Danilka

Sophos: UAC не защитит вас от вредоносного ПО

В этой теме 7 сообщений

Запись в блоге, сделанная старшим инженером по безопасности компании Sophos, Честером Вишниевски (Chester Wisniewski), гласит, что недавние тесты Sophos показали, что функция User Account Control, которая запрашивает у пользователя разрешение для предоставления повышенных привилегий, является неэффективной в деле предотвращения выполнения образцов вредоносного ПО на компьютере под управлением Windows 7, если на нем нет антивируса.

В то время, как два из десяти выбранных образцов вредоносных программ вовсе не могли запуститься в Win7, всего один образец (червь с низким показателем распространения под названием W32/Autorun-ATK) был остановлен UAC. Остальные семь легко запустились.

Среди тех вредоносных объектов, которые беспрепятственно запустились на тестовом компьютере, следует отметить Troj/FakeAV-AFY и Troj/FakeAV-AFX, два трояна с низким уровнем опасности, которые видны даже при проверке бесплатным антивирусом; Mal/EncPk-KY и Mal/EncPk-KP, два средненьких спам-вируса; Troj/Agent-LIW, троян, который управляет поведением Internet Explorer; Troj/Zbot-JN, троян, который пытается украсть банковские данные, маскируясь под анонимный e-mail-запрос, и W32/Autorun-ATC, червь, изменяющий сценарий запуска.

"UAC заблокировал лишь один образец, однако, его неспособность блокировать все остальные лишь подтверждает мое предупреждение касаемо Windows 7, что конфигурация UAC по умолчанию не является эффективным средством защиты ПК от современных вредоносных программ" - пишет Вишниевски.

Конфигурация по умолчанию изменилась в Windows 7, став на один уровень ниже (при этом перестала раздражать некоторых пользователей), чем в Vista. В процессе тестирования в начале этого года, это решение Microsoft стало причиной серьезных разногласий касаемо эффективности решения и, в частности, возникновения привилегии самоуправляемых привилегией, которую все сочли подарком для авторов эксплойтов.

Как рассказал Вишниевски нашему изданию, в его намерения не входило доказательство неэффективности UAC, однако, он хотел показать, что Windows 7 может быть уязвима в такой конфигурации.

"Это был небольшой тест, чтобы определить эффективность административных прав посредством использования только UAC, чтобы обеспечить защиту от вредоносных программ компьютера под управлением Windows 7" - объяснил Вишниевски. "Я не проверял, как будет вести себя Windows 7 в случае, когда UAC работает в режиме Vista".

Но если решением проблемы является антивирус (а Sophos, конечно же, является разработчиком антивирусного ПО), то какой толк в UAC?

"Я сделал несколько последующих тестов, хотя, как и в случае с вредоносным программным обеспечением, для этого все же надо немного времени, чтобы безопасно выполнять эти тесты. У меня появились кое-какие данные и результаты, на основании которых я поделился своими рекомендациями касаемо UAC " - он ответил. "Я просто хотел предупредить пользователей, что UAC не может эффективно защищать компьютеры от вредоносных программ. Я думаю, Microsoft признает это, что отражается в их усилиях по увеличению безопасности в Microsoft Forefront и Essentials". Но в целом Sophos считает, что UAC неэффективен против вредоносного ПО, работа которого основана на увеличении уровня привилегий, даже если это ПО не входит в число самых опасных вирусов.

"Мы не выбирали конкретные образцы, взяв лишь десять наиболее свежих и наиболее распространенных. Большинство из них были относились к типу 'Fake AV', даже если в названии образца это не указано. У нас есть общие средства для обнаружения вредоносного ПО, их групп и других подобных гадостей. С надлежащей защитой от вредоносных программ Windows 7 намного безопаснее" - признали инженеры по безопасности Sophos.

"UAC лишь представляет собой дополнительный уровень защиты, который поможет в случае, если вашему антивирусу не удалось обнаружить новой образец. Правда, на моем опыте подобных случаев не было".

Источник: http://www.betanews.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Какой бред. UAC - это триггер скачкообразного повышения привилегий. Каким образом он должен был предотвращать запуск не требующих этих привилегий сэмплов? И вообще не факт, что отработавший сэмпл достигнет своих целей. И не ясно была ли это x64 или x32 винда. И пр. и пр.

Похоже им нужна была статья с N-м количеством знаков т.к. пришло время что-то написать. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Может они что то не знают? :D

Да - что спят. А во сне можно такого понаписать... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой бред. UAC - это триггер скачкообразного повышения привилегий. Каким образом он должен был предотвращать запуск не требующих этих привилегий сэмплов? И вообще не факт, что отработавший сэмпл достигнет своих целей. И не ясно была ли это x64 или x32 винда. И пр. и пр.

Похоже им нужна была статья с N-м количеством знаков т.к. пришло время что-то написать. :)

Sophos всего лишь озвучил официальную позицию Microsoft, которой уже несколько лет

To help prevent malicious software from silently installing and causing computer-wide infection, Microsoft developed the UAC feature.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sophos всего лишь озвучил официальную позицию Microsoft, которой уже несколько лет

А мне показалось, что они открыли для себя большую тайну - UAC не является антивирусом.

Само проведение такого теста показывает, что автор ничего не понимает ни в UAC ни в безопасности W7, а только услышал/прочитал пару знакомых слов о семёрке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот и ответ MS:

После скандальной публикации сотрудником компании Sophos, которую многие читатели сочли лишь за попытку черного пиара с помощью заголовков наподобие "Windows 7 беззащитна против 80% вредоносного ПО", Microsoft, наконец-то, открыла ответный огонь. В своем блоге Пол Кук (Paul Cooke), директор Windows Enterprise Client Security, пояснил, что претензии Sophos являются, мягко говоря, необоснованными.

"Я не фанат компаний, делающих сенсационные заявления о Windows 7, чтобы продать побольше своего собственного программного обеспечения" - написал он. "Этот тест лишь показывает, что большинство людей намеренно запускают известные вредоносные программы на своих компьютерах. Вредоносные программы обычно проникают в систему другими путями, будь то браузер или почтовая программа. Таким образом, хотя я и совершенно согласен, что антивирусное программное обеспечение имеет важное значение для защиты вашего ПК, есть и другие необходимые средства защиты".

Тесты компании Sophos были выполнены совершенно некорректно, потому что вредоносное ПО запускалось на никоим образом незащищенных системах, на которых не было установленного антивирусного программного обеспечения. Microsoft всегда рекомендует клиентам устанавливать антивирусное ПО, тем более, что ранее в этом году Microsoft выпустила бесплатное антивирусное решение - Microsoft Security Essentials, - которое доступно в том числе и для Windows 7. Microsoft никогда не утверждала, что для Windows 7 не требуется антивирусное программное обеспечение.

"Я согласен с Sophos в том, что вам все равно придется установить антивирусное решение, чтобы защитить компьютер под управлением Windows 7" - отметил Кук. "Но также не менее важно держать все программное обеспечение в актуальном состоянии через службы автоматического обновления, например, через службу Windows Update. Настроив свой компьютер для автоматической загрузки и установки обновлений, вам будет обеспечен высочайший уровень защиты от вредоносных программ и других уязвимостей ".

"Windows 7 построена на платформе безопасности Windows Vista, в которой применяется серьезнейший подход к защите пользователей от вредоносного ПО" - объясняет он. "В результате при разработке Windows 7 применялись усовершенствованные технологии, которые сделали Windows Vista одной из менее уязвимых ОС на рынке.

Настоящая проблема заключается в том, что предоставляя своим клиентам бесплатные антивирусные программы, Microsoft переходит дорогу другим компаниям, выпускающим антивирусы, таким как Sophos. Эти компании создали богатый бизнес, в котором их продукция прекращает обновляться после того, как срок действия ключей заканчивается, оставляя своих пользователей уязвимыми. Microsoft сначала попытались создать свою собственный недорогой продукт для обеспечения безопасности, OneCare, но затем компания приняла решение заменить его бесплатным Microsoft Security Essentials, который не оставит пользователей незащищенными.

Таким образом, Sophos своей публикацией лишь подтвердила, что компании нельзя доверять.

Источник:

http://www.windowsitpro.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Kaela Mensha Khaine
      Всем привет! 

      В системе (Windows 7 SP1) завелся подозрительный процесс, называется себя Swstem, в Process Explorer никаких данных по нему нет(вот тут https://drive.google.com/drive/folders/1v3mwDtdKzv-DvM4Qg_LR_H5BziUxEO7C?usp=sharing скрин, называется System), периодически пытается использовать сеть. Сильно подозреваю, что вирус или шпион, Spybot'ом сканировал, ничего, убиваю его, он снова возвращается. Антивирус (Avira) молчит. Как мне все таки найти, откуда запускается этот процесс и что это вообще такое? И как его удалить?
    • krovlime
      Строительство домов в Томске – это основное направление нашей компании. На нашем счету более сотни деревянных домов, в которых живут наши клиенты. И это не удивительно, ведь мы занимаемся строительством домов в Томске для вас уже с 2009 года. За это время мы накопили огромный опыт и наладили основные бизнес-процессы компании. Каждый этап строительства выполняется профессионалами и проходит под пристальным контролем ответственных лиц. Так мы добиваемся высоких показателей качества. Для строительства мы используем качественные строительные материалы от наших партнеров, что также положительно влияет на конечный результат – дом вашей мечты. Наша компания предлагает строительство домов в Томске под ключ и под усадку. Очень удобно на протяжении всего строительства работать с одним и тем же подрядчиком. Помимо непосредственно строительства домов в Томске мы выполняем множество других работ, такие как: строительство бань, веранд, беседок; устройство свайного и ленточного фундамента; кровельные, фасадные, отделочные работы; монтаж заборов, выгребных ям и септиков. Разные виды работ у нас выполняют разные специалисты, так что каждый занимается своим делом, тем, что он умеет делать лучше всего. Мы работаем с такими материалами как: нестроганый брус, профилированный брус, оцилиндрованное бревно и каркасное строительство. Строительство домов в Томске из нестроганого бруса – самый дешевый способ строительства своего жилища. Такой материал обладает рядом преимуществ, это: уже упомянутая дешевизна, а также экологичность и отличная звуко и теплоизоляция (хотя стоит отметить, что без дополнительных работ по утеплению комфортных показателей теплоизоляции добиться не удастся). Строительство домов в Томске из профилированного бруса – более дорогой вариант, но и плюсов у него больше. Например, наличие замков положительно влияет на уровень теплоизоляции. Стены из профилированного бруса не требуют дополнительной отделки с внутренней стороны, а с наружней достаточно хорошенько отшлифовать, обработать огне-биозащитой и покрыть слоем лака или краски, выглядеть дом при этом будет отлично. Дома из оцилиндрованного бревна обладают презентабельным и даже шикарным внешним видом, а строительство домов в Томске по каркасной технологии подойдет для реализации самых сложных архитектурных решений. Строительство домов в Томске ооорост70.рф
    • krovlime
      Как утеплить мансарду своими руками: 

      Утепление крыши и стен мансарды очень важный момент в ее строительстве и последующей эксплуатации. Утепленная мансарда увеличит полезную жилую площадь, защитит основные помещения дома от холода и жары при разных погодных условиях. 

      Выбор материала для утепления 

      Утепление мансарды можно выполнить искусственными или природными материалами. Теплоизоляция экологически чистыми натуральными материалами имеет свои недостатки – горючесть. Поэтому, используя в качестве утеплителя камыш, солому, гранулированную бумагу, трапы из морских водорослей и другие материалы, необходимо учитывать их пожароопасность, сравнительно небольшой срок службы и навыков по их монтажу.Наряду с натуральными, рынок стройматериалов предлагает огромный выбор искусственных утеплителей, обладающих рядом преимуществ по сравнению с природными теплоизоляциями.Самыми распространенными являются стекловата, минеральная вата из горных пород базальтов и искусственные плиты полистирольной группы материалов. 

      Минеральная вата относится к экологически чистому негорючему материалу, не влияет на здоровье человека и окружающую среду. Минвата обладает низкой теплопроводностью, то есть зимой хранит тепло, а летом противостоит перегреву. Имеет длительный эксплуатационный период. Выпускается в виде плит и матов, которые легко пропускают пары влаги. Утепление пенополистирольными материалами имеет свои положительные стороны. Они не бояться воды, отличные теплоизоляции, не поддерживают горения. Выпускаются в виде плит, легко монтируются. К недостаткам можно отнести плавление при высокой температуре с выделением ядовитого газа и высокую цену. 

      Технология утепления 

      Необходимость утепления крыши или мансарды необходимо учитывать еще при возведении дома. Поэтому стропила при монтаже крыши устанавливают на расстоянии ширины теплоизоляционных плит или матов. Сама технология утепления зависит от материала. 
      При применении минеральной или стекловаты на стропила набивается решетка или обрешетка, на не настилается гидроизолирующая пленка. Изолят противостоит поглощению влаги «ватой». На слое гидроизоляционной пленки с внешней стороны закрепляется контро обрешетка. Образующийся зазор выполняет функцию вентиляции. Между стропилами укладываются «ватные маты», которые с внутренней стороны помещения покрываются пароизоляционным материалом. 

      При утеплении полистирольными плитами гидро– и пароизоляционные слои пленки не нужны, так как сами плиты обладают гидрофобными свойствами. Плиты укладываются в два слоя. Первый, толщиной 8 см размещается между стропилами, а второй толщиной 5 см закрывает полностью стропила с основным слоем утеплителя, изолируя дом от проникновения извне холодного или горячего воздуха. 

      После укладки утеплителей стены и потолок мансарды отделываются гипсокартонными листами с последующей оклейкой обоями или вагонкой. Кровельные работы в томске krovlime.ru
    • Ego Dekker
      Год назад программа-вымогатель WannaCryptor.D (также известная как WannaCry и WCrypt) вызвала одни из самых разрушительных последствий в цифровом мире. И хотя сама угроза уже не представляет большой опасности, эксплойт EternalBlue, который вызвал волну распространения, по-прежнему угрожает системам без надлежащей защиты и примененных исправлений. По данным телеметрии ESET, его распространенность в течение последних нескольких месяцев растет, а недавно уровень выявления угрозы превзошел самые высокие показатели 2017 года. EternalBlue использует уязвимость (в Microsoft Security Bulletin MS17-010) реализации протокола Server Message Block (SMB) в устаревшей версии Microsoft. В результате атаки киберпреступники сканируют Интернет на наличие открытых портов SMB, а обнаружив их, запускают код эксплойта. При наличии уязвимости злоумышленники запускают выбранный под жертву компонент. Именно с помощью этого механизма год назад через сеть распространялась угроза WannaCryptor.D. Согласно данным телеметрии ESET, в течение следующих месяцев после пика распространения WannaCryptor количество попыток использовать эксплойт EternalBlue уменьшилась до сотни в день. Однако с сентября прошлого года использование угрозы начало медленно расти, достигнув новых высоких показателей в середине апреля 2018 года. Выявления EternalBlue в течение 2017-2018 годов в соответствии с ESET Live Grid® Стоит отметить, что метод проникновения EternalBlue на компьютеры пользователей не является успешным на устройствах с защитой ESET. Один из нескольких уровней защиты — Модуль защиты сети от атак — блокирует эту угрозу на начальном этапе. Это подтвердилось во время распространения WannaCryptor 12 мая 2017, а также всех предыдущих и последующих атаках киберпреступников. Напомним, эксплойт EternalBlue использовался во многих высокопрофильных кибератаках. Кроме WannaCryptor, эксплойт также применялся во время атаки Diskcoder.C (также известная как Petya, NotPetya и ExPetya) в июне 2017 года, а также программы-вымогателя BadRabbit в 4-м квартале 2017 года. EternalBlue также использовался группой киберпреступников Sednit (также известная как APT28, Fancy Bear и Sofacy) для атак сетей Wi-Fi в европейских отелях. Кроме этого, эксплойт стал одним из механизмов распространения вредоносных программ для майнинга криптовалюты. А совсем недавно EternalBlue был использован для распространения программы-вымогателя Satan. Напомним, эксплойт EternalBlue якобы был похищен из Агентства национальной безопасности (NSA), вероятно, в 2016 году. В Интернет угроза попала 14 апреля 2017 благодаря группе Shadow Brokers. Компания Microsoft опубликовала обновление, которое фиксируют уязвимость SMB 14 марта 2017, но до сих пор в реальной среде есть множество машин без примененных исправлений. Этот эксплойт и все атаки с его использованием показывают важность своевременного применения исправлений, а также потребность в надежном и многоуровневом решении для защиты, которое может заблокировать этот и другие вредоносные инструменты. Пресс-выпуск.
    • Ego Dekker