой системе.

    Связка - скрипт, что определяет какое программное обеспечение на стороне клиента уязвимо к имеющимся в распоряжении эксплойтам и подсовывает правильный эксплойт для правильного клиента. Вот хорошая иллюстрация принципа работы связки (Exploit Pack)
    [​IMG]

    Конверсия/Конверт - общее маркетинговое понятие, которое я в этой статье применил. В маркетинге конверт - это процесс перехода клиента от одного чекпоинта к другому. Финальным же чекпоинтом является финальная конверсия, в следствии которой пользователь совершает покупку, или, в нашем случае, когда бот на компьютере пользователя отстукивается в админку об удаче.

    Конверсионная воронка - это абстрактное маркетинговое понятие. В общих чертах, это этапы, которые помогают достичь конверсии. К примеру: переход с выдачи поиска на сайт; выбор товаров на сайте; нажатие на кнопку оплаты в корзине; ввод платежных данных; оплата. Вот хорошая иллюстрация этого процесса:
    [​IMG]

    Джойнер - софт для склеивания (джойна) преимущественно картинок с исполняемыми файлами, здесь можете посмотреть пример запиливания джойнера латинским коллегой:

    Люди постоянно пользуется антивирусами и фаерволлами, не представляя принцип их работы. А в те редкие случаи, когда человек представляет, как они работают, он не понимает, как работают вирусы, понимание чего весьма важно, не так ли?

    В подавляющем большинстве случаев вирусы распространяются через мусорный трафик. Это трафик, что был собран с мусорных источников, потом длинной цепочкой сконвертирован. Почему источники мусорные? Ну, потому, что человек с IQ чуть выше сотни уже не будет проводить свое время на таких сайтах. Почему это мы только о сайтах. Ну, потому что о почте говорить бессмысленно, об этом орут на каждом углу и мы знаем, как это работает. Верно? Не знаете? Ну вот вам наглядный пример, мы об этом говорить дальше не станем:

    [​IMG]

    Конечная конверсия мусорного трафа - это, как правило, инсталл и отстук трояна на админку. Заполучение машинки в славный ботнетик для дальнейшей эксплуатации. Вот пример схемы ботнета через ИРЦ:

    [​IMG]


    Как именно эксплуатируется бот нам не интересно. Нам интересно откуда траф берется.

    Для начала нужно определиться с тем, как мы хотим конвертить траф. Если это связка (что является ОЧЕНЬ редким случаем в реальной жизни), то мы будем, скорей всего, брать траф с лома и редиректить его на связку эксплойтов, что удивительно быстро (ибо часто автоматически) спалится гуглом и связка заглохнет. Да, можно прятать от гугла связку и тогда она умрет не так быстро, но первые же человеки, что поймут, что сайт похекан - сообщит об этом гуглу и владельцу сайта. Короче, краник прикроется очень быстро.

    Другой принципиальный метод монетизирования мусорного трафла - скачивание. Это метод, которым до сих пор очень многие юные романтики пытаются поднять свой ботнет и наказать кого-то-там, кто их обидел. Оно-то и закономерно, ибо хорошая связка стоит хороших денег, а если ты потратил деньги на связку, то не захочешь юзать какой-то примитивный, паливный публичный бот, даже если заставишь его работать. Ты купишь себе что-то хорошее, а если уже и бот и связка есть, то теперь тебе админка отличная нужна, абузоустойчивая, устойчивая, диверсифицированная... Короче, затраты за затратами. Дорого это, если нету команды профессионалов. А команда, между прочим, штука тоже дорогая :)

    В подавляющем большинстве случаев в сети малварь распространяется через download-траф. То бишь, тот траф, что уже собирается что-то скачать. Спасибо джойнерам, большого значения что именно скачивается не имеет значения, хотя джойнерами мало кто пользуется, народ просто распространяет исполняемые файлы напрямик. Компьютерного образования у людей, что скачивают этот мусор недостаточно, чтобы определить, что файл с названием Khristhina_Aguillera_Tits.jpg.exe - это не картина. Кстати, если в настройках эксплорера поставлена опция скрывать расширения файлов, то имя будет без .exe. До сих пор не знаю, зачем эта опция нужна и кто додумался ее по дефолту включить. Сразу видно отношение МС к своим кастомерам.

    И так, смысл ясен, надеюсь? Даунлоуд-трафу подсовывают то, что ему не нужно под видом того, что ему нужно. Как? Это вот основной вопрос.

    Как подсунуть ищущему то, чего он не искал?

    1. Очевидный выход: найти запрос, по которому чаще всего ищут что-то со словом "скачать" и по нему продвинуть свою малварь.

    Минусы: Надо конкурировать с кем-то за трафик и надо уметь продвигать.
    Плюсы: Дохрена реально ведущегося трафа.

    2. Очевидный выход: похекать ресурс с тематическим трафом и пустить его на бойню.

    Минусы: Надо тратить тонну времени на хек и это быстро палится.
    Плюсы: Простота.

    3. Найти черную трафиковую партнерку/продавца и купить траф.

    Минусы: Дорого, легко быть кинутым, легко получить мусорный траф, непросто найти продавца под малварь.
    Плюсы: Быстро, не надо думать.

    4. Найти низкоконкурентные ключи download-трафа и юзать траф с них.

    Минусы: Надо иметь хакерскую догадку (уметь пользоваться аналитическими отчетами поисковиков), не так много трафа, надо сообразить, какие страницы и сайты двигать по этим запросам.
    Плюсы: Отличный конверт, дешево, сердито.

    5. Найти неконкурентные ключи и эксплуатировать их.

    Вот на последнем пункте мы остановимся подробней, так как именно он является главной частью ключа к вопросу: какой антивирус/фаерволл использовать под виндоус.

    Дело в том, что лучшим методом распостранения малвари по даунлоуд трафику является создание того, чего в природе нету, но на что есть реальный спрос.

    Звучит сложно? Думаете, тяжело найти такие вещи? Траф, что хочет скачать то, чего в природе не существует?

    Ребят, такого трафа охренеть как очень много. Его количество сравнимо с трафом, который ищет то, что уже есть. Наверное, вы плохо представляете числа... Эммм... Ну, навскидку... Да почему навскидку, давайте посмотрим:

    [​IMG]

    Это картина даунлоуд трафа по высокочастоткам.

    На самом деле, его в раз больше, ибо низкочастотка в сумме приносит всегда больше трафа, чем ВЧ в сумме.

    Но мы не об этом, верно?

    Как же найти вещи, которых не существует в природе?

    Да на самом деле, все на виду:

    - Сериалы. Да, берете любой популярный в вашей целевой аудитории сериал и смотрите, какая там новая серия. Потом просто создаете страничку под следующую серию и продвигаете ее. Лучще всего создавать эти странички на сайтах, где нету премодерации и где можно разместить свой файл. Типа многочисленных торрент-треккеров. Некоторые даже собственные треккеры создают для этого дела.
    • Игры, которые еще не вышли. Та же идея.
    • Кряки на игры/софт, на которые кряков нормальных нету.
    • Версии новых фильмов, которых еще нету (HD, DVD, etc)
    • Несуществующие субтитры.
    При таком подходе, у вас практически не уходят ресурсы на сбор даунлоуд трафа, а траф готов качать все, что вы предложите, раз этот траф не понял по первым результатам выдачи, что предмета поиска не существует в природе.

    Оказывается, что таким образом можно дешево получать траф на связку (или еще куда-то, где знают как монетизировать особо бездумных посетителей): Вы же можете цеплять тонны легковедущегося трафа так называемыми фельетонами. Фельетон - это комбикорм для недумающих.

    Короче, цепляющие, явно лгущие заголовки. Некоторые примеры вы можете увидеть у нас в разделе мировых новостей, там народ копирует шлак иногда.

    Чаще всего этот траф есть где монетизировать гораздо прибыльней, чем на сплойтах, ибо такой траф будет покупать всякие несуществующие мануалы, секреты, средства, доступы, пароли, etc.

    Мораль проста.

    Не пытайтесь получить то, чего в природе не существует, будь то файл, или новость.

    Заведите привычку обращать вниамние на косвенные детали сайта:
    • Авторитетен ли сайт: знакомо ли/адекватно ли выглядит доменное имя, перешли ли вы на этот сайт по доверенной ссылке;
    • Нормальная ли верстка и дизайн у сайта (юные хакеры верстать и рисовать не умеют);
    • Очевиден ли метод монетизации сайта: если монетизация сайта неочевидна, а сайт от вас явно чего-то ждет (скачать файл, перейти по ссылке, жмакнуть кнопу), то что-то нехорошо;
    • Совпадает ли метод монетизации сайта с вашей самооценкой? если сайт зарабатывает огромным количеством мусрной рекламы и попапами, то подумайте, кем являетесь вы как посетитель в глазах владельцев. Если вас устраивает то, кем вы являетесь для владельцев, то почему вас не устраивает быть гордым членом чьего-то ботнета?
    • Заведите привычку обращать внимание на адресную строку: если домен в ней меняется, но сайт визуально тот же (или сайта нету), вы в начале черной конверсионной воронки. Или уже не в начале. Иногда так себя ведут связки. и тдски.
    • Развивайте в себе чувство, хорошо описанное в американских мануалах по безопасности: рассчитались бы вы на этом сайте своей кредиткой.
    • Если на сайте есть именно то, что вы искали, но с разными приставками типа "бесплатно", "с плагинами", "кейлоггер", еще что-то, то подумайте, может ли кино, что вы искали иметь кейлоггер.
    Давайте немного разберем последний случай. Как это работает? Очень просто. Хакер ставит примитивный скрипт на сайтик. Задача скрипта - при любом поиске чего-либо на сайте брать поисковый запрос и проверять, есть ли на сайте точно такая же запись. Если записи нету, скрипт создает для этого ключевого запроса новую страницу, на которой уже присутствует несколько ссылок на скачивание разных версий этого поискового запроса с добавлением обозначенных выше фраз. Более того, скрипт анализирует поисковые запросы, по которым на сайт заходят пользователи и делает с ними то же самое. Таким образом имеем динамически растущий, качественный сайт. Задачей зловредителей остается только залить изначальный "контент" на сайт, для чего они просто скармливают список ключей своему скрипту.

    На таких сайтах, как правило, нету рекламы, лишних кнопок. Зачем отвлекать жертву? пусть сразу "качает" что надо. Хотя, автор сего текста несколько раз встречал подобные сайты с рекламой. Реклама была явно слишком старой и непривлекательной, чем сайт и палился.

    Вы должны понимать, что у хакеров и черных сеошников реально нету времени заниматься повышением качества своей работы. А зачем, если оно и так работает? Действительно, смысла мало, так как времени это занимает очень много, а дополнительных конверсий хакеры получат мало, так как основная цель - народ не думающий, или непонимающий. Надеюсь, эта статья позволит кому-то стать думающим и понимающим :)

    Но самое главное, обращайте внимание на косвенные детали и мыслите логически. Особенно, когда к вам обращаются люди, которых вы не знаете, или задают странные вопросы. Кстати, по поводу странных вопросов:
    [spoiler = "Немного о СИ"]
    Запомните, вопрос о кличке вашего домашнего животного, или о вашем любимом блюде - это очень даже подозрительный вопрос, так как ответ на этот вопрос часто является ответом на секретный вопрос для восстановления пароля вашей почты, или доступа к интернет-банкингу. Ваш покорный слуга в детстве так не над одним десятком сайтов надругался (они были плохими, распостраняли спам). Самое забавное, что от этого вас никакой антивирус не спасет.

    Лично я всегда на секретный вопрос ставлю абсолютно рендомный ответ, но в ответ всегда записываю одни и те же слова, которые абсолютно никакого отношения не имеют ни к вопросу ни к существующим словам. Допустим, номер моей первой школы может быть чем-то вроди
    Добрым советом будет сортировать свои пароли по ценности: ценные пароли - это те, вскрытие которых будет вам дорого стоить, к примеру, пароли в банке, пароли к почте; менее ценными паролями будут пароли в интернет-магазины, онлайн-игры, скайп, аська; обязательно заведите себе хотя бы один пароль с низкой стоимостью, чтобы использовать его в сервисах, где вам нечего терять: гостевые форумы, биржи, торрент-треккеры и т.п.

    Причина такой диверсификации паролей в том, что если зловредные человеки сольют базу какой-то айсикью (как когда-то произошло с квипом) и сбрутят ваш хеш, то ни к чему толковому доступ не смогут получить.

    А надо заметить, базы часто сливают. Я знаю случаи взлома и слива баз нескольких форумов только в погоне за одним пользователем.

    Естественно, то же самое касается и секретных вопросов/ответов: если у вас будет один и тот же ответ во всех местах, злоумышленники смогут создать сайтик специально под ваши нужды, где вы зарегистрируетесь и введете пару пароль+вопрос, которые сразу окажутся у злоумышленников. При использовании "дешевых паролей", вы не рискуете.
    Если к вам где-то в Сети обращаются люди, которых вы не знаете, то сначала подумайте, есть ли у вас на этом сайте аккаунт, иными словами, могут ли к вам лично обращаться, или это такая реклама/разводка. Если вы не регистрировались, а только зашли на сайт и у вас кто-то что-то спрашивает, либо вы только зарегистрировались, не проявляли никакой активности и вам пишут - очевидно, что это какой-то бот. Если это для вас не очевидно, то либо тренируйте свое критическое/логическое мышление, либо пользуйтесь таки антивирусом/фаерволлом. Профессионалы советую KISS и Comodo. Я тестил оба, оба отличные решения. У второго еще и антивирус достаточно качественно сделан. Сложней всего обходить.

    Когда качаете торент и у вас нету возможности определить, существует то, что вы думаете вы качаете, или нет, то проверьте дату паблишинга, наличие других раздач, авторитет пользователя, что выложил материал и камменты. Если ничего из перечисленного не внушает доверия, не качайте материал. Думайте: наличие именно того, что вы искали в единственной копии с небольшим количеством сидеров, выложенное совсем недавно, без комментариев и только на одном сайте. Не подозрительно?

    Для тех же, кому труда не составляет думать своей головой и использовать святую логику для значительного упрощения этой жизни новости утешительные: вам не нужен антивирус и фаерволл, если, конечно, вы по роду работы не работаете с малварью, или ваш хост и личность постоянно подвергается направленным атакам, но, кстати, от направленных атак на личность антивирус и фаерволл очень слабо спасает, частично по причинам упомятутым в СИшном спойлере чуть выше.

    Выводы:

    Обычному веб-айтишнику (вебдеву, хекеру, специалисту по ИБ и т.п.) антивирус/фаерволл не нужны вне зависимости от операционки, ибо он умен достаточно, чтобы не вестись. Умен достаточно, чтобы все вышенаписанное ему совершенно искренне казалось очевидными вещами. Тем же виндоус-пользователям, кому было действительно сложно понять о чем речь в статье, можно посоветовать не париться особо с выбором антивируса, ибо у всех топовых антивирусных решений под винду одинаково низкое качество: старую, детскую малварь палить будет подавляющее большинство, а малварь качественную, свеженькую палить не будут долго еще. И стоит помнить, что любая активная защита вроди антивируса/фаерволла забирает ваше бесценное время, так как заставляют вас ждать, пока идет проверка сетевых соединений. Особенно это чувствуется при работе с файловой системой. Конечно, я уже не говорю о потреблении ресурсов вашей системы, а, следовательно, и батарейки девайса.

    Не все так категорично, с другой стороны, вот есть мнение одного пользователя, которое тоже достойно внимания, я его процитирую здесь:
    Кстати, простое избегание скачивания вирусов позволяет вам экономить гораздо больше времени, денег и ресурсов компьютера, чем антивирус, так как когда вы вырабатываете привычку таки смотреть по сторонам в интернете, это перестает занимать время. Вы автоматически будете знать, что находитесь на сайте, который пытается впарить вам что-то.

    Ваш покорный слуга уже лет пять не использует никакие антивирусы и является почетным членом ботнета не имеет никаких проблем :)

    Только год назад случайно скачал с thepiratebay pixel pirates новой версии, которой реально не существовало: в инсталлере был червь. Но он быстро нашелся и убрался руками. И то, если бы я следовал собственным правилам, ничего подобного не произошло бы.

    Спасибо за ваше внимание.

    Буду благодарен за любые комментарии. Особенно ценными будут дополнения и исправления, так как я намерен через какое-то время скопировать статью на несколько других форумов.
     
    #1 Cthulchu, 10 May 2015
    Last edited: 25 May 2015
    nina1987, SaNDER, Chvalov and 6 others like this.
  2. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,654
    Likes Received:
    173
    Reputations:
    75
    Ну с этим не соглашусь, даже как вы говорите умные и опытные люди, тоже допускают ошибки( и не только по пьяни ), поэтому такие вещи, как фаервол и проактивная защита (антивирус точно нафиг не нужен), ну не как не помешают, чтобы лишний раз убедится в том что всё в порядке, это во первых, а во вторых, взять такие программы, как скайп, с одной стороны - это софт которому можно доверять, с другой если посмотреть все его соединения на левые адреса и порты, на которые шлются непонятно какие данные и непонятно зачем, то уже становится муторно, я например не знаю что он шлёт и зачем, но я в фаерволе всё локнул, выставил правила, и теперь пользуюсь им дальше при этом не парясь о его сторонней деятельности, хотя зачем забегать далеко и брать к примеру какой-то софт, возьмём тот-же виндовс, который на крысу тоже бывает, стучит на левые адреса не понято с какой целью, при этом винда лецензионная и это явно не обновления. (береженого бог бережет)
     
    fixerz, Cthulchu, nikp and 1 other person like this.
  3. -=Cerberus=-

    -=Cerberus=- κρυπτός γράφω

    Joined:
    29 Apr 2012
    Messages:
    1,321
    Likes Received:
    915
    Reputations:
    388
    действительно зачем антивирусы)) все же заранее знают редиректит сайт на экплойт пак или нет) ога.... ребята лечитесь электричеством
     
  4. Cthulchu

    Cthulchu Elder - Старейшина

    Joined:
    22 Nov 2007
    Messages:
    406
    Likes Received:
    702
    Reputations:
    85
    qaz, спасибо, добавил ваше мнение себе в пост.
    -=Cerberus=-, РТФМ. Что тебе еще можно сказать.
     
  5. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,469
    Likes Received:
    715
    Reputations:
    742
    Цитирую: "Не пытайтесь получить то, чего в природе не существует, будь то файл, или новость." - кто ищет, тот всегда найдёт.
    Как фан серии The Elder Scrolls, я первый нашёл две книги с небольшой разницей после выхода каждой книги [eng],
    когда рунет занимался активными поисками полного текста для перевода, ибо были только первые отрывки из книг для задора покупателей:
    Code:
    The Elder Scrolls - The Infernal City
    http://rutracker.org/forum/viewtopic.php?t=2963039
    Lord of Souls: An Elder Scrolls Novel
    http://rutracker.org/forum/viewtopic.php?t=3811992
    
    Да, было дело, трафа (халявного) и время (рабочего) много ушло на поиски, но есть закономерность - на запросы поисковики гонят выдачу под местоположение/локаль/етк, лёгкий способ искать в СШП - прикинуться пендосом, или под ту страну - где "может" лежать файл. Есть отдельные хитрости поиска/скачивания контента/новинок по торрентам, оставлю их при себе, только намекну о -> © для размышлений.
     
    _________________________
  6. novator

    novator New Member

    Joined:
    6 Oct 2015
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Береженого бог бережет. Не стоит пренебрегать возможностью подстраховаться. Вопрос только в выборе конкретно продукта. Лучше использовать комплексные системы защиты, а не только антивирус.
     
  7. san-ok

    san-ok New Member

    Joined:
    8 Nov 2015
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Я пользуюсь только утилитами такими как Process Monitor и др. чтобы вирусы исследовать и за тем руками убивать, естественно нужен некий опыт в таких вещах. Также очень рекомендую отключать авторан USB, через эту дыру обычно куча нечести попадает на комп.
     
  8. NataliV

    NataliV New Member

    Joined:
    29 Dec 2015
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Для подстраховки антивирусник не помешает. Однако, как показывает практика некоторые вирусы его прекрасно обходят. Например поймала где-то вирус, который переадресовывал на сайт dota2game.org. Уничтожала обычным Autoruns.
     
Loading...