Heise - Apple je izdal komplet popravkov za OSX Snow Leopard. Po namestitvi od 250 do 1300 MB popravkov (odvisno od vaše različice) bo sistem pripravljen za nadgradnjo na prihajajoči MacOS X Lion, imel boljšo podporo za IPv6 in bolj dosledno preprečeval poskuse namestitve "popularnega" scareware-a MacDefender. Hkrati so popravili kar 36 resnih varnostnih pomankljivosti.
Kratek prelet čez seznam lukenj razkrije marsikaj zanimivega. Mace je mogoče resetirati kar preko Wi-Fi-ja, AppStore v določenih primerih omogoča drugim uporabnikom sistema vpogled v geslo, nadzor nad sistemom je mogoče dobiti že z odprtem posebej pripravljenega dokumenta ali slike, vse datoteke pa prebirati zaradi luknje v FTP-strežniku, v določenih primerih zaobiti preverjanje že preklicanega SSL certifikata, in še in še.
Levji delež pomanjkljivosti deluje na osnovi prekoračitve pomnilnika (buffer overflow). Do prekoračitve pride, ko program v spomin naloži več podatkov, kot je predhodno predvideval, in s tem prepiše kritične dele spomina. Če do tega pride nenamerno (hrošč), se bo program preprosto sesul, v primeru napada pa pa se bo pognala napadalčeva zlovešča koda in mu omogočila nadzor nad sistemom (več, še več).
Prekoračitev pomnilnika je znana že veliko let in zanjo obstaja kup obramb, vendar jih MacOS X uporablja le malo in še to delno, s čimer močno zaostaja za konkurenčnimi operacijskimi sistemi. Po nekaterih ocenah je to neposredna posledica slabe varnostne politike podjetja Apple, kjer dajejo obliki znatno prednost nad tehničnimi vprašanji. Avtor omenjene študije izpostavlja izredno počasen odziv podjetja na prijave napak (več kot pol leta), polovičarsko delovanje zaščite proti malwaru ter celo načrtno zavajanje javnosti o domnevno večji varnosti operacijskega sistema MacOS X s spretnimi oglaševalskimi kampanjami. Nekaj je gotovo - z večanjem tržnega deleža bo MacOS X postal vedno bolj priljubljena tarča napadov; to toliko bolj, če se Apple ne bo podvizal in uredil stvari kot je treba.
Novice » Varnost » Slaba varnost sistema MacOS X
LukaSLO ::
Rabiš tazadne posodobitve, zato da boš lahko posodobil prek Mac App Store in da ne boš rabil potem ponovno zagnati sistema.
gslo ::
mac, mac. ga mam in morm rečt, da je po 3 letih še kar vreden svojga dnarja. vseakakor pa se strinjam, da s popularnostjo znamke apple premalo naredi na varnosti. prej ni delal, ker ni rabil. zdaj je pa cajt da se vzamejo v roke, če ne bom mel kmal maca, kjer bo gor laufal vse razen njihovga osx-a.
Zheegec ::
Waw, kdor je kupil novega Macbooka ravno ob izidu Snow Leoparda mora potem namestiti že za okoli 2.5GB posodobitev?
"božja zapoved pravi; <Spoštuj očeta in mater>,
ne govori pa o spoštovanju sodstva."
Janez Janša, 29.04.2014
ne govori pa o spoštovanju sodstva."
Janez Janša, 29.04.2014
Jaka83 ::
skika ::
Čaki, torej te pomankljivosti, ki članek opisuje...so bile z novim updateom popravljene?
Potem bi lahko bili stavki v pretekliku. "Mace je bilo mogoče resetirati kar preko WI-FI-ja"
Potem bi lahko bili stavki v pretekliku. "Mace je bilo mogoče resetirati kar preko WI-FI-ja"
Masamune ::
Ne da zanikam ugotovitve raziskave, vendar so to statistični podatki s katerimi je vedno tako, tako.
Praksa pa je (vsaj za enkrat/vsaj pri meni) nekaj drugega.
In sicer imam računalnik z widonws in ko se je moje dekle (ki ni vešča računalnikov) usedlo za računalnik, sem moral formatirat vsak drugi mesec. Pa sem imel gor naloženih kup antivirus programov. Nič ni pomagalo. Pred tremi leti sem ji kupil najbolj običnega macbooka - se danes je gor OS, ki je bil naložen ob nakupu in dela brezhibno. Brez vsakršnega antivirusa in podobno. Gre na VSAKO internetno stran, odpre VSAK link in VSO pošto. Enostavno ni NOBENIH TEŽAV. Računalnik dela tako softwareso, kot hardwaresko v nulo, bi rekel po domače. Njena sestra si takrat kupila enega acerja in po par letih zamenjala že dve bateriji, crknil ji je CD,... macbook pa s prva baterijo zdrži vsaj 3/4 toliko kot pred tremi leti.
To je pač moja izkušnja.
Praksa pa je (vsaj za enkrat/vsaj pri meni) nekaj drugega.
In sicer imam računalnik z widonws in ko se je moje dekle (ki ni vešča računalnikov) usedlo za računalnik, sem moral formatirat vsak drugi mesec. Pa sem imel gor naloženih kup antivirus programov. Nič ni pomagalo. Pred tremi leti sem ji kupil najbolj običnega macbooka - se danes je gor OS, ki je bil naložen ob nakupu in dela brezhibno. Brez vsakršnega antivirusa in podobno. Gre na VSAKO internetno stran, odpre VSAK link in VSO pošto. Enostavno ni NOBENIH TEŽAV. Računalnik dela tako softwareso, kot hardwaresko v nulo, bi rekel po domače. Njena sestra si takrat kupila enega acerja in po par letih zamenjala že dve bateriji, crknil ji je CD,... macbook pa s prva baterijo zdrži vsaj 3/4 toliko kot pred tremi leti.
To je pač moja izkušnja.
lp, j
Zheegec ::
Waw, kdor je kupil novega Macbooka ravno ob izidu Snow Leoparda mora potem namestiti že za okoli 2.5GB posodobitev?
Waw, kdor je kupil nov PC ravno ob izidu Windows 7 mora potem namestiti že za okoli 7 GB posodobitev.
Your point being?
1.5GB pa res...
"božja zapoved pravi; <Spoštuj očeta in mater>,
ne govori pa o spoštovanju sodstva."
Janez Janša, 29.04.2014
ne govori pa o spoštovanju sodstva."
Janez Janša, 29.04.2014
Blisk ::
Jaka83 ::
@ALIEn3001
Tolk je download size, ko se ti razpakirajo in namestijo, pa zavzamejo 7 GB. :)
Tolk je download size, ko se ti razpakirajo in namestijo, pa zavzamejo 7 GB. :)
Isht ::
Marsikaj je odvisno od tega, kako uporabnik svoj računalnik uporablja. Jaz svojega PCja z Visto nisem pipal že 4 leta, od inštalacije dalje, mojemu fotru se pa sesuva vsak PC, ki se ga dotakne, pa če so gor NTji, 2000, XPji, ali pa 7ka.
Ko bo OSX tako razširjen, kot so Windowsi, bo deležen precej pozornosti tudi zlonamernežev, ki se jim do sedaj zaradi relativno majhnega odstotka Macov (oz. visokega odstotka Windowsov) enostavno ne splača ukvarjati se s pisanji virusov za OS X. S slabo varnostjo operacijskega sistema pa bodo takrat Applovi uporabniki na slabšem od Microsoftovih uporabnikov.
Ko bo OSX tako razširjen, kot so Windowsi, bo deležen precej pozornosti tudi zlonamernežev, ki se jim do sedaj zaradi relativno majhnega odstotka Macov (oz. visokega odstotka Windowsov) enostavno ne splača ukvarjati se s pisanji virusov za OS X. S slabo varnostjo operacijskega sistema pa bodo takrat Applovi uporabniki na slabšem od Microsoftovih uporabnikov.
denial ::
@Masamune:
Tvoja izkušnja so dejansko le subjektivni podatki s katerimi je vedno tako, tako...
Kakorkoli, tudi pozitivna izkušnja ne more zanikati dejstva, da OS X nima implementiranih niti osnovnih varnostnih mehanizmov.
Tvoja izkušnja so dejansko le subjektivni podatki s katerimi je vedno tako, tako...
Kakorkoli, tudi pozitivna izkušnja ne more zanikati dejstva, da OS X nima implementiranih niti osnovnih varnostnih mehanizmov.
SELECT finger FROM hand WHERE id=3;
techfreak :) ::
In sicer imam računalnik z widonws in ko se je moje dekle (ki ni vešča računalnikov) usedlo za računalnik, sem moral formatirat vsak drugi mesec. Pa sem imel gor naloženih kup antivirus programov. Nič ni pomagalo. Pred tremi leti sem ji kupil najbolj običnega macbooka - se danes je gor OS, ki je bil naložen ob nakupu in dela brezhibno. Brez vsakršnega antivirusa in podobno. Gre na VSAKO internetno stran, odpre VSAK link in VSO pošto.
Tudi na Windowsu bolj težko dobiš nadležno programsko opremo samo z obiskovanjem spletnih strani, sploh če uporabljaš IE9 ali drug brskalnik. Če pa zaženeš program in po možnosti še potrdiš UAC oz. vpišeš geslo na Macu, pa tako ni rešitve pri nobenem OSu brez AVja.
Masamune ::
@Masamune:
Tvoja izkušnja so dejansko le subjektivni podatki s katerimi je vedno tako, tako...
Kakorkoli, tudi pozitivna izkušnja ne more zanikati dejstva, da OS X nima implementiranih niti osnovnih varnostnih mehanizmov.
Kot sem v prvi stavek napisal... da ne zanikam dejstev ugotovljenih z raziskavo.
Ampak mojega dekleta to dosti ne zanima. Važno ji je, da stvar dela. In njej pač dela.
Tudi meni windows (dokler jih uporabljam sam) delajo.
lp, j
Jaka83 ::
Naša mati na Visti nimajo problemov z raznimi virusi, pa je velik računalniški anafabet. Mislim, da ji moja inštalacija "drži" že kake tri leta in to brez antivirusnika. Je pa tudi res, da po večini uporablja samo spletno pošto, plačuje račune preko spletne banke in "ustvarja" foto knjige, tako da ni preveč izpostavljena raznim fejsfukom, messengerjem in podobni navlaki.
IMO je največji strup za windows inštalacije Windows Live Messenger z vsemi svojimi uradnimi in neuradnimi dodatki - to velja za nevešče ljudi, tisti, ki veste kaj nameščate, najbrž nimate problemov. In polno je inštalacij nekih majhnih programov, ki poleg namestitve programa med korake namestitve pretihotapijo razne Yahoo toolbare in podobno navlako.
IMO je največji strup za windows inštalacije Windows Live Messenger z vsemi svojimi uradnimi in neuradnimi dodatki - to velja za nevešče ljudi, tisti, ki veste kaj nameščate, najbrž nimate problemov. In polno je inštalacij nekih majhnih programov, ki poleg namestitve programa med korake namestitve pretihotapijo razne Yahoo toolbare in podobno navlako.
gslo ::
zelo neodgovorno od tebe, da matki, ki računalnik uporablja za spletno bančništvo ne naložiš enega AV-ja.
Jaka83 ::
Zakaj, če ga ne potrebuje? Saj ne obiskuje drugih spletnih strani, preko maila se pa tudi prefiltrira.
lurker ::
Na OSX pa za pol manj (750mb) downloada lahko nadgradiš 10.5.0 (in katerokoli drugo verzijo) na 10.5.8. Ampak kaj ima to s čimerkoli?Waw, kdor je kupil novega Macbooka ravno ob izidu Snow Leoparda mora potem namestiti že za okoli 2.5GB posodobitev?
Waw, kdor je kupil nov PC ravno ob izidu Windows 7 mora potem namestiti že za okoli 7 GB posodobitev.
Your point being?
1.5GB pa res...
P3Hi ::
Jaka83, čestitam obvladaš. Tisti računalnik ima zadnji rootkit in tudi če danes nanj naložiš antivirus je prepozno, če je blo kej uporabnega so itaq pobrali... Nobenmu ni cilj da bi računalnik po okužbi delal slabše.. Važno je da žrtev ničesar ne opazi...
Glede messengerja.. Malo se boš moral še naučiti...
Glede messengerja.. Malo se boš moral še naučiti...
denial ::
@gx86, @Jaka83, @P3Hi
IIRC, Vista fura Windows Defender by default. Če ima link do spletne banke shranjen med zaznamikih (HTTPS ne bom niti omenjal) je varna pred phishingom. Poleg tega se vsak patch tuesday avtomatično naloži MSRT, ki poskenira mašino za najbolj razširjenim malwareom. For extra security use EMET.
IIRC, Vista fura Windows Defender by default. Če ima link do spletne banke shranjen med zaznamikih (HTTPS ne bom niti omenjal) je varna pred phishingom. Poleg tega se vsak patch tuesday avtomatično naloži MSRT, ki poskenira mašino za najbolj razširjenim malwareom. For extra security use EMET.
SELECT finger FROM hand WHERE id=3;
techfreak :) ::
Zakaj, če ga ne potrebuje? Saj ne obiskuje drugih spletnih strani, preko maila se pa tudi prefiltrira.
Mogoče pa dobi po emailu pptx predstavitev, ki izkoristi ranljivost MSOja in naloži trojanca? V takšnem primeru bi AV brez težav zaznal in odstranil nevarnost.
AV bi morali vsi uporabljati, ker vsi vemo, da skoraj ni programa brez ranljivosti.
denial ::
@techfreak
Ne uporabljam AV... zihr sem ownan, rootkitan in backdooran.
EDIT:
Glede trojanca v PPT/DOC/XLS, check OFV.
Ne uporabljam AV... zihr sem ownan, rootkitan in backdooran.
EDIT:
Glede trojanca v PPT/DOC/XLS, check OFV.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
techfreak :) ::
Če uporabljaš AV imaš malo več upanja da program, ki ga poženeš, ne vsebuje virusa/trojanca/rootkita.
Tear_DR0P ::
da OS X nima implementiranih niti osnovnih varnostnih mehanizmov
določene zelo osnovne (kot je FW) ima implementirane, samo jih ne uporablja
imam občutek, da pri appleu furajo politiko, bomo nardili, ko bomo potrebovali. do takrat pa reklamirajo vse featurje, ki jih njihov OS nosi, tudi če zanje niso zaslužni, oziroma če veljajo zgolj zaradi naklučja
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain
Samuel Clemens aka Mark Twain
P3Hi ::
denial verjetno si... če nisi je krivo to da znaž delat z PCjem..
Recimo da mame niso primerne dela z PCjem brez zaščite.... Drgač pa ja Windows Defender je za silo :=)
Sam imam antivirus večinoma izklopljen... Drugim pa rad pametujem kako pomembno je da imajo AV...
če ne drugga vsaj
Google -> Hosts File -> Downloadaš is (blockingunwantedparasites) zaženeš batch in bo malo manj nesnage.... Sej obstaja AdBlock itd.. sam rečmo da tole je bolje :=)
Seveda nevem kaj ima veze ribarjenje ko je žrtev okužena z skodljivim prgoramjem, ki vsebuje VNC,Keylogger,KopiranjeCertifikatov... itd... Čene drugga če folku ne nalagate AV jim vsaj v nadzorni plošči za javo izklopite cache, ker čene ja tam notri na tone navlake... Vse se okuži z javo, če že browserja negre exploitat :=)
Recimo da mame niso primerne dela z PCjem brez zaščite.... Drgač pa ja Windows Defender je za silo :=)
Sam imam antivirus večinoma izklopljen... Drugim pa rad pametujem kako pomembno je da imajo AV...
če ne drugga vsaj
Google -> Hosts File -> Downloadaš is (blockingunwantedparasites) zaženeš batch in bo malo manj nesnage.... Sej obstaja AdBlock itd.. sam rečmo da tole je bolje :=)
Če ima link do spletne banke shranjen med zaznamikih (HTTPS ne bom niti omenjal) je varna pred phishingom.
Seveda nevem kaj ima veze ribarjenje ko je žrtev okužena z skodljivim prgoramjem, ki vsebuje VNC,Keylogger,KopiranjeCertifikatov... itd... Čene drugga če folku ne nalagate AV jim vsaj v nadzorni plošči za javo izklopite cache, ker čene ja tam notri na tone navlake... Vse se okuži z javo, če že browserja negre exploitat :=)
denial ::
@techfreak @P3Hi
False sense of security. Ne bi verjel kolk okuženih mašin z nameščenimi AV-ji sem že videl.
False sense of security. Ne bi verjel kolk okuženih mašin z nameščenimi AV-ji sem že videl.
SELECT finger FROM hand WHERE id=3;
P3Hi ::
denial.. Po mojih izkušnjah je 90% računalnikov, ki mi jih pripeljejo kljub AV okuženih :=)
Ni važn al jim dam Aviro, MBAM, M$ Essentials...
Pomaga če jim dam hosts file kot sem omenil zgoraj, adblock in ccleaner v zagon... Pa še vedno čez čas...
Vsak AV znajo skor bypassat.. Po eni strani maš prav denial skoraj vseeno je ali uporabljamo AV ali ne..
^^ 99,99% drži :=)
Ni važn al jim dam Aviro, MBAM, M$ Essentials...
Pomaga če jim dam hosts file kot sem omenil zgoraj, adblock in ccleaner v zagon... Pa še vedno čez čas...
Vsak AV znajo skor bypassat.. Po eni strani maš prav denial skoraj vseeno je ali uporabljamo AV ali ne..
Če uporabljaš AV imaš malo več upanja da program, ki ga poženeš, ne vsebuje virusa/trojanca/rootkita.
^^ 99,99% drži :=)
Zgodovina sprememb…
- spremenil: P3Hi ()
techfreak :) ::
Jaka83 ::
Jaka83, čestitam obvladaš. Tisti računalnik ima zadnji rootkit in tudi če danes nanj naložiš antivirus je prepozno, če je blo kej uporabnega so itaq pobrali... Nobenmu ni cilj da bi računalnik po okužbi delal slabše.. Važno je da žrtev ničesar ne opazi...
Glede messengerja.. Malo se boš moral še naučiti...
Joj kako si ti super in jaz pojma nimam. Vsi, ki smo brez antivirusa bomo pogubljeni, naši bančni računi izpraznjeni in osebni podatki pokradeni. Zdajle si me pošteno nasmejal.
Kaj si hotel pa z zadnjo sliko pokazat mi pa ni jasno. Saj sem lepo razložil v čem je pri tem programju problem in ti ga nimaš, sosedova radovedna in povprečna Micka, ga pa mogoče ima.
Res, popestril si mi dan, hvala.
Mavrik ::
Joj kako si ti super in jaz pojma nimam. Vsi, ki smo brez antivirusa bomo pogubljeni, naši bančni računi izpraznjeni in osebni podatki pokradeni. Zdajle si me pošteno nasmejal.
Brez dvoma so pri Sonyu razmišljali enako dokler se jim ni zgodil isti PSN fiasco.
Dajte si že enkrat zapomnit, da to, da "do sedaj" v vaš sistem ni bilo vdreto (ali celo tega ne veste, kar se kar pogosto dogaja tudi pri nas), še ne pomeni da imate kakršen koli razlog da mislite da je vaš sistem varen.
The truth is rarely pure and never simple.
Jaka83 ::
That's my whole point Mavrik, če si še tako zaščiten, ti nekdo brez problema poheka sistem. Očitno nekateri mislijo, da so varni, če imajo FW in AV. Heh, pa naj bo po njihovo.
Mavrik ::
That's my whole point Mavrik, če si še tako zaščiten, ti nekdo brez problema poheka sistem. Očitno nekateri mislijo, da so varni, če imajo FW in AV. Heh, pa naj bo po njihovo.
Niso popolnoma varni. So pa neprimerneje in veliko varnejši kot pa tisti ko tega nimajo.
Varnost namreč ni binarna spremenljivka - obstaja cel spekter napadov pred katerimi se braniš. Vse je odvisno od tega, koliko časa, postopkov in denarja si pripravljen vložiti. Tako obstaja že nekaj čisto preprostih postopkov (namestitev požarnega zida, antivirusa in uporaba varnih gesel), ki prepreči in zavaruje pred 98%+ napadi, ki lahko doletijo sistem. Kar je neprimerno boljše kot nič. Namreč dvomim da si tako zelo pomemben da rabiš postopke za zaščito pred targetiranimi napadi ;)
The truth is rarely pure and never simple.
Bor H ::
Ok, sepravi je za rally voznike vseeno a majo varnostno kletko in čelado ker v vsakem primeru se lahko razkantaš tko da ti nč ne pomaga?
Resno no, seveda da ti čez vse lahko pridejo ampak večino vsakodnevne nesnage ti AVji lepo blokirajo.
Resno no, seveda da ti čez vse lahko pridejo ampak večino vsakodnevne nesnage ti AVji lepo blokirajo.
amigo_no1 ::
Av-ji ne blokirajo 0day exploitov in podobnih zadev.
Tudi pred phishingom te ne obvarujejo.
Tudi pred phishingom te ne obvarujejo.
Zgodovina sprememb…
- spremenilo: amigo_no1 ()
Bor H ::
Spet: obstaja marsikakšen virus ki ne potrebuje neumnega uporabnika in proti takim te bo AV večinoma obranu.
Lep primer je bil Sasser ki se ti je sam od sebe pojavu na sistemu če nisi mel firewalla, pa tudi če si bil sam buda.
Lep primer je bil Sasser ki se ti je sam od sebe pojavu na sistemu če nisi mel firewalla, pa tudi če si bil sam buda.
zee ::
A ni Sasser uporabljal napako v enemu od servisov v Windows XP? Pozarni zid ni imel nic pri tem.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Mavrik ::
Av-ji ne blokirajo 0day exploitov in podobnih zadev.
Tudi pred phishingom te ne obvarujejo.
Hmm... seveda te. Hevroistična iskanja in browser plugini (kot je recimo nov Avastov) prestrezajo tudi take napade.
The truth is rarely pure and never simple.
Bor H ::
Bistri007 ::
Članek:
Levji delež pomanjkljivosti deluje na osnovi prekoračitve pomnilnikaTo je snežnoleopardji delež. Levji delež pomanjkljivosti bomo izvedeli šele pozneje...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
denial ::
@Mavrik in ostali
Bi mi prosim razložil(i) kako se lahko infeciram z zlonamernokodo če predpostavimo naslednje:
- uporabljam EMET za highly targeted + internet faced aplikacije ter sistemske servise
- furam firewall
- furam UAC/LUA in ne klikam brezglavo "YES"
- sistem redno posodabljam
- ne poganjam neznanih (poudarek je na neznanih) EXE fajlov razen v VM
Da bo vseskupaj bolj zabavno dajmo predpostaviti tudi, da furam outdated Acrobat Reader in Flash. In celo JS imam enejblan, Javo žal ne.
Bi mi prosim razložil(i) kako se lahko infeciram z zlonamernokodo če predpostavimo naslednje:
- uporabljam EMET za highly targeted + internet faced aplikacije ter sistemske servise
- furam firewall
- furam UAC/LUA in ne klikam brezglavo "YES"
- sistem redno posodabljam
- ne poganjam neznanih (poudarek je na neznanih) EXE fajlov razen v VM
Da bo vseskupaj bolj zabavno dajmo predpostaviti tudi, da furam outdated Acrobat Reader in Flash. In celo JS imam enejblan, Javo žal ne.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
BlueRunner ::
Praktično vsi AV-ji privzeto delujejo na podlagi iskanja vzorcev.
Če imaš opravka z novo zlonamerno kodo, je tak AV ne bo zaznal.
Če imaš opravka s polimorfno zlonamerno kodo, je tak AV največkrat ne bo zaznal.
Pri testiranju sem že ugotovil, da so nekateri virusi, ki sem jih že našel "in vivo" ostali nezaznani še mesece po odkritju in neposrednem poročilu nekaterim proizvajalcem AV programja.
Uporabniki, ki uporabljajo AV produkte, imajo zaradi zavajajočega marketinga teh produktov, občutek, da so zavarovani, zato se statistično gledano zelo verjetno obnašajo bolj tvegano. Žal je bil N=15 z AV produktom proti N=15 za kontrolno skupino premajhen, da bi izbrisal pogojnik "zelo verjetno". Ravno tako to ni bil blind test, da bi bila metodologija brezhibna in rezultat 100%.
V 6 mesecih je bilo na delovnih postajah, kjer so bile edine zaščite: odvzem sveh admin pravic uporabnikom, vklop sistemskega požarnega zidu (Windows XP SP2), izklop vseh nepotrebnih servisov in obvestilo uporabniku, da "naj za nakej časa pazi, ker nima AV-ja" 2 okužbi - okužbi tudi nista bili "permanentni", saj se trojanskem konju ni uspelo zagristi v sistem (bila je varianta SDBot-a).
Na eni izmed delovnih postaj, kjer so bile admin pravice uporabniku puščene, hkrati pa je bil aktiven AV produkt (ESET Nod32), je bilo zabeleženih 11 okužb - Nod32 pa je bil dobesedno sabotiran in več ni deloval. V tej skupini je bila samo ena delovna postaja, kjer ni prišlo do okužbe, skupaj pa sem ugotovil 53 okužb. Po tri ali štiri virusi/trojanci, ki so se tepli za sistem.
To je bila situacija l. 2007.
Zaključke naj vleče vsak sam.
Če imaš opravka z novo zlonamerno kodo, je tak AV ne bo zaznal.
Če imaš opravka s polimorfno zlonamerno kodo, je tak AV največkrat ne bo zaznal.
Pri testiranju sem že ugotovil, da so nekateri virusi, ki sem jih že našel "in vivo" ostali nezaznani še mesece po odkritju in neposrednem poročilu nekaterim proizvajalcem AV programja.
Uporabniki, ki uporabljajo AV produkte, imajo zaradi zavajajočega marketinga teh produktov, občutek, da so zavarovani, zato se statistično gledano zelo verjetno obnašajo bolj tvegano. Žal je bil N=15 z AV produktom proti N=15 za kontrolno skupino premajhen, da bi izbrisal pogojnik "zelo verjetno". Ravno tako to ni bil blind test, da bi bila metodologija brezhibna in rezultat 100%.
V 6 mesecih je bilo na delovnih postajah, kjer so bile edine zaščite: odvzem sveh admin pravic uporabnikom, vklop sistemskega požarnega zidu (Windows XP SP2), izklop vseh nepotrebnih servisov in obvestilo uporabniku, da "naj za nakej časa pazi, ker nima AV-ja" 2 okužbi - okužbi tudi nista bili "permanentni", saj se trojanskem konju ni uspelo zagristi v sistem (bila je varianta SDBot-a).
Na eni izmed delovnih postaj, kjer so bile admin pravice uporabniku puščene, hkrati pa je bil aktiven AV produkt (ESET Nod32), je bilo zabeleženih 11 okužb - Nod32 pa je bil dobesedno sabotiran in več ni deloval. V tej skupini je bila samo ena delovna postaja, kjer ni prišlo do okužbe, skupaj pa sem ugotovil 53 okužb. Po tri ali štiri virusi/trojanci, ki so se tepli za sistem.
To je bila situacija l. 2007.
Zaključke naj vleče vsak sam.
win64 ::
@Mavrik in ostali
Bi mi prosim razložil(i) kako se lahko infeciram z zlonamernokodo če predpostavimo naslednje:
- uporabljam EMET za highly targeted + internet faced aplikacije ter sistemske servise
- furam firewall
- furam UAC/LUA in ne klikam brezglavo "YES"
- sistem redno posodabljam
- ne poganjam neznanih (poudarek je na neznanih) EXE fajlov razen v VM
Da bo vseskupaj bolj zabavno dajmo predpostaviti tudi, da furam outdated Acrobat Reader in Flash. In celo JS imam enejblan, Javo žal ne.
Zaganjanje programov v VM je tudi samo lažen občutek zaščite.
Mavrik ::
Bi mi prosim razložil(i) kako se lahko infeciram z zlonamernokodo če predpostavimo naslednje:
- uporabljam EMET za highly targeted + internet faced aplikacije ter sistemske servise
- furam firewall
- furam UAC/LUA in ne klikam brezglavo "YES"
- sistem redno posodabljam
- ne poganjam neznanih (poudarek je na neznanih) EXE fajlov razen v VM
Da bo vseskupaj bolj zabavno dajmo predpostaviti tudi, da furam outdated Acrobat Reader in Flash. In celo JS imam enejblan, Javo žal ne.
* Odpreš PDF, ki izkoristi Acrobat Reader ranljivost za zagon kode in ti pobriše osebne dokumente.
* Analogno: odpreš stran z WebGL exploitom, ki ti čez driver pride v kernel space.
* Poženeš stran, ki izkoristi luknjo v tvojem brskalniku za izvajanje zlonamerne kode in ti pobriše osebne dokumente.
Nič ti ne koristi UAC, če so vse pomembne stvari na računalniku dostopne direktno (resno, koga briga za OS fajle?).
Zaključke naj vleče vsak sam.
Kakšne zaključke pa ti vlečeš? Neko agendo si moral imeti ko si to sporočilo poslal.
Prav tako, na podlagi česa sklepaš, da polimorfnih virusov novi AVji niso sposobni odkriti? Še dalje, a s tem trdiš da AVji ne prispevajo bistveno k varnosti?
The truth is rarely pure and never simple.
denial ::
* Odpreš PDF, ki izkoristi Acrobat Reader ranljivost za zagon kode in ti pobriše osebne dokumente.
Sorry, EMET prevents!
* Analogno: odpreš stran z WebGL exploitom, ki ti čez driver pride v kernel space.
Sorry, IE does not support WebGL... But, did you say exploit? EMET would probably prevent it.
* Poženeš stran, ki izkoristi luknjo v tvojem brskalniku za izvajanje zlonamerne kode in ti pobriše osebne dokumente.
Sorry, EMET prevents!
Please, try harder. Aja, če imaš kodo za bypass vseh EMET mitigation mehanizmov se prijav na Pwn2Own naslednje leto.
Pa ne pravim, da je EMET čarobna paličica. Ker ni. Dejstvo pa je, da exploiti oz. exploit writerji uporabljajo (bolj ali manj) znane vzorce in metode. Če ne verjamete si poglejte kodo notoričnih APT (Aurora, itd.) exploitov. Mostly heap/JIT spraying, ROP.... Koda je lahko mutirana/kriptirana in detekcija lahko spodleti. Ampak v pomnilniku se obaša na predvidljiv način: še vedno zasega določene pomnilniške naslove, kliče specifične API-je ...
Sorry, EMET prevents!
* Analogno: odpreš stran z WebGL exploitom, ki ti čez driver pride v kernel space.
Sorry, IE does not support WebGL... But, did you say exploit? EMET would probably prevent it.
* Poženeš stran, ki izkoristi luknjo v tvojem brskalniku za izvajanje zlonamerne kode in ti pobriše osebne dokumente.
Sorry, EMET prevents!
Please, try harder. Aja, če imaš kodo za bypass vseh EMET mitigation mehanizmov se prijav na Pwn2Own naslednje leto.
Pa ne pravim, da je EMET čarobna paličica. Ker ni. Dejstvo pa je, da exploiti oz. exploit writerji uporabljajo (bolj ali manj) znane vzorce in metode. Če ne verjamete si poglejte kodo notoričnih APT (Aurora, itd.) exploitov. Mostly heap/JIT spraying, ROP.... Koda je lahko mutirana/kriptirana in detekcija lahko spodleti. Ampak v pomnilniku se obaša na predvidljiv način: še vedno zasega določene pomnilniške naslove, kliče specifične API-je ...
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
denial ::
win64> Zaganjanje programov v VM je tudi samo lažen občutek zaščite.
True. Napredna koda lahko odkrije ali se izvaja v VM ali v native boxu in prilagodi izvajanje glede na okolje.
True. Napredna koda lahko odkrije ali se izvaja v VM ali v native boxu in prilagodi izvajanje glede na okolje.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Microsoftov protivirusnik prihaja tudi na macOSOddelek: Novice / Ostala programska oprema | 7221 (5758) | AštiriL |
» | Huda varnostna luknja v macOSOddelek: Novice / Varnost | 6935 (4117) | Zvezdica27 |
» | Čez dober teden prihaja macOS SierraOddelek: Novice / Operacijski sistemi | 15737 (12655) | matijadmin |
» | Prvi preizkus novega OS X 10.5 LeopardOddelek: Novice / Operacijski sistemi | 4296 (3423) | Gandalfar |
» | Applov tržni delež zmanjšanOddelek: Novice / Apple iPhone/iPad/iPod | 1989 (1989) | Brane2 |