[HWSW]

Újszerû biztonsági megoldást szabadalmaztatnak a katonai technológiákkal foglalkozó brit Qinetiq fejlesztõi. Az elgondolás lényege, hogy bármilyen kártevõt ki lehet szûrni azzal, ha a olyan kódot szúrunk be, amely megakadályozza a program több részének végrehajtását.
https://www.hwsw.hu/...-biztonsag.html' target='_blank'>https://www.hwsw.hu/...-biztonsag.html

[Warrior]

Esetleg ha már a fájlhoz hozzáférek, mint víruskeresõ, nem lehetne mindenféle kód-beszúrás helyett inkább átnevezni, törölni, karanténozni? Mégis mi hasznunk származik abból, hisz ha a beszúrt kódot felismerik, akkor a vírus "kiszúrhatja" azt... Vagy ismét valami spanyolviasz-szaga van szerintem.

ps.: más szóval: túl sok a "ha". Ha-ha-ha...

Szerkesztette: Warrior 2009. 11. 20. 15:20 -kor

[Ytse]

@Warrior: az összes csatolt fájlt akarod karanténozni vagy törölni? vagy mi alapján döntöd el hogy melyiket kell?

[Warrior]

Idézet: Ytse - Dátum: 2009. nov. 20., péntek - 16:21

@Warrior: az összes csatolt fájlt akarod karanténozni vagy törölni? vagy mi alapján döntöd el hogy melyiket kell?

Egyáltalán nem mondtam sehol, hogy az "összeset"! Azt kérdezem én is, hogyan döntöm el, melyiket...

Eddig mi alapján döntötték el a keresõk? A standard szignatúrák és heurisztikus eljárások eredményei szerint. A heurisztika is pont arra jó, amit a cím ír: védelem a kártevõk ismerete nélkül. Már több, mint 10 éve létezik!

Vagy talán már nem is keresünk vírust, hanem automatikusan bele fogunk nyúlni a fájlokba?

Nem tudom, a megoldás mivel "jobb", mint a napjainkban alkalmazott eljárások?

Akkor én is kérdezném, hogy mi alapján döntöd el, hogy melyek az esetlegesen káros csatolmányok?

(Mert megjegyzem, ha már megvan a káros csatolmány, akkor olyan mindegy, mit teszünk vele, nem? Vagy valamit nem fogtam volna fel?)

Nem mindegy, hogyan tesszük ártalmatlanná? Vagy talán a karantén, a törlés/átnevezés/átmozgatás nem voltak elég hatékonyak? Tulajdonképpen mi is van? Tehát mitõl lesz ez "jobb"?

Szerkesztette: Warrior 2009. 11. 20. 17:43 -kor

[kiraly.andras]

Attól lehet egyszerûbb, hogy elemzés nélkül csak be kell szúrni pár karaktert. És bár ezt *minden* csatolt fájllal megteszik, vélhetõen idõ nyerhetõ azzal, hogy baromi gyorsan megtehetõ a dolog, víruskeresés nélkül. És ezzel az is megúszható, hogy egy nagyon friss vírus átjusson az ellenõrzésen (mert nincs is ellenõrzés, és mert) akármilyen tevékenységet is végezne, nem tud futni. Gondolom mindezt laikusnként, de logikusként

[emelhu]

@Bodnár Ádám: "az összes csatolt fájlt akarod karanténozni vagy törölni? vagy mi alapján döntöd el hogy melyiket kell?"

Miért a m$ annak idején megpróbálta: az exe-ket *elnyelte* a levelezõ, mert az veszélyes

[emelhu]

@Warrior: "automatikusan bele fogunk nyúlni a fájlokba?"

Az a lényege. Ha egy XML kiterjesztésû filet kapsz, az legyen XML.
Vagyis az nem gond neki, ha egy kommentet tesznek bele, de ha az valójában egy EXE, csak álcázva van kiterjesztés módosítással, akkor használhatatlanná válik.

[Warrior]

De még nem fogom fel, hogy ez miért hatékonyabb eszköz a vírusok ellen? Mi az amivel "többet tud", mint a mostani eljárások? Hisz a vírusok is injektálhatnak kódot a fájlokba...

Szerkesztette: Warrior 2009. 11. 21. 13:49 -kor

[Jahno]

Idézet: Warrior - Dátum: 2009. nov. 21., szombat - 13:47

De még nem fogom fel, hogy ez miért hatékonyabb eszköz a vírusok ellen? Mi az amivel "többet tud", mint a mostani eljárások? Hisz a vírusok is injektálhatnak kódot a fájlokba...

Szerintem még csak egy jó nagy ötlet, szóval jó esetben semmi nem lesz belõle

Érdekes elgondolás, fõleg ha szerver oldalon írogatok a júzerek cuccaiba, oszt majd jön az ombucman orrbabaszni érte, mert az rtf-et szerzõi jog védi, ha én azt módosíttatom egy szoftverrel, amit víruskeresõnek hívnak, akkor is illegális.

[Warrior]

Ja meg késõbb a vírusok is ezt fogják csinálni esetleg, aztán ember legyen a talpán, aki a szénné módosított fájlokból ki tudja majd szedni az eredeti tartalmat. Szerintem egyszerûen rossz irányvonal, semmi újdonság, csak egy másik technika.

[bogdan]

azert az tobb, mint a mostaniak, hogy azt a virust is kivedi, amit fel sem tudna ismerni, nemdebar? a mostaniak ugye erre per def keptelenek.

[Jahno]

Idézet: bogdan - Dátum: 2009. nov. 21., szombat - 18:10

azert az tobb, mint a mostaniak, hogy azt a virust is kivedi, amit fel sem tudna ismerni, nemdebar? a mostaniak ugye erre per def keptelenek.

Van a doksiban egy futó kód, tegyük fel makró, vagy hasonló. Akkor verziók:

a.) szövszerk kérdezés nékül lefuttatja, ergó a vírust is beszopjuk, de ilyen már évek óta nincs
b.) kód kell, hasznos, akkor ha nem fut, nem érjük el a célt, viszont ha beleszúrunk valami betût, akkor az eredeti hasznos kódot kúrjuk szét

Még folytathatnám a verziókat, de azon kívül, hogy heurisztikus alapon tapogatóznak, sok okosságot nem látok benne, hogy akkor ez mi is lenne. Amit nem ismer fel konkrétan, azt viselkedésminta alapján meg lehet környékezni.

[bogdan]

igy van: hasznos kod sem fut. mert semmi se fusson.

[ProTest]

"Ha a fájlt valaki "rendeltetés szerint", azaz dokumentumként nyitja meg, ez a kód nem fogja zavarni az értelmezésben, azonban ha a fájl kártevõt tartalmaz, annak futását ez a kód lehetetlenné fogja tenni, vagy azért mert a bináris kód értelmetlenné válik, vagy mert az elhelyezett pointerek rossz helyre mutatnak. Esetleg közvetlenül beilleszthetõ olyan kód, aminek végrehajtásakor a program kilép vagy végtelen ciklusba kerül."

Ööööööö....
Ha nem ismersz egy betegséget, fertõzd meg a beteget olyasmivel, amit gyógyítani tudsz...

Ha ezt így elfogadják, mint "eljárás", "módszer", beröhögök. Ennél a szerveroldali kártevõvizsgálók és a kliensoldali valósidejû kártevõfigyelõk már ma is sokkal többet tudnak, hiszen a bûnözõkkel párhuzamosan finomították a technikájukat, csak õk nem rossz szándékkal (például kliensoldalon "körülzárják" a próbálkozó kártevõt, de ez nem karantén, hanem gyakorlatilag nem tehet semmit). A védelmi mechanizmusok mûködésének egy feltétele van: a felhasználó sem lehet teljesen idióta, azaz tudnia kell, hogy az adott környezetben mik a védelmi lehetõségei. Szóval ez az egész így egy fából vasparittya. A lódítást abban is érzem, hogy a cikkben összekeveredik a szerveroldal és a kliensoldal szerepe és feladata. A precedensalapú analizálást és kezelést pedig nehéz lesz kiváltani, hiszen itt nincs fogópont. Úgy mondod meg valamirõl, hogy káros, hogy nem tudod, mi a káros? Beoltod a gyanús csatolást vagy levelet a saját kódoddal, sõt, úgy oltod be, hogy azt sem tudod, káros-e? Engem kísértetiesen emlékeztet az egyes régi vírusirtók által alkalmazott hajdani "beoltásos" módszerre, ahol még súlyosbították ellenõrzõ összegekkel a dolgot, de hol vagyunk már ettõl? Waze! Én nem szeretnék sem jóindulatúan, sem rosszindulatúan elbagzott és megmanipulált leveleket kapni! Ha a levelezõfiók üzemeltetõje ilyeneket csinálna a szerverén, rögtön otthagynám!

Egyetértek a kétkedõkkel. Ezt annak lehet beadni, aki semmit nem tud a mai helyzetrõl.

[bogdan]

??
en nem latok fertozest, amivel a betegseget gyogyitanak. ellenben latok olyan megoldast, amire nem igaz, hogy a mai kartevofigyelok sokkal tobbet tudnak, sot, hatarozottan kevesebbet.

ez ket alapallitas, amiben meglatasom szerint tevedsz.

[ProTest]

Idézet: bogdan - Dátum: 2009. nov. 29., vasárnap - 17:53

??
en nem latok fertozest, amivel a betegseget gyogyitanak. ellenben latok olyan megoldast, amire nem igaz, hogy a mai kartevofigyelok sokkal tobbet tudnak, sot, hatarozottan kevesebbet.

ez ket alapallitas, amiben meglatasom szerint tevedsz.

Elolvasva a "Dumb code could stop computer viruses in their tracks " címû New Scientist cikket (az eredetit), rájöttem, hogy nem is ugyanarról beszélünk. Az itteni fordítás egy kissé félreértelmezi a dolog lényegét, pontosabban az elvi megvalósulását (de a megvalósíthatósága nekem most is kérdéses). Visszavonulót fújtam, de csak bizonyos tekintetben. Azt továbbra is cáfolom, hogy a mai vírusirtók és kártevõfigyelõk (úgy értem, a valós idejûek) kevesebbet tudnának ennél: ennél sokkal, de sokkal többet tudnak, legfeljebb nem tudsz róla. Nincs ismeretlen vírusok és kártevõk elleni tökéletes védelem, akár levél, akár más formájában kapod! Módszereket, technikákat lehet figyelni és még sok mindent.

Az eredeti cikk arról szól, hogy egy gordiuszi csomó átvágásos megoldással megakadályoznák, hogy a valaminek álcázott csatolásokat ne lehessen "csak úgy átforgatni" futtathatóvá (mi is az, hogy futtatható?), de éppen itt lehet rajtakapni a dolog gyengeségét. A gyengesége éppen az az általánosítás, ami egyrészt a hasznos dolgokra is veszélyes lesz, másrészt ugyanúgy kijátszható, mint minden eddigi védelem. A krumplileves legyen krumplileves... de meg tudnád adni pontosan a krumplileves definícióját?

A HWSW cikke nem pontos fordítás (viszont így hatásosabb), ráadásul elhagyja az utolsó két bekezdést, ahol egy szakértõ kétkedését fejezi ki a témában. Íme:

"It sounds like it might have some promise," says Ross Anderson, a software security engineer at the University of Cambridge. But he adds: "I'm not sure that injecting raw machine code into attachments will be a panacea."

Anderson doubts the wisdom of patenting the scheme, however. "Now that Qinetiq have patented this idea nobody will use it, even if it works. Patents are seen as damage: people route around them."

*

De illusztrálnám ugyanezen eredeti cikk fórumának egyik bejegyzésével a dolgot - ezt már lefordítottam - és a hozzászóló kételyeivel egyetértek. Tessék:

http://www.newscientist.com/commenting/bro...7355.600&page=3

"Ostoba megoldás, már amennyire "megoldás"
Fri Nov 20 15:54:36 GMT 2009 by MarquisdeSade

A számítástechnikai és hálózati biztonság területén dolgozó tudományos kutatókként általában sem vagyunk elragadtatva a szakág termékeitõl, de ez az ötlet kirívó ostobaság. Azért ne lehessen egyáltalán futtatható fájlokat (akár törvényeseket is) e-mailben elküldeni, mert vannak köztük kártevõk?

De nem csak errõl van szó. Ha valaki minden futtatható fájlba egy elõre meghatározott utasításcsomagot épít be, akkor azt gyerekjáték eltávolítani: a vírusgyártóknak mindössze rá kell venniük a felhasználót egy sed script lefuttatására. És ki tudná azt garantálni, hogy a világban szerteküldözött vírusok és kártevõk csak futtatható fájlok lehetnek? De még ezek is erõs titkosítást tartalmazhatnak, különféle módokon be lehet õket csomagolni, ráadásul a kártevõket script alakban is szét lehet küldeni.

Az ilyen jellegû termékek célközönsége az a felhasználói réteg, amelyik vajmi keveset tud a biztonságról."

Ebben van minden, ez az, ami kell!

[special]

@ProTest: "A HWSW cikke nem pontos fordítás (viszont így hatásosabb)"

Pontosabban a HWSW cikke nem fordítás, viszont így fogalmaznod hatásosabb, hiszen te lehetsz így az insider, aki New Scientist is olvas, és lefordítja nekünk a kommentet.

[special]

Mindazonáltal csak egy kis továbbgondolás és minimális fantázia kell ahhoz, hogy az ebben rejlõ lehetõségeket legalább megfontoljuk. Az ártalmatlanító kódinjekcióval ugyanis olyan rendszer is kialakítható, ahol például lehetõség van a megbízható forrásból származó anyagokból az injektált kód eltávolítására, ha az annak a csatolmánynak a használhatóságát befolyásolja. Ez lehet manuális, mikor a felhasználót figyelmezteti a szoftver, hogy most bizony futtatni készül egy kapott állományt, blablabla, és lehet automatizált is, mikor minõsített feladótól védett csatornán érkezik valami.

Az injektálás nagy _informatikai elõnye_ , hogy nincs információvesztés, a beavatkozást bármikor vissza tudod vonni.

Maga az elmélet jó, a kérdés persze, hogy lehet-e ezt úgy implementálni, hogy a) tényleg megakadályozza az ilyen fájlalapú támadások jelentõs részét b) eközben nem korlátozza aránytalanul a használhatóságot. És az is nyilvánvaló, hogy ez nem a szent grál, hanem egy újabb védelmi eszköz.

[ProTest]

Akkor elnézést kérek, ha annak tûnt, mert nem akartam öncélúan okostojáskodni, de pontosan az idézett tudós reagálása foglalja magában, igaz, kissé burkoltan a megoldást is: ma is vannak technikák, amivel sokkal biztonságosabban lehet(ne) adatokat továbbítani, legyen az levél vagy bármi, de csak akkor, ha valaki erre érzékeny, fontos neki, érdeklõdik iránta - esetleg azért, mert korábban érte valamilyen súlyos kár ezen a területen. Mondom ezt annak ellenére is, hogy néhány régebben bombabiztosnak hitt ellenõrzõ összegrõl, titkosítási algoritmusról vagy egyebekrõl bebizonyosodott majdnem az ellenkezõje. De az biztos, hogy ma is sokan nagyon komoly biztonsági fejlesztéseket végeznek a háttérben, legfeljebb ez nem szembeötlõ, vagyis mondjuk valaki szentségel a századik egydolláros márkás karórát vagy hamis fickósítót propagáló spam után, de azt nem veszi észre, hogy egy idõ után többet nem kap ezekbõl.

Egyébként nem mindannapi szórakozásaim egyike a külföldi újságcikkek olvasgatása, de ebben az esetben valahogy gyanúsnak éreztem, hogy a kritikai visszhang mintha hiányozna. Mindamellett az ilyen biztonsági ötletek egyáltalán nem károsak, sõt, rengeteget segíthetnek a fejlesztõknek, inspiratívak is, csak azt nehéz elfogadni, hogy meg lehet közelíteni egy sokrétû problémát ennyire profán módon. Lehetne mondani olyan konkrét biztonsági szoftver példát, aminek a szabványosítása régóta folyik, rengeteg ember munkája van benne, nagyon jó és nagyon sokrétû - és eddig mégsem fogadták el, pedig ehhez az ötlethez képest komoly potenciált képvisel.

Szerintem pontosan ez a biztonságtechnikai kérdés az, ami a felhasználói és a fejlesztõi társadalom körmére ég manapság (bárcsak égne a vírusírók körmére is, de õk mindig helyzeti elõnyben vannak, mint minden agresszor), tehát igen fontos dolog. Általában a HWSW cikkeivel sincs semmi bajom, ahogyan a többi szaklapéval sincs, csak egy kicsit pontosabban adaptáljanak, ha lehetne kérnem...

OK? Így már rendben vagyunk?

[Ytse]

@ProTest: a felvetés ott jogos, hogy én is a New Scientisten találtam ezt a hírt, de ott szerintem nem volt elég jól leírva, mit is csinál, úgyhogy elolvastam a szabadalmi leírást és az alapján írtam meg, hogy mûködik a dolog