информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаАтака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Не надо так катигорично. Существует (если в антивирусе... 09.08.05 10:06  Число просмотров: 2183
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Не надо так катигорично. Существует (если в антивирусе останется только эвристический анализ). Беда только в том, что этот интелектуальный анализ программ на вирусность будет слабоэффективен. То есть он будет реагировать на малый процент вирусов, на многие не будет срабатывать, будет срабатывать ошибочно, медленно работает и ресурсоемок в отношении процессорного времени. В антивирусы его закладывают только для того (в том то по определению его прелесть), что он может определять огромное семейство вирусов, которых еще нет, а только могут быть написаны. Чем не универсальность?
Почему бы и не сработать основному критерию - вирус будет писаться в екзешки или переименовывать прочие файлы в екзешки! К стати CDM ловил 99% вирусов, исключение составляли разве что бутовские.

> Математически доказано, что невозможно вывести функцию
> V(Program), которая бы на выходе давала булевый ответ
> "Является ли Program вирусом". Впрочем, универсальных
> (необнаружимых) вирусов тоже не бывает

А не надо анализировать саму прогу, надо анализировать ее работу. Причем последнее слово оставим за человеком, поскольку, действительно, ОДНОЗНАЧНО и АБСОЛЮТНО ТОЧНО идентифицировать вирус програмно нельзя. Что может быть проще - играете ли вы в игрушку или читаете электронную почту. Вдруг выскакивает сообщение "Какая-то там программа желает что-то записать в файл winnt.dll! Позволим ей сделать это действие или нет?"

> Дырявость - все тот же человеческий фактор. Если бы юзера
> пользовались хотя бы теми средствами защиты, которые УЖЕ
> ЕСТЬ в винде, вирусов было бы на несколько порядков меньше.
> Стоит ли еще более усложнять защиту, если даже текущая
> сложность не по зубам простому юзверю. И кроме того,
> дырявость никак не связано с собственно ОС. Последняя
> уязвимость, которая серьезно компрометировала мою систему -
> уязвимость в zlib-е (наверное не стоит перечислять все
> программы, которые в одночасье стали уязвимыми из-за этой
> библиотеки). А она - кроссплотформенная

Я имел в виду дырявость в отнощении программистов, а не прользователей. Уязвимость в zlib-е - это дырявость софта. Кликнул на неопознанный аттачмент или установил пустой пароль для админа - не дырявость софта/ОС.
<site updates>
Вирусы для Windows Vista уже готовы. Но использовать их не получится. 05.08.05 03:12  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Вирусы для Windows Vista уже готовы. Но использовать их не получится.
InfoWorld,cnet http://www.infoworld.com/article/05/08/04/HNvistaviruses_1.html, http://news.com.com/Microsoft+Virus+target+wont+be+in+Vista/2100-1002_3-5820706.html?part=rss&tag=5820706&subj=news

Австрийский хакер, называющий себя "Second Part To Hell", опубликовал вирус, использующий новую командную оболочку Monad, которая включена в недавно вышедшую бета-версию Windows Vista. По словам представителя F-Secure Микко Хюппонена (Mikko Hypponen), все это было вполне ожидаемо и единственное, что удивляет, так это скорость появления нового семейства вирусов - всего восемь дней с выхода беты. Хотя лично я и в этом не вижу ничего удивительного :)
Впрочем, чуть позже появилась информация о том, что Monad не войдет в стандартную поставку окончательной версии Vista. Пока планируется включить его в предположительно выходящий в 2007 года Longhorn Server, хотя, возможно, он будет выпущен в качестве дополнения к Server 2003, XP и Vista.


Полный текст
ну сколько можно одно и то же 10.08.05 20:17  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
на всякой сложной подключенной к сети системе могут появиться т.н.вирусы

количество их зависит от многих параметров но самое главное - обратно пропорционально уникальности программной системы

воспринимайте это как generic system ability
Все вполне прогнозируемо. Сложно верить в то, что Vista... 08.08.05 10:06  
Автор: TARASA <Taras L. Stadnik> Статус: Member
<"чистая" ссылка>
Все вполне прогнозируемо. Сложно верить в то, что Vista писалась с нуля. Что с нуля разрабатывалась архитектура, идеология и т.д и т.п А следовательно если писалось из "родительского" кода, то и болячки родительские на себе потащит. Разработка новой командной оболочки - это не панацея и видимо избавить Windows от всевозможной дырявости малореально.
Не в дырявости дело 08.08.05 12:12  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Вирус это обычная программа, отличающаяся от других только наличием в базе антивирусов.
Количество вирусов для какой-либо платформы зависит в первую очередь от распространенности этой платформы среди обычных юзеров и во вторую в наличии необходмимой документации и средств разработки. Любая ос в которой могут исполняться программы, которые могут сохранять файлы уже потенциальный рассадник для вирусов. И "дырявость" тут абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых... 09.08.05 10:10  
Автор: TARASA <Taras L. Stadnik> Статус: Member
<"чистая" ссылка>
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.
> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут
> абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых атак - другое. Ести ли гарантия того, что код или его фрагменты, уязвимости, использованные для написания вирусов для Vista не будут использованы для написания эксплоитов и проведения сетевых атак? С моей точки зрения - нет. И вот тут-то "дырявость", не исправленные ошибки в логике и наследуемом коде проявятся во всей красе.
«Зловредность» существует на стороне автора программы, а не на стороне антивируса. Сколько можно говорить — понятие «вирус» суть просто заговор, … 09.08.05 11:11  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 09.08.05 11:18  Количество правок: 4
<"чистая" ссылка>
Subj, т.е. общество решило что вот эта прога вирус, и всё. Программа-антивирус не может решать за человека, тем более быть умнее целой когорты безопасников и высококлассных спецов, что однозначно определили её "вирусность". Поэтому базы, базы, и ещё раз базы с сигнатурами.

Это пока... Надеемся, что прогресс операционок дорастёт всё-таки до чего-то пуленепробиваемого... К примеру, исполнять только подписанный код... с проверкой и защитой железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян? :-)
Если общество решило, то опираясь на какие-то критерии... 09.08.05 11:57  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 11:58  Количество правок: 2
<"чистая" ссылка>
> Subj, т.е. общество решило что вот эта прога вирус, и всё.

Если общество решило, то опираясь на какие-то критерии. Самые элементарные это бесконтрольное быстрое размножение и причинение вреда. Вредность программно определить тяжело, а бесконтрольное размножение можно.

> Программа-антивирус не может решать за человека, тем более
> быть умнее целой когорты безопасников и высококлассных
> спецов, что однозначно определили её "вирусность". Поэтому
> базы, базы, и ещё раз базы с сигнатурами.

И люди тоже ошибаются, даже когорта безопасников. Пусть программа не решает, но вычислить размножающийся код она может.
Я не знаю ни одного вируса, который абсолютно не умеет размножаться, а вы?

> Это пока... Надеемся, что прогресс операционок дорастёт
> всё-таки до чего-то пуленепробиваемого... К примеру,
> исполнять только подписанный код... с проверкой и защитой
> железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян?
> :-)

А если программист отлаживает программу? Пуленепробиваемая подпись должна легко вырабатываться? Что мешает вирусу выработать подпись при заражении?

Застал я одну красивую операционку: RSX-11M. В ней обычный пользователь мог выполнять программы только специально установленные в системе администратором. Может кто знает - сколько было вирусов на DEC'овских системах?
Дану. Вот есть вирус который пишет чегото там в файлы. То... 09.08.05 12:37  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> > Subj, т.е. общество решило что вот эта прога вирус, и
> всё.
>
> Если общество решило, то опираясь на какие-то критерии.
> Самые элементарные это бесконтрольное быстрое размножение и
> причинение вреда. Вредность программно определить тяжело, а
> бесконтрольное размножение можно.
Дану. Вот есть вирус который пишет чегото там в файлы. То что она пишет сама себя ты не определишь - она пишет совершенно разные байты ибо полиморф. В исполняемые файлы писать совсем необязательно. Он может писать в темпари которые затем переименовывать шеллскриптами. А трекить все эти изменения - ты представляешь как все будет тормозить. Не ОСовское это дело.
Другой пример - система развертывания приложения на предприятии - с сервера админ ставит софтину на сотни компов. Вирус?
А вебсервер с которого пользователи скачивают ехешники? Как ты его отличишь от червя который себя другим раздает? Да никак с точки зрения "машинной логики"

> > Программа-антивирус не может решать за человека, тем
> более
> > быть умнее целой когорты безопасников и высококлассных
> > спецов, что однозначно определили её "вирусность".
> Поэтому
> > базы, базы, и ещё раз базы с сигнатурами.
>
> И люди тоже ошибаются, даже когорта безопасников. Пусть
> программа не решает, но вычислить размножающийся код она
> может.
> Я не знаю ни одного вируса, который абсолютно не умеет
> размножаться, а вы?



> А если программист отлаживает программу? Пуленепробиваемая
> подпись должна легко вырабатываться? Что мешает вирусу
> выработать подпись при заражении?
Ммм.. а ты знаешь что такое цифровая подпись?

> Застал я одну красивую операционку: RSX-11M. В ней обычный
> пользователь мог выполнять программы только специально
> установленные в системе администратором. Может кто знает -
> сколько было вирусов на DEC'овских системах?
А сколько пользователей тех систем? А сколько пользователей теперешних виндов?

Повторяю свою другую мессагу - вирусы давно перестали быть главным злом. Это скорее так - апчхи. А targeted вирусные атаки никакая мега-ос не остановит.

Короче все это пустой треп.
Я не могу даже представить себе ситуацию, когда в процессе... 09.08.05 18:15  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 18:17  Количество правок: 2
<"чистая" ссылка>
> Дану. Вот есть вирус который пишет чегото там в файлы. То
> что она пишет сама себя ты не определишь - она пишет
> совершенно разные байты ибо полиморф. В исполняемые файлы

Я не могу даже представить себе ситуацию, когда в процессе работы пользователя за компьютером какой-нибудь программе потребуется внести изменения в существующую екзешку.

> писать совсем необязательно. Он может писать в темпари
> которые затем переименовывать шеллскриптами. А трекить все

Переименовывание - под контроль! Удаление, создание новых и прочие действия - по желанию тоже можно контролировать.

> эти изменения - ты представляешь как все будет тормозить.
> Не ОСовское это дело.

Пусть не сама ОС, а добавочная компонента. Какое торможение - десяток микроинструкций: проверить при открытии файла на запись на то, что это екзешка.
Если выполняемый файл открывается на запись через его создание (функция creat() ), то можно и ни какого сообщения не выдавать.

> Другой пример - система развертывания приложения на
> предприятии - с сервера админ ставит софтину на сотни
> компов. Вирус?

Это происходит по желанию админа. Вирус распространяется без желания людей. Как правило еще и незаметно для всех.

> А вебсервер с которого пользователи скачивают ехешники? Как

Пользователи скачивают екзешки только потому, что они хотят это сделать. Они сами нажимают кнопку [Скачать].
Когда же принимаешь почту с сервера, а аутлук незаметно рассылает письма всем, кто прописан в адресной книге, с сообщением: "I love you", это уже вирус.

> ты его отличишь от червя который себя другим раздает? Да
> никак с точки зрения "машинной логики"

С точки машинной логики возможность есть. Вирус будет либо модифицировать существующую екзешку, открывая файл на запись. Либо писаться в новую вместе с программой, но потом он будет обязан переименовать/удалить существующую программу и переименовать/переместить новый зараженный файл в старый.

> > А если программист отлаживает программу?
> Пуленепробиваемая
> > подпись должна легко вырабатываться? Что мешает вирусу
> > выработать подпись при заражении?
> Ммм.. а ты знаешь что такое цифровая подпись?

Ну где-то компилятор программиста (или скачивалка из интернета) будет брать секретный ключ. Вот и вирус его найдет. Алгоритм будем считать известен. Это похоже на существующую систему сертификатов для защищеных соединений или подпись драйверов. Геморой увеличивается, а эффективность полностью отсутствует.

> Повторяю свою другую мессагу - вирусы давно перестали быть
> главным злом. Это скорее так - апчхи. А targeted вирусные
> атаки никакая мега-ос не остановит.

Согласен, но злом, хоть и не главным, они остаются.

> Короче все это пустой треп.

Ну не пустой. Я много чего интересного почерпнул из этого обсуждения. Если кому-то не интересно - участвовать в обсуждении никто не принуждает.
Насчет подписи и вирусов 09.08.05 11:22  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Вирусы на самом деле фигня. Спайвары гораздо вреднее. Да и подписаться у verisign'а они смогут запросто за 300 баксов.
Это шутка? То есть если очистить базу антивируса, то вирус... 08.08.05 13:17  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 08.08.05 13:22  Количество правок: 1
<"чистая" ссылка>
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.

Это шутка? То есть если очистить базу антивируса, то вирус перестанет быть вирусом? Зачем новый вирус включать в базу, если он не вирус, поскольку в базе не числится?

> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут

Самое главное условие - это чтоб программа могла порождать программу. Вирус - это программа, которая размножается без желания пользователя и приносит ущерб (само безконтрольное размножение является уже ущербом).
Если в системе будет отключена возможность модифицировать файлы, которые можно выполнять, считывать их содержимое, изменять их атрибуты и прочее, то в такой системе вирусы жить не смогут.

> абсолютно не причем.

А касаемо "дырявости" - это лишний повод существовать определенному классу вирусов, таких как прикрепленных к электронному письму, если есть возможность написать письмо так, чтоб программа начала выполняться вне желания адресата. Или размножиться используя "дыру" в сетевой защите.
Универсальных антивирусов не существует. Доказано кем то там (но точно не занусси) 09.08.05 00:45  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Самое главное условие - это чтоб программа могла порождать
> программу. Вирус - это программа, которая размножается без
> желания пользователя и приносит ущерб (само безконтрольное
> размножение является уже ущербом).

Математически доказано, что невозможно вывести функцию V(Program), которая бы на выходе давала булевый ответ "Является ли Program вирусом". Впрочем, универсальных (необнаружимых) вирусов тоже не бывает

> Если в системе будет отключена возможность модифицировать
> файлы, которые можно выполнять, считывать их содержимое,
> изменять их атрибуты и прочее, то в такой системе вирусы
> жить не смогут.

Как уже было сказано, есть как минимум mind вирусы. Последний массовый mind-вирус, который мне запомнился - Yeti Sports (особенно первая часть). За день убытков - на десятки, а то и сотни миллионов и много сотен тысяч копий. Вирус ли?

> А касаемо "дырявости" - это лишний повод существовать
> определенному классу вирусов, таких как прикрепленных к
> электронному письму, если есть возможность написать письмо
> так, чтоб программа начала выполняться вне желания
> адресата. Или размножиться используя "дыру" в сетевой
> защите.

Дырявость - все тот же человеческий фактор. Если бы юзера пользовались хотя бы теми средствами защиты, которые УЖЕ ЕСТЬ в винде, вирусов было бы на несколько порядков меньше. Стоит ли еще более усложнять защиту, если даже текущая сложность не по зубам простому юзверю. И кроме того, дырявость никак не связано с собственно ОС. Последняя уязвимость, которая серьезно компрометировала мою систему - уязвимость в zlib-е (наверное не стоит перечислять все программы, которые в одночасье стали уязвимыми из-за этой библиотеки). А она - кроссплотформенная
А чтобы ВЫ встроили в СВОЙ антивирус, если бы решили его написать? 09.08.05 13:40  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
rsbac/grsecurity/lids и пр. 10.08.05 00:24  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
А антивирусы в топку
Ничего... В OS — защищённые средства исполнения... Бабаяна в проц ;-) Экзешники — ф топку, пусть приложения компилятся перед исполнением… Каждому — своё, объект исполнения получает только те интерфейсы, которые ему определили «свыше». 09.08.05 13:48  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
похоже Microsoft.NET очень старается вам угодить ;)))))))))))) 09.08.05 13:55  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
Неа, не старается... Результаты JIT-компиляции не сохраняются для повторного использования... Компиляция не оптимизируется под мой проц/кэш и т.д, и т.п... 09.08.05 14:47  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 09.08.05 14:48  Количество правок: 1
<"чистая" ссылка>
в будущем M$ может договориться с Intel-ом ;-))))))))) 09.08.05 16:23  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
Не надо так катигорично. Существует (если в антивирусе... 09.08.05 10:06  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Не надо так катигорично. Существует (если в антивирусе останется только эвристический анализ). Беда только в том, что этот интелектуальный анализ программ на вирусность будет слабоэффективен. То есть он будет реагировать на малый процент вирусов, на многие не будет срабатывать, будет срабатывать ошибочно, медленно работает и ресурсоемок в отношении процессорного времени. В антивирусы его закладывают только для того (в том то по определению его прелесть), что он может определять огромное семейство вирусов, которых еще нет, а только могут быть написаны. Чем не универсальность?
Почему бы и не сработать основному критерию - вирус будет писаться в екзешки или переименовывать прочие файлы в екзешки! К стати CDM ловил 99% вирусов, исключение составляли разве что бутовские.

> Математически доказано, что невозможно вывести функцию
> V(Program), которая бы на выходе давала булевый ответ
> "Является ли Program вирусом". Впрочем, универсальных
> (необнаружимых) вирусов тоже не бывает

А не надо анализировать саму прогу, надо анализировать ее работу. Причем последнее слово оставим за человеком, поскольку, действительно, ОДНОЗНАЧНО и АБСОЛЮТНО ТОЧНО идентифицировать вирус програмно нельзя. Что может быть проще - играете ли вы в игрушку или читаете электронную почту. Вдруг выскакивает сообщение "Какая-то там программа желает что-то записать в файл winnt.dll! Позволим ей сделать это действие или нет?"

> Дырявость - все тот же человеческий фактор. Если бы юзера
> пользовались хотя бы теми средствами защиты, которые УЖЕ
> ЕСТЬ в винде, вирусов было бы на несколько порядков меньше.
> Стоит ли еще более усложнять защиту, если даже текущая
> сложность не по зубам простому юзверю. И кроме того,
> дырявость никак не связано с собственно ОС. Последняя
> уязвимость, которая серьезно компрометировала мою систему -
> уязвимость в zlib-е (наверное не стоит перечислять все
> программы, которые в одночасье стали уязвимыми из-за этой
> библиотеки). А она - кроссплотформенная

Я имел в виду дырявость в отнощении программистов, а не прользователей. Уязвимость в zlib-е - это дырявость софта. Кликнул на неопознанный аттачмент или установил пустой пароль для админа - не дырявость софта/ОС.
«Какая-то там программа желает что-то записать в файл winnt.dll» — «да конечно, пусть пишет», сказала секретарша, а то я не могу поиграть в эротический пасьянс, который мне прислал бойфренд... 09.08.05 10:42  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach