Свободен
Скрыть опции темы
Привет, гость!
Зарегистрируйся, чтобы получить полный доступ и возможность писать в форуме, группах и блогах.
Вход Регистрация
Вход Регистрация
|
|
|
Хакеры изобрели очередной способ обхода брандмауэров. Как выяснили эксперты по информационной безопасности, для загрузки вредоносного ПО на компьютеры ничего не подозревающих пользователей может успешно использоваться служба обновления Windows. Как минимум один троян из обнаруженных эксплуатирует фоновую интеллектуальную службу передачи (Background Intelligent Transfer Service, BITS), встроенную в операционную систему Windows. Эксперты Франк Болдуин (Frank Boldewin ) и Элия Флорио (Elia Florio) исследовали троянскую программу TrojanDownloader:Win32/Jowspry, распространявшуюся в Германии, и выяснили, что она загружает на компьютеры вредоносные файлы с помощью BITS. Эти файлы успешно обходят встроенный в ОС брандмауэр, который их не детектируют. Таким образом, хакеры изобрели новый способ обхода межсетевых экранов, добавив его к уже существующим методам, таким как туннелирование в HTTP- и SMTP-трафике, использование скрытых незащищенных каналов и атаки на брандмауэры. Используя компонент самой операционной системы в качестве средства стеганографии, TrojanDownloader:Win32/Jowspry реализовал новую концепцию в хакинге. BITS использует каналы передачи данных, не занятые другими приложениями, и регулирует свой трафик, чтобы он не мешал их работе. После восстановления разорванного соединения служба продолжает свою работу. С версии 1.5 BITS выполняет загрузки на рабочую станцию, и с нее. BITS поддерживает HTTP и HTTPS, применяется для передачи данных в Windows Update, Windows Server Update Services, Systems Management Server, а также средствах мгновенного обмена сообщениями от Microsoft. Наиболее широко технология реализована в Windows Update для доставки обновлений программного обеспечения. В настоящее время надежной защиты от загрузки вредоносного ПО с помощью BITS нет. Пользователям рекомендовано проверить свои машины на наличие троянского ПО. |
 barrakuda
|
|
|
Ну а для наших домашних пользователей такие сложности ни к чему. Так как все работают под админом, любой троян прописывает себя в доверенные приложения. Вот и весь обход брандмауэра виндос 
|
|
maxdiversexnarod1
|
|||
|
Насколько я понимаю, ценность данного метода - только теоретическая. Есть много куда более простых и надёжных методов, которые требуют такого же уровня привилегий в системе.
Имеется в виду Брандмауэр Windows? О, да это супер-надёжный файрвол, как раз на нем и надо тестировать новые вирусные технологии :) |
||
 Vertigo
|
|||||
|
Хоть здесь пользователи нелицензионной Windows выигрывают, бо обновлениями не пользуются...
Странно было бы, если брандмауэр Windows их детектировал... |
||||
|
Kessoron
|
|||
|
Что ерунда? Польуются, и спокойно обновляются. Валидация нужна только для загрузки расширений/дополнений |
||
|
|
|||
|
Ну как-же не пользуются? Очень даже пользуются, причем почти официально получая автоматические обновления с Виндоус Апдейт.  Для этого уже давно сделан патч, посредством которого Майкрософт распознает тыою версию как лицензионную. |
||
|
Rambus
|
|
|
Ну знаешь, у меня проблем с WGA нет, однако я что-то обновляться не спешу... Помню ещё как 2 или 3 раза после пары месяцев обновлений на диалапе система обновлялась настолько, что Framework начинал конфликтовать с Каталистом да так, что систему приходилось сносить. Так что только от сервис-пака до сервис-пака, когда все обновлёнки будут гарантированно затыкать дыры, а не добавлять новые... Так что такой способ обхода что-то не стращает...
|
|
barrakuda
|
|
|
Это у себя дома можешь хоть ваще не обновлять никогда, Рамбус А в корпоративных сетях это необходимое и обязательное условие - своевременное обновление ОС и ПО. |
|
Rambus
|
|
|
Ну и что ж за корпоративщик пользуется драным брэндмауэром Винды? Опять таки обновления можно ведь и просто скачивать и ставить, просто дольше, но тем не менее...
|
|
Vertigo
|
|||
|
И я об этом... |
||
|
barrakuda
|
|||
|
Да с чего вы взяли, что брандмауэр винды "драный"?  Обычная стенка, исправно рубит все непрошенные входящие соединения, контролирует исходящий трафик приложений. Если юзер с ограниченной учеткой, не админ - норм
|
||
|
barrakuda
|
|||
|
Заплатки, да, пожалуйста - скачивай, а автоматическое обновление - хрен тебе Мою копию сразу запалили и любезно предложили заказать диск с "настоящей" виндой.
|
||
|
maxdiversexnarod1
|
|||||
|
Не понял, это шутка? |
||||
|
barrakuda
|
|
|
Неа, просто БВ это стенка в самом простом исполнении. Конечно, всякие лик-тесты он не пройдёт, от внедрённых в процессы троянов и т.п. не спасёт, но со своей задачей - контроль входящего трафика - справляется. И, кстати, если бы юзеры не сидели под админом, многие незатейливые трояны, которые лезут скидывать пароли отдельным процессом, были бы им остановлены. |
|
Rambus
|
|
|
Геморроя больше чем пользы. Именно поэтому он и драный, что через него всякая шваль лезет, а для плодотворной работы ему видите ли надо урезать пользователя в правах.
|
|
barrakuda
|
|
|
По идеи, юзер не должен работать с правами админа - это маразм. В unix системах по традиции с этим строго - минимум прав у пользователя для его же безопасности. И не зря в ХР pro ввели разграничение прав, очень гибкое, кстати. Проблема в разработчиках стороннего софта, игр, благодаря которым и приходиться во избежания гемора сидеть дома под админом. Из справки виндоус: Почему не следует работать на компьютере с учетной записью администратора Работа в Windows 2000 или Windows XP в качестве администратора делает систему уязвимой (я бы сказал, более уязвимой )для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.Необходимо добавить себя в группу «Пользователи» или «Опытные пользователи». Войдя в систему в качестве члена группы «Пользователи», можно выполнять обычные задачи, в том числе выполнение программ и посещение узлов в Интернете, не подвергая компьютер излишнему риску. Члены группы «Опытные пользователи» могут, кроме того, устанавливать программы, добавлять принтеры и использовать большинство компонентов панели управления. Если необходимо выполнить такие задачи администрирования, как обновление операционной системы или настройка системных параметров, выйдите из системы и войдите в нее как администратор. При необходимости часто входить в систему и запускать программы с правами администратора можно использовать для этого команду runas. =============== Разграничение прав вещь нужная. Да и, Брандмауэр в винде такой простой, чтобы юзеры с ума не сошли от его настроек. Я тут попробовал хвалёный Комодо, так он меня заколебал своими сообщениями |
|
Rambus
|
|
|
Разграничение, конечно, вещь хорошая, но только не дома. Лично мне противно, когда система посылает тебя, её владельца, куда подальше. Если я её поставил и настроил, то мне её и гробить. А отмазки "для вашей же безопасности" меня не устраивают. Мне как-то спокойнее когда я сам даю добро на каждый бздёх программы, а не доверяю это другой программе. Если Каспер орёт про подозрительные действия, я лично должен убедиться, что их делает не программа, выполнения которой я хочу, а вирусняк. Иначе получится, что я же окажусь в заложниках у операционки. Например, на обновление Picasa2 с помощью автообновления Каспер реагирует как на заражение Трояном. И такие глупости встречаются не только там... И что же мне теперь, не обновлять софт? не пробовать новое только потому что система грозится пальчиком? Да я лучше виря словлю, а потом вынесу Касперычем или форматированием, чем буду слушать Винду неразумную и в итоге словить-то виря словлю, а вот на укокошить его прав уже не хватит... Это сообщение отредактировал Rambus - 21-05-2007 - 17:57 |
|
barrakuda
|
|
|
В том то и дело, что не ты грохнешь винду, а вася-хакер, который так намутит в реестре, что мама не горюй А все потому что любая прога, запущенная тобой будет иметь права данного пользователя со всеми привилегиями. И причем тут каспер? Он у юзера спрашивает, а не у админа. |
|
barrakuda
|
|
|
Дома разграничение прав вещь тоже полезная, когда за компом не только ты один работаешь. Тут самое милое дело всех ограничить, а себя админом оставить
|
|
Rambus
|
|
|
Ага, помню как-то поставил сдуру себя админом, а мать юзером и запаролил... Потом компу сорвало башню и он забыл пароли... То есть перестал их принимать... Самое обидное-то, что ни поддержка Мелкософта не помогла (они просто послали нахрен и сказали помощи просить у тех, кто комп продавал, т.к. Винда ОЕМная), ни продавцы. Пришлось форматировать раздел нафиг (хорошо хоть на всякий случай разбиваю винт на логические диски) и ставить Винду заново. С тех пор на том компе мы оба-админы и оба без паролей. А если Вася Пупкин залезет на мой комп, то ничего ценного он там грохнуть не сможет-бэкапиться надо, господа. Да и с чего вы взяли, что на ваши компы кто-то покушается? Ну есть вири, это пакость, но хакерам-то вы на кой сдались? Им это неинтересно, им скорее сетку какой-нибудь организации взломать захочется. |
|
maxdiversexnarod1
|
|||
|
Видимо, это как раз пример той цепочки, которую я привёл: скачал -> скопировал -> запустил. Результат - имидж компании подмочен, а всё из-за необдуманных действий эвристика - ведь такая цепочка характерна не только для вирусов, но и для авто-обновления. |
||
|
barrakuda
|
|
|
Я сам под админом сижу, но надо сказать, что ХР pro можно настроить так, что почти любой вирус  Можно лишить вирус возможности автозапуска, выставив запрет на запись в соответствующих местах реестра, писать в ситемные папки запрещено по-умолчанию, и даже лишить его возможности запуска на выполнение, выставив запрет на исполнение файлов в тех местах, где бинарники не нужны(кэш браузера и тд) В такой среде вирусу вообще не возможно будет развернуться, а тем более праказничать, устанавливая драйвера-перехватчики, которые так любят писать молодые программеры Групповые политики в ХР вещь, которая может сделать систему практически не уязвимой, а вы говорите винда дырявая, винда глупа... |
|
Rambus
|
|
|
Если б Винда не была дырява, то Сервис Пак 2 не тянул бы на 300 метров. А глупа потому что на автомате правильно делает далеко не всё. Да и настройки, делающие её неуязвимой, могли бы свести в специальный готовый профиль чтобы не ковыряться каждый раз после установки.
|
|
barrakuda
|
|
|
Рамбус, то ты не любишь когда винда сама хозяйничает, то требуешь от неё чтобы она сама всё сделала |
|
barrakuda
|
|
|
А мне всё-таки нравится дух unix, с её строгой традицией прав доступа - владелец, группа, другие, выполнение, запись, чтение - 755, 644... Есть в этом что-то такое... люблю порядок! |
|
Рекомендуем почитать также топики: Virtual Dub делает обработанные файы гигантскими Системник jetAudio Как правильно выбрать LCD монитор Partition Magic |