Kot pravi, so njegovo in ostala varnostna podjetja imela primerke kode, okužene s Flamom že najpozneje leta 2010 in verjetno že prej, a jih nihče ni analiziral. Sistemi za avtomatično javljanje so to kodo zaznali, a je niso označili kot varnostno tveganje, zato se je nihče ni lotil pregledovati. Podobno tudi Stuxneta več kot leto dni po izpustitvi v divjino interneta ni nihče opazil, ali pa manj znanega, a nič manj uničujočega DuQuja. Kar te programe ločuje od klasične zlobne kode, je njihova sofisticiranost, ki daje slutiti, da za njimi stojijo vplivni in bržkone državni naročniki. Očitno je, da gre povsem drugo ligo od tiste, v kateri so pisci protivirusnih rešitev. Te zmorejo zaznati običajne viruse, črve, keyloggerje, a odpovedo pri Stuxnetu podobnih okužbah. In pošteno se bodo morali potruditi, da se prebijejo nazaj v isto ligo.
Medtem je Microsoft razvozlal košček uganke, kako se je Flame tako uspešno skrival. Namesto klasičnih pristopov zakrivanja in brisanja kode, so ga avtorji podpisali kot zaupanja vredno Microsoftovo aplikacijo. Microsoft je odkril ranljivost v starejšem kriptografskem algoritmu, ki se je uporabljal za podpisovanje certifikatov s strani Microsoftovega Terminal Services. Ti so načeloma namenjeni le za potrjevanje statusov licenc, a jih je mogoče zlorabiti tudi za podpis kode. Ni še znano, ali jih je zlorabil kakšen Microsoftov zaposleni ali gre za zunanji napad. Kakorkoli, sistemi so potem kodo prepoznali kot Microsoftov program oziroma še več, Flame sam se je zamaskiral kot Windows Update.
Zato je Microsoft izdal izredni popravek in ni čakal na Patch Tuesday, ki bo šele naslednji teden. Omenjen certifikate so uvrstili na listo zaupanja nevrednih certifikatov in popravili algoritem za podpisovanje, tako da ranljivosti ni mogoče več izkoriščati. Obremenjeni so bili vsi sistemi od Windows XP SP3 dalje.
Sistemi za avtomatično javljanje so to kodo zaznali, a je niso označili kot varnostno tveganje, zato se je nihče ni lotil pregledovati.
Kdor misli, da antivirusna pdojetja še danes vse analizirajo na roke se krepko motite. Praktično vsi imajo avtomatične sisteme v katere dobesedno stresajo datoteke, slednji pa jih sortirajo, analizirajo in celo avtomatično ustvarjajo definicije. Edino kar se preverja ročno so "false positives" ter stvari, ki jih ti analizatorji izločijo iz različnih razlogov. Ali zato ker se je datoteka obnašala izven predvidenih okvirov in to zahteva pregled iz strani strokovne osebe, ki datoteko ročno razmontira ali pa zato ker je bil rezultat "inconclusive", torej, da ima mogoče sumljive lastnosti ampak nič očitno izstopajočega.
Community funkcije načeloma tle ne igrajo neke velike vloge, ker načeloma zgolj dostavljajo te datoteke tem sortirnim sistemom, zadnje čase pa se slednje čedalje več uporablja za reputation sisteme (cloud), ki pomagajo firmam pri statističnih analizah in pa pospešeno dostavljanje definicij oz pomoč lokalni heuristiki (low reputation->sandbox kot to npr počne avast!, Comodo, Kaspersky in še drugi).
Res je, da pri odprti kodi imaš kodo, vendar pa to ni garancija, da ni kakšne napače v njej ali pa zlobne kode. Je bilo že nekaj primerov v odprti kodi, da so napako opazili šele čez leta ...
ja če poseduješ cp, navodila za bombe in antraks ter podatke o svojih umorih, pol je bolje da izklopiš internet ali pa greš na tor
Nič od tega me ne tangira, kljub temu pa ne odobravam nediskriminatornega vohunjenja za vsemi povprek. Tvoja argumentacija je zgolj poceni izgovor za pot v totalitarno družbo, kjer so tvoji argumenti zgolj orodje popolnega nadzora nad posamezniki. Seveda v korist posameznikom na vrhu piramide.
Saj so dobili original certifikat, zdaj pa se vsi delajo, da je ukraden. Normalen del obvečevalne operacije, po kateri imaš možnost zanikati, da si vpleten.
Zanimivo je, da Microsoft bolj ko najema varnostne strokovnjake, več in vedno pogosteje se pojavljajo bugi, ki pa so vedno kasneje (razen nekaj izjem) zakrpane. To je trend MSja zadnjih 5 let. To sem prebral v enemu intervjuju.
Fakt: MS ima na kupu največ strokovnjakov za varnost kot katera druga firma.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
