Question:
Alternatives à l'antivirus pour se protéger
delacroix
2018-03-26 06:49:53 UTC
view on stackexchange narkive permalink

J'ai lu de nombreux articles qui expliquent à quel point il est moins sûr d'utiliser un AV que de ne pas en avoir pour les utilisateurs de PC intermédiaires qui font attention à ce qu'ils cliquent et téléchargent.

Par exemple, ici sont quelques articles:

J'ai aussi lu cela lorsqu'un AV scanne automatiquement un fichier exécutable que vous venez de télécharger, le pirate pourrait potentiellement abuser d'une vulnérabilité dans l'analyse antivirus et la faire exécuter sans que vous ne l'exécutiez jamais. En plus de cela, vous devez toujours faire confiance à l'AV qui a accès au noyau à votre PC et intercepte le trafic réseau pour vous et recueille peut-être même des données sur des choses que vous ne savez pas.

Alors je Je me demandais quelles seraient les meilleures façons de protéger mon PC sans avoir recours à un logiciel audiovisuel lourd et automatique? Je peux penser à quelques choses jusqu'à présent (mais cela serait-il plus sûr de faire ces choses que d'avoir un AV?):

  • Utiliser des extensions comme AdBlock et NoScript / ScriptSafe pour que le code malveillant ne puisse pas secrètement exécuter.
  • Surveiller le trafic réseau sur votre PC de temps en temps pour vérifier tout élément suspect.
  • Utiliser un outil comme AutoRuns chaque semaine pour rechercher les entrées de démarrage suspectes.
EMET peut être une bonne idée.
@forest Merci, apparemment ces fonctionnalités sont déjà activées par défaut sur Win10.
La majorité d'entre eux le sont, oui.Je crois que certains autres peuvent être activés via les paramètres de registre.
N'utilisez pas AdBlock si vous voulez être en sécurité et ne voulez pas être espionné.Utilisez plutôt uBlock Origin.
@RubbelDieKatz Pourquoi AdBlock est-il mauvais?
@Rekovni Ce n'est pas forcément mauvais, mais uBlock Origin est meilleur.AdBlock Plus avait l'habitude de mettre sur liste blanche des publicités spécifiques par défaut et appartient à une société de publicité afaik.Je ne connais pas grand-chose à l'extension AdBlock.J'utilise uBlock Origin avec Poper Blocker depuis des années maintenant et je vois rarement des publicités.En outre, uBlock Origin est plus efficace en mémoire que la plupart des autres bloqueurs.
Vos deux seconds points: «Surveiller le trafic réseau» et «Utiliser un outil comme AutoRuns chaque semaine» - ne vous aideront pas à rester en sécurité, car ils ne susciteront de suspicion qu'une fois que vous avez déjà été infecté.Ce sont aussi des processus manuels - qui prennent du temps - et auront donc tendance à être «reportés» ou complètement oubliés.
Je suis dans l'approche du «rien» depuis 5 ans sans avoir remarqué aucun compromis.Bien entendu, l'absence de preuve n'est pas une preuve d'absence.Exécution de Windows 7 avec tout sauf le strict minimum nécessaire pour garder l'ordinateur en marche supprimé via NTLite.Pas de services inutiles, pas de programmes auxquels je ne fais pas confiance à 100% ou dont je connais l'auteur.Scripts du navigateur désactivés, aucun élément tel que Shockwave n'est installé.Pour toutes les apparences (pour ce que ça vaut) cela fonctionne "très bien", et l'ordinateur est d'env.30% plus rapide dans l'ensemble qu'un ordinateur équipé d'un logiciel audiovisuel.
@Damon 30% plus rapide?Quel genre de benchmarks avez-vous exécuté pour déterminer cette valeur?
@Rekovni également ublock est open source :)
@Damon 30% plus rapide?Vous vous moquez de moi?Cela signifierait que tout AV, ou dans votre argument, également tous les services exécutés sur le PC devraient en moyenne un peu plus de 23% d'utilisation des ressources à tout moment.Jetons un coup d'œil à cette machine Windows 7 sur laquelle je suis en ce moment: l'utilisation du processeur saute entre 0% et 1% près de 6 Go (environ 75% de ma RAM) est disponible, l'accès au disque est négligeable.Où trouvez-vous vos chiffres?
@Baldrickk: C'est une fausse conclusion.AV aspire en effet le processeur tout le temps, mais pas plus de peut-être 3-4% de la charge.Cependant, cela prend un temps très, très important en scannant les images lors de leur chargement, en ajoutant des indirections supplémentaires sur plus ou moins toutes les fonctions API importantes à mi-chemin (à _très_ des fonctions non triviales qui effectuent des "vérifications supplémentaires" ainsi que des heuristiques sur des combinaisons desyscalls et autres) et désactivant efficacement les optimisations de mémoire, tout comme le font les packers exécutables.De plus, l'écoute électronique de tout le trafic IP, plus, plus, plus.Je peux comparer du matériel identique ...
... ici sur mon bureau (pas d'AV, pas de services inutiles) et chez mon père (qui a 75 ans, donc faire des acrobaties sans "filet de sécurité" n'est pas son truc) - configuration standard, services standard et AV -, et bien sûr, il y a une différence très notable dans pratiquement tout ce que vous faites, ce qui est environ "un tiers" plus rapide sur la machine nue.Cela pourrait être une différence de 27 ou 31%, ne me définissez pas sur un pourcentage exact.Mais c'est certainement quelque chose dans ce stade.
@Damon donc vous avez des repères alors?ce n'est pas dû à la fragmentation du disque ou à quelque chose comme ça?Ou par "numériser des images lors de leur chargement", voulez-vous dire mettre la carte mémoire de votre appareil photo dans votre PC?
@Baldrickk J'ai mesuré une accélération de 1:30 min par rapport à 4 min dans la reconstruction complète d'un projet logiciel un peu plus grand lors du basculement entre AV activé et désactivé.
@aventurin Était-ce un test approprié, vider les caches entre les utilisations?Bien qu'un AV puisse certainement ralentir IO en accrochant autant de fonctions courantes, 1h30 à 4 minutes semble un peu excessive.Soit l'AV est astronomiquement lent, soit quelque chose d'autre accélère votre test AVless.
Dix réponses:
forest
2018-03-26 08:08:19 UTC
view on stackexchange narkive permalink

L'antivirus est plus dangereux en ce qu'il analyse les données complexes contrôlées par les attaquants dans un contexte hautement privilégié. C'est une recette pour les exploits d'escalade de privilèges. En conséquence, les attaquants sophistiqués peuvent souvent abuser des programmes antivirus pour obtenir les privilèges SYSTEM. Ce n'est pas un événement rare ou un problème qui ne concerne que les ennemis d'un gouvernement puissant. Les logiciels audiovisuels sont criblés de vulnérabilités d'escalade de privilèges. Un rapide coup d'œil à la gravité des vulnérabilités dans la liste CVE de tout logiciel populaire vous donnera au moins un petit aperçu de l'étendue du problème.

Considérez votre menace model

Il est nécessaire de comprendre votre propre modèle de menace. La situation d'une personne peut dicter que l'AV est nuisible, tandis que la situation d'une autre personne peut dicter qu'elle est bénéfique. Être capable de comprendre les risques qui s'appliquent à vous et aux adversaires que vous avez est essentiel pour pouvoir prendre des décisions liées à la sécurité, en particulier celles qui ne sont pas nécessairement noires et blanches.

L'AV peut être utile dans les situations où:

  • L'ordinateur est utilisé par quelqu'un qui peut facilement être trompé en installant des logiciels malveillants.

  • L'ordinateur traitera les données soumises par l'utilisateur qui pourraient être redistribuées à d'autres.

  • Vous téléchargez de nombreux programmes non fiables, tels que warez.

AV peut être dangereux dans les situations où:

  • Votre adversaire est au moins modérément sophistiqué ou vous cible en particulier.

  • Vous êtes le seul utilisateur de votre ordinateur et ne téléchargez pas de programmes non signés.

  • Vous gardez votre logiciel à jour et vous ne vous attendez pas à ce que les gens vous brûlent 0 jours.

Votre modèle de menace détermine si vous devez ou non utiliser un logiciel audiovisuel. Ma suggestion personnelle , en supposant que vous n'allez pas télécharger des écrans de veille Dolphin aléatoires et que vous maintenez votre logiciel à jour, est que vous souhaiterez peut-être utiliser un programme simple par défaut tel que Windows Defender, et n'utiliser que lorsque vous en avez explicitement besoin. Chaque fois que vous lui demandez d'analyser le disque dur, vous mettez toute votre foi en lui pour ne pas être compromis par des logiciels malveillants spécialement conçus sur lesquels il pourrait tomber. Si à la place vous l'utilisez pour cibler des programmes spécifiques que vous téléchargez avant de les exécuter, vous réduisez considérablement les risques.

Appliquer la signature de code

Il serait préférable que vous n'ayez pas besoin de téléchargez des logiciels non approuvés et utilisez à la place des exécutables signés de confiance provenant de sources officielles uniquement. Ceci est particulièrement important pour les fichiers qui souhaitent être exécutés en tant qu'administrateur, car ceux-ci sont les plus susceptibles d'endommager votre installation. Assurez-vous qu'ils sont signés! Ne supposez jamais que votre propre volonté est suffisante pour vous empêcher de faire des erreurs lors de l'exécution d'un nouveau programme. C'est ce sur quoi les développeurs de chevaux de Troie comptent!

Afin de réduire davantage le risque d'exécuter accidentellement un exécutable non signé ou non digne de confiance, vous pouvez configurer votre politique de sécurité de telle sorte que les exécutables non signés ne peut pas être exécuté. Cela garantira que tout logiciel malveillant devra avoir une signature valide, signée par une autorité de certification de confiance. S'il est évidemment possible de faire signer un fichier malveillant, c'est beaucoup plus difficile et aura tendance à être plus problématique si vous êtes une cible spécifique et pas seulement une victime opportuniste.

Si vous restreignez davantage la politique de sorte que seuls les exécutables signés par Microsoft eux-mêmes (et pas seulement une autorité de certification en laquelle Microsoft fait confiance), vous pouvez éliminer efficacement toute possibilité d'infection par un cheval de Troie. La seule façon de faire exécuter un programme dans ce cas serait d'exploiter un 0day dans le système d'exploitation ou de compromettre les clés de signature internes de Microsoft (ces deux éléments relèvent des capacités des acteurs avancés parrainés par l'État). Cela peut aider à éviter les cas rares (mais pas inexistants) où du code malveillant se glisse dans les référentiels d'un développeur de confiance.

Renforcement du système

Activé systèmes antérieurs à Windows 10, vous pouvez utiliser Enhanced Mitigation Experience Toolkit (EMET) pour améliorer la sécurité du système sans augmenter de manière significative la surface d'attaque, mais notez qu'EMET ne recevra pas de mises à jour pendant beaucoup plus longtemps. EMET fonctionne en injectant aux processus un code qui les renforce contre l'exploitation, augmentant les chances qu'une tentative d'exploitation fasse planter l'application ciblée plutôt que d'être exploitée avec succès. Si vous utilisez Windows 10, la plupart de ces fonctionnalités de sécurité seront nativement présentes. Cela en fait la version de Windows la plus sécurisée à ce jour, malgré les problèmes de confidentialité potentiellement problématiques qu'elle peut avoir.

Vous pouvez également désactiver les services inutiles (en particulier les services réseau, tels que ceux exploités par EternalBlue), utilisez AppLocker et lisez les guides de sécurité fournis par Microsoft pour vous permettre d'améliorer encore la sécurité de votre système. Le sujet du renforcement du système est vaste.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/75197/discussion-on-answer-by-forest-alternatives-to-anti-virus-for-keeping-oneself-sa).
Un autre problème avec les logiciels audiovisuels est que pour surveiller les communications Web cryptées, ils effectuent essentiellement une attaque MITM contre le navigateur, et souvent ils le font assez mal, de sorte que la connexion résultante est beaucoup plus faible que celle d'origine.
En passant, pour les utilisateurs expérimentés, il vaut la peine d'envisager d'utiliser des machines virtuelles pour isoler différents cas d'utilisation.Par exemple, j'ai trois machines virtuelles que j'utilise régulièrement: une pour le travail normal (aucun AV installé), une pour tester des logiciels non approuvés (utilise AV en ligne pour analyser les fichiers avant exécution) et une avec un programme AV local qui est utilisé pour exécuter des analyses deles deux autres.
keithRozario
2018-03-26 07:39:39 UTC
view on stackexchange narkive permalink

C'est plus une opinion que des faits, mais la réponse est un "Peut-être!".

Limitons notre champ d'application à Windows pendant un moment, car c'est le plus grand marché antivirus du moment.

Windows Defender (le Microsoft AV par défaut) est plutôt bon; Windows Defender protège contre la plupart des menaces (mais pas toutes!). Mais voici la chose: aucun AV ne protège contre toutes les menaces. Vous devez toujours faire appel au bon sens et à d’autres protections.

Ce genre d'absurdité ne viendra probablement pas de Windows Defender, car ils peuvent tester leur système d'exploitation avec leur AV et s'assurer que tout fonctionne (espérons-le!).

L'utilisation de Windows Defender n'est pas une solution définitive, vous devriez quand même:

  1. SAUVEGARDER, SAUVEGARDER, et j'ai oublié de vous dire de RETOUR UP! Les ransomwares sont encore assez courants, et avoir une bonne stratégie de sauvegarde est le seul véritable moyen d'éviter d'être une victime. Sauvegardez vers un emplacement hors site et un autre avec gestion des versions: j'utilise Dropbox! Faites-le correctement pour que le ransomware ne crypte pas non plus vos sauvegardes.

  2. Assurez-vous que votre logiciel est à jour et n'installez pas trop de déchets. Plus il y a d'applications sur votre machine, plus l'une d'entre elles risque de se gâter. Actualisez Windows dès que vous obtenez votre ordinateur portable, supprimez tous les bloatwares et assurez-vous que tout ce que vous téléchargez est mis à jour automatiquement. Ne pas télécharger de logiciels de fournisseurs douteux est un bon début.

  3. Utilisez NoScript / Ad Blocker pour votre navigateur, les crypto-mineurs qui fonctionnent avec Javascript ne gagnent pas autant d'argent que prévu, mais ils sont toujours là.

  4. EMET serait bien, et donc pour Windows Defender.

  5. Ai-je mentionné la sauvegarde!

  6. Utilisez un utilisateur non-administrateur par défaut: créez un utilisateur non-administrateur distinct et utilisez-le pour une utilisation quotidienne.

Pour être absolument sûr cependant - déconnectez votre ordinateur d'Internet et cachez-vous dans une grotte! :)

Les crypto-mineurs sont relativement bénins par rapport à d'autres problèmes qui peuvent survenir avec Javascript, tels que la façon dont les minuteries de haute précision ont involontairement permis de profiter de Meltdown.
@JAB Et c'est pourquoi les gens devraient désactiver JIT!Sans JIT, le seul moyen d'obtenir un minuteur de haute précision est d'utiliser les API appropriées, que certains navigateurs ont maintenant rendues plus granulaires.Avec JIT, une boucle à grande vitesse dans le code machine peut s'exécuter pour obtenir des informations de synchronisation.Bien que je pense qu'il existe encore plusieurs façons d'obtenir un timing de haute précision en utilisant certaines bizarreries CSS ...
"puisque c'est le plus grand marché d'Anti-Virus"!Bien sûr, vous avez besoin d'une mitrailleuse dans le salon et d'un gallon de coca lorsque toutes vos portes et fenêtres sont cassées et que vous ne faites rien pour résoudre le problème central.
LUser
2018-03-26 17:18:37 UTC
view on stackexchange narkive permalink

En tant que personne qui travaille souvent contre les AV, je peux dire qu'ils sont tous nuls. Beaucoup de choses dépendent du niveau de sécurité par rapport au confort dont vous pouvez vous passer.

La connaissance, c'est le pouvoir Le premier outil que je recommanderais, c'est l'éducation. Savoir sur quels sites vous allez est une aide précieuse. Évitez les sites non fiables. Cela inclut les sites de streaming et le torrenting. Les correctifs du système d'exploitation sont indispensables, tenez-vous au courant des dernières menaces, désactivez le flash. Le problème que j'avais en forçant les organisations à utiliser noscript et autres, était que les utilisateurs finiraient par cliquer sur tout activer.

Utiliser une VM à état de sauvegarde Comme alternative, j'aime avoir une VM à portée de main pour tester les fichiers. Vous pouvez conserver une grande partie de votre système d'exploitation dans une VM. J'ai travaillé dans un réseau où nous travaillions tous dans des machines virtuelles et quand ils ont agi, cliquez sur restaurer et terminé.

Deepfreeze J'ai utilisé deepfreeze sur notre université il y a de nombreuses années et c'était excellent. Vous pouvez simplement le définir et votre système d'exploitation reviendra à son état d'origine à chaque fois. J'ai lancé le ver petya et l'ai laissé crypter le disque et redémarré la machine et rien. Excellent outil!

Réseaux séparés Chez moi, je garde des réseaux séparés pour les "invités". Ils peuvent apporter leurs affaires et je n'ai pas à m'inquiéter que cela arrive dans ma partie du réseau.

Avoir un système d'exploitation plus sécurisé Je n'aime vraiment pas utiliser Windows parce que je sens qu'il exécute tout en un clin d'œil. Ce n'est évidemment pas parfait du tout, car OSX et Linux sont tout le temps piratés, mais je pense qu'avoir quelque chose que vous pouvez contrôler est bien. Vous pouvez désactiver les macros et continuer à exécuter du code à partir de certains des exploits.

J'en ajouterai d'autres au fur et à mesure qu'ils me viennent à l'esprit.

En fin de compte, rien n'est parfait. mais ces choses peuvent aider.

Il convient de noter que pour les utilisateurs utilisant Linux pour la sécurité, il est avantageux de prendre le temps d'activer et de configurer SELinux ou des politiques MAC similaires.
@Alpha3031 ayant été bi # $ _ & giflé par SeLinux à quelques reprises dans ma vie, je pense que c'est une bonne idée.
**Très bonne réponse**!Je n'écrirai pas le mien :(. Pour le § "Avoir un OS plus sécurisé", je l'aurais mis en position 2, juste après "La connaissance c'est le pouvoir", et lui donnerais le titre "Choisissez votre OS".beaucoup d'utilisateurs considèrent qu'ils n'ont aucune liberté à ce niveau, c'est tout simplement faux et un comportement de mouton.Il existe une gamme complète de systèmes d'exploitation qui permettent d'obtenir une ** amélioration de la sécurité beaucoup plus grande ** que n'importe quel antivirus.
J'ajouterais: ** Ne courez pas en tant qu'administrateur toute la journée ** pour la même raison que vous ne courez pas dans votre appartement 24 heures par jour avec un pistolet chargé, une grenade à main déverrouillée et le voyant rouge clignotant.Si vous ne vous lancez pas en tant qu'administrateur sur votre système d'exploitation, vous ne pourrez pas installer de nombreux crapware et plus particulièrement tout ransomware ne cryptera que vos fichiers personnels et non les fichiers de vos autres utilisateurs et non ceux du système.Tout dommage sera limité, souvent à 0.
@danielAzuelos "ne pas exécuter admin toute la journée et bloatware".C'est pourquoi j'aime Linux.Je choisis ce qu'il contient.S'il y a du bloatware, c'est parce que je l'ai mis là.Aussi, j'aime le fait que je n'ai besoin que pour quelques choses d'utiliser les privilèges d'administrateur.
Vous pouvez faire la même chose sur Windows et MacOS X (ne pas exécuter admin toute la journée).
McMatty
2018-03-26 07:34:28 UTC
view on stackexchange narkive permalink

L'antivirus est très bien - c'est "ce que nous avons"

Ne vous attendez pas à ce qu'il vous protège de tout - rien ne le fera. Sinon, si vous voulez vous protéger sans AV, vous allez devoir franchir plusieurs obstacles pour renforcer votre machine.

  1. Liste blanche des applications
  2. Vérifier les correctifs du système d'exploitation
  3. Désactiver les macros DDE
  4. Application régulière de correctifs à toutes les applications de votre système
  5. Avoir un flux pour chacune de vos applications lié aux CVE
  6. Sysmon avec une configuration allégée
  7. Séparez votre bureau des paramètres fiables et non fiables. Sessions de navigateur et e-mail dans une VM par exemple sans accès à une autre qui dit contient des coordonnées bancaires. Démontez la VM non approuvée après chaque session
Bien que vos suggestions soient bonnes, vous ne répondez pas vraiment à la question de savoir si l'AV est ou peut être nocif."Ça va" n'est pas vraiment une réponse.
La question portait sur les alternatives à l'AV - pas si c'est un bon ou un mauvais contrôle
@forest ce n'est pas la question
La question commence par parler de la façon dont l'AV est moins sûr et par la recherche d'alternatives.J'ai dû trop lire la question.
The Dormouse
2018-03-26 13:24:05 UTC
view on stackexchange narkive permalink

Je suis d'accord avec l'utilisation du Defender de Windows, mais je pense que malgré ce que vous avez lu, un bon programme AV (lire: très apprécié par des sources réputées) est la solution la plus sûre. En plus des conseils qui ont été donnés (à part la grotte), je pense que l'ajout de SpyBot à votre arsenal est une bonne idée. https://www.safer-networking.org/private/compare/ Cela n'entrera en conflit avec aucun programme AV et ajoutera à la sécurité du système. Vous pouvez obtenir la version gratuite, qui a certaines limitations, afin de la vérifier. Mais si vous avez envie de plus de fonctionnalités, vous pouvez acheter la version Home ou Professional. Pour info, la version gratuite doit être mise à jour manuellement. Les versions payantes le font automatiquement. SpyBot immunise votre système https://www.safer-networking.org/features/immunization/ et recherche et corrige les logiciels malveillants et les rootkits.

Quant à la sauvegarde, Sauvegarde, sauvegarde, etc., je recommanderais également de définir des points de restauration chaque fois que vous apportez une modification importante à votre système.

Je n'ai pas encore été touché par des logiciels malveillants (bien sûr, maintenant je me suis jinxed) après avoir été en ligne depuis que le modem était à la mode. Je ne faisais pas attention à la sauvegarde des données à l'époque, mais après quelques disques durs grillés, j'ai appris ma leçon.

Et enfin, ayez un pare-feu sécurisé, ce qui, j'en suis sûr, est quelque chose que vous '' J'ai déjà fait, mais j'ai pensé que je devrais le mentionner.

Je n'ai pas autant d'expérience que la forêt, mais après plus de 20 ans, j'ai réussi à éviter les logiciels malveillants en suivant ce que j'ai suggéré.

Vous n'avez jamais été touché par des logiciels malveillants, à votre connaissance ...
Informat
2018-03-27 22:07:29 UTC
view on stackexchange narkive permalink

Un AV n'est que l'une des nombreuses couches de sécurité que toute personne utilisant Windows devrait déployer. L’utilisateur doit seulement garder à l’esprit qu’il n’existe pas d’anti-virus efficace à 100% et que ce n’est pas une solution miracle.
En ce qui concerne la compromission d’un logiciel antivirus, c’est extrêmement rare que cela se produise, et la plupart du temps, des informations comme celles-ci ne sont que du FUD, vous avez même cité le Daily Mail, qui est juste une poubelle selon toute norme.

Il est beaucoup plus probable qu'un système soit compromis parce qu'un AV n'est pas installé, que parce que l'AV lui-même a été compromis.
Vous ne devriez vous inquiéter de la compromission de votre AV que si vous êtes contre une nation souveraine, et si c'est le cas, vous avez déjà perdu.

«C'est extrêmement rare que cela arrive» Non, ce n'est pas le cas.
Je suis d'accord que c'est rare, forêt, pouvez-vous confirmer votre affirmation selon laquelle vous avez raison et qu'il a tort?Je dirais que c'est l'une des formes les plus rares d'obtenir l'exécution de code de privilège de toutes les formes existantes.Je ne pense pas que vous ayez plus tort.À mon avis, le moyen le plus courant serait de télécharger de simples logiciels malveillants que les utilisateurs naïfs téléchargent et installent eux-mêmes.
Si votre processeur peut prendre en charge l'exécution de l'AV sans qu'il saute un Beat, alors je pense que vous devriez utiliser AV.Avant, je n'utilisais PAS AV quand j'avais un PC sous-alimenté.
@FreeSoftwareServers Une des formes les plus rares de privesc?Quoi?Le logiciel AV est écrit _terribly_.Il est extrêmement plus facile à exploiter que, par exemple, d'exploiter le noyau, qui lui-même n'est pas extrêmement rare.Regardez simplement les listes CVE ou les avis spécifiques aux fournisseurs.
@forrest all AV semble une déclaration générale et j'ai demandé quelque chose pour sauvegarder votre déclaration
@FreeSoftwareServers Voici un exemple pour [Avast] (https://www.cvedetails.com/vulnerability-list/vendor_id-6567/Avast.html), un fournisseur audiovisuel déjà réputé.Ce site n'est même pas presque complet, et ce n'est que pour un seul produit.Qu'en est-il de [AVG] (https://www.cvedetails.com/vulnerability-list/vendor_id-5639/AVG.html)?[Sophos] (https://www.cvedetails.com/vulnerability-list/vendor_id-2047/Sophos.html)?[ClamAV] (https://www.cvedetails.com/vulnerability-list/vendor_id-8871/Clamav.html)?[Avira] (https://www.cvedetails.com/vulnerability-list/vendor_id-3336/Avira.html)?De combien en avez-vous besoin?
leymannx
2018-03-28 12:29:22 UTC
view on stackexchange narkive permalink

Toutes les possibilités interchangeables suivantes peuvent réduire le risque d'être infecté par un virus en premier lieu.

  • Toujours mettre à jour et mettre à niveau votre système d'exploitation et vos applications.
  • Utilisez un pare-feu.
  • Pas d'Internet.
  • Pas de clé USB.
  • Un système d'exploitation (basé sur Unix) (Mac OS ou une distribution Linux).
  • Un navigateur Internet régulièrement mis à jour et très développé (Chrome ou Edge).
En quoi Opera est-il plus sécurisé que Chrome ou Firefox?
@delacroix - Extensions de navigateur comme vecteur d'attaque.Moins le navigateur est populaire, moins quelqu'un essaie d'y installer son malware.
Opera n'est pas plus sécurisé que Chrome (même si à peu près tout est plus sécurisé que Firefox).En fait, Chrome et Edge sont les navigateurs les plus sécurisés.Chrome utilise le sandboxing _extensif_ et la séparation des privilèges et dispose d'une équipe de sécurité très, très dédiée, et Edge utilise des fonctionnalités spécifiques à Windows telles que la virtualisation orientée sécurité pour la sécurité.Je vous recommande d'utiliser _only_ Chrome ou Edge (avec Chrome étant préféré, ne serait-ce que parce que son noyau est open source).
@forest - Qu'est-ce qui rend Firefox moins sécurisé que tout autre navigateur?
@leymannx Oh, je pourrais continuer à parler de ça pendant des siècles.Il utilise jemalloc (au moins sous Linux) qui réduit l'efficacité de l'ASLR.Il manque de sandbox (et sa tentative actuelle de "sandboxing" est assez triste, ayant des politiques très grossières).Il est multithread, pas multiprocessus (bien qu'il essaie de supporter le multiprocessus, il est toujours très bogué).Le code lui-même est de mauvaise qualité, étant plein de mauvais lancers (alors que, disons, Chromium rend tous les mauvais lancers fatals pour implémenter CFI).Il ne sandbox le GPU et, si je me souviens bien, les développeurs ont dit qu'ils ne feraient jamais sandbox le GPU ...
Il ne sépare pas le contenu de la page (l'arborescence DOM, JS, etc.) du processus affichant l'onglet.Il regorge de comportements indéfinis (alors que Chromium est régulièrement compilé avec UBSAN), dont certains peuvent être facilement exploitables.Il utilise XUL dans son interface qui est essentiellement du JavaScript privilégié.La version ESR ne corrige que les bogues de sécurité critiques, laissant intentionnellement des bogues «modérés» dans le code.Il a des bogues vraiment anciens, de nombreux liés à la sécurité et vieux de 7 ans ou plus (par exemple sa gestion SIGTERM sous Linux, et le bogue impliquant des balises d'image et l'authentification HTTP).
Une analyse soignée de sa gestion de la mémoire a été [mise sur Phrack] (http://phrack.org/issues/69/14.html).Il n'a pas encore corrigé la vulnérabilité `file: //` d'il y a des mois qui permet le contournement du proxy (Tor Project a dû extraire ce code du navigateur pour le rendre réalisable).Ils avaient l'habitude de contrôler manuellement toutes les extensions avec un audit de sécurité approfondi avant de les autoriser, mais ils ont récemment supprimé cela et effectué une analyse statique automatisée (ce qui a conduit à l'acceptation de plusieurs plugins malveillants).La seule chose pour laquelle FF est bon est d'avoir un rythme de développement lent, ce qui simplifie la fourche (par exemple, TBB).
zaxebo1
2018-03-29 14:37:12 UTC
view on stackexchange narkive permalink

option 1), vous pouvez envisager de migrer le plus de machines possible vers Linux. Si cela n'est pas possible, migrez au moins quelques machines critiques vers Linux.

option 2) Si sur certaines machines vous ne devez utiliser que Windows, vous pouvez déployer Linux en tant qu'hostOS puis utiliser rdesktop pour vous connecter à un client léger des machines Windows; ou vous pouvez utiliser Windows VM pour certaines tâches et pour le reste des tâches, utiliser l'hôte Linux.

option 3) sur les machines sur lesquelles aucune des options 1 ou 2 n'est possible, puis déployer la machine Windows avec tout ce qui précède approches comme expliqué dans d'autres réponses.

Overmind
2020-07-03 11:48:08 UTC
view on stackexchange narkive permalink

Aujourd'hui, un antivirus peut être beaucoup plus complexe que par le passé et il peut couvrir un assez large spectre de choses comme:

  • antivirus de fichiers
  • e -protection de la messagerie
  • protection du réseau
  • contrôle du lancement des applications
  • stratégies de pare-feu
  • stratégies Web - restriction et journalisation de l'activité des utilisateurs
  • gestion des mots de passe
  • chiffrement des données
  • exploration des processus
  • console de gestion pour tout ce qui précède

n'utilisez pas d'anti-virus (mais je recommande à tous les utilisateurs moyens d'en utiliser un) car je travaille avec beaucoup de fichiers et d'outils qui déclencheront des alertes, mais pour ce faire, en théorie, ce qui précède devrait être couvert de manières alternatives .

[Fichiers]

Connaître ses propres fichiers est très important dans un système d'exploitation. C'était très simple dans le passé - jusqu'à l'ère XP, beaucoup finissaient par savoir si un fichier devait exister ou non dans les dossiers du système d'exploitation. Maintenant, les choses sont plus complexes et les systèmes d'exploitation peuvent avoir des centaines de milliers de fichiers qu'il est impossible de virer manuellement. Nous devrons donc utiliser d'autres outils pour détecter les changements non autorisés. Il existe des outils qui peuvent faire cela et déclencher des modifications si un fichier cible est modifié. La sécurisation du système d'exploitation et d'autres fichiers critiques de ce type fonctionne. Toute modification non autorisée peut générer une altération ou même une altération + la possibilité d'annuler cette action.

[E-mail]

La protection des e-mails peut être plus liée à l'utilisateur dans le sens où la sensibilisation de l'utilisateur est plus importante que tout outil de sécurité en ce qui concerne les e-mails. Si les utilisateurs sont formés pour ne pas cliquer sur des liens et ouvrir des pièces jointes provenant de sources non fiables, cette partie est bien mieux couverte qu'avec des outils de filtrage qui permettront de toute façon à beaucoup de contenu dangereux de passer. Bien sûr, refuser les extensions dangereuses par défaut via le système de messagerie aide beaucoup aussi. Ma conclusion ici est simple: la formation des utilisateurs est plus importante que le filtrage des e-mails.

[Réseau]

Du côté du réseau, il existe de nombreux outils qui peuvent faire la surveillance, la détection d'intrusion, la détection d'accès partagé. Ces outils ne protégeront pas contre les attaques très avancées utilisant des vulnérabilités. C'est un problème qu'un bon antivirus couvrira mais il est difficile de le couvrir autrement. Je préfère laisser un antivirus gérer cette partie si possible.

[Applications]

Il est relativement facile, même de nos jours, de contrôler ce qui fonctionne et ce qui ne fonctionne pas sur un ordinateur. En commençant par des bases comme l'UAC et en terminant par des outils qui contrôlent et surveillent ce qu'un programme peut faire s'il est lancé, vous pouvez très bien couvrir cet aspect.

[Pare-feu]

les systèmes d'exploitation ont leur propre pare-feu, vous pouvez donc aussi bien l'utiliser. Bien qu'un logiciel antivirus puisse le contrôler plus facilement via ses propres politiques, c'est pratiquement la même chose: si vous faites une bonne configuration, c'est bien dans les deux cas: si elle est faite dans le pare-feu du système d'exploitation ou si elle est faite dans le pare-feu antivirus. / p>

[Web]

C'est un domaine où les logiciels antivirus peuvent beaucoup aider; un bon anti-virus a déjà des bases de données sur la liste noire, a des possibilités d'analyse en direct pour filtrer les sites Web pendant leur chargement. Pour couvrir cela sans aucune capacité anti-virus, cela peut être assez difficile et prendre du temps. Je ne pense pas qu'un utilisateur normal gardera les listes noires configurées sur son navigateur. Et comme les navigateurs ont beaucoup de vulnérabilités et d'exploits, c'est une partie que je préfère laisser une couverture anti-virus. La formation permet de couvrir cette partie autrement, tout comme dans le cas du courrier électronique. Pas d'ouverture de pages en dehors de celles strictement connues et nécessaires, pas de problème. Il est hautement improbable qu'un grand site comme g00gle rencontre des problèmes.

[Gestion des mots de passe] Ce n'est pas quelque chose d'obligatoire et cela peut être couvert de dizaines de façons de toute façon, donc ce n'est pas vraiment un aspect important, mais certaines solutions antivirus peuvent également le couvrir.

[Chiffrement]

Le chiffrement des données sensibles peut être extrêmement important dans de nombreuses situations et certaines solutions antivirus offrent un support pour cela. Mais ce n'est pas un problème, les systèmes d'exploitation d'aujourd'hui peuvent le faire et de très bons outils d'utilisation générale comme TrueCrypt et VeraCrypt peuvent le faire à la fois au niveau du conteneur et au niveau du système.

[Processus ]

De bonnes solutions antivirus auront une bonne surveillance des processus et détecteront immédiatement les anomalies et les mauvais comportements des processus. Mais il existe des outils qui peuvent également couvrir cet aspect. Même l'ancien explorateur de processus peut suffire à repérer un processus défectueux que vous pouvez ensuite mettre fin.

[C&C]

Maintenant, en supposant que vous avez couvert la plupart des ci-dessus, il peut aussi être important de pouvoir tout centraliser. Tu fais ça? C'est certainement possible. Contrôler les choses séparément peut s'avérer difficile et prendre du temps. J'utilise un gestionnaire de fichiers avancé modifié pour centraliser la commande et le contrôle de chaque aspect de ce qui précède. Je peux lancer tout ce dont j'ai besoin directement à partir de celui-ci sans utiliser l'interface utilisateur ou les fonctionnalités du système d'exploitation. Le shell fonctionne même si l'interface utilisateur du système d'exploitation ou le propre shell du système d'exploitation est en panne. Cela le rend bon et viable en cas de problème avec une partie du système d'exploitation.

Selon le cas / la situation spécifique, vous voudrez peut-être utiliser tout ou partie de ce qui précède.

Alex Cannon
2018-03-29 07:42:03 UTC
view on stackexchange narkive permalink

Vous avez tout à fait raison sur les limites et les risques accrus possibles des logiciels antivirus. Non seulement il s'agit du plus gros composant logiciel sur un ordinateur qui contribue à la lenteur des E / S provoquant une lenteur totale, mais le concept de création d'une base de données de plus en plus énorme de tous les logiciels malveillants est défectueux car il est toujours au mieux de rattraper le retard publié et découvert.

Il convient également de mentionner que les logiciels antivirus analysent principalement les E / S pour empêcher tout logiciel malveillant d'être transféré vers ou depuis le stockage permanent. Le logiciel antivirus n'analyse pas les connexions réseau ou d'autres sources d'E / S non fichier d'exploits logiciels. Un exploit peut se produire via une connexion réseau, exploiter certains logiciels en cours d'exécution et avoir maintenant du code en cours d'exécution sur le système. Ce code peut ensuite désactiver le logiciel antivirus, puis procéder à son installation sur le système.

Votre navigateur Web est un logiciel extrêmement volumineux et compliqué, et étant donné son utilisation intensive, il est probablement le plus grand vecteur d'attaque pour les utilisateurs qui ne téléchargent pas de logiciels au hasard, même si les plugins ne sont pas utilisés. Malheureusement, il n'y a vraiment que quatre choix de bases de code pour les navigateurs conformes aux normes actuelles. Microsoft Internet Explorer, Microsoft's Edge, les navigateurs open source Mozilla ou Gecko (Firefox et bien d'autres), et les navigateurs WebKit / Blink open source (Konqueror, Safari, Chromium). Opera n'a pas pu suivre le rythme de Javascript et est passé à l'utilisation de Blink comme moteur de rendu.

Si Javascript n'était pas déjà une surface d'attaque et un problème de sécurité suffisamment importants, un nouveau type de Javascript appelé WebAssembly est ajouté à FireFox maintenant. Pensez à le désactiver dans FireFox comme ceci: allez à about: config puis définissez javascript.options.wasm = false.

D'autres ont mentionné l'utilisation d'un pare-feu ou la non activation de services système inutiles, je mentionnerai donc d'autres choses .

edit: Il existe différents types d'attaques. Certaines attaques sont dirigées contre une cible et d'autres sont des attaques génériques destinées à cibler un grand nombre de systèmes. Certaines mesures de sécurité sont excellentes pour se protéger contre les attaques génériques, mais ne font pas grand-chose pour contrecarrer une attaque dirigée. D'autres méthodes protègent contre les attaques génériques et protègent contre les attaques dirigées typiques, mais ne parviennent pas à se protéger contre une attaque directe d'un attaquant qui est prêt à analyser votre configuration spécifique et à passer le temps à comprendre comment l'attaquer. En règle générale, une base de code plus petite et plus l'accent mis sur la sécurité pendant le développement de l'application réduira le nombre de vulnérabilités de sécurité dans un programme. Si un programme est open source, et s'il est populaire, alors un plus grand nombre de vulnérabilités sera découvert et finalement signalé ou rendu public. Cela réduit le nombre total de vulnérabilités de sécurité dans le programme, mais dans la plupart des cas, augmente le risque d'utilisation du programme puisque les vulnérabilités sont découvertes et connues par le public beaucoup plus fréquemment. D'autre part, la diminution du nombre de vulnérabilités dans le programme en raison de sa popularité et de ses correctifs signifie que quelqu'un qui recherche délibérément le code pour découvrir de nouvelles vulnérabilités aura moins de succès. En résumé, si une vulnérabilité existe mais n'est connue de personne, elle reste inoffensive jusqu'à ce qu'elle soit découverte. Il y a donc des avantages et des inconvénients à augmenter la popularité et la découverte de bogues dans les logiciels.

Mentir sur les versions des applications: On parle rarement de celle-ci. Souvent, pour exploiter avec succès une vulnérabilité, la version exacte du programme et le système d'exploitation doivent être connus. Malheureusement, votre navigateur Web indique sa version exacte ainsi que le système d'exploitation sur lequel il se trouve à chaque fois que vous vous connectez à un site. Pensez à changer le UserAgent dans votre navigateur et dans toute autre application qui révèle trop d'informations sur lui-même.

Utilisez la sécurité de niveau utilisateur de votre système d'exploitation. Exécutez votre navigateur dans un compte utilisateur limité qui n'est pas un compte administrateur et de préférence différent de votre compte utilisateur habituel. Cela seul offre plus de sécurité que n'importe quel logiciel antivirus. Gardez à l'esprit que la façon dont cela fonctionne dépend de votre système d'exploitation. Sous Windows, même un programme restreint s'exécutant avec d'autres fenêtres de votre session peut surveiller toutes les entrées au clavier, à l'exception des fenêtres de saisie de mot de passe système plein écran spécialisées. Les clients sur * nix utilisant le système X Window peuvent également surveiller les entrées au clavier.

Assurez-vous que DEP et ASLR sont activés. Windows peut ne pas activer DEP (mémoire non exécutable) pour non Programmes Windows afin d'éviter les plantages dus à des problèmes de compatibilité. Activez DEP pour tout et exemptez les programmes en panne si nécessaire. WehnTrust peut être utilisé pour ajouter ASLR aux versions de Windows NT5 ( https://archive.codeplex.com/?p=wehntrust le programme d'installation y est enterré).

Utilisez un système d'exploitation obscur. Windows, OS X et Linux sont devenus assez populaires. Il existe encore des alternatives comme BSD et Solaris. Si vous configurez votre navigateur ou d'autres applications pour mentir sur leur système d'exploitation, un attaquant peut tenter d'exploiter votre application et la faire planter au lieu de travailler. Edit: Comme il est écrit ci-dessus, cela dépend de la situation. Vers 2004, le nombre de vulnérabilités de sécurité découvertes sous Linux a considérablement augmenté par rapport à BSD, et avant cette date, le nombre de vulnérabilités découvertes était similaire. Je pense que cela est dû à l'augmentation croissante de la popularité de Linux par rapport à BSD. BSD et Linux contiennent probablement un grand nombre de vulnérabilités, mais BSD semble être beaucoup plus sécurisé en raison de son manque de popularité, ce qui fait que beaucoup moins de vulnérabilités sont découvertes publiquement. Selon la présentation DEF CON 25 - Ilja van Sprundel, l'analyse de la source du noyau BSD a révélé un certain nombre de vulnérabilités. Je maintiens toujours ce que j'ai dit, à savoir que faire fonctionner un système d'exploitation obscur est plus sûr. Cependant, si vous êtes la cible d'une attaque dirigée où quelqu'un est prêt à passer beaucoup de temps à analyser votre configuration obscure, vous êtes moins en sécurité!

Ne négligez pas les systèmes embarqués! Votre puce wifi a un processeur et un firmware! Votre logiciel antivirus ne peut rien faire pour empêcher les systèmes embarqués d'être attaqués par des logiciels malveillants. Les chipsets Wifi ont leurs propres processeurs et micrologiciels et peuvent être attaqués à distance. À l'été 2017, à Defcon, ils ont démontré un exploit de dépassement de tampon à distance dans les chipsets wifi Broadcom! La démonstration ne va pas au-delà de la modification d'un appel de fonction dans le firmware Broadcom et de l'envoi d'un paquet "possédé", mais un tel exploit permet une prise de contrôle complète du firmware du chipset wifi. Broadcom est utilisé dans de nombreux téléphones intelligents et produits Apple! Quelqu'un peut DMA la mémoire de votre système et renvoyer les données en utilisant un canal en dehors du spectre wifi normal. Ils peuvent également écrire dans votre RAM et installer un kit racine tout en contournant tout. Ils peuvent également écrire directement dans la mémoire du mode de gestion système de votre ordinateur. Étant donné que la mémoire SMM peut être verrouillée par le chipset (sauf lorsque le processeur est en SMM), aucune analyse de la mémoire ne peut même la détecter. Peu importe le nombre de programmes de sécurité dont vous disposez ou le nombre de machines virtuelles de votre ordinateur. C'est une attaque directe pour sonner 0 / -1 / -2 !!! Il n'existe aucun antivirus ou autre logiciel capable de détecter une telle attaque. Il n'est pas beaucoup plus difficile pour quelqu'un qui est familiarisé avec le développement d'un système embarqué d'écrire des logiciels malveillants pour celui-ci que sur un système d'exploitation informatique classique.

modifier: Je vois beaucoup de réponses négatives à ma réponse, mais rappelez-vous que la question initiale concerne une alternative à l'antivirus, et que tout responsable de la sécurité informatique bien informé sait à quel point un antivirus inutile peut être inefficace. être parfois. Ainsi, certaines de mes suggestions, comme l’utilisation d’un système d’exploitation obscur, font vraiment la même chose que l’antivirus, c'est-à-dire obliger les auteurs de virus à modifier leurs malwares pour contourner le logiciel antivirus. J'offre une solution de sécurité quelque peu inefficace à la place d'un logiciel antivirus basé sur une base de données, qui est encore moins efficace!

-1 pour "Utiliser un système d'exploitation obscur".De nombreux systèmes obscurs, comme IRIX et HP-UX, sont incroyablement peu sûrs.Comparez cela à Windows qui a probablement le noyau le plus statiquement analysé (gros, complexe) existant, ou à Linux qui est complètement open source et régulièrement audité.Le dernier DEF CON a eu une conférence qui a expliqué à quel point certains BSD sont horribles, et la sécurité de Solaris n'est vraiment pas excellente (bien que les zones soient une fonctionnalité de sécurité incroyable).
De plus, masquer la version du navigateur est _complètement inutile_.Non seulement il est trivial de détecter la version réelle en utilisant un certain nombre de techniques d'empreintes digitales (détection de fonctionnalités HTML5, par exemple), mais des attaques comme AnC ont montré que vous ne pouvez même pas cacher la disposition de la mémoire du processus.
Eh bien, c'est un bon point.Mais il existe une différence entre le nombre estimé de vulnérabilités et les vulnérabilités découvertes et signalées.BSD a beaucoup moins de vulnérabilités découvertes et signalées que Linux.Je vais modifier ma réponse pour refléter cela.Même si mentir sur une version d'un programme peut être vaincu, cela ne nuit certainement à rien.
Utiliser un système d'exploitation obscur moins sûr contre une attaque dirigée est un bon point qui a maintenant été abordé, mais pourquoi les votes négatifs?
De plus, malgré moins de vulnérabilités _ signalées_, de nombreux systèmes d'exploitation dérivés de BSD (il n'y a plus de "BSD") sont écrits de manière moins sécurisée.Le fait que moins de rapports de bogues soient publiés pour eux signifie simplement que moins d'yeux sont sur le code.FreeBSD utilise jemalloc dans le monde entier, NetBSD a une pile réseau horrible, DragonflyBSD n'a ajouté que récemment le support NX au noyau (!), Et même OpenBSD n'est pas génial (en termes de qualité de code au moins).En termes de bogues exploitables par 10 000 lignes de code, je dirais que Linux et Windows en ont beaucoup moins que n'importe lequel des BSD.
Vous donnez des conseils de sécurité pour NT 5?Je dirais que si quelqu'un utilise NT 5, la première chose à faire est de choisir un système d'exploitation qui n'a pas pris fin il y a plus de 10 ans.
En ce qui concerne votre récente modification, l'utilisation d'un système d'exploitation obscur ne rend pas nécessairement le travail des auteurs de logiciels malveillants beaucoup plus difficile, d'autant plus qu'il existe de nombreux langages indépendants de la plate-forme couramment utilisés.Tout ce qu'il fait, c'est rendre facile pour les auteurs de logiciels malveillants d'exploiter le système d'exploitation.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Continuer la lecture sur narkive:
Loading...