Norton AV / IS

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 19 Nov 2011 14:01

Citat:Nemoj biti bezobrazan,nema potrebe za tim.

Ako si shvatio da sam u mom postu hteo da te omalovazim onda se izvinjavam, nije mi to bila namera ni najmanje.

Dopuna: 19 Nov 2011 14:09

Sta vise mogao sam i ja to isto da pomislim procitavsi tvoj post, ja ne znam kakav je bio Norton a kakav je sad, ma daj molim te.
Uostalom ja sam zavrsio diskusiju sa tobom o AV programima.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

@acafacaa - A za tebe imam samo da kazem da to sto teras svoju pricu, samo tebi ide na stetu. Poslusaj savete ozbiljnih AMF-ovca, videces da ti i oni kazu da to sto radis ne valja (a shodno tome da imaju mnogo iskustva, vredi ih poslusati).
Ako mislis da si pametniji i iskusniji od svih clanova na ovom forumu, onda se grdno varas. Ja detaljno citam njihove postove i upijam sve sto mi je nepoznato. Pokusaj i ti, ovo ti dobronamerno kazem.

A Net++ cu da pitam kolika ti je plata za ovo

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Dosta bre sa ulizivanjem,samo se ulizujete AMF-ovcima,ccc

• 4Ovo se svidja korisnicima: goran9888, NIx Car, nemanja_066, pedja93
  
  Registruj se da bi pohvalio/la poruku!

Ovako.

1. Stvarno ne bih voleo da se zakljuca tema. Suvise rigorozna mera. Zato vam molim da :

Vise ne skrecete sa teme. Nema potrebe za velicanjem AMF tima jer oni nisu bogovi znanja. A i to nije tema.

Da vise ne skrecete sa teme, jer ovaj forum se razliku od drugih trudi da postoji konstruktivna rasprava.

Da ne napadate licno clana, vec njegove argumente, i to sa kontraargumentima, a ne subjektivnim zapazanjem.

Do ove poruke http://www.mycity.rs/Antivirus-programi/Norton-AV-IS_3.html#1243145 se vodila konstruktivna rasprava (manje vise al nista ne moze da bude savrseno, nisu clanovi roboti). Steta sto se tu nije stalo. Ako hocete da raspravljate o nekom drugom programu ili tehnologiji otvorite temu. Nema potrebe ovu da remetite.

I, aman, postoji mogucnost slanja Privatne poruke, ako se ne slazete sa necijim misljenjem, a odgovor na isto u temi remeti ideju i cilj otvaranja te teme.

Prijatan maglovit dan vam zelim.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

"Nema potrebe za velicanjem AMF tima jer oni nisu bogovi znanja. A i to nije tema. "

- Niko ih ne velica u tom smislu. Treba nesto nauciti od njih, to je poenta svega.

• 6Ovo se svidja korisnicima: ThePhilosopher, NIx Car, diarno, Sass Drake, S.Stojkovic, magna86
  
  Registruj se da bi pohvalio/la poruku!

Da se vratimo na Norton...

dr_Bora ::Da nije ovo FP, a?

Šta nam konkretan primer, ponajviše, govori? Da i Norton može da napravi FP? Da acafacaa može da se zezne pri izboru primeraka za testiranje?

U principu i jedno i drugo, ali to nije bila poenta moje poruke. Dati primer nas, najviše od svega, dovodi do druge slabosti ovakvih metoda detekcije (nepropravljivi tehnološki propust; jer to nije bug, već feature).

Naziv "detekcije" je WS.Reputation.1 (reputation - reputacija, ugled) - znači, ne govorimo o klasičnom FP-u (pogrešan ili neprecizan potpis, čak nije u pitanju ni generička detekcija /npr. po packeru/), već o detekciji u zavisnosti od ugleda file-a.

Praktično, NIS će ovu detekciju da prilepi većini programa koji nisu globalno ili dovoljno poznati/korišćeni.

S jedne strane gledano, za očekivati je da ovo doista i daje visok nivo detekcije novog malware-a.
Problem? Pa, to isto radi i sa legitimnim programima.

Zašto se ovo meni ne sviđa?
Prvi razlog je veliki potencijal za pogrešne detekcije. Činjenica postojanja određenog broja FP-ova čak i nije ono što je problematično u toj priči; problem je u navikavanju korisnika na pogrešno.

Da malo ovo pojasnim na drugačijem primeru - gomila AV-ova detektuje krekove i slične alatke i pri tome im lepi totalno pogrešne nazive detekcija (npr. keygen nazovu trojanom). Prosečan korisnik kada vidi dovoljno ovakvih detekcija počinje da konta: "AV detektuje svaki krek, to je normalno - sad ću da ignorišem detekciju i isključim AV da bih mogao da odradim što treba"... I onda se jednom za'ebe.

E, sad, NIS - ako će on uporno svakom novom ili manje poznatom programu da nalepi ovakvu detekciju, u kakvu to situaciju postavlja korisnika?

Kako on na kraju da razluči šta su ove bezvezne detekcije, a šta su prave?


Drugi razlog su problemi koje ovakve i slične nakaradne detekcije prave nezavisnim programerima (ok, ovo nije stavka koja je toliko bitna prosečnom useru, no svejedno).

Ne znam tačno koje su Symantec-ove granice za ovaj Reputation sistem, ali 'ajde da pretpostavim da je u pitanju 3 meseca starosti programa ili pojavljivanje na 1000 kompjutera.

Za konkretne cifre bi situacija bila takva da kada ja ažuriram svoj program, NIS će hiljadu puta da ga detektuje kao malware. Hiljadu i prvi korisnik neće imati taj problem - njemu će NIS reći: "program je ok, poznat mi je", a poznat mu je zato što ga je on već obrisao na hiljadu kompjutera pre toga.


Pitanje za korisnike Nortona: kako se Reputation sistem ponaša prema digitalno potpisanim file-ovima tj. da li dig. potpis znači da ga Norton neće dirati ili ni to nije dovoljno nekom programeru da izbegne takve detekcije za svoj program?

• 1Ovo se svidja korisniku: ThePhilosopher
  
  Registruj se da bi pohvalio/la poruku!

Koliko volim ovakve Borine postove... Svaka cast na detaljnosti.

• 1Ovo se svidja korisniku: ThePhilosopher
  
  Registruj se da bi pohvalio/la poruku!

Prvo iako sam korisnik Nortona ne bih da me bilo ko shvati da ovo sto pisem je pretenciozno, nego je pisano iz ciste radoznalosti u jednoj materiji koja je daleka od mene.
@ dr_Bora
Postovani, ovo sto si napisao je za razliku od drugih komentara i imalo smisla da neke stvari pogledam i iz drugacijeg ugla.
Ja sada imam pitanje.
Jel sve ovo kod tebe receno svojstveno samo Nortonu ?

Citat:
E, sad, NIS - ako će on uporno svakom novom ili manje poznatom programu da nalepi ovakvu detekciju, u kakvu to situaciju postavlja korisnika?Kako on na kraju da razluči šta su ove bezvezne detekcije, a šta su prave?
Drugi razlog su problemi koje ovakve i slične nakaradne detekcije prave nezavisnim programerima (ok, ovo nije stavka koja je toliko bitna prosečnom useru, no svejedno).



Dali moze da se podvuce zajednicki imenilac i veza na relaciji FP - AV.
Odnosno dali danas postoji AV koji nema FP ?
Ne bih da sirim temu jer ce se povesti diskusija o ukusima, a ista je vrlo besciljna.
Unapred hvala na odgovoru i puno pozdrava.

• 3Ovo se svidja korisnicima: ThePhilosopher, knell, S.Stojkovic
  
  Registruj se da bi pohvalio/la poruku!

Citat:Jel sve ovo kod tebe receno svojstveno samo Nortonu ?

Nažalost, ne.

Stvari su prilično proste (mislim, nisu, ali... ): zaštita i funkcionalnost ne idu zajedno.

Ti čim instaliraš AV umanjio si funkcionalnost kompjutera (jer radi sporije). Znači, već tu se pravi kompromis. AV i da radi malo sporije ili bez AV-a pa da se Windows raspadne za nedelju dana. Izbor? Postoji li izbor?

Svaki AV, za početak, koristi kompleksne potpise file-ova za detekciju. Do FP-a može doći ako je analyst napravio grešku prilikom proučavanja file-a (pa da je za legitiman file procenio da je malware) ili ako potpis nije dovoljno precizno urađen (pa da kao takav može usput da potkači i pokoji legitiman file).

Ovakve FP-ove prave svi AV-ovi. Nazovimo ovo ljudskim FP faktorom.

Zatim dolaze dodatne (generičke) metode detekcije... Tu kompanije balansiraju između ekstremnog broja FP-ova i bolje detekcije. Npr. postoje detekcije na osnovu exe kompresora (pa tako i npr. MS-ov file ako se kompresuje nekim kompresorom biva detektovan kao malware).
Zatim dolaze ove fancy metode... Sandbox/HIPS, pa analiza ponašanja, pa onda ovi community sistemi (gde se program procenjuje po popularnosti)...

Svaki taj feature poboljšava zaštitu, ali ima i svoju cenu (što u vidu dodatnih FP-ova, što u tome da se od korisnika traži da bude uber geek da bi znao da koristi neki glupi program).

Ne bih da me neko shvati pogrešno; ne pokušavam ja da dokažem da je NIS totalni shit niti to mislim (rekao bih da mislim i imam dokaza/argumenata za to), već samo ukazujem na činjenice jer smatram da je bitno da ljudi pravilno sagledaju mogućnosti različitih programa (i dobro i loše) kako bi mogli da izaberu onaj koji je za njih optimalan (da im ne uspori PC previše, da stabilno radi, da detektuje što bolje i tačnije može, da ga razumeju, a time i pravilno koriste).

Recimo, ja mrzim kada programi sami brišu detektovane file-ove (bez da me pitaju šta da rade) - meni to ne odgovara. S druge strane, ti možda imaš malo dete koje sedi pred tim kompjuterom; tebi u tom slučaju odgovara da program sam odradi što ima, zar ne?
Za tebe dobro, za mene loše. Znači li to da je jedan od nas u krivu? Ne, već prosto imamo različite potrebe i očekivanja od programa.

• 1Ovo se svidja korisniku: ThePhilosopher
  
  Registruj se da bi pohvalio/la poruku!

Kao i uvek lepo receno. Mozda ce cela ova nasa polemika i biti demode
jednog dana kada svi predjemo na cloud based OS.
Mozda...
Hvala puno na iscprnom odgovoru jos jednom.