» »

Microsoft popustil razvijalcem varnostne programske opreme

Microsoft popustil razvijalcem varnostne programske opreme

Slashdot - Washington Post poroča, da je Microsoft klonil pod pritiskom razvijalcev varnostne programske opreme ter evropskih komisarjev.

Tako bodo sedaj programi lahko zaobšli t.i. "PatchGuard", ki bi naj preprečeval spreminjanje Windows kernela ter tako poskrbel za varnost. Pri Microsoftu so obljubili, da bodo poskrbeli za API, ki bo dovolil dostop do Windows kernela ter tudi da bodo onemogočili Windows Security Center, da se uporabniki ne bi zmedli ob večih opozorilih o varnosti sistema. Prav tako bodo dovolili drugim razvijalcem, da na pozdravni zaslon Windows Vista dodajo povezave do svoje programske opreme poleg Microsoftovega One Care paketa.

Podrobneje na Slashdot in Washington Post.

Komaj čakam da mi bo Symantecov softvare po kernelu rovaril... spet.

32 komentarjev

simnov ::

Eu ga tule na veliko bikasa tako kot isto z media player glede nortona pa rečem da je to najslabši antivirus na svetu

BendeR ::

[sarkazem] Je še kdo ponosen, da smo del EU? [/sarkazem]

:D
:=)

zee ::

sarkazem=on

Vsak trenutek znova ... vse, kar vidim v EU so zvezde ...:(

sarkazem=off
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

LedStorm+++ ::

Sej je dobro da to naredijo :| . EU včasih dobra, peace Y.

Brez zaščit M$ prosm. >:D
Pingvin :-)

MrStein ::

Joj, zdaj si bo folk lahko instaliral antivirusne programe na Visto, konec sveta !!!
|O
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BendeR ::

Saj si ga lahko tudi prej. :P
:=)

denial ::

Celotno zadevo so zakuhali pri Symantecu in McAfeeju. Kaspersky in Sophos sta se postavila na Microsoftovo stran. Razlog za ta medijski linč? Njune (Symantec/McAfee) aplikacije intenzivno uporabljajo API hooking, kernel PatchGuard pa hooking (v celoti) onemogoča. Programi omenjenih razvijalcev postanejo tako praktično neuporabni... Oh, in API hooking je tudi priljubljena metoda, ki jo rootkiti uporabljajo za prikrivanje svoje prisotnosti. Sicer pa je kernel patch protection implementiran v x64 Windows XP in Windows Server 2003 že najmanj dve leti. Hekerji so ga že zdavnaj (po dolgem in počez) sesuli:

Matt Miller
Joanna Rutkowska

Sicer pa, kaj ne bo PatchGuard implementiran le na Visti x64? 32-bitna različica Viste naj bi še vedno dopuščala modificiranje kernela (backward compatibility).
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

MrStein ::

Samo one Sophos-ove izjave so precej mutne.
"Mi trenutno ne rabimo dostop do kernela" (torej jih niti preostali svet ne potrebuje).

"Unfortunately, there is no reliable mechanism for us to distinguish between 'known good' software and malicious software."
Ah, za digitalne podpise še niso slišali ?
Hecno, ker že skoraj 10 let uporabljajo sistem, ki naj bi ločil "known good code" od plevela.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

galimim ::

Briga me kake izjave majo!! Mam njihov anti-vitus pa nimam težav>:D >:D
Born To Bleed, Fighting To Succeed, Built To Endure What This World Throws At Me

darkolord ::

MrStein: Še vedno imaš lahko nepodpisan "dober" software in podpisane "viruse"

Pithlit ::

Zakaj bi karkoli potrebovalo dostop do kernela (oz. spreminjanje le tega)? Na MS-ovem mestu jaz nebi podpiral lenobe razvijalcev.
Life is as complicated as we make it...

BendeR ::

Na našo in Microsoftovo žalost pa se je EU postavila na stran Symanteca. :\

Na mesto, da bi oni spisali spodoben AVP (kor je bil norton včasih), se more OS prilagajat njim.
:=)

tha_man ::

To je res glupo. Ne rečem da so MS-ju težili zaradi IEja in Media playerja, kar je bila bolj monopolna fora in jim dam popolnoma prav, sm tule... zdej bodo kar eni naključni razvijalci softvera narekovali MSju kako OS nardit?

Je pa seveda vedno možnost, da nardi tako da bo za vse prav, in da ob inštalaciji na izbiro ali hočeš to možnost ali ne. In tole mora pol biti hardcoded, na tako kot njihov firewall, ki ti ga lahko kar ena aplikacija izklopi... :\
(c) 1982 Sinclair Research Ltd

MrStein ::

BendeR, kako pa naj napišejo dober AVP, če jim MS onemogoči nadzor nad sistemom.

Tako kot da bi AV-ju preprečil dostop do WINDOWS mape. Kako naj potem tam viruse najde (in zbriše) ?

Sicer so že okoli tega PatchGuarda prišli, tako da pred malware ne bo preveč ščitil, le instalacijo AV programov bo otežil. Korak nazaj...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BendeR ::

MrStein:

XPji so izšli oktobra 2001 (kateri jih ne omejuje). Od takrat se trudijo naredit spodoben AVP, ki podpira tudi XPje. No, vsi vemo kak jim to uspeva. :D Poleg tega se podjetja, ki delajo najboljše avp postavljajo na stran microsofta. Tolk o tem.
:=)

Zgodovina sprememb…

  • spremenil: BendeR ()

kekz ::

Še vedno imaš lahko nepodpisan "dober" software in podpisane "viruse"

Me pa res zanima, kdo na svetu si upa izdati podpisan virus.
Kot bi se prej pri oblasteh prijavil, greš ropat banko. :D

darkolord ::

Nigerijci si to zagotovo upajo 8-)

Zgodovina sprememb…

  • spremenilo: darkolord ()

denial ::

Dejstvo je, da se počutijo ogroženi vsi AV razvijalci, ki uporabljajo kernel hooking (ne bom komentiral ali so njihovi izdelki dejansko učinkoviti, pa tudi ne ali se lahko naredi dober AV ne da bi patchal kernel):

Symantec vrača žogico
http://www.softsphere.com/articles/boycott-microsoft-windows-vista/
http://www.agnitum.com/news/kernel_patch_protection.php

Na drugi strani pa Microsoft trdi, da nekateri "third-party" razvijalci za patchanje kernela uporabljajo nedokumentirane in nepodprte sistemske klice, ki lahko ogrozijo stabilnost sistema:

http://www.microsoft.com/whdc/driver/kernel/64bitpatch_FAQ.mspx

Najbolj zanimiv pa je naslednji post na enem izmed Microsoftovih blogov:

"After 20 years of 386 and "protected mode" you came up with this stupidity (PatchGuard)... Go and write kernel as it should be done for ages. Minimum ring 0 code, third party code only on ring 3, including drivers. Ring switch performance is not your problem, intel/amd will solve it shortly..."

Se stavimo, da bi se nekdo zopet pritoževal.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

MrStein ::

darkolord:
Nigerijci si to zagotovo upajo

Ni vprašanje kdo upa, ampak, komu bo MS dal podpis.Saj ga ne dajo kar tako na lepe oči, ali ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

matjash ::

^ MS tud nima časa pregledovati programski jezik vsake izdane aplikacije do vrstice natančno in zmeraj se najde kakšna luknja v programu kot je bil naprimer virus v priponi .gif ki je zaradi varnostne luknje MSjevega pregledovalnika slik zagnal zlonamerno kodo - poudarek na MS!
... bolje pozno kot nikoli.

Zgodovina sprememb…

  • spremenil: matjash ()

denial ::

Just for fun... :)

Pro-PatchGuard:
CA, F-Secure, Trendmicro, Kaspersky, Sophos

Contra-PatchGuard:
Symantec, McAfee, Agnitum, Panda, Checkpoint, Softsphere

Navedeni so zaenkrat izrazili svoje stališče. Počakajmo še ostale... do takrat pa lahko sami preverimo ali naš priljubljeni AV razvijalec prakticira kernel patching tudi na našem mlinčku:
RootKit Hook Analyzer

FYI: BitDefenter 9 Pro+ veselo patcha...
SELECT finger FROM hand WHERE id=3;

darkolord ::

o NOD32 ni duha ne sluha v tem programu 8-)

Spc ::

Jaz imam samo enega:
 

Zgodovina sprememb…

  • zavaroval slike: madviper ()

denial ::

Spc:
interesanten tale tvoj hook... Če te zanima, poglej pod jezičkom "Modules" kateri modul je najbližje naslovu 0x86373de0, nato vprašaj strica Googla za poreklo odkritega .sys modula.



darkolord:
Hvala... Očitno je "krivec" shrani.si, kajti na volji deluje BP...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • zavaroval slike: madviper ()

Spc ::

Nič pametnega nisem našel.
 

Zgodovina sprememb…

  • zavaroval slike: madviper ()

Jst ::

Avast Home je tudi prijazen :)
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

ender ::

Kaj to pomeni za nepodpisane gonilnike, ki so precej večji problem, kot pa patchanje jedra (obstaja cel kup stvari, ki nima podpisanih gonilnikov, od hardvera [Blutooth], do različnih programov [npr. coLinux, VNC] - marsikateri od teh na različne načine prikrivajo XPjevo STOP pogovorno okno).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

ender ::

Za BSODat XPje ne rabiš kakšnega posebnega napada z driverji, samo EXE datoteko, ki vsebuje navodila, kako naj jo izvaja Vista.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

darkolord ::

Zakaj bi pa tak "driver" sploh nameščal?

antonija ::

Ker si neizkusen uporabnik in ves le to da rabis driver (ker ti je to povedal tvoj "racunalniski" kolega)?:\
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

darkolord ::

Jah a ni pol isto če namestiš kar nek program?

denial ::

ender:

Uspelo mi je reproducirati omenjeni "manifest BSOD". Deluje... pod določenimi pogoji. Kot zanimivost, Okna ne generirajo crashdump datoteke.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

NSA pričenja vohuniti za lastno državo? (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
10010152 (7949) jype
»

Hawking izkusil breztežnost

Oddelek: Novice / Znanost in tehnologija
314662 (3035) OChack
»

Nov pristop k oglaševanju v igrah (strani: 1 2 )

Oddelek: Novice / Igre
536709 (5364) drejc
»

"Test" Media Playerja 11 in Urge spletne trgovine

Oddelek: Novice / Ostala programska oprema
52558 (2225) Duke Nukem
»

Popolna prepoved računal s kitajskimi "geni"?

Oddelek: Novice / Varnost
193779 (3074) Matevžk

Več podobnih tem