MS будет информировать производителей о готовящихся патчах dl // 05.08.08 18:03
Microsoft планирует слегка модифицировать сложившуюся в последние годы схему распространения патчей по вторым вторникам каждого месяца. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/08/04.html] Сейчас после выхода очередной порции патчей начинается гонка между злобными хакерами и производителями защитного софта в целях выявления уязвимостей, которые они исправляют (серьезной проблемой может стать автоматизация подготовки атак на основе анализа патчей).
Для создания форы "хорошим парням" Microsoft подготовила стартующую в октябре Active Protection Program. В рамках этой программы MS будет информировать производителей защитного софта о готовящихся к выходу исправлениях. Будет предоставляться информация об условиях, необходимых для использования уязвимостей, и способах их идентификации. Кроме того, бюллетени безопасности будут включать таблицы с Exploitability Index для каждой уязвимости, который будет показывать, насколько легко она может быть использована.
На киевском PCI DSS проводимый McAfee были показаны решения, которые закрывают zeroday уязвимости в тч и системные слабости вин на 97% без оповещений МС. Вероятно существуют такие решения и у других производителей ПО.24.09.08 13:29 Автор: Garick <Yuriy> Статус: Elderman
Почему бы и нет?...
Ведь если уязвимость обнаружена не самой MS а какой-либо лабораторией ИБ и ее детали стали известны экспертам АВ лабораторий, то вполне возможно предотвратить атаки на обнаруженные уязвимости до выхода информационного бюллетеня в рамках Active Protection Program и официального патча.
Не уверен, что 97% для подобных технологий - показатель, так как сильно зависит от обмена информацией об уязвимостях между лабораториями ИБ и производителями софта.
Подход в защитах zeroday (выходного дня) не в сигнатурах и защит от существующих угроз. А недопущение еще не существующих (не найденных) угроз.25.09.08 12:09 Автор: Garick <Yuriy> Статус: Elderman Отредактировано 25.09.08 12:11 Количество правок: 1
Грубо говоря - это продвинутые фильтры в файере, которые анализируют трафик и блокируют "нестандартное" поведение.
Сигнатуры только в части описания "стандартности" поведения. Но их актуальность не критична, старые не значительно снижают безопасность, хотя могут привести к отказу в обслуживании или ухудшению других параметров сервисов.
Иными словами данная технология направлена в основном на борьбу с сетевыми червями.25.09.08 20:39 Автор: Den <Денис Т.> Статус: The Elderman
Не факт: например, "проактивная защита" того же касперского позволяет останавливать внедрение руткитов26.09.08 08:56 Автор: Ustin <Ustin> Статус: Elderman
Решения этого класса (всякие проактивные защиты, запрещающие всё, что не разрешено) имеют право на существование, так как в большой степени снимают ответственность за целостность системы с автомата и перекладывают её на человека. Хотя при их использовании\внедрении очень сильно вырастает роль человеческого фактора, что не есть хорошо. Соответственно, наличие такого решения не отменяет необходимость использования "классических" средств защиты, и рискну предположить, что у идеологии рекомого MsAfeeшного решения - большое будущее
В итоге МС создает конкурентные преимущества легальным пользователям продуктов... Не мытьем так катанием :) Сначало паблик оттестировал систему, а потом нашли коммерческое применение :)06.08.08 13:00 Автор: Garick <Yuriy> Статус: Elderman
Microsoft пытается снизить риск заражения компьютеров со своим, еще не обновленным софтом. Для этого Microsoft будет передавать информацию о способах реализации атак и способах защиты от них в антивирусные лаборатории раньше, чем выложит обновления безопасности в свободный доступ. Таким образом, антивирусные лаборатории получат фору и смогут добавить сигнатуры атак в свои базы раньше чем хакеры получат возможность проанализировать изменения софта в патчах Microsoft.
Для Microsoft такой шаг архиважен, т.к. их ForeFront при работе использует только одно выбранное пользователем ядро из нескольких возможных от разных производителей антивирусного софта. Т.е. ForeFront, какое бы ядро он не использовал, сможет обновить антивирусные базы раньше, чем хакеры получат возможность проанализировать заплатки безопасности.
АВ не закрывают системные уязвимости, а только могут констатировать факт заражения (через уязвимость)06.08.08 14:19 Автор: Garick <Yuriy> Статус: Elderman
Вспоминаем случаи уязвимостей в RPC. Лечишь, заражаеться, лечишь, пока не закроешь фиксом :)
А это не защита, тк защита (и безопасность) - это все же реакция на возникшие (найденные) уязвимости, а не реакция на проблемы, возникающие с незакрытой уязвимостью. Хотя, на проблемы также необходимо реагировать, но это не должно быть самоцелью :)
И чем раньше коммунити узнает (а занть и быть в курсе - это одна из обязанностей системного инженера) о уязвимостях, тем ниже задержка перед реакцией.
А вот непатченные пиратки даже опасней, вирусная активность зачастую проявляется в флуде трафика, забивающего каналы, а за это платят в том числе и легальные пользователи :)
1. Далеко не все вирусы являются сетевыми червями.06.08.08 14:49 Автор: Den <Денис Т.> Статус: The Elderman
> Вспоминаем случаи уязвимостей в RPC. Лечишь, заражаеться, > лечишь, пока не закроешь фиксом :) >
> А это не защита, тк защита (и безопасность) - это все же > реакция на возникшие (найденные) уязвимости, а не реакция > на проблемы, возникающие с незакрытой уязвимостью. Хотя, на > проблемы также необходимо реагировать, но это не должно > быть самоцелью :)
1. Далеко не все вирусы являются сетевыми червями.
2. Продвинутые антивирусы, помимо перехвата доступа к файловым ресурсам, обычно имеют собственный брандмауэр и способны перехватывать и анализировать весь трафик узла (как входящий, так и исходящий) в том числе и на предмет атаки на сетевую службу. Кстати, эпидемия MSBlast'а, Sasser'а и тому подобных червей, использующий уязвимость RPC легко приостанавливалась установкой и корректной конфигурацией сторонних (не Microsoft) "огненных стенок".
> И чем раньше коммунити узнает (а занть и быть в курсе - это > одна из обязанностей системного инженера) о уязвимостях, > тем ниже задержка перед реакцией.
На счет знать - ты перегибаешь. Чтобы знать нужно постоянно сидеть за отладчиком с дизассемблером и самому искать уязвимости в софте.
Быть в курсе позволяет бюллетени безопасности, которые информируют о наличии уязвимости и о том как по возможности "прикрыться", но в которых нет ни слова о том, как реализуется атака на систему с использованием конкретной уязвимости.
А те, кому нужно знать (я имею ввиду производителей софта и всякие security labs), уже знают об этой уязвимости и предпринимают действия по выпуску заплаток.
> А вот непатченные пиратки даже опасней, вирусная активность > зачастую проявляется в флуде трафика, забивающего каналы, а > за это платят в том числе и легальные пользователи :)
И что теперь? Microsoft должна разрешить пиратским копиям своего софта обновляться через WindowsUpdate? :))
Не важна реализация, важно определение - системные...06.08.08 15:45 Автор: Garick <Yuriy> Статус: Elderman Отредактировано 06.08.08 16:02 Количество правок: 3
> 1. Далеко не все вирусы являются сетевыми червями. Не важна реализация, важно определение - системные уязвимости необходимо исправлять на системном, а не прикладном уровне :)
> 2. Продвинутые антивирусы, помимо перехвата доступа к > файловым ресурсам, обычно имеют собственный брандмауэр и > способны перехватывать и анализировать весь трафик узла > (как входящий, так и исходящий) в том числе и на предмет > атаки на сетевую службу. Кстати, эпидемия MSBlast'а, > Sasser'а и тому подобных червей, использующий уязвимость > RPC легко приостанавливалась установкой и корректной > конфигурацией сторонних (не Microsoft) "огненных стенок". Это действительно так, но не "чистые" функции АВ. Это "комбайн" - АВ+файр. И тогда необходимо обновлять файр. Хотя обновлять файр - нонсенс. Это банальный разрешающий/запрещающий фильтр. Принцип файера - запрещено все, что не разрешено (это кстати и предотвращало заражение при атаке на RPC). И если сервис открыт через файр, то это или ошибка конфигурирования или есть необходимость, и системный сервис будет подвержен уязвимости :)
Да и рассматривая вопрос системно - на угрозу необходимо отреагировать. Будем считать для фактов, когда факт оглашения уязвимости совпадает с фактом выпуска патча. Прийдет патч от МС или стороннего - не важно, лишь бs он закрыл уязвимость. Вопрос только кто сможет оперативней раздать. Похоже, что МС все же не полностью уверенна в своих патчах, и высокой верности решения закрытия уязвимости, поэтому привлекает сторонних разработчиков для подстраховки. Да и стрелки кидать на других будет проще :)
> На счет знать - ты перегибаешь. Чтобы знать нужно постоянно > сидеть за отладчиком с дизассемблером и самому искать > уязвимости в софте. > Быть в курсе позволяет бюллетени безопасности, которые > информируют о наличии уязвимости и о том как по возможности > "прикрыться", но в которых нет ни слова о том, как > реализуется атака на систему с использованием конкретной > уязвимости. > А те, кому нужно знать (я имею ввиду производителей софта и > всякие security labs), уже знают об этой уязвимости и > предпринимают действия по выпуску заплаток. системные инженеры - это сторона использования и им приходится мониторить ситуацию с безопасность, для оперативного реагирования на угрозы. Они не занимаются глубоким анализом, достаточно начальных условий для принятие решений о целесообразности реагирования и самого решения :)
> И что теперь? Microsoft должна разрешить пиратским копиям > своего софта обновляться через WindowsUpdate? :)) Они нормально обновляются через локальные ВСУСы :)
Я не говорил о том, что этот шаг Microsoft нацелен на...06.08.08 16:14 Автор: Den <Денис Т.> Статус: The Elderman
> Не важна реализация, важно определение - системные > уязвимости необходимо исправлять на системном, а не > прикладном уровне :)
Я не говорил о том, что этот шаг Microsoft нацелен на исправления, речь шла о снижении рисков.
> Это действительно так, но не "чистые" функции АВ. Это > "комбайн" - АВ+файр. И тогда необходимо обновлять файр. > Хотя обновлять файр - нонсенс. Это банальный > разрешающий/запрещающий фильтр. Принцип файера - запрещено > все, что не разрешено (это кстати и предотвращало заражение > при атаке на RPC). И если сервис открыт через файр, то это > или ошибка конфигурирования или есть необходимость, и > системный сервис будет подвержен уязвимости :)
Сама "стенка" так и работает - как банальный сетевой фильтр, но после прохождения через файрвол пакета, последний не сразу попадает в стек протокола системы, а для начала проверяется на предмет вредоносного включения.
> Да и рассматривая вопрос системно - на угрозу необходимо > отреагировать. Будем считать для фактов, когда факт > оглашения уязвимости совпадает с фактом выпуска патча. > Прийдет патч от МС или стороннего - не важно, лишь бs он > закрыл уязвимость. Вопрос только кто сможет оперативней > раздать. Похоже, что МС все же не полностью уверенна в > своих патчах, и высокой верности решения закрытия > уязвимости, поэтому привлекает сторонних разработчиков для > подстраховки. Да и стрелки кидать на других будет проще :)
ИМХО, Microsoft прежде всего не уверена в пользователях своих системм, в частности в домашних пользователях.
> системные инженеры - это сторона использования и им > приходится мониторить ситуацию с безопасность, для > оперативного реагирования на угрозы. Они не занимаются > глубоким анализом, достаточно начальных условий для > принятие решений о целесообразности реагирования и самого > решения :)
Угу... Только при мониторинге они обычно читают свежие бюллетени безопасности (начальные условия для принятия решений), а уж потом принимают решения.
> Они нормально обновляются через локальные ВСУСы :)
Естественно... Но не в домашних условиях. ;)
тогда последний вопрос, контрольный :) А что мешает злоумышленникам анализировать вместо обновлений МС, обновления АВ? В них поменьше информации, но область поиска уязвимости можно определить.06.08.08 17:51 Автор: Garick <Yuriy> Статус: Elderman Отредактировано 06.08.08 18:17 Количество правок: 1
Потому как АВ в таком случае уже научаться присекать атаку по используемой уязвимости, т.к. антивирусные базы, в сравнении с ОС, обновляются пользователями намного чаще даже на пиратских копиях АВ.
> Или что мешает сразу доставлять АВ обновления МС, а не > маскировать уязвимость?
У каждого АВ свой формат БД сигнатур, а MS ForeFront использует ядра сторонних производителей.
> добавил: а ведь фильтры для отлова уязвимости содержат не > меньше инфы для аналитиков. там или есть последовательности > или порты, например.
В общем случае да, но все же меньше, чем использующий уязвимость рабочий эксплойт.
> А в обновлениях есть только скомпилированные модули, > которые надо еще препарировать :)
Препарировать не проблема. Весь сыр-бор из-за того, что имея программные модули из патча, сравнительным анализом проще определить в каком месте и что пропатчено. Но если АВ научаться отлавливать атаки раньше, чем обновления безопасности ОС попадут в руки black hat'ов, то сравнительный анализ патча для последних будет бессмысленным.
Мы вроде пришли к мнению, что системные уязвимости...08.08.08 14:41 Автор: Garick <Yuriy> Статус: Elderman
> Потому как АВ в таком случае уже научаться присекать атаку > по используемой уязвимости, т.к. антивирусные базы, в > сравнении с ОС, обновляются пользователями намного чаще > даже на пиратских копиях АВ. Мы вроде пришли к мнению, что системные уязвимости необходимо закрывать системными патчами :)
Если есть канал доставки решения - то исправление целесообразней, чем латание :)
> У каждого АВ свой формат БД сигнатур, а MS ForeFront > использует ядра сторонних производителей. Кроме сигнатур можно и затягивать критические исправления. Такая себе расширенная сигнатура :)
> В общем случае да, но все же меньше, чем использующий > уязвимость рабочий эксплойт. Эксполита еще нет. Есть инфа у разработчика об уязвимости.
Эту инфу он передает АВ разработчикам. На сигнатуры накладывается эта инфа. Инфа всегда отражается :) Те по анализу сигнатур, можно найти инфу об уязвимости, причем ее может быть достаточно для написания эксполита. При этом эксполиты также могут появиться до появления обновления.
> Препарировать не проблема. Весь сыр-бор из-за того, что > имея программные модули из патча, сравнительным анализом > проще определить в каком месте и что пропатчено. Но если АВ > научаться отлавливать атаки раньше, чем обновления > безопасности ОС попадут в руки black hat'ов, то > сравнительный анализ патча для последних будет > бессмысленным.
Безопасность АВ и безопасность системы идут последовательно и надежности одной из них достаточно (в рассматриваемом случае с системными уязвимостями и одинаковым системным окружением/ограничениями), поэтому не важно кто из них первый отреагирует на появившуюся угрозу, лишь бы эта реакции была быстрее хакерской. А реакцию (доставку решения) может (если захочет :) ) обеспечить любая из систем безопасности. Только МС не хочет делегировать доставку сових решений и закрывает свои дыры более оперативными решениями АВ :)
Мы пришли к мнению, что целесообразней снизить риск атаки...08.08.08 16:00 Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 08.08.08 16:05 Количество правок: 2
> Мы вроде пришли к мнению, что системные уязвимости > необходимо закрывать системными патчами :) > Если есть канал доставки решения - то исправление > целесообразней, чем латание :)
Мы пришли к мнению, что целесообразней снизить риск атаки непропатченных систем путем обновления АВ. :)
> Эксполита еще нет. Есть инфа у разработчика об уязвимости. > Эту инфу он передает АВ разработчикам. На сигнатуры > накладывается эта инфа. Инфа всегда отражается :) Те по > анализу сигнатур, можно найти инфу об уязвимости, причем ее > может быть достаточно для написания эксполита. При этом > эксполиты также могут появиться до появления обновления.
:) Когда обнаруживается уязвимость, то специалиты по информационной безопасности, которые ее обнаружили, первым делом создают эксплойт и проверяют его действие в "песочницах". Затем, вся информация по уязвимости и рабочий эксплойт передается разработчику ПО, который затем создает патч (в конкретном случае - Microsoft). Так как у пользователей АВ обновляются быстрее, чем ОС, то ИМХО, очень логичным кажется шаг Microsoft по передачи всей информации об уязвимости в АВ лаборатории до момента выхода официального патча, чтобы АВ лаборатории успели включить сигнатуры атаки на уязвимость в ежедневные обновления своих АВ и снизить риски атак на уязвимые системы. Таким образом, после выхода ежедневного обновления АВ, уже нет смысла анализировать сигнатуры.
> Безопасность АВ и безопасность системы идут последовательно > и надежности одной из них достаточно (в рассматриваемом > случае с системными уязвимостями и одинаковым системным > окружением/ограничениями), поэтому не важно кто из них > первый отреагирует на появившуюся угрозу, лишь бы эта > реакции была быстрее хакерской. А реакцию (доставку > решения) может (если захочет :) ) обеспечить любая из > систем безопасности. Только МС не хочет делегировать > доставку сових решений и закрывает свои дыры более > оперативными решениями АВ :)
1. Так как исходный код ОС Windows является закрытым, то "коммунити" в большенстве случаев не может создать патч для устранения уязвимости быстрее Microsoft.
2. Распространение патчей из разных источников еще больше затягивает процесс "латания дыр" на огромном количестве систем не только в корпоративном сегменте, но и в сегменте домашних пользователей, а подобное распространение может очень сильно увеличить нагрузку на системных администраторов, более того - вызвать неразбериху.
Не следует забывать, что МС будет раздавать инфо об уязвимости только "сертифицированным" - партнерам, разработчикам АВ.18.08.08 16:36 Автор: Garick <Yuriy> Статус: Elderman Отредактировано 18.08.08 16:39 Количество правок: 1
Что приведет к увеличению их конкурентного преимущества.
Рыночная доля "монстров" АВ снижалась, за счет фриварных решений. Теперь фриварные решения будут испытывать сильный прессинг :) Возможно, их обвинят, что они не обеспечивают "базовую" (что мешает причислить к базовым и возможность закрывать найденную, но не опубликованную уязвимость) защиту.
Но это маркетинговые мысли вслух :)
На самом деле доля фриварных решений велика, тк они достаточны для многих задач АВ защиты и не залазят в несвойственные для классического АВ функции защиты. Появление обновлений АВ от "монстров" позволит создать эксполит на их основе. Не защищенными останутся хосты у которых не установлены АВ от "монстров", а таких будет большинство. Также "навороченный" АВ от "монстров" может создать ложное заблуждение о защищенности. И пользователи перестанут патчится - это и так считается плохим тоном у домашних юзверей - считается, что зря жрет траф, проше скачать супер сборку инсталяцию и переставить вин :)
*думаю "сертификация" будет стоить не малых денег. И стоимость входа (подключения) к программе будет неподъемной для многих малобюджетных решений. Для этого необходимо наложить на разработку режим ДСП, что очень затратно, даже без отчислений внешним компаниям.
В сообщении не написано, что MS будет отсылать информацию только "сертифицированным" партнерам.19.08.08 17:35 Автор: Den <Денис Т.> Статус: The Elderman
> Что приведет к увеличению их конкурентного преимущества. > Рыночная доля "монстров" АВ снижалась, за счет фриварных > решений. Теперь фриварные решения будут испытывать сильный > прессинг :) Возможно, их обвинят, что они не обеспечивают > "базовую" (что мешает причислить к базовым и возможность > закрывать найденную, но не опубликованную уязвимость) > защиту. > Но это маркетинговые мысли вслух :)
И потом - что значит сертифицированным партнерам? Уровня "Trade sertified partner"? :))
Скорее информация будет рассылаться всем АВ лабораториям, чьи АВ работают на платформе MS и прошли сертифицикацию для нее, а не только партнерам.
> На самом деле доля фриварных решений велика, тк они > достаточны для многих задач АВ защиты и не залазят в > несвойственные для классического АВ функции защиты. > Появление обновлений АВ от "монстров" позволит создать > эксполит на их основе. Не защищенными останутся хосты у > которых не установлены АВ от "монстров", а таких будет > большинство.
Вот уж чего никогда не буду делать, так это использовать фриварный АВ. И дело даже не в том, имеет ли он брандмауэр или нет, а в том что скорость, полнота и качество обновлений БД сигнатур у фриварного АВ оставляют желать лучшего.
> Также "навороченный" АВ от "монстров" может > создать ложное заблуждение о защищенности.
У здавомыслящих людей такого впечатления никогда не возникнет, т.к. ежу понятно, что 100% зажиты быть не может.
> И пользователи > перестанут патчится - это и так считается плохим тоном у > домашних юзверей - считается, что зря жрет траф, проше > скачать супер сборку инсталяцию и переставить вин :)
Зря жрет траф? Подавляющее большинство домашних пользователей быстрого интернета сидят на анлиме.
> *думаю "сертификация" будет стоить не малых денег. И > стоимость входа (подключения) к программе будет неподъемной > для многих малобюджетных решений. Для этого необходимо > наложить на разработку режим ДСП, что очень затратно, даже > без отчислений внешним компаниям.
Это врядли... У MS, блпгодаря грамотной ценовой и маркетинговой политике, ценник всегда был приемлемым.
Смысл это "мероприятия" - не дать возможность злоумышленникам получить доступ к инфо по уязвимости. А это классическая задача разграничения доступа, причем не дешвая.22.08.08 15:21 Автор: Garick <Yuriy> Статус: Elderman
> Вот уж чего никогда не буду делать, так это использовать > фриварный АВ. И дело даже не в том, имеет ли он брандмауэр > или нет, а в том что скорость, полнота и качество > обновлений БД сигнатур у фриварного АВ оставляют желать > лучшего. Как показывает практика примнений (ТМОС в файловом, каспер+норман в инет шлюзе, симантек в яху, НОД на быстрой флехе) - нет идеального АВ. У каждого АВ есть часть вирусов, которые не ловятся (в данный момент). Тк что АВ защиту рановато переводить в автоматическую (без вмешательства человека) систему, а только автоматизированную. Также замечено, что трудоемкость и время реакции на заражение практически одинаково. Процедура то одна (хотя, к сожалению, нормально не оформлена :) ) - загрузка с альтернативного носителя РЕ вин, вычисление неадекватного, скармливание разным сканерам АВ и рассылка в СД лабораторий. Возможно, песочница.
Фриварные страдают консолями, скажем так, их тяжело передавать в поддержку хелпдеску офисов. Возможно, ТСО дороже обходится покупки.
Возвращаясь к фриварной разработке - она зачастую коммунити разработка. Это делает или невозможным регламент ограничения доступа или трудно (дорого) реализуемым.
> У здавомыслящих людей такого впечатления никогда не > возникнет, т.к. ежу понятно, что 100% зажиты быть не может. Пользователям (<>здравомысящие, в контексте АВ защиты) свойственно заблуждаться. И очень сильно. Чего стоят АВ холивары на форумах:)
> Зря жрет траф? Подавляющее большинство домашних > пользователей быстрого интернета сидят на анлиме.
За 50 км от любого мегаполиса анлим стоит как жигули (образно) :) Да и сущствуют заблуждения, что сервисы если уж не тормозят инет, то тормозят сам комп. Куча гуляет сборок Вин в которых по дефолту отключены системные службы, в тч и обновлений.
> Это врядли... У MS, блпгодаря грамотной ценовой и > маркетинговой политике, ценник всегда был приемлемым. Любой ценник нельзя переложить на фриварные разработки :)