Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
Если общество решило, то опираясь на какие-то критерии... 09.08.05 11:57 Число просмотров: 2347
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 11:58 Количество правок: 2
|
> Subj, т.е. общество решило что вот эта прога вирус, и всё.
Если общество решило, то опираясь на какие-то критерии. Самые элементарные это бесконтрольное быстрое размножение и причинение вреда. Вредность программно определить тяжело, а бесконтрольное размножение можно.
> Программа-антивирус не может решать за человека, тем более
> быть умнее целой когорты безопасников и высококлассных
> спецов, что однозначно определили её "вирусность". Поэтому
> базы, базы, и ещё раз базы с сигнатурами.
И люди тоже ошибаются, даже когорта безопасников. Пусть программа не решает, но вычислить размножающийся код она может.
Я не знаю ни одного вируса, который абсолютно не умеет размножаться, а вы?
> Это пока... Надеемся, что прогресс операционок дорастёт
> всё-таки до чего-то пуленепробиваемого... К примеру,
> исполнять только подписанный код... с проверкой и защитой
> железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян?
> :-)
А если программист отлаживает программу? Пуленепробиваемая подпись должна легко вырабатываться? Что мешает вирусу выработать подпись при заражении?
Застал я одну красивую операционку: RSX-11M. В ней обычный пользователь мог выполнять программы только специально установленные в системе администратором. Может кто знает - сколько было вирусов на DEC'овских системах?
|
|
<site updates>
|
Вирусы для Windows Vista уже готовы. Но использовать их не получится. 05.08.05 03:12
Publisher: dl <Dmitry Leonov>
|
Вирусы для Windows Vista уже готовы. Но использовать их не получится.
InfoWorld,cnet http://www.infoworld.com/article/05/08/04/HNvistaviruses_1.html, http://news.com.com/Microsoft+Virus+target+wont+be+in+Vista/2100-1002_3-5820706.html?part=rss&tag=5820706&subj=news
Австрийский хакер, называющий себя "Second Part To Hell", опубликовал вирус, использующий новую командную оболочку Monad, которая включена в недавно вышедшую бета-версию Windows Vista. По словам представителя F-Secure Микко Хюппонена (Mikko Hypponen), все это было вполне ожидаемо и единственное, что удивляет, так это скорость появления нового семейства вирусов - всего восемь дней с выхода беты. Хотя лично я и в этом не вижу ничего удивительного :)
Впрочем, чуть позже появилась информация о том, что Monad не войдет в стандартную поставку окончательной версии Vista. Пока планируется включить его в предположительно выходящий в 2007 года Longhorn Server, хотя, возможно, он будет выпущен в качестве дополнения к Server 2003, XP и Vista.
Полный текст
|
|
ну сколько можно одно и то же 10.08.05 20:17
Автор: z0 <z0> Статус: Member
|
на всякой сложной подключенной к сети системе могут появиться т.н.вирусы
количество их зависит от многих параметров но самое главное - обратно пропорционально уникальности программной системы
воспринимайте это как generic system ability
|
|
Все вполне прогнозируемо. Сложно верить в то, что Vista... 08.08.05 10:06
Автор: TARASA <Taras L. Stadnik> Статус: Member
|
|
Все вполне прогнозируемо. Сложно верить в то, что Vista писалась с нуля. Что с нуля разрабатывалась архитектура, идеология и т.д и т.п А следовательно если писалось из "родительского" кода, то и болячки родительские на себе потащит. Разработка новой командной оболочки - это не панацея и видимо избавить Windows от всевозможной дырявости малореально.
|
| |
Не в дырявости дело 08.08.05 12:12
Автор: Killer{R} <Dmitry> Статус: Elderman
|
Вирус это обычная программа, отличающаяся от других только наличием в базе антивирусов.
Количество вирусов для какой-либо платформы зависит в первую очередь от распространенности этой платформы среди обычных юзеров и во вторую в наличии необходмимой документации и средств разработки. Любая ос в которой могут исполняться программы, которые могут сохранять файлы уже потенциальный рассадник для вирусов. И "дырявость" тут абсолютно не причем.
|
| | |
Вирус - это одно. А "зловредное" ПО для проведения сетевых... 09.08.05 10:10
Автор: TARASA <Taras L. Stadnik> Статус: Member
|
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.
> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут
> абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых атак - другое. Ести ли гарантия того, что код или его фрагменты, уязвимости, использованные для написания вирусов для Vista не будут использованы для написания эксплоитов и проведения сетевых атак? С моей точки зрения - нет. И вот тут-то "дырявость", не исправленные ошибки в логике и наследуемом коде проявятся во всей красе.
|
| | | |
«Зловредность» существует на стороне автора программы, а не на стороне антивируса. Сколько можно говорить — понятие «вирус» суть просто заговор, … 09.08.05 11:11
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 09.08.05 11:18 Количество правок: 4
|
Subj, т.е. общество решило что вот эта прога вирус, и всё. Программа-антивирус не может решать за человека, тем более быть умнее целой когорты безопасников и высококлассных спецов, что однозначно определили её "вирусность". Поэтому базы, базы, и ещё раз базы с сигнатурами.
Это пока... Надеемся, что прогресс операционок дорастёт всё-таки до чего-то пуленепробиваемого... К примеру, исполнять только подписанный код... с проверкой и защитой железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян? :-)
|
| | | | |
Если общество решило, то опираясь на какие-то критерии... 09.08.05 11:57
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 11:58 Количество правок: 2
|
> Subj, т.е. общество решило что вот эта прога вирус, и всё.
Если общество решило, то опираясь на какие-то критерии. Самые элементарные это бесконтрольное быстрое размножение и причинение вреда. Вредность программно определить тяжело, а бесконтрольное размножение можно.
> Программа-антивирус не может решать за человека, тем более
> быть умнее целой когорты безопасников и высококлассных
> спецов, что однозначно определили её "вирусность". Поэтому
> базы, базы, и ещё раз базы с сигнатурами.
И люди тоже ошибаются, даже когорта безопасников. Пусть программа не решает, но вычислить размножающийся код она может.
Я не знаю ни одного вируса, который абсолютно не умеет размножаться, а вы?
> Это пока... Надеемся, что прогресс операционок дорастёт
> всё-таки до чего-то пуленепробиваемого... К примеру,
> исполнять только подписанный код... с проверкой и защитой
> железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян?
> :-)
А если программист отлаживает программу? Пуленепробиваемая подпись должна легко вырабатываться? Что мешает вирусу выработать подпись при заражении?
Застал я одну красивую операционку: RSX-11M. В ней обычный пользователь мог выполнять программы только специально установленные в системе администратором. Может кто знает - сколько было вирусов на DEC'овских системах?
|
| | | | | |
Дану. Вот есть вирус который пишет чегото там в файлы. То... 09.08.05 12:37
Автор: Killer{R} <Dmitry> Статус: Elderman
|
> > Subj, т.е. общество решило что вот эта прога вирус, и
> всё.
>
> Если общество решило, то опираясь на какие-то критерии.
> Самые элементарные это бесконтрольное быстрое размножение и
> причинение вреда. Вредность программно определить тяжело, а
> бесконтрольное размножение можно.
Дану. Вот есть вирус который пишет чегото там в файлы. То что она пишет сама себя ты не определишь - она пишет совершенно разные байты ибо полиморф. В исполняемые файлы писать совсем необязательно. Он может писать в темпари которые затем переименовывать шеллскриптами. А трекить все эти изменения - ты представляешь как все будет тормозить. Не ОСовское это дело.
Другой пример - система развертывания приложения на предприятии - с сервера админ ставит софтину на сотни компов. Вирус?
А вебсервер с которого пользователи скачивают ехешники? Как ты его отличишь от червя который себя другим раздает? Да никак с точки зрения "машинной логики"
> > Программа-антивирус не может решать за человека, тем
> более
> > быть умнее целой когорты безопасников и высококлассных
> > спецов, что однозначно определили её "вирусность".
> Поэтому
> > базы, базы, и ещё раз базы с сигнатурами.
>
> И люди тоже ошибаются, даже когорта безопасников. Пусть
> программа не решает, но вычислить размножающийся код она
> может.
> Я не знаю ни одного вируса, который абсолютно не умеет
> размножаться, а вы?
> А если программист отлаживает программу? Пуленепробиваемая
> подпись должна легко вырабатываться? Что мешает вирусу
> выработать подпись при заражении?
Ммм.. а ты знаешь что такое цифровая подпись?
> Застал я одну красивую операционку: RSX-11M. В ней обычный
> пользователь мог выполнять программы только специально
> установленные в системе администратором. Может кто знает -
> сколько было вирусов на DEC'овских системах?
А сколько пользователей тех систем? А сколько пользователей теперешних виндов?
Повторяю свою другую мессагу - вирусы давно перестали быть главным злом. Это скорее так - апчхи. А targeted вирусные атаки никакая мега-ос не остановит.
Короче все это пустой треп.
|
| | | | | | |
Я не могу даже представить себе ситуацию, когда в процессе... 09.08.05 18:15
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 18:17 Количество правок: 2
|
> Дану. Вот есть вирус который пишет чегото там в файлы. То
> что она пишет сама себя ты не определишь - она пишет
> совершенно разные байты ибо полиморф. В исполняемые файлы
Я не могу даже представить себе ситуацию, когда в процессе работы пользователя за компьютером какой-нибудь программе потребуется внести изменения в существующую екзешку.
> писать совсем необязательно. Он может писать в темпари
> которые затем переименовывать шеллскриптами. А трекить все
Переименовывание - под контроль! Удаление, создание новых и прочие действия - по желанию тоже можно контролировать.
> эти изменения - ты представляешь как все будет тормозить.
> Не ОСовское это дело.
Пусть не сама ОС, а добавочная компонента. Какое торможение - десяток микроинструкций: проверить при открытии файла на запись на то, что это екзешка.
Если выполняемый файл открывается на запись через его создание (функция creat() ), то можно и ни какого сообщения не выдавать.
> Другой пример - система развертывания приложения на
> предприятии - с сервера админ ставит софтину на сотни
> компов. Вирус?
Это происходит по желанию админа. Вирус распространяется без желания людей. Как правило еще и незаметно для всех.
> А вебсервер с которого пользователи скачивают ехешники? Как
Пользователи скачивают екзешки только потому, что они хотят это сделать. Они сами нажимают кнопку [Скачать].
Когда же принимаешь почту с сервера, а аутлук незаметно рассылает письма всем, кто прописан в адресной книге, с сообщением: "I love you", это уже вирус.
> ты его отличишь от червя который себя другим раздает? Да
> никак с точки зрения "машинной логики"
С точки машинной логики возможность есть. Вирус будет либо модифицировать существующую екзешку, открывая файл на запись. Либо писаться в новую вместе с программой, но потом он будет обязан переименовать/удалить существующую программу и переименовать/переместить новый зараженный файл в старый.
> > А если программист отлаживает программу?
> Пуленепробиваемая
> > подпись должна легко вырабатываться? Что мешает вирусу
> > выработать подпись при заражении?
> Ммм.. а ты знаешь что такое цифровая подпись?
Ну где-то компилятор программиста (или скачивалка из интернета) будет брать секретный ключ. Вот и вирус его найдет. Алгоритм будем считать известен. Это похоже на существующую систему сертификатов для защищеных соединений или подпись драйверов. Геморой увеличивается, а эффективность полностью отсутствует.
> Повторяю свою другую мессагу - вирусы давно перестали быть
> главным злом. Это скорее так - апчхи. А targeted вирусные
> атаки никакая мега-ос не остановит.
Согласен, но злом, хоть и не главным, они остаются.
> Короче все это пустой треп.
Ну не пустой. Я много чего интересного почерпнул из этого обсуждения. Если кому-то не интересно - участвовать в обсуждении никто не принуждает.
|
| | | | |
Насчет подписи и вирусов 09.08.05 11:22
Автор: Killer{R} <Dmitry> Статус: Elderman
|
|
Вирусы на самом деле фигня. Спайвары гораздо вреднее. Да и подписаться у verisign'а они смогут запросто за 300 баксов.
|
| | |
Это шутка? То есть если очистить базу антивируса, то вирус... 08.08.05 13:17
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 08.08.05 13:22 Количество правок: 1
|
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.
Это шутка? То есть если очистить базу антивируса, то вирус перестанет быть вирусом? Зачем новый вирус включать в базу, если он не вирус, поскольку в базе не числится?
> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут
Самое главное условие - это чтоб программа могла порождать программу. Вирус - это программа, которая размножается без желания пользователя и приносит ущерб (само безконтрольное размножение является уже ущербом).
Если в системе будет отключена возможность модифицировать файлы, которые можно выполнять, считывать их содержимое, изменять их атрибуты и прочее, то в такой системе вирусы жить не смогут.
> абсолютно не причем.
А касаемо "дырявости" - это лишний повод существовать определенному классу вирусов, таких как прикрепленных к электронному письму, если есть возможность написать письмо так, чтоб программа начала выполняться вне желания адресата. Или размножиться используя "дыру" в сетевой защите.
|
| | | |
Универсальных антивирусов не существует. Доказано кем то там (но точно не занусси) 09.08.05 00:45
Автор: amirul <Serge> Статус: The Elderman
|
> Самое главное условие - это чтоб программа могла порождать
> программу. Вирус - это программа, которая размножается без
> желания пользователя и приносит ущерб (само безконтрольное
> размножение является уже ущербом).
Математически доказано, что невозможно вывести функцию V(Program), которая бы на выходе давала булевый ответ "Является ли Program вирусом". Впрочем, универсальных (необнаружимых) вирусов тоже не бывает
> Если в системе будет отключена возможность модифицировать
> файлы, которые можно выполнять, считывать их содержимое,
> изменять их атрибуты и прочее, то в такой системе вирусы
> жить не смогут.
Как уже было сказано, есть как минимум mind вирусы. Последний массовый mind-вирус, который мне запомнился - Yeti Sports (особенно первая часть). За день убытков - на десятки, а то и сотни миллионов и много сотен тысяч копий. Вирус ли?
> А касаемо "дырявости" - это лишний повод существовать
> определенному классу вирусов, таких как прикрепленных к
> электронному письму, если есть возможность написать письмо
> так, чтоб программа начала выполняться вне желания
> адресата. Или размножиться используя "дыру" в сетевой
> защите.
Дырявость - все тот же человеческий фактор. Если бы юзера пользовались хотя бы теми средствами защиты, которые УЖЕ ЕСТЬ в винде, вирусов было бы на несколько порядков меньше. Стоит ли еще более усложнять защиту, если даже текущая сложность не по зубам простому юзверю. И кроме того, дырявость никак не связано с собственно ОС. Последняя уязвимость, которая серьезно компрометировала мою систему - уязвимость в zlib-е (наверное не стоит перечислять все программы, которые в одночасье стали уязвимыми из-за этой библиотеки). А она - кроссплотформенная
|
| | | | |
А чтобы ВЫ встроили в СВОЙ антивирус, если бы решили его написать? 09.08.05 13:40
Автор: noonv <Vladimir> Статус: Member
|
|
|
| | | | | |
rsbac/grsecurity/lids и пр. 10.08.05 00:24
Автор: amirul <Serge> Статус: The Elderman
|
|
А антивирусы в топку
|
| | | | | |
Ничего... В OS — защищённые средства исполнения... Бабаяна в проц ;-) Экзешники — ф топку, пусть приложения компилятся перед исполнением… Каждому — своё, объект исполнения получает только те интерфейсы, которые ему определили «свыше». 09.08.05 13:48
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
| | | | | | |
похоже Microsoft.NET очень старается вам угодить ;)))))))))))) 09.08.05 13:55
Автор: noonv <Vladimir> Статус: Member
|
|
|
| | | | | | | |
Неа, не старается... Результаты JIT-компиляции не сохраняются для повторного использования... Компиляция не оптимизируется под мой проц/кэш и т.д, и т.п... 09.08.05 14:47
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 09.08.05 14:48 Количество правок: 1
|
|
|
| | | | | | | | |
в будущем M$ может договориться с Intel-ом ;-))))))))) 09.08.05 16:23
Автор: noonv <Vladimir> Статус: Member
|
|
|
| | | | |
Не надо так катигорично. Существует (если в антивирусе... 09.08.05 10:06
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
Не надо так катигорично. Существует (если в антивирусе останется только эвристический анализ). Беда только в том, что этот интелектуальный анализ программ на вирусность будет слабоэффективен. То есть он будет реагировать на малый процент вирусов, на многие не будет срабатывать, будет срабатывать ошибочно, медленно работает и ресурсоемок в отношении процессорного времени. В антивирусы его закладывают только для того (в том то по определению его прелесть), что он может определять огромное семейство вирусов, которых еще нет, а только могут быть написаны. Чем не универсальность?
Почему бы и не сработать основному критерию - вирус будет писаться в екзешки или переименовывать прочие файлы в екзешки! К стати CDM ловил 99% вирусов, исключение составляли разве что бутовские.
> Математически доказано, что невозможно вывести функцию
> V(Program), которая бы на выходе давала булевый ответ
> "Является ли Program вирусом". Впрочем, универсальных
> (необнаружимых) вирусов тоже не бывает
А не надо анализировать саму прогу, надо анализировать ее работу. Причем последнее слово оставим за человеком, поскольку, действительно, ОДНОЗНАЧНО и АБСОЛЮТНО ТОЧНО идентифицировать вирус програмно нельзя. Что может быть проще - играете ли вы в игрушку или читаете электронную почту. Вдруг выскакивает сообщение "Какая-то там программа желает что-то записать в файл winnt.dll! Позволим ей сделать это действие или нет?"
> Дырявость - все тот же человеческий фактор. Если бы юзера
> пользовались хотя бы теми средствами защиты, которые УЖЕ
> ЕСТЬ в винде, вирусов было бы на несколько порядков меньше.
> Стоит ли еще более усложнять защиту, если даже текущая
> сложность не по зубам простому юзверю. И кроме того,
> дырявость никак не связано с собственно ОС. Последняя
> уязвимость, которая серьезно компрометировала мою систему -
> уязвимость в zlib-е (наверное не стоит перечислять все
> программы, которые в одночасье стали уязвимыми из-за этой
> библиотеки). А она - кроссплотформенная
Я имел в виду дырявость в отнощении программистов, а не прользователей. Уязвимость в zlib-е - это дырявость софта. Кликнул на неопознанный аттачмент или установил пустой пароль для админа - не дырявость софта/ОС.
|
| | | | | |
«Какая-то там программа желает что-то записать в файл winnt.dll» — «да конечно, пусть пишет», сказала секретарша, а то я не могу поиграть в эротический пасьянс, который мне прислал бойфренд... 09.08.05 10:42
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
