информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыПортрет посетителяВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Я не могу даже представить себе ситуацию, когда в процессе... 09.08.05 18:15  Число просмотров: 2607
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 18:17  Количество правок: 2
<"чистая" ссылка>
> Дану. Вот есть вирус который пишет чегото там в файлы. То
> что она пишет сама себя ты не определишь - она пишет
> совершенно разные байты ибо полиморф. В исполняемые файлы

Я не могу даже представить себе ситуацию, когда в процессе работы пользователя за компьютером какой-нибудь программе потребуется внести изменения в существующую екзешку.

> писать совсем необязательно. Он может писать в темпари
> которые затем переименовывать шеллскриптами. А трекить все

Переименовывание - под контроль! Удаление, создание новых и прочие действия - по желанию тоже можно контролировать.

> эти изменения - ты представляешь как все будет тормозить.
> Не ОСовское это дело.

Пусть не сама ОС, а добавочная компонента. Какое торможение - десяток микроинструкций: проверить при открытии файла на запись на то, что это екзешка.
Если выполняемый файл открывается на запись через его создание (функция creat() ), то можно и ни какого сообщения не выдавать.

> Другой пример - система развертывания приложения на
> предприятии - с сервера админ ставит софтину на сотни
> компов. Вирус?

Это происходит по желанию админа. Вирус распространяется без желания людей. Как правило еще и незаметно для всех.

> А вебсервер с которого пользователи скачивают ехешники? Как

Пользователи скачивают екзешки только потому, что они хотят это сделать. Они сами нажимают кнопку [Скачать].
Когда же принимаешь почту с сервера, а аутлук незаметно рассылает письма всем, кто прописан в адресной книге, с сообщением: "I love you", это уже вирус.

> ты его отличишь от червя который себя другим раздает? Да
> никак с точки зрения "машинной логики"

С точки машинной логики возможность есть. Вирус будет либо модифицировать существующую екзешку, открывая файл на запись. Либо писаться в новую вместе с программой, но потом он будет обязан переименовать/удалить существующую программу и переименовать/переместить новый зараженный файл в старый.

> > А если программист отлаживает программу?
> Пуленепробиваемая
> > подпись должна легко вырабатываться? Что мешает вирусу
> > выработать подпись при заражении?
> Ммм.. а ты знаешь что такое цифровая подпись?

Ну где-то компилятор программиста (или скачивалка из интернета) будет брать секретный ключ. Вот и вирус его найдет. Алгоритм будем считать известен. Это похоже на существующую систему сертификатов для защищеных соединений или подпись драйверов. Геморой увеличивается, а эффективность полностью отсутствует.

> Повторяю свою другую мессагу - вирусы давно перестали быть
> главным злом. Это скорее так - апчхи. А targeted вирусные
> атаки никакая мега-ос не остановит.

Согласен, но злом, хоть и не главным, они остаются.

> Короче все это пустой треп.

Ну не пустой. Я много чего интересного почерпнул из этого обсуждения. Если кому-то не интересно - участвовать в обсуждении никто не принуждает.
<site updates>
Вирусы для Windows Vista уже готовы. Но использовать их не получится. 05.08.05 03:12  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Вирусы для Windows Vista уже готовы. Но использовать их не получится.
InfoWorld,cnet http://www.infoworld.com/article/05/08/04/HNvistaviruses_1.html, http://news.com.com/Microsoft+Virus+target+wont+be+in+Vista/2100-1002_3-5820706.html?part=rss&tag=5820706&subj=news

Австрийский хакер, называющий себя "Second Part To Hell", опубликовал вирус, использующий новую командную оболочку Monad, которая включена в недавно вышедшую бета-версию Windows Vista. По словам представителя F-Secure Микко Хюппонена (Mikko Hypponen), все это было вполне ожидаемо и единственное, что удивляет, так это скорость появления нового семейства вирусов - всего восемь дней с выхода беты. Хотя лично я и в этом не вижу ничего удивительного :)
Впрочем, чуть позже появилась информация о том, что Monad не войдет в стандартную поставку окончательной версии Vista. Пока планируется включить его в предположительно выходящий в 2007 года Longhorn Server, хотя, возможно, он будет выпущен в качестве дополнения к Server 2003, XP и Vista.


Полный текст
ну сколько можно одно и то же 10.08.05 20:17  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
на всякой сложной подключенной к сети системе могут появиться т.н.вирусы

количество их зависит от многих параметров но самое главное - обратно пропорционально уникальности программной системы

воспринимайте это как generic system ability
Все вполне прогнозируемо. Сложно верить в то, что Vista... 08.08.05 10:06  
Автор: TARASA <Taras L. Stadnik> Статус: Member
<"чистая" ссылка>
Все вполне прогнозируемо. Сложно верить в то, что Vista писалась с нуля. Что с нуля разрабатывалась архитектура, идеология и т.д и т.п А следовательно если писалось из "родительского" кода, то и болячки родительские на себе потащит. Разработка новой командной оболочки - это не панацея и видимо избавить Windows от всевозможной дырявости малореально.
Не в дырявости дело 08.08.05 12:12  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Вирус это обычная программа, отличающаяся от других только наличием в базе антивирусов.
Количество вирусов для какой-либо платформы зависит в первую очередь от распространенности этой платформы среди обычных юзеров и во вторую в наличии необходмимой документации и средств разработки. Любая ос в которой могут исполняться программы, которые могут сохранять файлы уже потенциальный рассадник для вирусов. И "дырявость" тут абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых... 09.08.05 10:10  
Автор: TARASA <Taras L. Stadnik> Статус: Member
<"чистая" ссылка>
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.
> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут
> абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых атак - другое. Ести ли гарантия того, что код или его фрагменты, уязвимости, использованные для написания вирусов для Vista не будут использованы для написания эксплоитов и проведения сетевых атак? С моей точки зрения - нет. И вот тут-то "дырявость", не исправленные ошибки в логике и наследуемом коде проявятся во всей красе.
«Зловредность» существует на стороне автора программы, а не на стороне антивируса. Сколько можно говорить — понятие «вирус» суть просто заговор, … 09.08.05 11:11  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 09.08.05 11:18  Количество правок: 4
<"чистая" ссылка>
Subj, т.е. общество решило что вот эта прога вирус, и всё. Программа-антивирус не может решать за человека, тем более быть умнее целой когорты безопасников и высококлассных спецов, что однозначно определили её "вирусность". Поэтому базы, базы, и ещё раз базы с сигнатурами.

Это пока... Надеемся, что прогресс операционок дорастёт всё-таки до чего-то пуленепробиваемого... К примеру, исполнять только подписанный код... с проверкой и защитой железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян? :-)
Если общество решило, то опираясь на какие-то критерии... 09.08.05 11:57  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 11:58  Количество правок: 2
<"чистая" ссылка>
> Subj, т.е. общество решило что вот эта прога вирус, и всё.

Если общество решило, то опираясь на какие-то критерии. Самые элементарные это бесконтрольное быстрое размножение и причинение вреда. Вредность программно определить тяжело, а бесконтрольное размножение можно.

> Программа-антивирус не может решать за человека, тем более
> быть умнее целой когорты безопасников и высококлассных
> спецов, что однозначно определили её "вирусность". Поэтому
> базы, базы, и ещё раз базы с сигнатурами.

И люди тоже ошибаются, даже когорта безопасников. Пусть программа не решает, но вычислить размножающийся код она может.
Я не знаю ни одного вируса, который абсолютно не умеет размножаться, а вы?

> Это пока... Надеемся, что прогресс операционок дорастёт
> всё-таки до чего-то пуленепробиваемого... К примеру,
> исполнять только подписанный код... с проверкой и защитой
> железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян?
> :-)

А если программист отлаживает программу? Пуленепробиваемая подпись должна легко вырабатываться? Что мешает вирусу выработать подпись при заражении?

Застал я одну красивую операционку: RSX-11M. В ней обычный пользователь мог выполнять программы только специально установленные в системе администратором. Может кто знает - сколько было вирусов на DEC'овских системах?
Дану. Вот есть вирус который пишет чегото там в файлы. То... 09.08.05 12:37  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> > Subj, т.е. общество решило что вот эта прога вирус, и
> всё.
>
> Если общество решило, то опираясь на какие-то критерии.
> Самые элементарные это бесконтрольное быстрое размножение и
> причинение вреда. Вредность программно определить тяжело, а
> бесконтрольное размножение можно.
Дану. Вот есть вирус который пишет чегото там в файлы. То что она пишет сама себя ты не определишь - она пишет совершенно разные байты ибо полиморф. В исполняемые файлы писать совсем необязательно. Он может писать в темпари которые затем переименовывать шеллскриптами. А трекить все эти изменения - ты представляешь как все будет тормозить. Не ОСовское это дело.
Другой пример - система развертывания приложения на предприятии - с сервера админ ставит софтину на сотни компов. Вирус?
А вебсервер с которого пользователи скачивают ехешники? Как ты его отличишь от червя который себя другим раздает? Да никак с точки зрения "машинной логики"

> > Программа-антивирус не может решать за человека, тем
> более
> > быть умнее целой когорты безопасников и высококлассных
> > спецов, что однозначно определили её "вирусность".
> Поэтому
> > базы, базы, и ещё раз базы с сигнатурами.
>
> И люди тоже ошибаются, даже когорта безопасников. Пусть
> программа не решает, но вычислить размножающийся код она
> может.
> Я не знаю ни одного вируса, который абсолютно не умеет
> размножаться, а вы?



> А если программист отлаживает программу? Пуленепробиваемая
> подпись должна легко вырабатываться? Что мешает вирусу
> выработать подпись при заражении?
Ммм.. а ты знаешь что такое цифровая подпись?

> Застал я одну красивую операционку: RSX-11M. В ней обычный
> пользователь мог выполнять программы только специально
> установленные в системе администратором. Может кто знает -
> сколько было вирусов на DEC'овских системах?
А сколько пользователей тех систем? А сколько пользователей теперешних виндов?

Повторяю свою другую мессагу - вирусы давно перестали быть главным злом. Это скорее так - апчхи. А targeted вирусные атаки никакая мега-ос не остановит.

Короче все это пустой треп.
Я не могу даже представить себе ситуацию, когда в процессе... 09.08.05 18:15  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 18:17  Количество правок: 2
<"чистая" ссылка>
> Дану. Вот есть вирус который пишет чегото там в файлы. То
> что она пишет сама себя ты не определишь - она пишет
> совершенно разные байты ибо полиморф. В исполняемые файлы

Я не могу даже представить себе ситуацию, когда в процессе работы пользователя за компьютером какой-нибудь программе потребуется внести изменения в существующую екзешку.

> писать совсем необязательно. Он может писать в темпари
> которые затем переименовывать шеллскриптами. А трекить все

Переименовывание - под контроль! Удаление, создание новых и прочие действия - по желанию тоже можно контролировать.

> эти изменения - ты представляешь как все будет тормозить.
> Не ОСовское это дело.

Пусть не сама ОС, а добавочная компонента. Какое торможение - десяток микроинструкций: проверить при открытии файла на запись на то, что это екзешка.
Если выполняемый файл открывается на запись через его создание (функция creat() ), то можно и ни какого сообщения не выдавать.

> Другой пример - система развертывания приложения на
> предприятии - с сервера админ ставит софтину на сотни
> компов. Вирус?

Это происходит по желанию админа. Вирус распространяется без желания людей. Как правило еще и незаметно для всех.

> А вебсервер с которого пользователи скачивают ехешники? Как

Пользователи скачивают екзешки только потому, что они хотят это сделать. Они сами нажимают кнопку [Скачать].
Когда же принимаешь почту с сервера, а аутлук незаметно рассылает письма всем, кто прописан в адресной книге, с сообщением: "I love you", это уже вирус.

> ты его отличишь от червя который себя другим раздает? Да
> никак с точки зрения "машинной логики"

С точки машинной логики возможность есть. Вирус будет либо модифицировать существующую екзешку, открывая файл на запись. Либо писаться в новую вместе с программой, но потом он будет обязан переименовать/удалить существующую программу и переименовать/переместить новый зараженный файл в старый.

> > А если программист отлаживает программу?
> Пуленепробиваемая
> > подпись должна легко вырабатываться? Что мешает вирусу
> > выработать подпись при заражении?
> Ммм.. а ты знаешь что такое цифровая подпись?

Ну где-то компилятор программиста (или скачивалка из интернета) будет брать секретный ключ. Вот и вирус его найдет. Алгоритм будем считать известен. Это похоже на существующую систему сертификатов для защищеных соединений или подпись драйверов. Геморой увеличивается, а эффективность полностью отсутствует.

> Повторяю свою другую мессагу - вирусы давно перестали быть
> главным злом. Это скорее так - апчхи. А targeted вирусные
> атаки никакая мега-ос не остановит.

Согласен, но злом, хоть и не главным, они остаются.

> Короче все это пустой треп.

Ну не пустой. Я много чего интересного почерпнул из этого обсуждения. Если кому-то не интересно - участвовать в обсуждении никто не принуждает.
Насчет подписи и вирусов 09.08.05 11:22  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Вирусы на самом деле фигня. Спайвары гораздо вреднее. Да и подписаться у verisign'а они смогут запросто за 300 баксов.
Это шутка? То есть если очистить базу антивируса, то вирус... 08.08.05 13:17  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 08.08.05 13:22  Количество правок: 1
<"чистая" ссылка>
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.

Это шутка? То есть если очистить базу антивируса, то вирус перестанет быть вирусом? Зачем новый вирус включать в базу, если он не вирус, поскольку в базе не числится?

> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут

Самое главное условие - это чтоб программа могла порождать программу. Вирус - это программа, которая размножается без желания пользователя и приносит ущерб (само безконтрольное размножение является уже ущербом).
Если в системе будет отключена возможность модифицировать файлы, которые можно выполнять, считывать их содержимое, изменять их атрибуты и прочее, то в такой системе вирусы жить не смогут.

> абсолютно не причем.

А касаемо "дырявости" - это лишний повод существовать определенному классу вирусов, таких как прикрепленных к электронному письму, если есть возможность написать письмо так, чтоб программа начала выполняться вне желания адресата. Или размножиться используя "дыру" в сетевой защите.
Универсальных антивирусов не существует. Доказано кем то там (но точно не занусси) 09.08.05 00:45  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Самое главное условие - это чтоб программа могла порождать
> программу. Вирус - это программа, которая размножается без
> желания пользователя и приносит ущерб (само безконтрольное
> размножение является уже ущербом).

Математически доказано, что невозможно вывести функцию V(Program), которая бы на выходе давала булевый ответ "Является ли Program вирусом". Впрочем, универсальных (необнаружимых) вирусов тоже не бывает

> Если в системе будет отключена возможность модифицировать
> файлы, которые можно выполнять, считывать их содержимое,
> изменять их атрибуты и прочее, то в такой системе вирусы
> жить не смогут.

Как уже было сказано, есть как минимум mind вирусы. Последний массовый mind-вирус, который мне запомнился - Yeti Sports (особенно первая часть). За день убытков - на десятки, а то и сотни миллионов и много сотен тысяч копий. Вирус ли?

> А касаемо "дырявости" - это лишний повод существовать
> определенному классу вирусов, таких как прикрепленных к
> электронному письму, если есть возможность написать письмо
> так, чтоб программа начала выполняться вне желания
> адресата. Или размножиться используя "дыру" в сетевой
> защите.

Дырявость - все тот же человеческий фактор. Если бы юзера пользовались хотя бы теми средствами защиты, которые УЖЕ ЕСТЬ в винде, вирусов было бы на несколько порядков меньше. Стоит ли еще более усложнять защиту, если даже текущая сложность не по зубам простому юзверю. И кроме того, дырявость никак не связано с собственно ОС. Последняя уязвимость, которая серьезно компрометировала мою систему - уязвимость в zlib-е (наверное не стоит перечислять все программы, которые в одночасье стали уязвимыми из-за этой библиотеки). А она - кроссплотформенная
А чтобы ВЫ встроили в СВОЙ антивирус, если бы решили его написать? 09.08.05 13:40  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
rsbac/grsecurity/lids и пр. 10.08.05 00:24  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
А антивирусы в топку
Ничего... В OS — защищённые средства исполнения... Бабаяна в проц ;-) Экзешники — ф топку, пусть приложения компилятся перед исполнением… Каждому — своё, объект исполнения получает только те интерфейсы, которые ему определили «свыше». 09.08.05 13:48  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
похоже Microsoft.NET очень старается вам угодить ;)))))))))))) 09.08.05 13:55  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
Неа, не старается... Результаты JIT-компиляции не сохраняются для повторного использования... Компиляция не оптимизируется под мой проц/кэш и т.д, и т.п... 09.08.05 14:47  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 09.08.05 14:48  Количество правок: 1
<"чистая" ссылка>
в будущем M$ может договориться с Intel-ом ;-))))))))) 09.08.05 16:23  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
Не надо так катигорично. Существует (если в антивирусе... 09.08.05 10:06  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Не надо так катигорично. Существует (если в антивирусе останется только эвристический анализ). Беда только в том, что этот интелектуальный анализ программ на вирусность будет слабоэффективен. То есть он будет реагировать на малый процент вирусов, на многие не будет срабатывать, будет срабатывать ошибочно, медленно работает и ресурсоемок в отношении процессорного времени. В антивирусы его закладывают только для того (в том то по определению его прелесть), что он может определять огромное семейство вирусов, которых еще нет, а только могут быть написаны. Чем не универсальность?
Почему бы и не сработать основному критерию - вирус будет писаться в екзешки или переименовывать прочие файлы в екзешки! К стати CDM ловил 99% вирусов, исключение составляли разве что бутовские.

> Математически доказано, что невозможно вывести функцию
> V(Program), которая бы на выходе давала булевый ответ
> "Является ли Program вирусом". Впрочем, универсальных
> (необнаружимых) вирусов тоже не бывает

А не надо анализировать саму прогу, надо анализировать ее работу. Причем последнее слово оставим за человеком, поскольку, действительно, ОДНОЗНАЧНО и АБСОЛЮТНО ТОЧНО идентифицировать вирус програмно нельзя. Что может быть проще - играете ли вы в игрушку или читаете электронную почту. Вдруг выскакивает сообщение "Какая-то там программа желает что-то записать в файл winnt.dll! Позволим ей сделать это действие или нет?"

> Дырявость - все тот же человеческий фактор. Если бы юзера
> пользовались хотя бы теми средствами защиты, которые УЖЕ
> ЕСТЬ в винде, вирусов было бы на несколько порядков меньше.
> Стоит ли еще более усложнять защиту, если даже текущая
> сложность не по зубам простому юзверю. И кроме того,
> дырявость никак не связано с собственно ОС. Последняя
> уязвимость, которая серьезно компрометировала мою систему -
> уязвимость в zlib-е (наверное не стоит перечислять все
> программы, которые в одночасье стали уязвимыми из-за этой
> библиотеки). А она - кроссплотформенная

Я имел в виду дырявость в отнощении программистов, а не прользователей. Уязвимость в zlib-е - это дырявость софта. Кликнул на неопознанный аттачмент или установил пустой пароль для админа - не дырявость софта/ОС.
«Какая-то там программа желает что-то записать в файл winnt.dll» — «да конечно, пусть пишет», сказала секретарша, а то я не могу поиграть в эротический пасьянс, который мне прислал бойфренд... 09.08.05 10:42  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach