Re: Kártevővédelem a kártevők ismerete nélkül?
#1
Elküldve: 2009. 11. 20. 15:18
https://www.hwsw.hu/...-biztonsag.html' target='_blank'>https://www.hwsw.hu/...-biztonsag.html
#2
Elküldve: 2009. 11. 20. 15:18
ps.: más szóval: túl sok a "ha". Ha-ha-ha...
Szerkesztette: Warrior 2009. 11. 20. 15:20 -kor
#3
Elküldve: 2009. 11. 20. 15:21
#4
Elküldve: 2009. 11. 20. 17:37
Idézet: Ytse - Dátum: 2009. nov. 20., péntek - 16:21
Egyáltalán nem mondtam sehol, hogy az "összeset"! Azt kérdezem én is, hogyan döntöm el, melyiket...
Eddig mi alapján döntötték el a keresők? A standard szignatúrák és heurisztikus eljárások eredményei szerint. A heurisztika is pont arra jó, amit a cím ír: védelem a kártevők ismerete nélkül. Már több, mint 10 éve létezik!
Vagy talán már nem is keresünk vírust, hanem automatikusan bele fogunk nyúlni a fájlokba?
Nem tudom, a megoldás mivel "jobb", mint a napjainkban alkalmazott eljárások?
Akkor én is kérdezném, hogy mi alapján döntöd el, hogy melyek az esetlegesen káros csatolmányok?
(Mert megjegyzem, ha már megvan a káros csatolmány, akkor olyan mindegy, mit teszünk vele, nem? Vagy valamit nem fogtam volna fel?)
Nem mindegy, hogyan tesszük ártalmatlanná? Vagy talán a karantén, a törlés/átnevezés/átmozgatás nem voltak elég hatékonyak? Tulajdonképpen mi is van? Tehát mitől lesz ez "jobb"?
Szerkesztette: Warrior 2009. 11. 20. 17:43 -kor
#5
Elküldve: 2009. 11. 20. 21:23
#6
Elküldve: 2009. 11. 21. 11:39
Miért a m$ annak idején megpróbálta: az exe-ket *elnyelte* a levelező, mert az veszélyes
#7
Elküldve: 2009. 11. 21. 11:43
Az a lényege. Ha egy XML kiterjesztésű filet kapsz, az legyen XML.
Vagyis az nem gond neki, ha egy kommentet tesznek bele, de ha az valójában egy EXE, csak álcázva van kiterjesztés módosítással, akkor használhatatlanná válik.
#8
Elküldve: 2009. 11. 21. 13:47
Szerkesztette: Warrior 2009. 11. 21. 13:49 -kor
#9
Elküldve: 2009. 11. 21. 15:29
Idézet: Warrior - Dátum: 2009. nov. 21., szombat - 13:47
Szerintem még csak egy jó nagy ötlet, szóval jó esetben semmi nem lesz belőle
Érdekes elgondolás, főleg ha szerver oldalon írogatok a júzerek cuccaiba, oszt majd jön az ombucman orrbabaszni érte, mert az rtf-et szerzői jog védi, ha én azt módosíttatom egy szoftverrel, amit víruskeresőnek hívnak, akkor is illegális.
#10
Elküldve: 2009. 11. 21. 15:49
#11
Elküldve: 2009. 11. 21. 18:10
"Ez van bazdmeg, ha nem tetszik, el lehet menni."
#12
Elküldve: 2009. 11. 21. 23:38
Idézet: bogdan - Dátum: 2009. nov. 21., szombat - 18:10
Van a doksiban egy futó kód, tegyük fel makró, vagy hasonló. Akkor verziók:
a.) szövszerk kérdezés nékül lefuttatja, ergó a vírust is beszopjuk, de ilyen már évek óta nincs
b.) kód kell, hasznos, akkor ha nem fut, nem érjük el a célt, viszont ha beleszúrunk valami betűt, akkor az eredeti hasznos kódot kúrjuk szét
Még folytathatnám a verziókat, de azon kívül, hogy heurisztikus alapon tapogatóznak, sok okosságot nem látok benne, hogy akkor ez mi is lenne. Amit nem ismer fel konkrétan, azt viselkedésminta alapján meg lehet környékezni.
#13
Elküldve: 2009. 11. 22. 00:18
"Ez van bazdmeg, ha nem tetszik, el lehet menni."
#14
Elküldve: 2009. 11. 29. 08:39
Ööööööö....
Ha nem ismersz egy betegséget, fertőzd meg a beteget olyasmivel, amit gyógyítani tudsz...
Ha ezt így elfogadják, mint "eljárás", "módszer", beröhögök. Ennél a szerveroldali kártevővizsgálók és a kliensoldali valósidejű kártevőfigyelők már ma is sokkal többet tudnak, hiszen a bűnözőkkel párhuzamosan finomították a technikájukat, csak ők nem rossz szándékkal (például kliensoldalon "körülzárják" a próbálkozó kártevőt, de ez nem karantén, hanem gyakorlatilag nem tehet semmit). A védelmi mechanizmusok működésének egy feltétele van: a felhasználó sem lehet teljesen idióta, azaz tudnia kell, hogy az adott környezetben mik a védelmi lehetőségei. Szóval ez az egész így egy fából vasparittya. A lódítást abban is érzem, hogy a cikkben összekeveredik a szerveroldal és a kliensoldal szerepe és feladata. A precedensalapú analizálást és kezelést pedig nehéz lesz kiváltani, hiszen itt nincs fogópont. Úgy mondod meg valamiről, hogy káros, hogy nem tudod, mi a káros? Beoltod a gyanús csatolást vagy levelet a saját kódoddal, sőt, úgy oltod be, hogy azt sem tudod, káros-e? Engem kísértetiesen emlékeztet az egyes régi vírusirtók által alkalmazott hajdani "beoltásos" módszerre, ahol még súlyosbították ellenőrző összegekkel a dolgot, de hol vagyunk már ettől? Waze! Én nem szeretnék sem jóindulatúan, sem rosszindulatúan elbagzott és megmanipulált leveleket kapni! Ha a levelezőfiók üzemeltetője ilyeneket csinálna a szerverén, rögtön otthagynám!
Egyetértek a kétkedőkkel. Ezt annak lehet beadni, aki semmit nem tud a mai helyzetről.
#15
Elküldve: 2009. 11. 29. 17:53
en nem latok fertozest, amivel a betegseget gyogyitanak. ellenben latok olyan megoldast, amire nem igaz, hogy a mai kartevofigyelok sokkal tobbet tudnak, sot, hatarozottan kevesebbet.
ez ket alapallitas, amiben meglatasom szerint tevedsz.
"Ez van bazdmeg, ha nem tetszik, el lehet menni."
#16
Elküldve: 2009. 11. 30. 12:39
Idézet: bogdan - Dátum: 2009. nov. 29., vasárnap - 17:53
en nem latok fertozest, amivel a betegseget gyogyitanak. ellenben latok olyan megoldast, amire nem igaz, hogy a mai kartevofigyelok sokkal tobbet tudnak, sot, hatarozottan kevesebbet.
ez ket alapallitas, amiben meglatasom szerint tevedsz.
Elolvasva a "Dumb code could stop computer viruses in their tracks " című New Scientist cikket (az eredetit), rájöttem, hogy nem is ugyanarról beszélünk. Az itteni fordítás egy kissé félreértelmezi a dolog lényegét, pontosabban az elvi megvalósulását (de a megvalósíthatósága nekem most is kérdéses). Visszavonulót fújtam, de csak bizonyos tekintetben. Azt továbbra is cáfolom, hogy a mai vírusirtók és kártevőfigyelők (úgy értem, a valós idejűek) kevesebbet tudnának ennél: ennél sokkal, de sokkal többet tudnak, legfeljebb nem tudsz róla. Nincs ismeretlen vírusok és kártevők elleni tökéletes védelem, akár levél, akár más formájában kapod! Módszereket, technikákat lehet figyelni és még sok mindent.
Az eredeti cikk arról szól, hogy egy gordiuszi csomó átvágásos megoldással megakadályoznák, hogy a valaminek álcázott csatolásokat ne lehessen "csak úgy átforgatni" futtathatóvá (mi is az, hogy futtatható?), de éppen itt lehet rajtakapni a dolog gyengeségét. A gyengesége éppen az az általánosítás, ami egyrészt a hasznos dolgokra is veszélyes lesz, másrészt ugyanúgy kijátszható, mint minden eddigi védelem. A krumplileves legyen krumplileves... de meg tudnád adni pontosan a krumplileves definícióját?
A HWSW cikke nem pontos fordítás (viszont így hatásosabb), ráadásul elhagyja az utolsó két bekezdést, ahol egy szakértő kétkedését fejezi ki a témában. Íme:
"It sounds like it might have some promise," says Ross Anderson, a software security engineer at the University of Cambridge. But he adds: "I'm not sure that injecting raw machine code into attachments will be a panacea."
Anderson doubts the wisdom of patenting the scheme, however. "Now that Qinetiq have patented this idea nobody will use it, even if it works. Patents are seen as damage: people route around them."
*
De illusztrálnám ugyanezen eredeti cikk fórumának egyik bejegyzésével a dolgot - ezt már lefordítottam - és a hozzászóló kételyeivel egyetértek. Tessék:
http://www.newscientist.com/commenting/bro...7355.600&page=3
"Ostoba megoldás, már amennyire "megoldás"
Fri Nov 20 15:54:36 GMT 2009 by MarquisdeSade
A számítástechnikai és hálózati biztonság területén dolgozó tudományos kutatókként általában sem vagyunk elragadtatva a szakág termékeitől, de ez az ötlet kirívó ostobaság. Azért ne lehessen egyáltalán futtatható fájlokat (akár törvényeseket is) e-mailben elküldeni, mert vannak köztük kártevők?
De nem csak erről van szó. Ha valaki minden futtatható fájlba egy előre meghatározott utasításcsomagot épít be, akkor azt gyerekjáték eltávolítani: a vírusgyártóknak mindössze rá kell venniük a felhasználót egy sed script lefuttatására. És ki tudná azt garantálni, hogy a világban szerteküldözött vírusok és kártevők csak futtatható fájlok lehetnek? De még ezek is erős titkosítást tartalmazhatnak, különféle módokon be lehet őket csomagolni, ráadásul a kártevőket script alakban is szét lehet küldeni.
Az ilyen jellegű termékek célközönsége az a felhasználói réteg, amelyik vajmi keveset tud a biztonságról."
Ebben van minden, ez az, ami kell!
#18
Elküldve: 2009. 11. 30. 14:29
Az injektálás nagy _informatikai előnye_ , hogy nincs információvesztés, a beavatkozást bármikor vissza tudod vonni.
Maga az elmélet jó, a kérdés persze, hogy lehet-e ezt úgy implementálni, hogy a) tényleg megakadályozza az ilyen fájlalapú támadások jelentős részét b) eközben nem korlátozza aránytalanul a használhatóságot. És az is nyilvánvaló, hogy ez nem a szent grál, hanem egy újabb védelmi eszköz.
#19
Elküldve: 2009. 11. 30. 15:15
Egyébként nem mindannapi szórakozásaim egyike a külföldi újságcikkek olvasgatása, de ebben az esetben valahogy gyanúsnak éreztem, hogy a kritikai visszhang mintha hiányozna. Mindamellett az ilyen biztonsági ötletek egyáltalán nem károsak, sőt, rengeteget segíthetnek a fejlesztőknek, inspiratívak is, csak azt nehéz elfogadni, hogy meg lehet közelíteni egy sokrétű problémát ennyire profán módon. Lehetne mondani olyan konkrét biztonsági szoftver példát, aminek a szabványosítása régóta folyik, rengeteg ember munkája van benne, nagyon jó és nagyon sokrétű - és eddig mégsem fogadták el, pedig ehhez az ötlethez képest komoly potenciált képvisel.
Szerintem pontosan ez a biztonságtechnikai kérdés az, ami a felhasználói és a fejlesztői társadalom körmére ég manapság (bárcsak égne a vírusírók körmére is, de ők mindig helyzeti előnyben vannak, mint minden agresszor), tehát igen fontos dolog. Általában a HWSW cikkeivel sincs semmi bajom, ahogyan a többi szaklapéval sincs, csak egy kicsit pontosabban adaptáljanak, ha lehetne kérnem...
OK? Így már rendben vagyunk?
#20
Elküldve: 2009. 11. 30. 15:22