Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Wpadek AV ciąg dalszy...i nie tylko Symantec ją zaliczył
Cytat:Tavis Ormandy, pracownik elitarnego zespołu Google Project Zero, kilka miesięcy temu ruszył na małą cyberkrucjatę. Za cel swoich badań obrał programy antywirusowe i chyba nie było jeszcze takiego, nad którego poziomem bezpieczeństwa by nie zapłakał. Tym razem pochylił się nad silnikiem Symanteca.
Matka wszystkich dziur
Tavis po analizie kodu Symanteca, występującego w prawie wszystkich produktach tej firmy (w tym także pod marką Nortona) znalazł w nim błąd bijący wszystkie błędy. Przepełnienie bufora w module analizy plików spakowanych starszą wersją aspack nie brzmi może strasznie, ale niestety Symantec uznał za dobry pomysł zaimplementowanie odpakowywania złośliwego oprogramowania na poziomie jądra systemu a do tego jego mechanizmy analizują wszystkie pliki w locie. W praktyce oznacza to, że wystarczy wysłać użytkownikowi Symanteca odpowiedni plik by uzyskać automatycznie, bez żadnej interakcji (odbiorca nie musi odczytywać poczty) maksymalne uprawnienia w systemie (root dla Linuksa czy OS X, ring0 NT Authority\SYSTEM w Windows). Gorzej być nie może.
Poziom znaczenia błędu najlepiej może zilustrować fakt, że pierwsze zgłoszenie Tavisa do Symanteca nie dotarło. Bramka pocztowa (oczywiście produkcji Symanteca) odgadła domyślne hasło archiwum ZIP (infected) i przeskanowała jego zawartość – i padła, bo Tavis przesłał przykładowy plik na dowód tego, ze błąd faktycznie istnieje… Symantec ten błąd już naprawił (jeśli macie licencję to dostaliście poprawkę), lecz jeszcze sporo poprawek przed Wami – Tavis nie ograniczył się do znalezienia jednego błędu.
Nie tylko Symantec
Niestety fatalny poziom bezpieczeństwa kodu nie jest tylko problemem Symanteca – Tavis pokazał już podobne luki w produktach firm takich jak ESET, Kaspersky, Avast, AVG, TrendMicro, Comodo, MalwareBytes, Avira oraz McAfee. Jeśli jakiegoś antywirusa nie ma na tej liście to nie dlatego, ze oparł się urokowi Tavisa – ale dlatego, że jego misja jeszcze trwa i nie zajrzał do każdego produktu. Warto także zaznaczyć, że jego przegląd jest dość powierzchowny – nie trwa jeszcze nawet roku i choć Tavisowi talentu nie brakuje, to można sobie tylko wybrazić, ile błędów może znaleźć zespół 100 chińskich ekspertów w tym samym czasie.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 1 181
Liczba wątków: 36
Dołączył: 12.08.2011
Reputacja:
65
Czytałem, doskonałe.
Wniosek jest taki, że chyba nie idzie odciąć się o wszystkich cyberzagrożeń inaczej niż odłączając internet 
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Bardzo mi się podoba ta krucjata Tavisa 
Punktuje soft za softem - było już chyba z ESETem, Kasperskym, Comodo, teraz Symantec... i bardzo dobrze. Jeszcze aby media (internetowe) to nagłaśniały, to może ludzie przestaną płacić za wydmuszki - bo że to są wydmuszki, to te odkrycia pokazują. Wiadomo, nic idealne nie jest.. ale skala niektórych baboli przytłacza po całości.
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
Ciekawe kiedy zajmą sie aktualizowaniem androida 
Liczba postów: 2 757
Liczba wątków: 56
Dołączył: 14.12.2011
Reputacja:
250
No android ma taki syf że ponad 30% mniej zżera bateria po upgrade 
To ciekawe jaki tam jeszcze burdel jest w tym kodzie ^^
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
@ zord:
Przecież oni aktualizują androida - ba, nawet ja wczoraj dostałem aktualkę do Honora 7 i mam poprawki security na stan z 1 czerwca
To jest kwestia producentów i telekomów, niestety Google nie ma nad tym kontroli - i to zostało zrypane, system powinien mieć od początku mechanizmy umożliwiające aktualizowanie jego istotnych komponentów. Takie zmiany zaszły jednak dopiero od np. Androida 5.0, bo tam mamy np. komponent WebView używany przez inne aplikacje aktualizowany z poziomu Google Play. Czym innym są babole w samym systemie, jak ostatnio ujawniony i dotyczący szyfrowania. Tu jest problem i raczej nikt poprawek nie dostanie.
Suma summarum jest jednak coś jeszcze. Koleś z Google Project Zero wyszukuje luki w oprogramowaniu security. Piętnuje je, a przed publikacjami kontaktuje się z firmami, aby je załatano. To chyba fair układ, że pokazuje się dziurę gdy zostanie zignorowany. Nie wiem więc po co na tego typu działania odpowiadać "niech się zajmą swoim softem". Żaden idealny nie jest, a akurat Tavis jest z zespołu, który wyszukuje dziury w oprogramowaniu firm trzecich. Wolę jednak, aby czy to ludzie z Google, czy MS, czy Apple czy jakiejkolwiek innej firmy je wynajdywali, aniżeli miałby to wynaleźć jakiś pan, który zechce na tym zarobić, kosztem innych.
Tak więc ok, można na nich bruździć, marudzić... ale niezależnie z jakiej by byli firmy, takie osoby wykonują po prostu kawał świetnej roboty.
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
Mi to wygląda na coś w stylu mamy kilkaset milionów dziurawych androidów, gdzie ktoś by to wykorzystał na większą skalę był by prawdziwy armagedon, wiec zacznijmy wytykać dziury wszystkim innym. Taka obrona przez atak.
IMO takie "tłumaczenie" brzmi niesamowicie słabo. Androidy nie są ich, producenci biorą sobie ten system - jest przeca otwarty. A zysk z wyszukiwania dziur w sofcie jest odczuwalny dla każdego. Symantec już załatał znalezione błędy w np. programach Norton. Jakby Tavis, czy ktokolwiek inny tego nie znalazł, to by nadal były i kto wie, czy nie zostałyby wykorzystane.
Tak więc mówiąc otwarcie: dla mnie takie jechanie po Ormandy'm tylko dlatego, że jest z Google, które nie tworzy softu ani idealnego, ani nawet bardzo dobrego (a i nikt inny tego nie robi) jest najzwyczajniej w życiu słabe i najprędzej zdradza jakiś uraz do tej - czy też innej - firmy
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
02.07.2016, 18:06
(Ten post był ostatnio modyfikowany: 02.07.2016, 18:09 przez zord.)
Google ma swój VRP ludzie zgłaszają im błędy i odbywa się to bez żadnego rozgłosu, Google Project Zero to taki bardziej medialny produkt wyszukują błędy ale patrząc z boku wygląda to po prostu na show.
Co do androida producenci brali co Google dawało, wiec nie można powiedzieć że nie jest ich a producenci mieli sami dorobić sobie normalny mechanizm aktualizacji bo to przecież otwarty system.
Ale VRP to program dla każdego zainteresowanego, ba, oni nawet oferują naprawdę wysokie stawki w porównaniu do tego, co jest u konkurencji. Druga sprawa, że rozgłos jest. Polskie nazwiska już dobre kilka razy pojawiały się na listach łatanych błędów przy publikowaniu nowej wersji Chrome.
A co do działań Google Project Zero, to nie nazwałbym tego show:
[Aby zobaczyć linki, zarejestruj się tutaj]
Mogliby przecież informować głośno o wszystkim... a tymczasem na ich blogu nie ma np. info o problemach Symanteca. To media przekazując takie informacje robią z tego show. Ale moim zdaniem to dobrze, bo lepiej aby ludzie wiedzieli, że płacąc nie dostają ideałów.
|
