Slashdot - Washington Post poroča, da je Microsoft klonil pod pritiskom razvijalcev varnostne programske opreme ter evropskih komisarjev.
Tako bodo sedaj programi lahko zaobšli t.i. "PatchGuard", ki bi naj preprečeval spreminjanje Windows kernela ter tako poskrbel za varnost. Pri Microsoftu so obljubili, da bodo poskrbeli za API, ki bo dovolil dostop do Windows kernela ter tudi da bodo onemogočili Windows Security Center, da se uporabniki ne bi zmedli ob večih opozorilih o varnosti sistema. Prav tako bodo dovolili drugim razvijalcem, da na pozdravni zaslon Windows Vista dodajo povezave do svoje programske opreme poleg Microsoftovega One Care paketa.
Celotno zadevo so zakuhali pri Symantecu in McAfeeju. Kaspersky in Sophos sta se postavila na Microsoftovo stran. Razlog za ta medijski linč? Njune (Symantec/McAfee) aplikacije intenzivno uporabljajo API hooking, kernel PatchGuard pa hooking (v celoti) onemogoča. Programi omenjenih razvijalcev postanejo tako praktično neuporabni... Oh, in API hooking je tudi priljubljena metoda, ki jo rootkiti uporabljajo za prikrivanje svoje prisotnosti. Sicer pa je kernel patch protection implementiran v x64 Windows XP in Windows Server 2003 že najmanj dve leti. Hekerji so ga že zdavnaj (po dolgem in počez) sesuli:
Sicer pa, kaj ne bo PatchGuard implementiran le na Visti x64? 32-bitna različica Viste naj bi še vedno dopuščala modificiranje kernela (backward compatibility).
It's better to keep your mouth shut
and give the impression that you're stupid
than to open it and remove all doubt.
Samo one Sophos-ove izjave so precej mutne. "Mi trenutno ne rabimo dostop do kernela" (torej jih niti preostali svet ne potrebuje).
"Unfortunately, there is no reliable mechanism for us to distinguish between 'known good' software and malicious software." Ah, za digitalne podpise še niso slišali ? Hecno, ker že skoraj 10 let uporabljajo sistem, ki naj bi ločil "known good code" od plevela.
To je res glupo. Ne rečem da so MS-ju težili zaradi IEja in Media playerja, kar je bila bolj monopolna fora in jim dam popolnoma prav, sm tule... zdej bodo kar eni naključni razvijalci softvera narekovali MSju kako OS nardit?
Je pa seveda vedno možnost, da nardi tako da bo za vse prav, in da ob inštalaciji na izbiro ali hočeš to možnost ali ne. In tole mora pol biti hardcoded, na tako kot njihov firewall, ki ti ga lahko kar ena aplikacija izklopi...
XPji so izšli oktobra 2001 (kateri jih ne omejuje). Od takrat se trudijo naredit spodoben AVP, ki podpira tudi XPje. No, vsi vemo kak jim to uspeva. Poleg tega se podjetja, ki delajo najboljše avp postavljajo na stran microsofta. Tolk o tem.
Dejstvo je, da se počutijo ogroženi vsi AV razvijalci, ki uporabljajo kernel hooking (ne bom komentiral ali so njihovi izdelki dejansko učinkoviti, pa tudi ne ali se lahko naredi dober AV ne da bi patchal kernel):
Na drugi strani pa Microsoft trdi, da nekateri "third-party" razvijalci za patchanje kernela uporabljajo nedokumentirane in nepodprte sistemske klice, ki lahko ogrozijo stabilnost sistema:
Najbolj zanimiv pa je naslednji post na enem izmed Microsoftovih blogov:
"After 20 years of 386 and "protected mode" you came up with this stupidity (PatchGuard)... Go and write kernel as it should be done for ages. Minimum ring 0 code, third party code only on ring 3, including drivers. Ring switch performance is not your problem, intel/amd will solve it shortly..."
Se stavimo, da bi se nekdo zopet pritoževal.
It's better to keep your mouth shut
and give the impression that you're stupid
than to open it and remove all doubt.
^ MS tud nima časa pregledovati programski jezik vsake izdane aplikacije do vrstice natančno in zmeraj se najde kakšna luknja v programu kot je bil naprimer virus v priponi .gif ki je zaradi varnostne luknje MSjevega pregledovalnika slik zagnal zlonamerno kodo - poudarek na MS!
Navedeni so zaenkrat izrazili svoje stališče. Počakajmo še ostale... do takrat pa lahko sami preverimo ali naš priljubljeni AV razvijalec prakticira kernel patching tudi na našem mlinčku: RootKit Hook Analyzer
FYI: BitDefenter 9 Pro+ veselo patcha...
It's better to keep your mouth shut
and give the impression that you're stupid
than to open it and remove all doubt.
Spc: interesanten tale tvoj hook... Če te zanima, poglej pod jezičkom "Modules" kateri modul je najbližje naslovu 0x86373de0, nato vprašaj strica Googla za poreklo odkritega .sys modula.
darkolord: Hvala... Očitno je "krivec" shrani.si, kajti na volji deluje BP...
It's better to keep your mouth shut
and give the impression that you're stupid
than to open it and remove all doubt.
Kaj to pomeni za nepodpisane gonilnike, ki so precej večji problem, kot pa patchanje jedra (obstaja cel kup stvari, ki nima podpisanih gonilnikov, od hardvera [Blutooth], do različnih programov [npr. coLinux, VNC] - marsikateri od teh na različne načine prikrivajo XPjevo STOP pogovorno okno).
Because 10 billion years' time is so fragile, so ephemeral...
it arouses such a bittersweet, almost heartbreaking fondness.
![[:D]](http://slike.slo-tech.com/smeski/icon_biggrin.gif){kind=icon}
![[:(]](http://slike.slo-tech.com/smeski/icon_sad.gif){kind=icon}
![[:|]](http://slike.slo-tech.com/smeski/icon_confused.gif){kind=icon}
. EU včasih dobra, peace Y.![[>:D]](http://slike.slo-tech.com/smeski/icon_twisted.gif){kind=icon}
![[|O]](http://slike.slo-tech.com/smeski/icon_surprised.gif){kind=icon}
![[:\]](http://slike.slo-tech.com/smeski/icon_rolleyes.gif){kind=icon}
![[8-)]](http://slike.slo-tech.com/smeski/icon_cool.gif){kind=icon}
![[:)]](http://slike.slo-tech.com/smeski/icon_smile.gif){kind=icon}
