W dniu 07.05.2023 o 16:41, heby pisze:
> Istota antywirustów tkwi w tym, że chronią przez *znanymi* zagrożeniami.
> Jak trafisz na nieznane, a to znaczna część zagrożeń internetowych w
> momencie wykrycia 0-day,

U mnie Norton informuje ile osób (np. dziesiątki / setki... dziesiątki
tysięcy osób) korzystało z danego pliki (głównie krzyczy przy plikach
wykonywalnych) i informuje KIEDY plik się pojawił po raz pierwszy w
sieci. To już są informacje które mogą mnie powstrzymać przed
uruchomieniem pliku który np. jest nowy i używany tylko przez
kilkanaście osób a więc jest to rodzaj ochrony przed zagrożeniem 0-day.
Takie informacje Norton prezentuje przy próbie uruchomienia aplikacji po
raz pierwszy, zwłaszcza po ściągnięciu z Internetu.

Pliki nie są (chyb) skanowane na moim komputerze tylko badane w bazie
Nortona na podstawie pewnie jakiegoś identyfikatora wyliczanego dla pliku.

Poza tym otrzymuję od Nortona informację jak Norton ocenił zaufanie do
pliku ( np. dobry albo zaufany, niebezpieczny itp).

W zasadzie jeśli plik jest podpisany przez np. nVidię to powinien
dostawać status zaufany z automatu i nie jest potrzebne skanowanie.
Natomiast ja bez Nortona nie jestem w stanie sprawdzać każdego pliku pod
kątem zaufania do podpisu albo ilu użytkowników go używało czy kiedy
pojawił się w sieci.

do góry

On 07/05/2023 20:22, Ravenik wrote:
>> Istota antywirustów tkwi w tym, że chronią przez *znanymi*
>> zagrożeniami. Jak trafisz na nieznane, a to znaczna część zagrożeń
>> internetowych w momencie wykrycia 0-day,
> U mnie Norton informuje ile osób (np. dziesiątki / setki... dziesiątki
> tysięcy osób) korzystało z danego pliki

Mowa była o 0-day w przypadku przeglądarki. Tam nie ma żadnych plików,
zazwyczaj.

> uruchomieniem pliku który np. jest nowy i używany tylko przez
> kilkanaście osób

Wyobraź sobie co miałby powiedziec taki np. programista na takie
"udogodnienie", kiedy tworzy dziesiątki plików wykonywalnych dziennie i
każdy nowy. I nie, to że tworzy u siebie i używa u siebie nic nie
zmienia - takie pliki idą np. na farmy komputerów testujacych, czy do QA.

Wyobraź sobie miliony much^M^M^M^M userów ściągających w nocy nowego
klienta torrenta z automatu upgrade z githuba, który po paru sekundach
jest tak często używanym exe, że Norton nawet nie piśnie, bo milion
much^M^M^M^M userów nie może się mylić.

> Poza tym otrzymuję od Nortona informację jak Norton ocenił zaufanie do
> pliku ( np. dobry albo zaufany, niebezpieczny itp).

A jak ocenił? Masz informacje o algorytmice stosowanej do tej oceny? Czy
ma zielony check lub czerwony krzyżyk i to ma wystarczyć?

Jak ocenić zaufaniość pliku? Albo niebezpieczność?

Tzn ja znam metody, ale same nic nie warte. Co nie zmienia faktu, że
stosowane jako placebo, często bardzo profesjonalne placebo.

> W zasadzie jeśli plik jest podpisany przez np. nVidię to powinien
> dostawać status zaufany z automatu i nie jest potrzebne skanowanie.

To dobrze, bo Microsoft miał swego czasu sporo problemów z podpisanymi
wirusami. I dalej ma:

https://arstechnica.com/information-technology/2022/
12/microsoft-digital-certificates-have-once-again-be
en-abused-to-sign-malware/

> Natomiast ja bez Nortona nie jestem w stanie sprawdzać każdego pliku pod
> kątem zaufania do podpisu albo ilu użytkowników go używało czy kiedy
> pojawił się w sieci.

To dobrze. Dzieki temu masz placebo marudzące o każdej nowej wersji
softu ściąganej z githuba.

Nie wiem czy traktowac to jako narzędzie czy bloatware. Niewątpliwie,
jak każda religia, wymaga ciągłej i niezachwilanej wiary w swą
użyteczność. Stąd różne sztuczki psychologiczne stosowane przez
producentów tego ogrzewacza cpu.

do góry

W dniu 07.05.2023 o 21:02, heby pisze:
> Wyobraź sobie co miałby powiedziec taki np. programista na takie
> "udogodnienie", kiedy tworzy dziesiątki plików wykonywalnych dziennie i
> każdy nowy. I nie, to że tworzy u siebie i używa u siebie nic nie
> zmienia - takie pliki idą np. na farmy komputerów testujacych, czy do QA.
>

Tu wystarczy gdyby programista podpisywał pliki a antywirus mógłby
sprawdzać kto podpisał. Nawet nie musiałoby być podpisywanie jakimś
ogólnie zaufanym certyfikatem tylko wygenerowanym w firmie.


>> Poza tym otrzymuję od Nortona informację jak Norton ocenił zaufanie do
>> pliku ( np. dobry albo zaufany, niebezpieczny itp).
>
> A jak ocenił? Masz informacje o algorytmice stosowanej do tej oceny? Czy
> ma zielony check lub czerwony krzyżyk i to ma wystarczyć?

Jest kilka poziomów oceny. Podejrzewam że pliki "zaufane" są wydane
przez znanych developerów np. nVidię. Mogą być np. podpisywane przez
nVidię (strzelam bo tego nie wiem)

>
> Jak ocenić zaufaniość pliku? Albo niebezpieczność?
>
> Tzn ja znam metody, ale same nic nie warte. Co nie zmienia faktu, że
> stosowane jako placebo, często bardzo profesjonalne placebo.
>
>> W zasadzie jeśli plik jest podpisany przez np. nVidię to powinien
>> dostawać status zaufany z automatu i nie jest potrzebne skanowanie.
>
> To dobrze, bo Microsoft miał swego czasu sporo problemów z podpisanymi
> wirusami. I dalej ma:
>
> https://arstechnica.com/information-technology/2022/
12/microsoft-digital-certificates-have-once-again-be
en-abused-to-sign-malware/

Zaraz poczytam


>> Natomiast ja bez Nortona nie jestem w stanie sprawdzać każdego pliku
>> pod kątem zaufania do podpisu albo ilu użytkowników go używało czy
>> kiedy pojawił się w sieci.
>
> To dobrze. Dzieki temu masz placebo marudzące o każdej nowej wersji
> softu ściąganej z githuba.
>
> Nie wiem czy traktowac to jako narzędzie czy bloatware. Niewątpliwie,
> jak każda religia, wymaga ciągłej i niezachwilanej wiary w swą
> użyteczność. Stąd różne sztuczki psychologiczne stosowane przez
> producentów tego ogrzewacza cpu.

Nie udawaj. Data pojawienia się w sieci, liczba użytkowników, nazwy
developerów, ocena Nortona to są już jakieś konkretne informacje. Może
jakbym korzystał z githuba o którym piszesz to miałbym inne zdanie, ale
do moich zastosowań Norton się nadaje. Już kilka plików pobranych z www
Norton z automatu rozpoznał jako niebezpieczne a inaczej może bym je
uruchomił. Ogólnie staram się używać popularnych programów, ale czasem
trafi się jakiś ru.efi czy inne mało znane a akurat potrzebne narzędzie.

do góry

W dniu 07.05.2023 o 21:02, heby pisze:
> To dobrze, bo Microsoft miał swego czasu sporo problemów z podpisanymi
> wirusami. I dalej ma:
>
> https://arstechnica.com/information-technology/2022/
12/microsoft-digital-certificates-have-once-again-be
en-abused-to-sign-malware/

Nie będę udawał że przeczytałem każdą linijkę tego artykułu, ale
zrozumiałem że zostały podpisane pliki które były niebezpieczne. Nie
jestem specjalistą od bezpieczeństwa więc z mojego punktu widzenia mogę
tylko napisać że "wypadki" się zdarzają, ale trzeba je eliminować.

do góry

On Sunday, May 7, 2023 at 1:22:41 p.m. UTC-5, Ravenik wrote:
> W dniu 07.05.2023 o 16:41, heby pisze:
> > Istota antywirustów tkwi w tym, że chronią przez *znanymi* zagrożeniami.
> > Jak trafisz na nieznane, a to znaczna część zagrożeń internetowych w
> > momencie wykrycia 0-day,
> U mnie Norton informuje ile osób (np. dziesiątki / setki... dziesiątki
> tysięcy osób) korzystało z danego pliki (głównie krzyczy przy plikach
> wykonywalnych) i informuje KIEDY plik się pojawił po raz pierwszy w
> sieci. To już są informacje które mogą mnie powstrzymać przed
> uruchomieniem pliku który np. jest nowy i używany tylko przez
> kilkanaście osób a więc jest to rodzaj ochrony przed zagrożeniem 0-day.

To dosyc slaba strategia. W ten sposob mozesz nie byc w stanie uzyc czegos niszowego.
No i jak malware jest subtelne i zarazi najpierw duzo ludzi aby sie obudzic po 3
miesiacach to tez ucierpisz.

> Takie informacje Norton prezentuje przy próbie uruchomienia aplikacji po
> raz pierwszy, zwłaszcza po ściągnięciu z Internetu.
>
> Pliki nie są (chyb) skanowane na moim komputerze tylko badane w bazie
> Nortona na podstawie pewnie jakiegoś identyfikatora wyliczanego dla pliku.
>

Jesli nie skanuje kodu heurystycznie to nie za dobrze. Obstawiam ze jednak skanuje
ale sposob w jaki o tym wszystkim piszesz
sprawia ze twoja strategia wyglada na niezbyt sensowna.

> Poza tym otrzymuję od Nortona informację jak Norton ocenił zaufanie do
> pliku ( np. dobry albo zaufany, niebezpieczny itp).
>
> W zasadzie jeśli plik jest podpisany przez np. nVidię to powinien
> dostawać status zaufany z automatu i nie jest potrzebne skanowanie.
> Natomiast ja bez Nortona nie jestem w stanie sprawdzać każdego pliku pod
> kątem zaufania do podpisu albo ilu użytkowników go używało czy kiedy
> pojawił się w sieci.

do góry

On Sunday, May 7, 2023 at 3:37:41 p.m. UTC-5, Ravenik wrote:
> W dniu 07.05.2023 o 21:02, heby pisze:
> > To dobrze, bo Microsoft miał swego czasu sporo problemów z podpisanymi
> > wirusami. I dalej ma:
> >
> > https://arstechnica.com/information-technology/2022/
12/microsoft-digital-certificates-have-once-again-be
en-abused-to-sign-malware/
> Nie będę udawał że przeczytałem każdą linijkę tego artykułu, ale
> zrozumiałem że zostały podpisane pliki które były niebezpieczne. Nie
> jestem specjalistą od bezpieczeństwa więc z mojego punktu widzenia mogę
> tylko napisać że "wypadki" się zdarzają, ale trzeba je eliminować.

Skomentuje tutaj:
Kiedys defender byl pascia nad dziadostwami.
Ostatnio dosyc dobrze ogarnia temat i raczej nie widzi sie masowych wlamow czy atakow
malware.
I stosuje techniki uznane od zawsze w tym kawalku IT.
Ogolnie ostatnio nie widuje dodatkowych antywirusow poza defenderem na wielu
systemach jakie odwiedzam.
Przyczepic bym sie moze mogl do tego ze nie jest lekki. Ale za to nie robi cudow z
rozbieraniem https i podkladaniem swoich certyfikatow.
To w kontekscie weba moze byc wada.

do góry

On 07/05/2023 22:26, Ravenik wrote:
> Tu wystarczy gdyby programista podpisywał pliki

Czym?

> a antywirus mógłby
> sprawdzać kto podpisał. Nawet nie musiałoby być podpisywanie jakimś
> ogólnie zaufanym certyfikatem tylko wygenerowanym w firmie.

Po co? Programista robi czasami dziesiątki plików wykonywalnych i dllek
w jednej kompilacji. Ma podpisywać wszystkie? A po co? Żeby jakiś głupi
program po drugiej stronie pozwolił na normalną pracę?

>> A jak ocenił? Masz informacje o algorytmice stosowanej do tej oceny?
>> Czy ma zielony check lub czerwony krzyżyk i to ma wystarczyć?
> Jest kilka poziomów oceny. Podejrzewam że pliki "zaufane" są wydane
> przez znanych developerów np. nVidię. Mogą być np. podpisywane przez
> nVidię (strzelam bo tego nie wiem)

To bieda.

Plików exe/dll nie podpisanych przez wielkie firmy jest o wiele więcej.
I nie są wcale groźne.

>> Nie wiem czy traktowac to jako narzędzie czy bloatware. Niewątpliwie,
>> jak każda religia, wymaga ciągłej i niezachwilanej wiary w swą
>> użyteczność. Stąd różne sztuczki psychologiczne stosowane przez
>> producentów tego ogrzewacza cpu.
> Nie udawaj.

Czego?

> Data pojawienia się w sieci, liczba użytkowników, nazwy
> developerów, ocena Nortona to są już jakieś konkretne informacje.

Nie, to tylko szum, z resztą dość łatwy do fałszowania.

> Może
> jakbym korzystał z githuba o którym piszesz to miałbym inne zdanie

Korzystasz, tylko o tym nie wiesz lub nie zauważyłeś. Prawie cały ruch
opensource przechodzi przez githubowe strony, gdzie nikt niczego nie
podpisuje.

>, ale
> do moich zastosowań Norton się nadaje. Już kilka plików pobranych z www
> Norton z automatu rozpoznał jako niebezpieczne a inaczej może bym je
> uruchomił.

A były niebezpieczne? Skąd wiesz, że to nie była ściema?

> Ogólnie staram się używać popularnych programów, ale czasem
> trafi się jakiś ru.efi czy inne mało znane a akurat potrzebne narzędzie.

I co wtedy? Olewasz Nortona z jego szklaną kulą i heurystyką zgadującą?

do góry

W dniu 08.05.2023 o 15:12, ptoki (ptoki) pisze:
> On Sunday, May 7, 2023 at 3:37:41 p.m. UTC-5, Ravenik wrote:
>> W dniu 07.05.2023 o 21:02, heby pisze:
>>> To dobrze, bo Microsoft miał swego czasu sporo problemów z podpisanymi
>>> wirusami. I dalej ma:
>>>
>>> https://arstechnica.com/information-technology/2022/
12/microsoft-digital-certificates-have-once-again-be
en-abused-to-sign-malware/
>> Nie będę udawał że przeczytałem każdą linijkę tego artykułu, ale
>> zrozumiałem że zostały podpisane pliki które były niebezpieczne. Nie
>> jestem specjalistą od bezpieczeństwa więc z mojego punktu widzenia mogę
>> tylko napisać że "wypadki" się zdarzają, ale trzeba je eliminować.
>
> Skomentuje tutaj:
> Kiedys defender byl pascia nad dziadostwami.
> Ostatnio dosyc dobrze ogarnia temat i raczej nie widzi sie masowych wlamow czy
atakow malware.
> I stosuje techniki uznane od zawsze w tym kawalku IT.
> Ogolnie ostatnio nie widuje dodatkowych antywirusow poza defenderem na wielu
systemach jakie odwiedzam.
> Przyczepic bym sie moze mogl do tego ze nie jest lekki. Ale za to nie robi cudow z
rozbieraniem https i podkladaniem swoich certyfikatow.
> To w kontekscie weba moze byc wada.
Dlaczego Defender blokuje dobre , sprawdzone programy? Windosowsowi się
nie podobają?

--
animka

do góry

W dniu 07.05.2023 o 16:41, heby pisze:
> On 03/05/2023 18:49, Trybun wrote:
>>> Trudno o alternatywy. Z antywirusami jest jak z religią. Z braku
>>> cudów wymagane jest bezustanne placebo aby podtrzymać wiarę.
>> Gdyby patrzeć poprzez pryzmat windowsowego Defendera to i owszem -
>> pozostaje wiara że działa i potrafi przed czymś ochronić.
>
> Albo opinie ekspertów zamiast wiedzy wyssanej z palca, któzy zajmują
> się sprawdzaniem skutecznosci antywirusów. Defender wypada całkime
> nieźle.

Większość tzw ekspertów wydaje ekspertyzy sponsorowane.

>
>> W użytkowaniu i w odróżnieniu od Nortona nie sposób zauważyć czy on w
>> ogóle działa.
>
> Czy czyni to z niego gorsze narzędzie czy lepsze?

Bardziej wiarygodne.

>
>> Jeszcze nie widziałem jego komunikatu z ostrzeżeniem.
>
> Ja zaś cała masę.

Moje gratulacje.

>
>> Ale Norton skanuje i czasem coś znajduje
>
> "coś" w przypadku antywirusów to całkiem niezła nazwa.
>
> Wszystkie engine antywirusów miały i mają wpadki, które "wykrywały"
> wirusy w postaci konkretnego ciągu znaków w dowolnym pliku, w tym
> tekstowym, drąc ryja na cały fullscreen o straszliwych wirusach.

No, akurat nie mi rozstrzygać czy jest to fałszywy alarm czy nie.

>
>> , także ostrzega przed włażeniem na niebezpieczne strony, a Defender
>> jak dotychczas w tym zakresie milczy jak grób.
>
> Zdefiniuj co to "niebezpieczna" strona. Nadgorliwośc detektowania tego
> pojęcia przez antywirusy zawsze mnie zaskakiwała.
>
> Ogólnie "niebezpieczna strona" to nie problem antywirusa a
> przeglądarki. I w dodatku, większośc "problemów" wirusowych ze
> stronami to 0-day, czyli daleko poza zasięgiem typowego antywirusa.
> Zanim ściągnie aktualizację, twój komputer będzie zhackowany 40 razy.
>
> Istota antywirustów tkwi w tym, że chronią przez *znanymi*
> zagrożeniami. Jak trafisz na nieznane, a to znaczna część zagrożeń
> internetowych w momencie wykrycia 0-day, jedynym celem antywirusa jest
> podgrzewanie otoczenia pracującym CPU i dyskiem. Hackerzy są zawsze o
> krok do przodu a antywirusy o krok do tyłu.
>

Ale nie ma tego aż tak wiele, kto sądzi że Norton na co drugiej stronie
www widzi zagrożenie to jest w błędzie. od czasu do czasu ostrzega i to
prawidłowe bo w internecie są miejsca gdzie lepiej nie zaglądać.
Natomiast coś wybitnie nienormalnego jest w tym że windowsowy Defender
nie widzi takich stron.

do góry

On 11/05/2023 07:42, Trybun wrote:
>> Albo opinie ekspertów zamiast wiedzy wyssanej z palca, któzy zajmują
>> się sprawdzaniem skutecznosci antywirusów. Defender wypada całkime
>> nieźle.
> Większość tzw ekspertów wydaje ekspertyzy sponsorowane.

Taka opinia to wstęp do schizofrenii.

>>> W użytkowaniu i w odróżnieniu od Nortona nie sposób zauważyć czy on w
>>> ogóle działa.
>> Czy czyni to z niego gorsze narzędzie czy lepsze?
> Bardziej wiarygodne.

Więc poproś ChatGPT o to, aby napisał Ci prosty program do migania diodą
dysku. To chwilka, i będziesz miał "wiarygodne" narzędzie, robiące to
samo, co komercyjne.

>>> Ale Norton skanuje i czasem coś znajduje
>> "coś" w przypadku antywirusów to całkiem niezła nazwa.
>> Wszystkie engine antywirusów miały i mają wpadki, które "wykrywały"
>> wirusy w postaci konkretnego ciągu znaków w dowolnym pliku, w tym
>> tekstowym, drąc ryja na cały fullscreen o straszliwych wirusach.
> No, akurat nie mi rozstrzygać czy jest to fałszywy alarm czy nie.

Innymi słowy wyrzucisz listę zakupów do żony, bo zawierała ciąg znaków
"lek przeciwwirusowy" a norton na wszelki wypadek uznał go za wirusa ba
zawiera "wirus" w nazwie?

Czekaj: czy chcesz powiedzieć, że odwalasz robotę antywirusa, ręcznie,
segregując zagrożenia? Płacisz za miganie diodą dysku?

>> Istota antywirustów tkwi w tym, że chronią przez *znanymi*
>> zagrożeniami. Jak trafisz na nieznane, a to znaczna część zagrożeń
>> internetowych w momencie wykrycia 0-day, jedynym celem antywirusa jest
>> podgrzewanie otoczenia pracującym CPU i dyskiem. Hackerzy są zawsze o
>> krok do przodu a antywirusy o krok do tyłu.
> Ale nie ma tego aż tak wiele

Nie ma wiele zagrożeń w www? Hmm... ja bym się zastanowił wobec tego,
czy antywirus musi być super wypasiony. Może darmowy styknie, skoro ich
wiele nie ma.

>, kto sądzi że Norton na co drugiej stronie
> www widzi zagrożenie to jest w błędzie. od czasu do czasu ostrzega i to
> prawidłowe bo w internecie są miejsca gdzie lepiej nie zaglądać.

Tak, wielokrotnie ostrzegał mnie przed forami z emulatorami, szczegónie
dla programistów. To jedna z kilku przyczyn, dla której go nie używam,
jest tępy i nie odróżnia pistoletu od pluszowego nożna, czyli ma poziom
pojmowania jak przeciętny prokurator - lepiej wsadzić, a potem się
zapyta eksperta sądowego (tu: frajera przed monitorem).

> Natomiast coś wybitnie nienormalnego jest w tym że windowsowy Defender
> nie widzi takich stron.

Albo nie traktuje ich jako zagrożenie. Tak jak ja nie traktuje jako
zagrożenie rozmowy o pluszowych nożach.

Norton, podobnie jak wszystkie inne antywirusy bazuje na zaożeniu
"ponieważ nie potrafimy odnaleźć wszystkich zagrożeń, to na wszelki
wypadek pokażemy mu wszystko, najwyżej będzie jego wina".

do góry