» »

Profesor na Sonoma State University svoje študente uči pisanja virusov

Profesor na Sonoma State University svoje študente uči pisanja virusov

Newsweek - George Ledin, profesor na Sonoma State University v Kaliforniji, ima za nekatere nekoliko nenavadne učne metode, saj svoje študente uči pisati viruse in ostalo zlonamerno kodo.

Seveda ne z namenom škodovati, pač pa študente naučiti, kako razmišljajo napadalci in kako razviti boljšo zaščito pred novimi virusi. Prav tako njegovi študentje in njegovi raziskovalni projekti kažejo ranljivosti protivirusnih in ostalih zaščitnih programov, kar pa konec koncev pomaga k izboljšanju varnosti.

Se morda bliža čas, ko bo načelo "
varnost skozi skrivanje" (security through obscurity) dokončno končalo v ropotarnici zgodovine?

23 komentarjev

Rotaidal ::

Seveda ne z namenom škodovati, pač pa šudente naučiti kako razmišljajo napadalci in kako razviti boljšo zaščito pred novimi virusi.


Hja... kolko pa jih bo dejansko delalo za boljšo zaščito...eni ja. Drugim pa je dal profesor nov navdih za hobi.:D

Utk ::

Ne poznam nobenga študenta računalništva, ki bi pisal viruse. Tudi če bi znal :)
Samo ne vem kaj ima "security through obscurity" veze s tem. Če imamo uporabniško ime in geslo, ki ga lahko uganemo, zakaj ne bi smeli dodatno imet še kakšno zanko, na katero noben ne računa in za katero je verjetnost, da jo ugane, približno enaka verjetnosti, da ugane geslo.

MrStein ::

Finta je v tem, ali postopek tak, da je varen le, če je skrit ali ostane varen tudi pozneje.

Skrit ključ pod predpražnikom je varen, dokler se ne razve, da je tam.
(Železna vrata pa so varna, tudi če celi svet ve, da so to železna vrata.)

Oziroma: PGP (GPG) je varen, čeprav celi svet že 20 let ve do zadnje črke, kako deluje.
Teštiram če delaž - umlaut dela: ä ?

Utk ::

No, seveda mora bit varno tudi brez te zanke. Sej se da tudi PGP shekat, samo predolgo bi trajalo. Tista zanka morda glih tolko zavleče postopek, da človek obupa.

MrStein ::

Heh, članek je v stilu srednjeveške okrožnice o čarovnicah.

Ene firme kao imajo pravilo da ne zaposlujejo te študente.

Halo ? Največje strokovnjake odrinjajo ???
Whatever...
Teštiram če delaž - umlaut dela: ä ?

MrStein ::

"Sej se da tudi PGP shekat, samo predolgo bi trajalo."

RFID pasoš je skrekal v ... dveh urah ?

Saj z Jugecom tudo prideš do morja. Ampak noben ga ne bo dal v isto kategorijo kot Mercedes...
Teštiram če delaž - umlaut dela: ä ?

Izi ::

Pisanje virusov je lahko tudi povsem neškodljiv izziv.
Vsak virus ali pa črv je sestavljen iz dveh bistvenih delov. Prvi je sposobnost preživetja in razmnoževanja. Tukaj je bistveno skrivanje pred uporabnikom, tako sebe kot svojih klonov.
Drugi del kode pa je izvršilni, ki se izvede šele ko prvi del izpolni svojo nalogo, ob določenem dogodku ali pa ob določenem datumu. Ta drugi del kode je lahko škodljiv ali pa tudi ne, lahko pa ga sploh ni.

Večini piscev je izziv samo to, da njihov "otrok" preživi v divjem svetu interneta.
Uničevanje podatkov je redko kateremu piscu v interesu. Kljub temu, da je potrebnih samo nekaj bajtov, da se izvrši brisanje zagonskega sektorja, datotečne tabele ali pa vseh datotek z končnico exe, se tega redko kdo posluži, ker to nima nobenega smisla.
Vsak "oče" je bolj ponosen na "svojega potomca", če ima ta lastnosti MacGyverja, kot pa če postane slaven kot Hitler ali Stalin >:D

Večina ne loči med virusi in črvi oz. trojanskimi konji.
Zelo dvomim, da omenjeni študentje pišejo viruse.
Treba je omeniti, da virusov dandanes skoraj ni več. Ker ima skoraj vsak računalnik antivirusni program so vrsta tik pred izumrtjem ali pa so sploh že izumrli.
Kolikor spremljam sceno se pišejo samo še črvi, virusa pa osebno nisem videl že kakšno leto.

Bistvo virusa je, da se vtihotapi v samo izvršilno datoteko. Na računalniku imaš torej okuženo datoteko, ki je enaka kot prej samo za nekaj 10 do 100 bajtov je daljša kot običajno. Ker pa vsak spodoben antivirus program takoj zazna vsako spremembo dolžine datoteke kjerkoli na disku je preživetje virusa dandanes popolnoma nemogoče. Tako mora virus najprej onemogočiti delovanje antivirus programa, če sploh hoče preživeti.
Drugače pa je z črvi, ki so za razliko od virusov samostojne datoteke, ki si jih na kakšenkoli način sam spravil na svoj disk. Da se okužiš z črvom je potrebna dvakratna neumnost uporabnika, najprej ga moraš sam spraviti na svoj disk, nato pa ga moraš še pognati. Šele potem črv oz. trojanski konj lahko začne z svojim poslanstvom. Ga je pa veliko težje odkriti kot virus, saj ne gre za nobeno okužbo ampak za samostojni program kakršni so vsi ostali samo njihov namen je drugačen.

Sodobni antivirus programi se borijo tako proti virusom kot proti črvom, samo proti virusom so 100% uspešni, proti črvom pa dejansko bijejo izgubljen boj. Za vsak črv je potrebno posebej dodati njegov podpis v antivirus program, da ga zazna. Ker pa se črv pri vsakokratnem kopiranju po disku lahko malenkost spremeni ga je takorekoč nemogoče odstraniti, čeprav veš, da ga imaš na računalniku.
Tako je treba ponavadi narediti odstranjevalni program prav za vsak črv posebej.

Hotel sem samo omeniti, da ti študentje verjetno pišejo črve in ne viruse, ki jih je že zdavnaj povozil čas.

Ker pa virusov takorekoč ni več bodo verjetno črvi prevzeli ime virus. Sicer črvi ne okužijo datotek, tako kot virusi, ampak vseeno lahko rečemo, da okužijo pa računalnik na splošno. Pa naj črvi postanejo novi virusi :D

OChack ::

men se zdi zadeva čist pametna, namreč izdelovalci virusov so zelo ignorantski do raznih odkritij ranljivosti, realno je da programi prepoznajo le okoli 30% zlobne kode ostalo gre kot za šalo mem, tako je predavanje in učenje na to temo zelo uporabno
Int€l inside, IDIOT Outside

Matthai ::

Ne!

1. Security through obscurity v tem primeru leti na dejstvo, da so nekateri mnenja, da se teh stvari ne bi smelo učiti. Kot da zlorab ne bo, če se študentje ne bodo učili o zlorabah varnosti. Tako razmišljanje je skrajno naivno. In članek tako razmišljanje ravno kritizira, MrStein.

2. PGP in RFID je priblžno tao kot če primerjaš traktor in morsko vetrnico. CrniE - daj se prosim pozanimaj kako deluje sodobna kriptografija preden stresaš take...

3. Sodobne antiviruse je mogoče z lahkoto prelisičiti. Doma imam nekaj programov, ki znata poljuben virus zmutirati tako, da ga noben antivirus ne prepozna. Antivirusni software danes sicer nudi neko osnovno zaščito, a je ta zaščita daleč od resne. Ne bit naivni, no.
All those moments will be lost in time, like tears in rain...
Time to die.

fiction ::

Definitvno se strinjam, da bi moral biti na racunalniskih faksih poleg Programiranja 1 in 2 se nek predmet v stilu "Varno programiranje". Ali pa da bi se "Racunalniska varnost in kriptografija" z malo manjsim poudarkom na kriptografiji poucevala tudi na dodiplomskem studiju.

Ampak pisanje virusov se meni zdi bolj kot ne neumnost!
Morda je to le marketinska fora?

Seveda je prav studente nauciti kako se kaksna varnostna luknja izkoristi, le tako bodo potem znali pisati boljso kodo. Samo s pisanjem virusov se teh konceptov ne nauci - polimorfizem, podrobnosti o PE, ELF izvrsljivih datotekah, kako prikrito komunicirati preko TCP/IP-ja itd. bi se dalo poucevati tudi posebej in bolj temeljito.

Po analogiji: na tecaju izdelovanja sefov, bi se ljudje tudi morali nauciti kako kriminalci sefe odpirajo in za vajo tudi sami kaksnega razstreliti. Ampak to se ne pomeni, da morajo sestaviti nacrt kako oropati banko in se nauciti streljati. Ok, verjamem, da je cisto uporabno ce znas streljati na tarco, samo v kontekstu izdelave sefov je to nepomembno. Da ne govorimo o tem, da se ljudi s celotnim lahko izvedljivim nacrtom napeljuje v kaznivo dejanje.


Cilj tega naj bi bil izboljsati protivirusne programe? Teh se po definiciji ne da izboljsati saj temeljijo na crnih seznamih, ki se posodabljajo _po tem_ ko se nek virus zacne siriti. Tudi "analizo obnasanja" se da zavesti. Edino z DRM-jem, ki bi ga kontroliral uporabnik, bi dobro skonfigurirani antivirusni programi res zaznali vsak virus.

tx-z ::

Na računalniku imaš torej okuženo datoteko, ki je enaka kot prej samo za nekaj 10 do 100 bajtov je daljša kot običajno. Ker pa vsak spodoben antivirus program takoj zazna vsako spremembo dolžine datoteke kjerkoli na disku je preživetje virusa dandanes popolnoma nemogoče.


aja? hmm.. Kaj pa če ker program pač spremeni neko datoteko al pa kej podobnga? Kako pol antivirus loč da to ni bil virus?:\
tx-z

Looooooka ::

in seveda noben od ucencev ne bo tega nikol zlorabu.
ceprou je vseen kje se tega nauci...vazn da se med tem nauci se programirat oz delat neki kar mu bo enkrat prou prslo...
sam je vseen ignorantsko ce nekdo verjame, da bojo vsi ucenci angelcki.

fiction ::

Na računalniku imaš torej okuženo datoteko, ki je enaka kot prej samo za nekaj 10 do 100 bajtov je daljša kot običajno. Ker pa vsak spodoben antivirus program takoj zazna vsako spremembo dolžine datoteke kjerkoli na disku je preživetje virusa dandanes popolnoma nemogoče.


Ni res.
Ce ze delas nekaj takega je bolje shraniti cel hash datoteke kot pa samo njeno dolzino ali pa datum
zadnje spremembe. Samo tudi v tem primeru se ti zlonamerna koda lahko naserje v kernel in sporoca kot da je
vsebina datoteke v redu, ceprav v resnici ni. Ko si enkrat shekan / okuzen z virusom ti (skoraj) nic vec ne
pomaga. Prej pa antivirus pac dela tako kot dela na podlagi blacklista (ki je lahko v koncni fazi lahko tudi
zbirka "zaupanja vrednih" hashov dolocenih programov, ki si jih program shrani ob prvem zagonu). Samo kako potem za nek nov program ves a je ok ali ne?

Ok, DRM tudi cisto perfekten kot sem prej trdil. V bistvu gre samo za razsiritev ideje da ti dolocas zaupanje
glede na avtorja programa in ne vec za vsak program posebej kar je lazje obvladljivo. V principu potem
sploh ne bi rabil antivirusnega programa ampak bi samo nekje dodajal certifikate, ki jim zaupas.

Zgodovina sprememb…

  • spremenil: fiction ()

Matthai ::

Jaz osebno sicer dvomim, da je naslov tega predmeta Pisanje virusov 1. Po moje se učijo teoretične koncepte, za seminarsko pa potem študentje vzamejo tudi kakšno tako temo.

Sicer bi moral videti predmetnik, ampak grem skoraj stavit, da je zadeva tudi teoretično dobro zasnovana.
All those moments will be lost in time, like tears in rain...
Time to die.

Utk ::


2. PGP in RFID je priblžno tao kot če primerjaš traktor in morsko vetrnico. CrniE - daj se prosim pozanimaj kako deluje sodobna kriptografija preden stresaš take...


Kje sem pa RFID omenil? Dej se prosim pozanimaj, kaj je kdo napisal, preden stresaš take...

MrStein ::

Jaoj, pri učenju obrambe mesta se moraš najprej naučiti, kako deluje obleganje.

Luka, ja folka ne učit programirat, ker lahko kaj narobe naredi. Ne jim nožev dajat. Iz istega razloga. Ne jih naučit pisat in brat. Najbolje vsem prste polomit pri enem letu starosti.
(glej prvi stavek v tem sporočilu)
Teštiram če delaž - umlaut dela: ä ?

Utk ::

Omenjanje "security through obscurity" je pa v tem kontekstu omenjat res nepotrebno, ker študenti računalništva tako in tako načeloma ne pišejo virusov, tistih nekaj ki jih, jih pa niti ta profesor v enem semestru ne bo nič novega naučil.

Matthai ::

Da, ampak v akademski sferi v ZDA so lani potekale hude debate ali te vsebine vnesti v študijski proces ali ne. Ker kao "da jih ne bomo preveč neumnosti naučili".
All those moments will be lost in time, like tears in rain...
Time to die.

techfreak :) ::

Če trojanca izdaš kot trojanca, ni v redu, če pa izdaš kot neke vrste VNC program, je pa v redu. Saj VNC programi so isto kot pa trojanci.

Drugače pa dobro, da se učijo. Dokler jim kakšen ne uide iz testnega okolja.

fiction ::

DejanL15: Jah, tudi sniffer je lahko zelo uporabno orodje za odkrivanje problemov na omrezju. Lahko je pa samo nacin kako skriptni otrocaji preko shekanega racunalnika pridejo do dodatnih gesel, ki se prenasajo nezascitena preko omrezja.

Najbrz nihce ne bi bil navdusen, ce bi prodajal noze, ki so idealni za umor. Ce pa reces da so nozi super
ostri in pripravni za rezanje mesa, jih pa poleg raznih razparacov najbrz kupi se kdo drug pa se problemov s policijo nimas. :)

Xgeneration ::

Tudi na mariborsem FERIju smo se pri vajah naučili, kako se naredi nekaj preprostih virusov, ki pač niso več učinkoviti, saj jih najde vsak še tako slab antivirusni program.

Se pa da s slabim konceptom virusa malo poeksperimentirati - malo kako zadevo zakamuflirati, dodati nekaj nivojev rekurzije ... bla bla...

V glavem - to "na nek način" počnemo tudi v MB... Pa se o tem nikjer ne piše :)
LP

MrStein ::

Počakaj da 24ur to izvoha ... ;)
Teštiram če delaž - umlaut dela: ä ?

cryptozaver ::

Relativno neškodljiva 'škodljiva' koda je lahko npr programček - neskončna zanka, ki ustvari datoteko, ki zapolni disk do konca. Če se izvede na c: particiji je učinek velik, škode pa pravzaprav nobene ;).

Zadnjo trditev pa težko povežem s člankom...

Primer security through obscurity kot ga razumem jaz je naprimer: uporabljaš OS ki, je dovolj neobičajen da bi bil občutljiv za vsesplošno razširjeno računalniško nesnago...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Profesor na Sonoma State University svoje študente uči pisanja virusov

Oddelek: Novice / Varnost
234843 (2159) cryptozaver
»

Novi upogljivi zasloni

Oddelek: Novice / Zasloni / projektorji / ...
204031 (2522) blackbfm
»

Podatki iz socialnih omrežij dostopni preko zakona US-PATRIOT

Oddelek: Novice / Zasebnost
222989 (1983) Pravnicek
»

TCP/IP preko bongo bobnov

Oddelek: Novice / Omrežja / internet
51522 (1522) mile
»

Pravnik napada - drugič

Oddelek: Novice / Varnost
71190 (1190) Ziga Dolhar

Več podobnih tem