информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеЗа кого нас держат?Все любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Как? У тебя заблокировано удаление в реестре? 11.11.05 17:21  Число просмотров: 1883
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> И в десятый раз повторю - это не скрыто и документировано.
> И их тоже чистят, представляешь? И их даже не шифруют (а

Скажи что, ну что мешает тебе почистить логи в реестре?

> структура бинарных логов документирована).

> То есть - это
>
> а) документировано
> б) не скрывается
> в) настраивается

> UserAssist
>
> а) недокументировано

Разве что это. Ну дык в проприетарном ПО это обычное явление.

> б) специально скрывается

Кто посмел? И как же это у них получается в ключе эксплорера вести логу эксплорера и при этом оказывается, что они это скрывают.

> в) не настраивается

Если ты не знаешь настроек, это не значит, что их нет. Назвать тебе все ключи в Settings, которые понимает UserAssist (один я уже называл)? То бишь опять таки всего лишь недокументировано.

То есть
а) Недокументировано
б) Не скрывается (но и не особо афишируется)
в) Настраивается

Если на одной только недокументированности записывать программы в малварь (или спайварь), то тогда и спору нет.
<miscellaneous>
Хмм... Форточки это один сплошной спай варь... Кто не... 10.11.05 17:55   [Garick, amirul, vaborg]
Автор: choor Статус: Elderman
<"чистая" ссылка>
> Но другим наука будет. Нефиг совать спайваров юзерам.
Хмм... Форточки это один сплошной спай варь... Кто не согласен?
Форточки не спайварь, оно просто дырявоё глюкало -)) 11.11.05 14:51  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 11.11.05 14:58  Количество правок: 1
<"чистая" ссылка>
Яркий пример: http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=21&m=82508

Прошло два года. Воз и ныне там -))
Более того, 2003 тоже этим "болеет". Грехи отцов, так сказать.
Я теперь начинаю понимать, что такое энтропия в глобальном понимании... -))
Ну глюк... 11.11.05 14:58  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 11.11.05 15:02  Количество правок: 1
<"чистая" ссылка>
И ничего в этом глюке страшного нету. То бишь не дыра в безопасности или надежности. От такого поведения пострадать может только программа. С другой стороны ей гораздо проще сделать ExitProcess(0) :)
Другой вопрос что если порыться в закоулках userspace части CreateProcess то думаю можно много интересных вещей найти. В т.ч. как минимум возможно подменить путь к модулю исполняемого файла так что он будет указывать на несуществующий файл. И все функции возвращающие путь к ехешнику моделя, в тч GetModuleFileName будут возвращать подставной путь. Возможно что реально сделать и гораздо более извратные хаки, вполть до частичной маскировки процесса без всяких глобальных перехватов вызовов. Но тоже самое можно сделать и гораздо проще, потому этого никто не делает :)
В многих юниксах кстати с некорректными процессами тоже траблы есть. И имхо намного большие.
Плохо то, что такое поведение противоречит здравому смыслу здравого компьютинга -)) 14.11.05 06:44  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
И никто не знает, как оно может аукнуться в дальнейшем...

Более того, CreateProcess вообще, IMHO, там не при делах, а кривой дизайн разделения доступа к файлам и файлопотокам. Возможно, глючит сам драйвер NTFS. Код этот писался так давно, что уже никто и не помнит, что там и как, исправление дороже будет, ну его нафиг -))
Скорее всего. Доступ на удаление файла можно получить без... 14.11.05 12:01  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> И никто не знает, как оно может аукнуться в дальнейшем...

> Более того, CreateProcess вообще, IMHO, там не при делах, а
> кривой дизайн разделения доступа к файлам и файлопотокам.
> Возможно, глючит сам драйвер NTFS. Код этот писался так

Скорее всего. Доступ на удаление файла можно получить без доступа на удаление файлопотока.

> давно, что уже никто и не помнит, что там и как,
> исправление дороже будет, ну его нафиг -))

Скорее всего не так. Код написан довольно неплохо, а значит довольно безболезненно правится и расширяется. Скорее всего им просто в лом править пока это не копрометирует безопасность и нет большого потока жалоб. Затерялась, короче, твоя жалоба в куче других. С большими конторами такое бывает
Мне не жалко, хай глючит и дальше -)) Если для удаления глюков нуно теперь запускать вирь, использующий этот глюк, то это не мой путь -)) 14.11.05 12:22  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Я. Не затруднит аргументировать? 11.11.05 12:49  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
пожалуйста :) 11.11.05 14:59  
Автор: paganoid Статус: Member
<"чистая" ссылка>
Если под определением спайвари понимать "программное обеспечение, записывающее все основные действия пользователя без его ведома, причем собранные данные не используются самой системой и шифруются для сокрытия от обнаружения пользователем", то я с этим утверждением соглашусь.

В подтверждение моих слов всех прошу пройти в замечательный ключъ реестра :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

А что такого в этом ключике то? Здесь ведётся подсчет... 16.11.05 11:44  
Автор: Zuz Статус: Незарегистрированный пользователь
Отредактировано 16.11.05 12:06  Количество правок: 1
<"чистая" ссылка>
> В подтверждение моих слов всех прошу пройти в замечательный
> ключъ реестра :
>
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
> \Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}
> \Count
>
А что такого в этом ключике то? Здесь ведётся подсчет наиболее часто используемых программ (для меню пуск, панели "установки и удаления программ" и бог его знает чего ещё) чтобы затем эту информацию выдавать пользователю и использовать по назначению.
Если беспокоит "шифрование" то его можно отключить http://www.utdallas.edu/~jbs024000/articles/explorer_spy.html
Какой ужос [update] 11.11.05 15:38  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 11.11.05 15:42  Количество правок: 1
<"чистая" ссылка>
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
> \Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}
> \Count

Оно ведет лог. Почти все программы ведут логи в том или ином виде. А в /var/log в никсах - вообще рассадник спайвари

Если тебя раздражает, можешь создать в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\Settings
DWORD значение NoLog со значением 1

И согласен с Killer{R}-ом. Пока логи не отдаются третьей стороне автоматически и скрытно от пользователя - это не спайварь, а просто протоклирование работы.

------------

Да, и скажи пожалуйста как ты относишься к MRU листам. Тоже знаете ли протоколирование последних действий пользователя
сразу жду ответа на вопрос - для кого ведется этот лог? 11.11.05 16:00  
Автор: paganoid Статус: Member
Отредактировано 11.11.05 16:02  Количество правок: 1
<"чистая" ссылка>
>
> Оно ведет лог. Почти все программы ведут логи в том или
> ином виде. А в /var/log в никсах - вообще рассадник
> спайвари

сразу жду ответа на вопрос - для кого ведется этот лог?

Лог, знаете ли, предназначен для просмотра человеками.

>
> Да, и скажи пожалуйста как ты относишься к MRU листам. Тоже
> знаете ли протоколирование последних действий пользователя

очень хорошо отношусь. О них пользователь знает и пользуется результатами их работы.


И финальный вопросец - то есть, значится, в принципе, по твоей логике, собирать-то можно. Главное - НЕ СМОТРЕТЬ хыхых?
На файловой системе после удаления файлов файлы на самом... 14.11.05 05:35  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 14.11.05 05:59  Количество правок: 2
<"чистая" ссылка>
На файловой системе после удаления файлов файлы на самом деле остаются. Для кого они там остаются? Однозначно не для пользователя. Даже если бы IE чистил за собой все временные файлы повсюду на винте все равно оставались .jpg'ки с посещенных юзверем порносайтов. Просто невидимые для обычных файловых менеджеров. =>Все современные файловые системы суть спайвары?
Большинство ОС не трудяться (по дефолту) чистить за собой свопы, удалять временные файлы.В свопах с большой вероятностью остаютсяВСЕпаролии вся инфа. Вывод - это спайвары?
Ккстати не поверишь но Temporary internet files это не только кэш, а тем более и логи, а просто временные файлы необходимые для работы браузера, просто работает он так. Я бы тоже так его написал если бы понадобилось реализовать механизм загрузки страниц, способный при минимуме затрат памяти эффективно загружать ресурсы, да так чтобы результаты загрузки после этого могли быть доступны между разными процессами. Просто по любому надо было бы реализовывать нечто вроде БД скачанных/скачивающихся ресурсов. Так почемубы не воспользоваться файловой системой как готовым каркасом для БД?
Идем дальше. Любая программа может прочитать память (удивительно. да?). А в памяти - данные в чистом виде. Я кстати даже иногда пользуюсь userdump'ом когда при отправке поста в форум браузер выдает еррор а пост я не сохранил перед отправкой. Тоже самое можно сделать с ценной информацией которую ты отправил по емылу со своего компа на работе, зашифровав все pgp и стерев за собой все временные файлы. А потом пошел на обед, в течении которого приходит "заинтересованное лицо" снимает полный дамп и вуаля. Выходит - вся платформа - спайвар и логгер и всех их сажать надо?
Да ладно ФС, пусть наши юниксоиды в ~/.bashrc заглянут 14.11.05 11:45  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
а потом уже ищут бревна в чужих глазах спайварь в винде
Ой, а что там? 14.11.05 12:12  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
Отредактировано 14.11.05 12:14  Количество правок: 2
<"чистая" ссылка>
> а потом уже ищут бревна в чужих
> глазах
спайварь в винде

fly4life:~ # cat ~/.bashrc
cat: /root/.bashrc: No such file or directory

Хотя.., вот у обычного пользователя:

fly4life@fly4life:~> cat ~/.bashrc
test -s ~/.alias && . ~/.alias|true
Гоню, хотя предыдущую мессагу удалять не буду - хай остается для истории 14.11.05 12:37  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Конечно же я имел в виду

~/.bash_history

Я думаю ты понял это, просто решил подколоть ;-)
У тебя получилось
Нет. 14.11.05 11:00  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> На файловой системе после удаления файлов файлы на самом
> деле остаются. Для кого они там остаются? Однозначно не
> для пользователя. Даже если бы IE чистил за собой все
> временные файлы повсюду на винте все равно оставались
> .jpg'ки с посещенных юзверем порносайтов. Просто невидимые
> для обычных файловых менеджеров. =>Все современные
> файловые системы суть спайвары?
> Большинство ОС не трудяться (по дефолту) чистить за собой
> свопы, удалять временные файлы.В свопах с большой
> вероятностью остаютсяВСЕпаролии вся инфа. Вывод - это
> спайвары?
> Ккстати не поверишь но Temporary internet files это не
> только кэш, а тем более и логи, а просто временные файлы
> необходимые для работы браузера, просто работает он так.
> Я бы тоже так его написал если бы понадобилось реализовать
> механизм загрузки страниц, способный при минимуме затрат
> памяти эффективно загружать ресурсы, да так чтобы
> результаты загрузки после этого могли быть доступны между
> разными процессами. Просто по любому надо было бы
> реализовывать нечто вроде БД скачанных/скачивающихся
> ресурсов. Так почемубы не воспользоваться файловой системой
> как готовым каркасом для БД?
> Идем дальше. Любая программа может прочитать память
> (удивительно. да?). А в памяти - данные в чистом виде. Я
> кстати даже иногда пользуюсь userdump'ом когда при отправке
> поста в форум браузер выдает еррор а пост я не сохранил
> перед отправкой. Тоже самое можно сделать с ценной
> информацией которую ты отправил по емылу со своего компа на
> работе, зашифровав все pgp и стерев за собой все временные
> файлы. А потом пошел на обед, в течении которого приходит
> "заинтересованное лицо" снимает полный дамп и вуаля.
> Выходит - вся платформа - спайвар и логгер и всех их сажать
> надо?

Нет.
У меня нет претензий к Windows\Prefetch , Temporary, файловой системе и т.п.
Даже не хочется распинаться, читай другие ветки. Вобщем эти данные повторно используются системой,
их наличие логически оправдано.

Главное - чтобы все это "собирательство" было документировано и отключаемо. 14.11.05 04:19  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Исходя из названия UserAssist могу предположить, что этот... 11.11.05 16:23  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> сразу жду ответа на вопрос - для кого ведется этот лог?
>
> Лог, знаете ли, предназначен для просмотра человеками.

Исходя из названия UserAssist могу предположить, что этот лог ведется для помощи юзерам, когда они обратятся в службу поддержки. Кто хоть раз работал на саппорте пользователей тот поймет, что всю необходимую информацию лучше собирать в автоматическом режиме, а не просить пользователя сообщить ее.

> И финальный вопросец - то есть, значится, в принципе, по
> твоей логике, собирать-то можно. Главное - НЕ СМОТРЕТЬ
> хыхых?

Главное, чтобы сторонние лица не получили конфиденциальную информацию. "не смотреть" вполне согласуется с такой постановкой.
Служба поддержки микрософт не постулирует использование этих... 11.11.05 16:58  
Автор: paganoid Статус: Member
<"чистая" ссылка>
>
> Исходя из названия UserAssist могу предположить, что этот
> лог ведется для помощи юзерам, когда они обратятся в службу
> поддержки.

Служба поддержки микрософт не постулирует использование этих данных для помощи мне. Микрософт не предполагает использование этой функции для служб поддержки третьих сторон (google: UserAssist site:microsoft.com ). Предположение считаю маловероятным.

> Кто хоть раз работал на саппорте пользователей
> тот поймет, что всю необходимую информацию лучше собирать в
> автоматическом режиме, а не просить пользователя сообщить
> ее.

Да конечно.
Тот поймет, что, более того, лучше всего даже видеть лицо пользователя, не течёт ли у него слюна по щеке и заодно сходу иметь историю посещений поликлиники - а вдруг он на учете в психдиспансере? Это очень помогло бы немного уменьшить число бесцельных обращений в Очень Занятую Службу Техподдержки.

Вобщем крепко сомневаюсь, что саппорту нужен лог ВСЕХ действий пользователя за ВСЕ время его работы в виндовс.

>
> > И финальный вопросец - то есть, значится, в принципе,
> по
> > твоей логике, собирать-то можно. Главное - НЕ СМОТРЕТЬ
> > хыхых?
>
> Главное, чтобы сторонние лица не получили конфиденциальную
> информацию. "не смотреть" вполне согласуется с такой
> постановкой.

Ну разве "хозяин" - стороннее лицо? Конечно нет. Это же он написал эту программу. Он никак не может считаться посторонним и вправе делать с тобой что хочет, раз уж ты запускаешь эту программу каждый день.
Приблизительно так "лицензионных соглашениях" спайварей и написано :)

Короче - программа-спайвар - без ведома пользователя прёт инфу и /по запросу/ может передать ее своему создателю. Виндовс - без ведома пользователя прёт инфу и /по запросу/ может передать ее своему создателю. Что не согласуется-то? Или я опять в определении ошибся?
Мы не выкладывали дебажные версии драйверов на офсайт и не... 11.11.05 17:13  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Служба поддержки микрософт не постулирует использование
> этих данных для помощи мне. Микрософт не предполагает
> использование этой функции для служб поддержки третьих
> сторон (google: UserAssist site:microsoft.com ).
> Предположение считаю маловероятным.

Мы не выкладывали дебажные версии драйверов на офсайт и не расписывали действия, необходимые для оказания первой помощи. Тем не менее дебажными версиями пользовались и минидампы присылать просили. Вывод: отсутствие упоминания на офсайте не является достаточным основанием для вывода о невозможности (маловероятности).

> > Кто хоть раз работал на саппорте пользователей
> > тот поймет, что всю необходимую информацию лучше
> собирать в
> > автоматическом режиме, а не просить пользователя
> сообщить
> > ее.
>
> Да конечно.
> Тот поймет, что, более того, лучше всего даже видеть лицо
> пользователя, не течёт ли у него слюна по щеке и заодно
> сходу иметь историю посещений поликлиники - а вдруг он на
> учете в психдиспансере? Это очень помогло бы немного
> уменьшить число бесцельных обращений в Очень Занятую Службу
> Техподдержки.

При чем здесь Очень Занятая Служба Техподдержки? У меня лично был случай когда, я 40 минут (почти час!!!) объяснял по телефону (не в саппорте, а просто знакомому), как СКОПИРОВАТЬ файл в эксплорере. Причем этот юзер не такой уж тупой по жизни - свой бизнес и все такое. При этом мы общались на одном языке (который родной для обоих). Как ты думаешь, добился бы я внятных объяснений, что происходит не так?

> Вобщем крепко сомневаюсь, что саппорту нужен лог ВСЕХ
> действий пользователя за ВСЕ время его работы в виндовс.

Уверен, что ВСЕХ? То, что там присутствуют очень древние записи еще не говорит о том, что там присутствуют ВСЕ записи. Лично у меня их оказалось всего несколько сотен. ВСЕХ (по твоим словам) действий пользователя за ВСЕ (по твоим словам) время работы в виндовс. Не кажется ли тебе, что маловато это.

> > Главное, чтобы сторонние лица не получили
> конфиденциальную
> > информацию. "не смотреть" вполне согласуется с такой
> > постановкой.
>
> Ну разве "хозяин" - стороннее лицо? Конечно нет. Это же он
> написал эту программу. Он никак не может считаться

"Хозяин" чего? Не юли. Во-первых, покупая программу я становлюсь владельцем данной копии, во-вторых "хозяин" программы, даже если мы условимся так называть ее автора, далеко не хозяин тех самых конфиденциальных данных, которые данная программа будет обрабатывать. А ведь именно по отношению к конфиденциальным данным автор программы является сторонним лицом.

> посторонним и вправе делать с тобой что хочет, раз уж ты
> запускаешь эту программу каждый день.
> Приблизительно так "лицензионных соглашениях" спайварей и
> написано :)

Микрософтовская EULA переведена на русский - почитай. Ничего такого там и рядом нет.

> Короче - программа-спайвар - без ведома пользователя прёт
> инфу и /по запросу/ может передать ее своему создателю.
> Виндовс - без ведома пользователя прёт инфу и /по запросу/
> может передать ее своему создателю. Что не согласуется-то?
> Или я опять в определении ошибся?

Если докажешь, что по запросу микрософта БЕЗ ВЕДОМА пользователя виндовс может отдать какую либо конфиденциальную инфу (да пусть даже этот ключ), то я соглашусь, что это спайварь.
1  |  2  |  3 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach