Mýty, pravdy a lži: Jak být dnes opravdu v bezpečí?

Nepochopil jsem článek "nepoužívám IE, jsem v bezpečí". Naopak IE je nejbezpečnější prohlížeč. Nikdy mi nespadl a identifikuje dobře nebezpečné stránky. A určitě každý ví, po tolika článcích od Microsoftu, že IE zneškodí prakticky všechny hrozby. Takže mě zajimá, proč to je mezi mýty...

Nejbezpečnější prohlížeč je ten na který nikdo neútočí. A jelikož je IE nejoblíbenější terč...

Jo, jenže na některý zero day chyby se dlabe...
http://securityworld.cz/securityworld/uzivatele-i... ...
A pak je z MSIE ne prohlížeč, ale bezpečnostní díra jak vrata vod stodoly.
A to se nemluví o chybách, který ani nejsou známy. Viz před pár měsíci útok na MSIE 6 v Googlu a jeho neznámou bezpečnostní chybu. Ne všechny chyby někdo zveřejní, ale naopak si je nechá pro sebe pro útoky.
Ne, že by to pro ostatní prohlížeče neplatilo, ale běžný uživatelé bez zkušenějších kamarádů skutečně používají především MSIE, stejně tak ve firmách kvůli intranetovejm aplikacím (vždyť třeba Opera doteď pořádně neumí ani Kerberos!), který pro jiný prohlížeče vzhledem i k napojení na active directory a bezpečnostním zónám skoro ani nemůžou bejt psaný.

to mělo patřit k původnímu příspěvku...

Velky karle prosim sver se nam, hlupakum a vlastne sver celemu svetu, kdeze ma ten IE tu bezpecnostni diru jako vrata. Vsadim se, ze ji urcite znas, tak ji prosim popis. Zcela jiste sis delal nejake testy a mas to zdokumentovano. Dik.

Protože je nejrozšířenější. To je jako, když někdo řekne "Nepoužívám Windows, jsem v bezpečí". Není, ale nejvíc útoků se vždycky vede proti tomu, co je nejrozšířenější. Navíc ty máš poměrně moderní IE8, ale vem si, že spousta starších instalací pořád jede na archivní IE6 a to už bych dneska za bezpečný prohlížeč opravdu neoznačil.
Já svému prohlížeči důvěřuju i proto, že se pořád udržuje sám v tom nejaktuálnějším stavu. Než si Microsoft všimne chyby a vydá záplatu, tak to vždycky trvá věčnost a s vypnutými aktualizacemi Windows se k ní stejně nedostanu. Pokud někomu přijde vypínání automatických aktualizací WIN jako rizikové chování, tak to dělám především proto, že jsou až neskutečně otravné. Každou chvilku to něco stahuje, pak jejich instalace brzdí vypnutí i spuštění počítače a koho to má pořád bavit, že...

Pro kristapána, ty jseš blb.......

Díky za hodnotný příspěvek, ubožáku...

Tak nemusel tě ozančit tak narovinu a mohl to říct trochu obklikou, ale má pravdu. Vypnout aktualizace a pak se divit, že tam mám díry je na doktora. Zkus to vypnout i tu toho svého skvostu a pak řekni jak je to s dírama.

nevěřím statistikám, které si sám nezfalšuji, jste opravdu tak naivní, že věříte reklamě? nic jiného totiž testy, které provádí stejný subjekt jako výrobek, který je posuzován, nejsou a to mluvím obecně, platí to jak pro PR články mS, tak teleshopping s Hurstem Fuksem .)

IE v prvom rade patri medzi closed source, cize akykolvek audit kodu nie je mozny. Preto je nebezpecny a preto relativne deravy. Inre prehliadace ktore maju otvoreny kod su paradoxne relativne bezpecnejsie. Relativne len preto, lebo trpia rovnakymi chybami ako IE, akurat opravy tychto chyb trvaju kratsie a inym sposobom nez - do vydania zaplaty vypnite podporu x, y, z....

Tak ono je to pravda tak napůl. Silně záleží jaká verze IE se používá. Nejnovější IE8 je z pohledu bezpečnosti skutečně bezpečné. Ovšem stále více lidi ještě používá zastaralé IE6 a tato verze je z pohledu bezpečnosti skutečná hrozba. IE6 neobsahuje žádnou kontrolu (phishing) a za určitých okolnosti propouští ActiveX, VBScript odkud většinou přichází havěti. O bezpečnostních děr ani nemluvě.

Nejslabší článek sedí u počítače. Proto je třeba používat u jakéhokoli prohlížeče antivirový program. Proto je mýtus to co uvádíš.

na internetove bankovnictvi pouzivam virtualni pocitac Virtual Box a jsem v pohode

Se všemi pěti tvrzeními, napsanými modrým textem, naprosto souhlasím. Ale to jen proto, že si to jako IT a s Applem můžu dovolit.

Aby ses z toho nakousnutého jabka nepokakýnkal.....

Do této diskuse nepatříš!

IT a s Applem? To si ponekud protireci, ne?

proč ?

Koukám, že ty ses určitě setkal maximálně s Windows Home Premium či Professional. A možná ses někde doslechl, že existuje Windows Server 2003 či 2008, případně server s Linuxem. Věz ale, že existuje spousta firem, které mají Apple Xserve, případně MacPro Server, či levný MacMini Server, s Mac OS X Server (Snow) Leopardem. Ale protože máš o tom omezené (mizerné) povědomí, tak je zbytečné Ti to vysvětlovat.

Počitam že zvedaš telefony na helpline a není ti vic než 20 ,to bude to co maš s IT společneho- jinak bys pochopil že je uplně jeno na jake platformě běžíš a nevyzvedaval bys jednu jako něco mimořadneho.

Koukám, že Ty ses taky nedostal dál, než z Windows XP přes Windows Vista až na Windows 7, protože jinak bys tohle jako LAMA nemohl ze sebe vypustit.

Vždycky mě pobaví,jak se diskuse na jakýkoliv článek zvrtne ve válku uživatelů Windows a Masox.

Používám www.astrill.com jako další vrstvu ochrany. Zašifruje veškerou komunikaci na internetu a navíc mám IP adresu ze země, jakou si vyberu. :)

Z čeho konkrétně vycházíte když tady nabízíte ke stažení AVG?? AVG je jen nějaký podivný emulátor anitivrového software a v testech se pravidelně umisťuje na samotném chvostu žebříčku při testování antivirových systémů. Jediný důvod uvádět zde jako jediný ke stažení AVG (což je ohromě zavádějící pro neznalé) je obchodní důvod, nicméně společnost AVG by vám v takovém případě měla zaplatit pořádný ranec!

Z tohohle je mi na blití, je to tady opravdu jako na Nově. Připadá mi, že zcela cíleně otupujete národ a přispíváte k počítačové negramotnosti. Nenabízíte automaticky výběr toho nejlepšího v poměru cena/výkon, což bych od tohoto webu rozhodně očekával (tváříte se, že radíte méně znalým uživatelům). A rozhodně není pravda, že mít špatný antivir je lepší než nemít žádný, protože falešný pocit bezpečí je v případě neznalých mnohem nebezpečnější.

AVG je antivir jako každý jiný - tj. kus programu, který "něco" umí, ale nikdy nebude umět "chytnout" 100% malware. Diskuse "muj antivir je lepší než tvůj" je nesmyslná, stejně jako "poměřování šlaušků" prováděných za účelem komerčního zviditelnění.

Falešný pocit bezpečí mívají zpravidla hlupáci s tím "nejlepším" antivirem, co "dělá všechno sám", a co "všechno chytí".

Správný postup je osvěta, ale ne taková, jakou tady předvedl pan Bitto, to je úroveň žáků deváté třídy ZŠ, kteří se umí jen překřikovat, kdo z nich používá ten nejcoolovější program. Správná osvěta je opravdu něco jiného - vysvětlení uživateli, jak celý systém funguje, proč existují adminovské a běžné účty a že není ostuda (ba právě naopak) používat běžný účet. Já podle toho posuzuji i případné spolupracovníky, hlupáci a ignoranti se vždy poznají podle toho, že používají za každých okolností admin účet a tento nedostatek "vyvažují" přehršlí "bezpečnostního" softwaru.

Suhlasim. AVG je jeden z najhorsich antivirov, ake moze clovek v pocitaci mat. Ked zadarmo a kvalitu tak odporucam nemecku Aviru. Pouzivam roky bez problemom neplatenu verziu + free firewall Comodo. Lepsiu kombinaciu nepoznam.

Ups. Sorry moja odpoved je pre diskutera nad tebou.

Nikdy jsem nepochopil, proč když je někdo tupej, jak dlabaný necky, proč to ještě vyřvává do světa.
Nikdo ti nic, ty nádobo prázdná, nenutí. Co se vocasíš...

Tebe bych chtěl poznat osobně troubo. Tímto výkřikem jsi ukázal co? Že neumíš diskutovat a jen vykřikovat. 100 lidí = 100 názorů, tys právě ukázal, že žádnej "k tématu" nemáš.

Cítíš se teď tak krásně polstrovaně, že jo?

Aaaaa, pan se nam tady z toho ztoporil

Chybí vám tady zásadní pravidlo nejvyšší důležitosti: používat mozek, přemýšlet nad tím, co děláte. Drtivá většina bezpečnostních hrozeb dneška neútočí na techniku, na nějakou chybu v programu, ale na uživatele, kterého se snaží zmást.

Bohužel, řada uživatelů žije v přesvědčení (podporovaném i články, jako je tento), že když mají antivir, udělá všechno za ně. Že pokud mám antivir, lze vypnout mozek. To je největší zlo antivirových programů dneška. Spolu s tím, že se snaží zasahovat do všeho. Podle mých zkušeností je velká část záhadných problémů s počítači způsobena právě antiviry, které blokují co nemají.

Při popisování HTTPS jste zapomněl na jeho druhou základní funkci, a to je ověření identity webu. Nejde jenom o šifrování dat v průběhu komunikace, ale také o ověření, že se připojuji skutečně na ten správný server, že jeho adresa nebyla podvržena (třeba právě virem, který nic nikam neposílá, "jenom" zasahuje do resolvingu doménových jmen).

Altair pekne si to napisal.

K clanku:
mozete mat 4 AV programy, firewall od XYZ a neviem co este vsetko. Ale pokial pouzijete napriklad opatchovany program, ktory je zavireny, otvori si tunel cez vsetko.

Dalsou vecou je mytus o bezpecnosti HTTPS, to je taktiez jeden z najcastejsie pouzivanych kanalov pre botnety (https port 443 by default)
Https je velmi zranitelne utokom typu man in the midle.

Dalsou vecou je ze ziaden antivir nereaguje na zeroday diery a tiez na "neobjavene" diery v OS ( je jedno o aky ide. existuju nastroje na ovladnutie PC s os Windows, Linux a aj Apple)

Naprostý souhlas. A chybí ještě jedna, extrémně důležitá věc: nepoužívat správcovský účet na běžnou činnost (není totiž vůbec potřeba). Pak se můžou jít všechna kurvítka (antiviry, ale zejména tzv. "firewally" jít bodnout). Firewall má být v síti, ne na PC běžného (neznalého) usera. Devadesát procent síťových problémů si BFUčka dělají samy instalací výše zmíněných kurvítek.

Naučil jsem několik tzv. "začínajících" uživatelů používat nesprávcovské účty, naučil jsem je i efektivně a rychle používat elevaci práv, pokud to potřebují. Od té doby mají klid, použivají jen minální bezpečnostní řešení, v podstatě jen rezidentní (on-access) modul aktualizovaného antiviru a firewall v routeru. Zmizely viry a "samovolná" destrukce PC uživatelem. Těch pár kousků malware, které nezachytí antivir, nebo nezastaví neprivilegovaný účet, si sami (nebo s mou pomocí) dokáží odstranit z nezavirovaného správcovského profilu. No a pro extrémní porno/warez brouzdače jsou tu virtuální stroje a sandboxy.

Jenže tohle není dost "cool", počítač nebliká dvaceti ikonami s hlášeními o "ochraně" (a jede ještě celkem rozumně rychle), pisálkové by neměli o čem psát a vůbec, kam by přišli "geekové" z viry.cz se svými patetickými logy z hijackthis?...

Bohužel po Windows existují stále věci, které bez uživatele Administrator nefungují. Osobně jsem narazil například na takový ovladač plotteru od HP, kolega na nějakou funkci nejnovější verze SAPu apod. To je břímě, které si Windows táhnou kvůli špatné (lépe řečeno) žádné bezpečnostní politice v počátcích.

Není problém rozchodit téměř všechno i pro běžného uživatele, většinou stačí přidat práva do adresáře aplikace, popř. přidat práva na zápis do klíče aplikace v HKLM větvi registry. Dtto platí pro služby (typicky VPN klienti), tyto lze nastavit tak, aby přijímaly povely pro start a ukončení i od nesprávců - toto je právě to, kde by měla probíhat osvěta, naučit uživatele opravdu ovládat svůj systém, ne jen zběsile klikat bez znalosti souvislostí.

Navíc většina dnešních aplikací (včetně her), pokud je nepíše nějaký manták, už respektuje běh pod neprivilegovaným userem.

P.S.: dovolil bych si nesouhlasit s názorem, že Windows nepočítají s bezpečnostním aspektem, toto řešily už první NTčka a jejich evoluce je svázána i s vylepšováním tohoto zabezpečení (a odvažuji se tvrdit, že je v jistých aspektech i dále než unixové pojetí, z něhož vycházi). Problém je/byl v tom, že zde byl souběžný vývoj s ne-NT větví Windows a v tom, že komerční vývojáři na bezpečnost obecně dlouho "házeli bobek" a spíše ji brali jako zbytečný přívažek (což se změnilo až s masivním nástupem internetu).

Nastavit práva ve FS i registru umím, jenže musíš vědět, kde je nastavit. A u toho ovladače jsem na to nepřišel, přesto že jsem se i snažil sledovat, na co sahá za provozu.

U toho SAPu to bude něčím jiným. Tomu dokonce ani nestačí uživatel s právy Administrátoru a uživatel se prostě musí jmenovat Administrator.

NT like Windows sice podporují systém práv od začátku, ale problém je v aplikacích třetích stran, které mají obvykle původ ve Win95/98. U těchto verzí bezpečnost opravdu neřešil. I když tyto aplikace nejsou přímo dílem MS, stejně padne vina na něj.

A i to nastavení práv je problém třeba u aktualizací. V MS si každý program musí řešit aktualizace po svém. Zkus se třeba starat o debilní datové schránky ve firemní síti. Uživatel nesmí mít právo přepisovat programy. Jenže úžasný plugin od 602 má co chvíli nějakou aktualizaci a k té ty práva potřebuješ.

Tak po precteni nekolika tvych prispevku jsem se rozhodl take prispet do diskuze. Uz je mne jasne, ze jediny "geek" jsi ty, nikdo jiny, ani z viry.cz, ani odjinud, ti nesaha ani po paty. To cos naucil ty tvoje "začínající" uzivatele je z druhe strany barikady k nicemu, protoze pokud si "pod tvym vedenim" zavirovali user ucet a opravuji ho z nezavirovaneho spravce, tak mnohem jednodussi a rychlejsi je pouzit jakoukoli nezavirovanou image disku, to za prve a za druhe i tak je pohodlnejsi pouzit admina a treba sandbox, to prave pro ty hledace viru a porna. Rozdil ve vysledku neni zadny, jen pro adminy s cistou image a treba sandboxem mluvi ve prospech to, ze maji rychlej "pc opraven" a pokud pouzije dobry sandbox zejmena pro prohlizec, tak mu v podstate nehrozi nic a nepotrebuje se omezovat user uctem, nemusi mit ani AV a je bez starosti. To k teto veci a k te druhe casti, kde machrujes s tim, ze staci pouze zmenit prava k registrum apod. Ty ses zlaznil? Koho z BFU myslis, ze tohle zajima a dalsi a veledulezita vec - proc by tohle mel nejaky BFU umet? Rozumi nejaky BFU tomu, jak funguje motor auta apod? prestante si hrat na elitu, vy tupi IT "geniove". Neni k tomu ani ten nejmensi duvod. BFU nepotrebuje rozumet systemu, to si nech sam pro sebe, pokud tomu teda rozumis, a pro stejne postizene nerdy, kteri si mysli, ze PC je pupek sveta (ona je to spis prd.el). Musim ti rict, ze neni . Lide pc pouzivaji k zabave a pouzivat ho k ni take budou, to ze se to nerdum jako ty nelibi, na tom vubec nic nezmeni. Muzete dal chtit lidi ucit porozumet zakladum systemu, chtit "ridicak na PC", protoze pak by bylo jasne, ze ho dostane pouze par lidi a vy, omezenci, byste se citili jeste vic vyjimecni, nez se citite, ale neni vam to nic platny. Masa vas sezere a muzete se stavet na hlavu jak chcete. Jinak jeste jsem nevidel pc blikat 20 ikonami. Videls vubec jak vypada nejaky novejsi AV nebo balik? Nemaji 20 ikon. Mas neco proti pisalkum, rozumis tomu podle tebe lip nez oni. Proc nenapises pro nejaky portal nebo casopis superodborny a hlavne pravdivy clanek, ktery by uvedl na pravou miru to, proti cemu tady v diskuzi plivas jedovatou slinu?

naprosto zbytečnej článek....navíc hloupě napsaný
(odkaz na AVG už je jen kirsche auf die torte)

Takže opět nevíme nic, co by jsme nevěděli už předtím.

Bože, tohle je ale snůška keců, a vypovídá to o kvalitě časopisu se kterým je tahle redakce svázaná. Totální bláboly který vedou uživatele špatným směrem...

vyvolajte pocit nebezpecia, a predate cokolvek, aj AVG
namiesto tohto clanku mohol byt jednoduchy kratky kurz elementarnej bezpecnosti a hygieny pouzivania internetu.

Tak či onak , doba antivirů skončila . Samotný antivir je dnes mrtvý . Jakous ochranu poskytne jen pokročilý firewall se sandboxem a manuálním potvrzováním pravidel , což ovšem mnoha userům vadí .

Specifikem IT profese je, že opravdoví odborníci bývají nezřídka asociálové s minimem komunikačních dovedností. Takže pak se takovýchto diskusí buďto vůbec neúčastní, nebo svůj názor prezentují ne vždy vhodně nebo srozumitelně. Dále se zde vždy vyskytne celá řada takyodborníků, kteří plodí buďto vyložené mystifikace a nebo v zájmu "vyšší pravdy" útočí na vše co se hne a naprosto opomínají celou řadu aspektů. Jejich výkřiky typu "ty seš úplně blbej, seš lama, meleš nesmysly" atd pak suplují nedostatek odborného know-how. Bohužel tito lidé zde v diskusích naprosto převažují.
Můj názor na tento článek je, že fakticky chybí tématika user/admin práv, stejně tak problematika článku mezi klávesnicí a židlí. Přesto má svou informační hodnotu a nelze jej jednoznačně zavrhnout. Bohužel však místo aby diskuze pod článkem rozvíjela a popisovala další (v článku nedotažené) aspekty bezpečnosti, je spíše přehlídkou neandrtálské duševní masturbace.