Выбрать дату в календареВыбрать дату в календаре

1
ESET. Итоги 2013: угрозы и эксплуатация Windows
http://habrahabr.ru/company/eset/blog/209694/
Обнаружен ботнет, состоящий из «умных» телевизоров, медиацентров, ПК и… холодильника
http://habrahabr.ru/post/209704/
Концепция Стратегии Кибербезопасности Российской Федерации
http://habrahabr.ru/post/208762/
Злоумышленники активнее используют Win32/Bicololo
http://habrahabr.ru/company/eset/blog/186642/
Руткиты: проблемы безопасности и тенденции развития
http://habrahabr.ru/company/xakep/blog/186072/
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
Все рассматриваемые настройки находятся в разделе Дополнительные настройки (F5) -> Компьютер -> Системы предотвращения вторжений на узел.

За включение/отключение HIPS отвечает галочка "Включить систему предотвращения вторжений на узел".
За включение самозащиты ESET отвечает галочка "Включить модуль самозащиты Self-defence" (перед удалением/переустановкой продуктов ESET я бы советовал эту галочку снимать).
За включение журнала заблокированных действий (крайне рекомендую включить этот пункт, чтобы можно было отследить поведение HIPS при тех или иных проблемах) отвечает пункт Дополнительные настройки -> "Регистрировать все заблокированные операции".

В качестве Режима фильтрации лучше выбрать или Интерактивный режим (запросы на операции, к которым не созданы правила, будут выдаваться постоянно), или Автоматический режим с правилами (запросов не будет, будут учитываться только ранее созданные правила). Лучше сначала переключиться в Интерактивный режим, создать все необходимые правила для доверенных операций и приложений, а затем переключиться в Автоматический режим с правилами.

Для создания, изменения и удаления правил используется кнопка "Конфигурировать правила".
Далее в появившемся диалоговом окне есть соответствующие кнопки: "Создать", "Изменить", "Удалить".
Для всех создаваемых правил лучше ставить галочку "Уведомить пользователя".

[B]1. Защита файлов (в том числе системных).[/B]
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочки "Удалить файл", "Выполнить запись в файл";
- в списке "Над этими файлами" нажать кнопку "Добавить" и выбрать необходимые файлы или папку для защиты. (При выборе действия "Запросить" рекомендую добавить сразу всю папку Windows\System32. Но советую крайне аккуратно добавлять файлы в этот список при выборе действия "Блокировать": например, из папки Windows\System32 имеет смысл добавить только исполняемые файлы с расширениями .exe, .dll, .bat, .cmd, и по усмотрению другие редактируемые файлы вроде файла Windows\System32\drivers\etc\hosts).
Нажать кнопку "ОК".

[B]2. Защита MBR жесткого диска.[/B]
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочку "Непосредственный доступ к диску".
Нажать кнопку "ОК".

[B]3. Защита системных записей в реестре.[/B]
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные реестр":
- в списке "Операции" включить галочку "Использовать для всех операций";
- в списке "Над этими записями реестра" нажать кнопку "Добавить" и затем поочередно добавить с список следующие пути в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\DataBasePath
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Для блокировки/запроса изменения настроек TCP/IP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Для защиты политики безопасности IP:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec­\*

Для блокировки/запроса записи блокирующих статических маршрутов:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\PersistentRoutes\*

Для блокировки/запроса блокирования запуска ESET через отладчики:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*

Нажать кнопку "ОК".
Изменено: marshal64 - 19.08.2013 20:29:08
Разрабатывается альтернатива антивирусам
20 июня на конференции GigaOm Structure в Сан-Франциско компания Bromium сообщила о создании новой технологии, защищающей компьютер при помощи изолирования подозрительного процесса от ядра операционной системы.
Новинка должна обеспечить решение, противоположное тому, которое используется всеми известными антивирусами.
Технология Bromium, основанная на Bromium Microvisor, использует аппаратные возможности визуализации архитектуры процессора Intel x86, создавая так называемые Micro-VM, которые виртуализируют отдельные процессы, а не всю операционную систему.
По словам технического директора Bromium Саймона Кросби (Simon Crosby), технология разработана в связи с необходимостью защиты системы изнутри. Micro-VM обрабатывает запрос внешнего кода, пытающегося получить доступ к системе. В том случае, если программа заподозрит угрозу, она создает виртуальную среду для загрузки подозрительного файла, ограждая, таким образом, ядро операционной системы от проникновения вредоносного кода.
Разработчики заявляют, что программа работает в фоновом режиме, оставаясь невидимой для пользователя. Уже сегодня производительность продукта такова, что он может создавать до ста Micro-VM в секунду.
Отметим, что при помощи Micro-VM можно защитить огромное количество процессов на компьютере, доступ к сети Интернет, web-транзакции, переход по страницам в браузере, работу программ, а также обработку данных.
«Такой подход позволяет нам гарантировать, что даже если какой-то вредоносный код и попадет в систему, он не сможет причинить значительный вред ядру операционной системы, сторонним пользовательским данным или иным важным элементам программного окружения», — сообщил Кросби.
Он также заявил, что на сегодняшний день Bromium Microvisor состоит из более 100 000 строк программного кода, позволяющего программе работать в фоновом режиме.
Отметим, что пока новинка доступна только на базе процессора Intel x86, перенос продукта на архитектуру ARM планируется в конце текущего года.

Источник: soft.mail.ru
Решение проблем, связанных с настройкой файервола в ESET Smart Security, Файервол, ESET Smart Security
При наличии каких-либо проблем с настройкой соединений и других, связанных с файерволом, проще всего сначала переключиться в Интерактивный режим в разделе Персональный файервол -> Режим фильтрации. После настройки всех необходимых соединений и/или решения имеющихся проблем режим файервола можно вернуть в исходный или изменить на другой более удобный (кроме Автоматического).
Также стоит не забыть снять галочку с Дополнительные настройки -> Игровой режим -> Включить игровой режим.
(Почти все рассматриваемые настройки находятся в разделе Дополнительные настройки (клавиша F5) -> Сеть -> Персональный файервол)

Описание наиболее распространенных проблем.

[B]1. Блокирование подключений какой-либо программы.[/B]
[I]Решение.[/I]
В разделе Персональный файервол -> Режим фильтрации переключиться в Интерактивный режим, сохранить изменения -> Запустить проблемную программу -> Проделать в программе необходимые для подключения действия -> В появившемся окне с запросом на соединение поставить галочку "Запомнить действие (создать правило)" и нажать кнопку "Разрешить".
Либо не меняя режим фильтрации: Правила и зоны -> Редактор зон и правил, нажать кнопку "Настройки..." -> На вкладке "Правила" нажать кнопку "Создать" -> В появившемся диалоговом окне вручную ввести все необходимые данные и нажать кнопку "ОК".

[B]2. Создание правила для программ вида "Запретить все, кроме..."[/B]
[I]Решение.[/I]
В появившемся запросе на соединение нажать "Показать параметры". Для необходимых IP-адресов выбрать "Пользовательское правило", в появившемся окне нажать "ОК".
А далее при запросе с ненужного IP-адреса выбрать поставить галочку "Запомнить действие (создать правило)" и нажать кнопку "Запретить".

[B]3. Блокирование общего доступа к файлам и принтерам в доверенной зоне.[/B]
[I]Решение.[/I]
Дополнительные настройки и IDS -> включить галочку "Разрешить общий доступ к файлам и принтерам в доверенной зоне".

[B]4. Блокирование IPTV.[/B]
[I]Решение.[/I]
Правила и зоны -> Редактор зон и правил, нажать кнопку "Настройки..." -> На вкладке "Правила" нажать кнопку "Создать" -> В появившемся диалоговом окне:
- В поле "Имя" напишите IGMP
- В поле "Направление" выберите "Любое"
- В поле "Действие" выберите "Разрешить"
- В поле "Протокол" нажмите кнопку "Выбрать протокол..." и выберите из списка протокол IGMP (Не перепутайте с ICMP).
После проделанных операций нажмите кнопку "ОК", на вопрос о неточности правила отвечаем "Да".
Далее запускаем программу для просмотра IPTV, в появившемся окне с запросом на соединение поставить галочку "Запомнить действие (создать правило)" и нажать кнопку "Разрешить".

[B]5. Блокирование роутера, домашних групп/сетей и т.п.[/B]
[I]Решение.[/I]
1) Правила и зоны -> Доверенная зона -> Выбрать свою зону(сеть) и выставить "Разрешить общий доступ".
2) Если не помогает, Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку "Блокировать исходящие запросы NETBIOS".
3) Если не помогает, Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку "Блокировать входящие запросы NETBIOS".
4) Если не помогает, Правила и зоны -> Редактор зон и правил -> вкладка Зоны -> Выбрать "Адреса исключены из активной защиты (IDS)" и нажать кнопку "Изменить" -> В появившемся окне на вкладке "Настройка зоны" добавить необходимые IP-адреса.
5) Если вдруг не помогает, выбрать раздел "Дополнительные настройки и IDS".
5.1) Снять галочку "Блокировать небезопасные адреса после обнаружения атаки".
5.2) Если не помогает, снять галочки с "Обнаружение атаки путем подделки записей кэша ARP", "Обнаружение атаки путем подделки записей кэша DNS".
5.3) Если не помогает, снять галочки с "Обнаружение атаки сканирования портов TCP" и "Обнаружение атаки сканирования портов UDP".
5.4) Если не помогает, снять галочку c "Обнаружены скрытые данные в протоколе ICMP".

[B]6. Блокирование запросов из подсети.[/B]
[I]Решение. [/I]
Правила и зоны -> Редактор зон и правил -> вкладка Зоны -> Выбрать нужную зону и нажать кнопку "Изменить" -> Вкладка Аутентификация зоны -> В появившемся окне поставить галочку "Добавление адресов и подсетей этой зоны в доверенную зону".

[B]7. Создание блокировки адреса/адресов.[/B]
[I]Решение. [/I]
Правила и зоны -> Редактор зон и правил, нажать кнопку "Настройки..." -> На вкладке "Правила" нажать кнопку "Создать" -> В появившемся диалоговом окне:
7.1) На вкладке "Общие":
- "Имя" - любое
- В поле "Направление" выберите "Любое"
- В поле "Действие" выберите "Запретить"
- "Протокол" - TCP & UDP.
7.2) Переключиться на вкладку "Удаленный" -> Нажать кнопку "Добавить адрес IPv4/IPv6" -> В появившемся диалоговом окне задать или "Отдельный адрес", или "Диапазон адресов", или "Подсеть".
7.3) Нажать кнопку "ОК".

[B]8. Создание блокировки адреса/адресов для заданной программы.[/B]
[I]Решение. [/I]
Правила и зоны -> Редактор зон и правил, нажать кнопку "Настройки..." -> На вкладке "Правила" нажать кнопку "Создать" -> В появившемся диалоговом окне:
8.1) На вкладке "Общие":
- "Имя" - "Запретить соединение для [имя программы.exe]"
- В поле "Направление" выберите "Любое"
- В поле "Действие" выберите "Запретить"
- "Протокол" - TCP & UDP.
8.2) Переключиться на вкладку "Локальный" -> Нажать кнопку "Обзор" -> Задать путь к нужной программе.
8.3) Переключиться на вкладку "Удаленный" -> Нажать кнопку "Добавить адрес IPv4/IPv6" -> В появившемся диалоговом окне задать или "Отдельный адрес", или "Диапазон адресов", или "Подсеть".
8.4) Нажать кнопку "ОК".

[B]9. Обнаружение атаки путем подделки записей кэша DNS, атаки ICMP (и ряд других атак).[/B]
[I]Решение.[/I]
9.1) Сделать системные логи (например, http://forum.esetnod32.ru/forum9/topic2687/ и/или http://forum.esetnod32.ru/forum9/topic54/). Выложить логи в соответствующем топике. Если после проверки специалиста на форуме угроз не обнаружено, перейти к шагу 9.2.
9.2) Убедиться, что удаленные адреса, с которых идет атака, являются доверенными. Если адрес является доверенным либо в журнале файеровола показывается, что атака идет с адреса маршрутизатора (роутера), то если возможно, отключить сам маршрутизатор (роутер), и если атаки больше не происходят, включив маршрутизатор (роутер), по очереди пробовать пункты 5.4, 5.5.1, 5.5.2.
Если же атаки продолжаются и после отключения маршрутизатора либо адреса, с которых идут атаки, являются недоверенными (неизвестными), то в случае отсутствия каких-либо иных проблем отключить галочку "Дополнительные настройки и IDS" -> "Показывать уведомление при обнаружении атаки".

[B]10. Блокировка синхронизации с сервером времени.[/B]
[I]Решение.[/I]
Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку "Блокировать входящие запросы SSDP (UPNP) для svchost.exe".

[B]Если проблема не решается[/B]
имеет смысл в разделе "Дополнительные настройки и IDS" -> "Решение проблем" выставить галочку "Регистрировать все заблокированные соединения", проделать еще раз указанные выше действия, в основном окне выбрать Служебные программы -> Файлы журнала -> Персональный файервол -> В контекстном меню выбрать "Экспорт", выбрать файл для сохранения журнала и прислать его на форум с описанием проблемы.
Изменено: marshal64 - 18.06.2013 23:52:00
Безопасный режим
Такая проблема вдруг выявилась. Давно не заходил в безопасный режим за ненадобностью, вот, пришлось. И вот что оказалось. Когда пытаюсь войти в любой из профилей в безопасном режиме или безопасном режиме с поддержкой командной строки выдается на буквально секунду диалог "Windows не удалось загрузить локально сохраняемый профиль" и еще что-то дальше. В то же время, если заходить в безопасный режим, с поддержкой сетевых драйверов все нормально.
Мне, конечно, не критичен вид безопасного режима, но все-таки интересно в чем может быть дело.
Сразу скажу, вирусов нет, делать логи не предлагать, все в этом плане чисто, сам спец по таким делам)
Если кто-что знает, то буду рад услышать)
Изменено: marshal64 - 24.08.2010 20:21:21
Skype, Skype и ESS 4.2
Такой то ли вопрос, то ли опрос)
Периодически использую Skype и в разных версиях ESS (Windows Sp2, Sp3) тоже периодически (не часто!) нод вылетает с ошибкой то инициализации файервола, то просто с ошибкой (но, по-видимому, связанной с файерволом).
Подобные случаи встречаются только в моей практике или нет?)
Конфигурация: у файера - интерактивный режим, для Skype - исходящие соединения разрешены, входящие - временно разрешаю. Советов с предоставлением и анализов логов не надо, сам по этому спец, и комп чист)
И второй вопрос-опрос, наверное, больше к специалистам. Насколько потенциально опасны входящие соединения от Skype? Ведь, как многие должны знать, через входящий Skype-траффик проходит не только и не столько предназначенные данному компу звонки, сколько часто соединения других станций. Так что насколько потенциально опасны уязвимости Skype?
1