информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяЗа кого нас держат?Страшный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Извиняюсь, концентрировался на беседе с amirul'ом. Продолжу... 14.11.05 14:54  Число просмотров: 2013
Автор: paganoid Статус: Member
Отредактировано 14.11.05 15:28  Количество правок: 1
<"чистая" ссылка>
Извиняюсь, концентрировался на беседе с amirul'ом. Продолжу дискус с тобой.

> Следим за логикой:
> http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=8&m=
> 128663
> ->
> http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=8&m=
> 128668
> Абсолютно нелогичная цепочка являющаяся следствием подмены
> и частичного закрытия понятий и выборочного игнорирования
> аргументов исходного сообщения. А именно - кейлоггер
> спайвар потому что он предусматривает механизм передачи
> инфы "хозяину" незаметно для юзвера.
>

Не понимаю про что ты говоришь. Я привел утверждение спайвар = специально собирающая чувствительные данные компонента . Ты в своем утверждении ( http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=8&m=128663 ) совершенно опустил то , что сбор данных вообще можно считать вредоносной активностью, и сконцентрировался на отправке данных (эта ветка - беседа с amirul'ом) Я привел тебе исключение - кейлоггер, демонстрирующее, что указанная активность вполне общепризнанно может считаться вредоносной и опускать этот факт нельзя. Так что не надо про игнорирование аргументов исходного сообщения. Не мне пришла идея болтать только насчет передачи.

> http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=8&m=
> 128685
> Специально для тебя - Tools/Internet options/Temporary
> internet files - их тоже можно чистить.

Где это я говорил что temporary нельзя чистить? Ты что?? Разговор ВООБЩЕ шел ТОЛЬКО про UserAssist,
это ты как то переключился на temporary . Более того, ты невнимательно просмотрел линию спора - я как
раз и говорил, что temporary, нормальные логи и т.п. в более "правильную" сторону отличаются от UserAssist:
amrirul , доводя ситуацию до абсурда, сказал ( http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=8&m=128676 ), что "кеш тоже надо запретить", на что я ответил что их не надо запрещать, бо они чистятся пользователем и ваще настраиваются.

> Налицо незнание
> предмета спора.

...

> А незнание предмета спора означает
> догматические доводы в споре.
> Кстати по поводу поста и очистки - ручное удаление файлов
> это тоже очистка. Пооводник между прочим входит в винду.
> Как и regedit. А винда никак не прячет все временные файлы
> в отличии от Sony. Хочешь -стирай. Хочешь - не стирай.

Использование простым пользователем regedit не приветствуется микрософтом.

>
> http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=8&m=
> 128744
> Просто ответ в стиле "Я прав. Разбирайся сам почему." И
> полное игнорирование моих доводов о том что теже временные
> файлы - это тоже надо для работы ИЕ by good design, а не со
> злобным умыслом.

Почему игнорирование? Я с тобой полностью согласен, что временные файлы необходимы для работы ИЕ. Поэтому я и отфутболил тебя к основной ветке беседы, чтобы второй раз не повторяться.

Ты вроде как плохо изучил предмет спора - UserAssist хех, освободи мозг от этих временных файлов ;)
<miscellaneous>
Хмм... Форточки это один сплошной спай варь... Кто не... 10.11.05 17:55   [Garick, amirul, vaborg]
Автор: choor Статус: Elderman
<"чистая" ссылка>
> Но другим наука будет. Нефиг совать спайваров юзерам.
Хмм... Форточки это один сплошной спай варь... Кто не согласен?
Форточки не спайварь, оно просто дырявоё глюкало -)) 11.11.05 14:51  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 11.11.05 14:58  Количество правок: 1
<"чистая" ссылка>
Яркий пример: http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=21&m=82508

Прошло два года. Воз и ныне там -))
Более того, 2003 тоже этим "болеет". Грехи отцов, так сказать.
Я теперь начинаю понимать, что такое энтропия в глобальном понимании... -))
Ну глюк... 11.11.05 14:58  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 11.11.05 15:02  Количество правок: 1
<"чистая" ссылка>
И ничего в этом глюке страшного нету. То бишь не дыра в безопасности или надежности. От такого поведения пострадать может только программа. С другой стороны ей гораздо проще сделать ExitProcess(0) :)
Другой вопрос что если порыться в закоулках userspace части CreateProcess то думаю можно много интересных вещей найти. В т.ч. как минимум возможно подменить путь к модулю исполняемого файла так что он будет указывать на несуществующий файл. И все функции возвращающие путь к ехешнику моделя, в тч GetModuleFileName будут возвращать подставной путь. Возможно что реально сделать и гораздо более извратные хаки, вполть до частичной маскировки процесса без всяких глобальных перехватов вызовов. Но тоже самое можно сделать и гораздо проще, потому этого никто не делает :)
В многих юниксах кстати с некорректными процессами тоже траблы есть. И имхо намного большие.
Плохо то, что такое поведение противоречит здравому смыслу здравого компьютинга -)) 14.11.05 06:44  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
И никто не знает, как оно может аукнуться в дальнейшем...

Более того, CreateProcess вообще, IMHO, там не при делах, а кривой дизайн разделения доступа к файлам и файлопотокам. Возможно, глючит сам драйвер NTFS. Код этот писался так давно, что уже никто и не помнит, что там и как, исправление дороже будет, ну его нафиг -))
Скорее всего. Доступ на удаление файла можно получить без... 14.11.05 12:01  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> И никто не знает, как оно может аукнуться в дальнейшем...

> Более того, CreateProcess вообще, IMHO, там не при делах, а
> кривой дизайн разделения доступа к файлам и файлопотокам.
> Возможно, глючит сам драйвер NTFS. Код этот писался так

Скорее всего. Доступ на удаление файла можно получить без доступа на удаление файлопотока.

> давно, что уже никто и не помнит, что там и как,
> исправление дороже будет, ну его нафиг -))

Скорее всего не так. Код написан довольно неплохо, а значит довольно безболезненно правится и расширяется. Скорее всего им просто в лом править пока это не копрометирует безопасность и нет большого потока жалоб. Затерялась, короче, твоя жалоба в куче других. С большими конторами такое бывает
Мне не жалко, хай глючит и дальше -)) Если для удаления глюков нуно теперь запускать вирь, использующий этот глюк, то это не мой путь -)) 14.11.05 12:22  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Я. Не затруднит аргументировать? 11.11.05 12:49  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
пожалуйста :) 11.11.05 14:59  
Автор: paganoid Статус: Member
<"чистая" ссылка>
Если под определением спайвари понимать "программное обеспечение, записывающее все основные действия пользователя без его ведома, причем собранные данные не используются самой системой и шифруются для сокрытия от обнаружения пользователем", то я с этим утверждением соглашусь.

В подтверждение моих слов всех прошу пройти в замечательный ключъ реестра :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

А что такого в этом ключике то? Здесь ведётся подсчет... 16.11.05 11:44  
Автор: Zuz Статус: Незарегистрированный пользователь
Отредактировано 16.11.05 12:06  Количество правок: 1
<"чистая" ссылка>
> В подтверждение моих слов всех прошу пройти в замечательный
> ключъ реестра :
>
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
> \Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}
> \Count
>
А что такого в этом ключике то? Здесь ведётся подсчет наиболее часто используемых программ (для меню пуск, панели "установки и удаления программ" и бог его знает чего ещё) чтобы затем эту информацию выдавать пользователю и использовать по назначению.
Если беспокоит "шифрование" то его можно отключить http://www.utdallas.edu/~jbs024000/articles/explorer_spy.html
Какой ужос [update] 11.11.05 15:38  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 11.11.05 15:42  Количество правок: 1
<"чистая" ссылка>
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
> \Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}
> \Count

Оно ведет лог. Почти все программы ведут логи в том или ином виде. А в /var/log в никсах - вообще рассадник спайвари

Если тебя раздражает, можешь создать в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\Settings
DWORD значение NoLog со значением 1

И согласен с Killer{R}-ом. Пока логи не отдаются третьей стороне автоматически и скрытно от пользователя - это не спайварь, а просто протоклирование работы.

------------

Да, и скажи пожалуйста как ты относишься к MRU листам. Тоже знаете ли протоколирование последних действий пользователя
сразу жду ответа на вопрос - для кого ведется этот лог? 11.11.05 16:00  
Автор: paganoid Статус: Member
Отредактировано 11.11.05 16:02  Количество правок: 1
<"чистая" ссылка>
>
> Оно ведет лог. Почти все программы ведут логи в том или
> ином виде. А в /var/log в никсах - вообще рассадник
> спайвари

сразу жду ответа на вопрос - для кого ведется этот лог?

Лог, знаете ли, предназначен для просмотра человеками.

>
> Да, и скажи пожалуйста как ты относишься к MRU листам. Тоже
> знаете ли протоколирование последних действий пользователя

очень хорошо отношусь. О них пользователь знает и пользуется результатами их работы.


И финальный вопросец - то есть, значится, в принципе, по твоей логике, собирать-то можно. Главное - НЕ СМОТРЕТЬ хыхых?
На файловой системе после удаления файлов файлы на самом... 14.11.05 05:35  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 14.11.05 05:59  Количество правок: 2
<"чистая" ссылка>
На файловой системе после удаления файлов файлы на самом деле остаются. Для кого они там остаются? Однозначно не для пользователя. Даже если бы IE чистил за собой все временные файлы повсюду на винте все равно оставались .jpg'ки с посещенных юзверем порносайтов. Просто невидимые для обычных файловых менеджеров. =>Все современные файловые системы суть спайвары?
Большинство ОС не трудяться (по дефолту) чистить за собой свопы, удалять временные файлы.В свопах с большой вероятностью остаютсяВСЕпаролии вся инфа. Вывод - это спайвары?
Ккстати не поверишь но Temporary internet files это не только кэш, а тем более и логи, а просто временные файлы необходимые для работы браузера, просто работает он так. Я бы тоже так его написал если бы понадобилось реализовать механизм загрузки страниц, способный при минимуме затрат памяти эффективно загружать ресурсы, да так чтобы результаты загрузки после этого могли быть доступны между разными процессами. Просто по любому надо было бы реализовывать нечто вроде БД скачанных/скачивающихся ресурсов. Так почемубы не воспользоваться файловой системой как готовым каркасом для БД?
Идем дальше. Любая программа может прочитать память (удивительно. да?). А в памяти - данные в чистом виде. Я кстати даже иногда пользуюсь userdump'ом когда при отправке поста в форум браузер выдает еррор а пост я не сохранил перед отправкой. Тоже самое можно сделать с ценной информацией которую ты отправил по емылу со своего компа на работе, зашифровав все pgp и стерев за собой все временные файлы. А потом пошел на обед, в течении которого приходит "заинтересованное лицо" снимает полный дамп и вуаля. Выходит - вся платформа - спайвар и логгер и всех их сажать надо?
Да ладно ФС, пусть наши юниксоиды в ~/.bashrc заглянут 14.11.05 11:45  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
а потом уже ищут бревна в чужих глазах спайварь в винде
Ой, а что там? 14.11.05 12:12  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
Отредактировано 14.11.05 12:14  Количество правок: 2
<"чистая" ссылка>
> а потом уже ищут бревна в чужих
> глазах
спайварь в винде

fly4life:~ # cat ~/.bashrc
cat: /root/.bashrc: No such file or directory

Хотя.., вот у обычного пользователя:

fly4life@fly4life:~> cat ~/.bashrc
test -s ~/.alias && . ~/.alias|true
Гоню, хотя предыдущую мессагу удалять не буду - хай остается для истории 14.11.05 12:37  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Конечно же я имел в виду

~/.bash_history

Я думаю ты понял это, просто решил подколоть ;-)
У тебя получилось
Нет. 14.11.05 11:00  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> На файловой системе после удаления файлов файлы на самом
> деле остаются. Для кого они там остаются? Однозначно не
> для пользователя. Даже если бы IE чистил за собой все
> временные файлы повсюду на винте все равно оставались
> .jpg'ки с посещенных юзверем порносайтов. Просто невидимые
> для обычных файловых менеджеров. =>Все современные
> файловые системы суть спайвары?
> Большинство ОС не трудяться (по дефолту) чистить за собой
> свопы, удалять временные файлы.В свопах с большой
> вероятностью остаютсяВСЕпаролии вся инфа. Вывод - это
> спайвары?
> Ккстати не поверишь но Temporary internet files это не
> только кэш, а тем более и логи, а просто временные файлы
> необходимые для работы браузера, просто работает он так.
> Я бы тоже так его написал если бы понадобилось реализовать
> механизм загрузки страниц, способный при минимуме затрат
> памяти эффективно загружать ресурсы, да так чтобы
> результаты загрузки после этого могли быть доступны между
> разными процессами. Просто по любому надо было бы
> реализовывать нечто вроде БД скачанных/скачивающихся
> ресурсов. Так почемубы не воспользоваться файловой системой
> как готовым каркасом для БД?
> Идем дальше. Любая программа может прочитать память
> (удивительно. да?). А в памяти - данные в чистом виде. Я
> кстати даже иногда пользуюсь userdump'ом когда при отправке
> поста в форум браузер выдает еррор а пост я не сохранил
> перед отправкой. Тоже самое можно сделать с ценной
> информацией которую ты отправил по емылу со своего компа на
> работе, зашифровав все pgp и стерев за собой все временные
> файлы. А потом пошел на обед, в течении которого приходит
> "заинтересованное лицо" снимает полный дамп и вуаля.
> Выходит - вся платформа - спайвар и логгер и всех их сажать
> надо?

Нет.
У меня нет претензий к Windows\Prefetch , Temporary, файловой системе и т.п.
Даже не хочется распинаться, читай другие ветки. Вобщем эти данные повторно используются системой,
их наличие логически оправдано.

Главное - чтобы все это "собирательство" было документировано и отключаемо. 14.11.05 04:19  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Исходя из названия UserAssist могу предположить, что этот... 11.11.05 16:23  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> сразу жду ответа на вопрос - для кого ведется этот лог?
>
> Лог, знаете ли, предназначен для просмотра человеками.

Исходя из названия UserAssist могу предположить, что этот лог ведется для помощи юзерам, когда они обратятся в службу поддержки. Кто хоть раз работал на саппорте пользователей тот поймет, что всю необходимую информацию лучше собирать в автоматическом режиме, а не просить пользователя сообщить ее.

> И финальный вопросец - то есть, значится, в принципе, по
> твоей логике, собирать-то можно. Главное - НЕ СМОТРЕТЬ
> хыхых?

Главное, чтобы сторонние лица не получили конфиденциальную информацию. "не смотреть" вполне согласуется с такой постановкой.
Служба поддержки микрософт не постулирует использование этих... 11.11.05 16:58  
Автор: paganoid Статус: Member
<"чистая" ссылка>
>
> Исходя из названия UserAssist могу предположить, что этот
> лог ведется для помощи юзерам, когда они обратятся в службу
> поддержки.

Служба поддержки микрософт не постулирует использование этих данных для помощи мне. Микрософт не предполагает использование этой функции для служб поддержки третьих сторон (google: UserAssist site:microsoft.com ). Предположение считаю маловероятным.

> Кто хоть раз работал на саппорте пользователей
> тот поймет, что всю необходимую информацию лучше собирать в
> автоматическом режиме, а не просить пользователя сообщить
> ее.

Да конечно.
Тот поймет, что, более того, лучше всего даже видеть лицо пользователя, не течёт ли у него слюна по щеке и заодно сходу иметь историю посещений поликлиники - а вдруг он на учете в психдиспансере? Это очень помогло бы немного уменьшить число бесцельных обращений в Очень Занятую Службу Техподдержки.

Вобщем крепко сомневаюсь, что саппорту нужен лог ВСЕХ действий пользователя за ВСЕ время его работы в виндовс.

>
> > И финальный вопросец - то есть, значится, в принципе,
> по
> > твоей логике, собирать-то можно. Главное - НЕ СМОТРЕТЬ
> > хыхых?
>
> Главное, чтобы сторонние лица не получили конфиденциальную
> информацию. "не смотреть" вполне согласуется с такой
> постановкой.

Ну разве "хозяин" - стороннее лицо? Конечно нет. Это же он написал эту программу. Он никак не может считаться посторонним и вправе делать с тобой что хочет, раз уж ты запускаешь эту программу каждый день.
Приблизительно так "лицензионных соглашениях" спайварей и написано :)

Короче - программа-спайвар - без ведома пользователя прёт инфу и /по запросу/ может передать ее своему создателю. Виндовс - без ведома пользователя прёт инфу и /по запросу/ может передать ее своему создателю. Что не согласуется-то? Или я опять в определении ошибся?
Мы не выкладывали дебажные версии драйверов на офсайт и не... 11.11.05 17:13  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Служба поддержки микрософт не постулирует использование
> этих данных для помощи мне. Микрософт не предполагает
> использование этой функции для служб поддержки третьих
> сторон (google: UserAssist site:microsoft.com ).
> Предположение считаю маловероятным.

Мы не выкладывали дебажные версии драйверов на офсайт и не расписывали действия, необходимые для оказания первой помощи. Тем не менее дебажными версиями пользовались и минидампы присылать просили. Вывод: отсутствие упоминания на офсайте не является достаточным основанием для вывода о невозможности (маловероятности).

> > Кто хоть раз работал на саппорте пользователей
> > тот поймет, что всю необходимую информацию лучше
> собирать в
> > автоматическом режиме, а не просить пользователя
> сообщить
> > ее.
>
> Да конечно.
> Тот поймет, что, более того, лучше всего даже видеть лицо
> пользователя, не течёт ли у него слюна по щеке и заодно
> сходу иметь историю посещений поликлиники - а вдруг он на
> учете в психдиспансере? Это очень помогло бы немного
> уменьшить число бесцельных обращений в Очень Занятую Службу
> Техподдержки.

При чем здесь Очень Занятая Служба Техподдержки? У меня лично был случай когда, я 40 минут (почти час!!!) объяснял по телефону (не в саппорте, а просто знакомому), как СКОПИРОВАТЬ файл в эксплорере. Причем этот юзер не такой уж тупой по жизни - свой бизнес и все такое. При этом мы общались на одном языке (который родной для обоих). Как ты думаешь, добился бы я внятных объяснений, что происходит не так?

> Вобщем крепко сомневаюсь, что саппорту нужен лог ВСЕХ
> действий пользователя за ВСЕ время его работы в виндовс.

Уверен, что ВСЕХ? То, что там присутствуют очень древние записи еще не говорит о том, что там присутствуют ВСЕ записи. Лично у меня их оказалось всего несколько сотен. ВСЕХ (по твоим словам) действий пользователя за ВСЕ (по твоим словам) время работы в виндовс. Не кажется ли тебе, что маловато это.

> > Главное, чтобы сторонние лица не получили
> конфиденциальную
> > информацию. "не смотреть" вполне согласуется с такой
> > постановкой.
>
> Ну разве "хозяин" - стороннее лицо? Конечно нет. Это же он
> написал эту программу. Он никак не может считаться

"Хозяин" чего? Не юли. Во-первых, покупая программу я становлюсь владельцем данной копии, во-вторых "хозяин" программы, даже если мы условимся так называть ее автора, далеко не хозяин тех самых конфиденциальных данных, которые данная программа будет обрабатывать. А ведь именно по отношению к конфиденциальным данным автор программы является сторонним лицом.

> посторонним и вправе делать с тобой что хочет, раз уж ты
> запускаешь эту программу каждый день.
> Приблизительно так "лицензионных соглашениях" спайварей и
> написано :)

Микрософтовская EULA переведена на русский - почитай. Ничего такого там и рядом нет.

> Короче - программа-спайвар - без ведома пользователя прёт
> инфу и /по запросу/ может передать ее своему создателю.
> Виндовс - без ведома пользователя прёт инфу и /по запросу/
> может передать ее своему создателю. Что не согласуется-то?
> Или я опять в определении ошибся?

Если докажешь, что по запросу микрософта БЕЗ ВЕДОМА пользователя виндовс может отдать какую либо конфиденциальную инфу (да пусть даже этот ключ), то я соглашусь, что это спайварь.
1  |  2  |  3 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach