Matousec: Proactive Security Challenge

[Виталий Я. 859]

Верится с трудом. Outpost free долгое время по показателям обходил платную версию. Это чтоб поменять их местами, надо было отстегнуть? Да и Касперский там на достаточно почетном месте. Ссориться не хотят или платят? Мутная история...

Вендорам неважно, затачивают ли конкуренты под тесты свои продукты или нет. Обидно, хочется обогнать, но в конечном счете только неудачники объясняют, почему они выходят из тестов. То, что Comodo, Online Armor и другие имеют свои "рояли в кустах" против набора тестов Proactive Security Challenge, это их проблема - Матушек может и опозорить на всю аудиторию, если вожжа попадет кое-куда.

Тестировщикам важно следующее: тестировщики нашли способ получать за платные услуги, они апдейтят результаты одного продукта раз в полгода, а оплата премиум-участия позволяет податься на ре-тест до истечения 6 месяцев и (если постарались) улучшить результат.

[NOSS 130]

Спасибо за ответ. Это один нормальный ответ из всех.

[dr_dizel 385]

Интересная статься Как народ отностится к данной проблеме? В списке уязвимых масса известных продуктов.

Метод вполне реальный и крайне простой в реализации, на вскидку даже не видно надежного способа защиты от него.

Все обозлились на Матусека даже не за то, что он окунул практически всех ядерных УГ-разработчиков в коричневый туториалный мегабоян и показал их детскую некомпетентность, а за то, что он хотел чтобы они за это ещё и заплатили. Теперь мало кто сидит молча и обтекает.

А пользователи ждут фиксов с надеждой, что ими УГ-разработчики не заставят их мегадорогие многоядерные процы работать как бюджетные целероны.

[sww 486]

Все обозлились на Матусека даже не за то, что он окунул практически всех ядерных УГ-разработчиков в коричневый туториалный мегабоян и показал их детскую некомпетентность, а за то, что он хотел чтобы они за это ещё и заплатили. Теперь мало кто сидит молча и обтекает.

Вылез недо-эксперт и как обычно показал свою некомпетентность (давно мы на Ч.О. не собирались, да баграми таких не топили).

Итак, проблема есть, она известна, она "сложновато эксплуатируется". Как обычно говорят - It depends...

Да, перехваты SSDT - не самый лучший вариант, но почему-то мало кто помнит, что такой атаке подвержены перехваты и другого типа (сплайсинг, например).

P.S. От Дизеля в течении недели жду исходников тулзы на VBS/BAT/c/c++/delphi/fortran/etc..., которая эксплуатирует уязвимость функции NtCreateKey. Покажешь мастер-класс нам всем убогим? Удиви меня! А потом с честью и статусом эксперта критикуй нашу детскую некомпетентность.

[Виталий Я. 859]

Самое смешное, что все более-менее не валящие тесты Матусека конторы даже не подумали оправдываться. А вот на F-Secure, Eset и еще кое-ком шапки горят.

[spw 190]

Самое смешное, что все более-менее не валящие тесты Матусека конторы даже не подумали оправдываться. А вот на F-Secure, Eset и еще кое-ком шапки горят.

ESET просто спер информацию, изложенную мной. Ну, впрочем, не он один. В этом плане могу написать то, что уже писал про эту компанию. Но более сжато: "ESET - такой ESET..."

Порадовали ребята из GData. Вначале написали, что проблемы нет, потом написали, что проблема - элементарна и они ее уже исправили. Тестируется и скоро уйдет в релиз. Меня убило, как можно исправить то, чего нет? Но это не все. Я более чем уверен, что их исправление для ситуации с handle'ами либо отсутствует напрочь, либо вызывает огромные тормоза в системе, либо является частным случаем и не решением проблемы "теоретически" (фундаментально), то есть легко обходится.

[dr_dizel 385]

Вылез недо-эксперт и как обычно показал свою некомпетентность (давно мы на Ч.О. не собирались, да баграми таких не топили).

Да видели те сборища. Там предлагали решать проблему монопольным захватом ресурсов. Я бы таких УГ-разработчиков к многоядерным системам на пару парсек не подпустил, ну а к целеронам на пушечный выстрел.

Итак, проблема есть, она известна, она "сложновато эксплуатируется". Как обычно говорят - It depends...

Да проблеме сто лет в обед. Чуть выше уровнем переполнения буфера и уже все "поплыли"? Азы так сказать, а вы "эксперты" да "эксперты"... Бедняжки. Не думали не гадали, а тут такое. "Внезапно" (с).

P.S. От Дизеля в течении недели жду исходников тулзы на VBS/BAT/c/c++/delphi/fortran/etc..., которая эксплуатирует уязвимость функции NtCreateKey. Покажешь мастер-класс нам всем убогим? Удиви меня! А потом с честью и статусом эксперта критикуй нашу детскую некомпетентность.

Ага. Это говорит человек, который на просьбу о конкретных действиях как эксперта портала, а не обычного своего говорения, просит 30k$. Да-да-да. Вы сказали и все подорвались. Только разбег возьмут.

Самое смешное, что никто не подумал, что Матусек мог действительно ничего не знать о проблеме, а заново открыть её. А тут сразу "он вор". Может давайте ещё патентовать баги?

[spw 190]

Да проблеме сто лет в обед. Чуть выше уровнем переполнения буфера и уже все "поплыли"? Азы так сказать, а вы "эксперты" да "эксперты"... Бедняжки. Не думали не гадали, а тут такое. "Внезапно" (с).

Не хотелось бы Вас обижать лишний раз, но я уверен, что вот лично Вам эта проблема не была известна. Более того, я уверен, что особенности ее реализации Вам непонятны до сих пор.

Самое смешное, что никто не подумал, что Матусек мог действительно ничего не знать о проблеме, а заново открыть её. А тут сразу "он вор". Может давайте ещё патентовать баги?

Я про это говорил. И повторю еще раз, если потребуется: если Matousec, якобы, не знал об этой проблеме - это непрофессионал. И он еще раз расписывается в этом. Ибо человек, который постоянно занимается этой деятельностью (исследования в области ИБ), мониторит и изучает все материалы по этим вопросам. Если он находит что-то, то он ищет сопутствующие материалы, результаты других исследований, сопоставляет их и т.д. (Что такое "список литературы" или ссылки на другие работы - думаю не нужно объяснять). А эти ведь проблемы не раз обсуждались на различных конференциях. "Переизобрести" через 7-14 лет, являясь "специалистом" в этой области - извините, но это смешно. Я уже писал, это примерно как сейчас "изобрести" радио и начать спамить все заводы и производства: "Я изобрел удивительное устройство, никому неизвестное в мире, оно приведет к краху всей почтовой системы, это устройство я назвал KH-адио, 8-ое поколение. Срочно купите мою схему".

[Виталий Я. 859]

Я про это говорил. И повторю еще раз, если потребуется: если Matousec, якобы, не знал об этой проблеме - это непрофессионал. И он еще раз расписывается в этом. Ибо человек, который постоянно занимается этой деятельностью (исследования в области ИБ), мониторит и изучает все материалы по этим вопросам. Если он находит что-то, то он ищет сопутствующие материалы, результаты других исследований, сопоставляет их и т.д. (Что такое "список литературы" или ссылки на другие работы - думаю не нужно объяснять). А эти ведь проблемы не раз обсуждались на различных конференциях. "Переизобрести" через 7-14 лет, являясь "специалистом" в этой области - извините, но это смешно. Я уже писал, это примерно как сейчас "изобрести" радио и начать спамить все заводы и производства: "Я изобрел удивительное устройство, никому неизвестное в мире, оно приведет к краху всей почтовой системы, это устройство я назвал KH-адио, 8-ое поколение. Срочно купите мою схему".

Давайте же настойчиво перегибать палку и объявлять Матусека баг-троллем! Либо выберем способ отвечать ему разумными технически выверенными комментариями в блогах, а не форумские свары устраивать с подменой противника.

[dr_dizel 385]

Не хотелось бы Вас обижать лишний раз,

Так вы пришли сюда меня обижать? Зачем?

но я уверен, что вот лично Вам эта проблема не была известна. Более того, я уверен, что особенности ее реализации Вам непонятны до сих пор.

Почему вы так уверены? Вы гадаете на картах? Или просто уверены в уверенности? Уточните.

А по сабжу было чувство дежавю т.к. я давно читал туториал, вот только не смог его сейчас найти. Непрофильный актив. Да и что может быть непонятного скажем в подмене другим потоком данных по указателю, когда они прошли проверку перехватчиком, но перед выполнением оригинального обработчика?

Я про это говорил. И повторю еще раз, если потребуется: если Matousec, якобы, не знал об этой проблеме - это непрофессионал. И он еще раз расписывается в этом. Ибо человек, который постоянно занимается этой деятельностью (исследования в области ИБ), мониторит и изучает все материалы по этим вопросам... А эти ведь проблемы не раз обсуждались на различных конференциях.

Вы снова уверены в уверенности того, что я хочу оправдать Матусека. Нисколько. Вы ещё раз подтвердили собственным примером, что все эти УГ-разработчики уязвимых продуктов (там у Матусека список есть) заслуженно и гордо носят имя УГ-разработчиков и (как там у вас?) - "это непрофессионал"ы.

[spw 190]

Почему вы так уверены? Вы гадаете на картах? Или просто уверены в уверенности? Уточните.

А по сабжу было чувство дежавю т.к. я давно читал туториал, вот только не смог его сейчас найти. Непрофильный актив. Да и что может быть непонятного скажем в подмене другим потоком данных по указателю, когда они прошли проверку перехватчиком, но перед выполнением оригинального обработчика?

С буфером - ничего. Я про буферы ничего и не говорил. Это самое тривиальное как в плане воспроизведения, так и в плане исправления.

Вы снова уверены в уверенности того, что я хочу оправдать Матусека. Нисколько. Вы ещё раз подтвердили собственным примером, что все эти УГ-разработчики уязвимых продуктов (там у Матусека список есть) заслуженно и гордо носят имя УГ-разработчиков и (как там у вас?) - "это непрофессионал"ы.

Не хочу повторяться, поэтому поставлю линк на возможные причины различных компаний.

Вы только что сказали, что "никому в голову не приходит, что он мог это найти сам независимо" -- это был ответ на данную фразу. Не более.

Что касается УГ-разработчиков - в большей степени так и есть. Но далеко не все люди, и не все компании. С точки зрения реальной безопасности пользователя: "Нет проблемы - нет смысла защищать". И с точки зрения не моего идеального мира, а реального мира - это вполне оправданно. Вы же не ходите в костюме хим-защиты по улице? А ведь неожиданно может где-нибудь прорвать трубу с газом или выпадут кислотные осадки. Очевидно -- нет проблемы - нет решения. Появится проблема (либо ее потенциал будет бОльшим, чем теоретические измышления) - появится решение. Именно это сейчас и происходит. (В случае it-sec это: mass-media -> itw или itw -> mass-media; сейчас идет по пути #1).

P.S. Я за идеальный мир. Но в этом неидеальном мире создание идеалов стоит денег. И больших. К сожалению.

[dr_dizel 385]

С буфером - ничего. Я про буферы ничего и не говорил.

Я тут тоже не понял почему вы ответили на буферы, если речь шла про сабж где, идёт подмена, например, самой строки, чей указатель в стеке как параметр. О, даже минусанули за это. За что? Просто хочется адекватности.

Вы только что сказали, что "никому в голову не приходит, что он мог это найти сам независимо" -- это был ответ на данную фразу. Не более.

Это палка о двух концах. Почему Матусек не знал и он вор и бездарь, а УГ-разработчики тоже не знали, но они розовые и пушистые? А?

Что касается УГ-разработчиков - в большей степени так и есть... "Нет проблемы - нет смысла защищать". Вы же не ходите в костюме хим-защиты по улице?.. Появится проблема (либо ее потенциал будет бОльшим, чем теоретические измышления) - появится решение. Именно это сейчас и происходит. (В случае it-sec это: mass-media -> itw или itw -> mass-media; сейчас идет по пути #1).

Так дело же в том, что предлагают продукты, которые "защищают от всех известных угроз", а иногда даже и "неизвестных". На портале даже какой-то тест для защиты от зеродеев есть. Уязвимости есть? Да. Актуальны? Да. Почему не закрыты? Лень? У вирусописателей недостаточно квалификации? Требует ресурсов? Хм. Я вот бы даже отнёс причину сабжа к плохому стилю программирования, к уровню профессионализма, чем к очередному багу в продукте. Это должно не фикситься, а "лечиться".

[spw 190]

Я тут тоже не понял почему вы ответили на буферы, если речь шла про сабж где, идёт подмена, например, самой строки, чей указатель в стеке как параметр. О, даже минусанули за это. За что? Просто хочется адекватности.

Я об этом и говорил (про "буферы"). Минусанул не за это, а за общее содержание и направление поста. Считаю минус адекватным, скажу даже больше -- по-моему (на 100% не уверен) это первый минус, который я вообще поставил кому-либо.

Это палка о двух концах. Почему Матусек не знал и он вор и бездарь, а УГ-разработчики тоже не знали, но они розовые и пушистые? А?

Matousec лжец и вор (а не вор и бездарь) по изложенным уже ранее причинам. См. текст его статьи, пафос вокруг этого, ну и дополнительно - требование денег за то, что есть в свободном доступе, найдено раньше него на 7 лет, опубликовано там же, ... и еще 10-ок доводов в эотм направлении.

Как Вы выражаетесь, "УГ-разработчики" розовые и пушистые - в Вашем представлении. Я нигде этого не говорил. (См. выше мое описание ситуации с GData и "таким ESET"). Я лишь сказал, что среди разработчиков есть те, кто даже знал об этом, но не делал никаких телодвижений в эту сторону по причине бессмысленности решения этой проблемы, не актуальности (смотрим срез на тот момент), задвинутости ее на очень дальние планы и т.д. И я считаю это вполне нормальным в условиях реального мира.

Так дело же в том, что предлагают продукты, которые "защищают от всех известных угроз", а иногда даже и "неизвестных". На портале даже какой-то тест для защиты от зеродеев есть. Уязвимости есть? Да. Актуальны? Да. Почему не закрыты? Лень? У вирусописателей недостаточно квалификации? Требует ресурсов? Хм. Я вот бы даже отнёс причину сабжа к плохому стилю программирования, к уровню профессионализма, чем к очередному багу в продукте. Это должно не фикситься, а "лечиться".

Как предложите решение проблемы с хэндлами, да еще чтобы оно не подпадало под критерии, изложенные мною для GDATA (три критерия: тормоза ОС, частное решение, нарушение логики работы ОС) [я не буду публично вдаваться в подробности Вашего решения - просто для себя вынесу оценку "да" или "нет"], я поставлю Вам два плюса. Один - для убирания предыдущего минуса, второй - плюсование за дело. А пока лишь слышу те же фразы, что и от GData/ESET - "тривиальная проблема - все #удаки".

[dr_dizel 385]

Я об этом и говорил (про "буферы"). Минусанул не за это, а за общее содержание и направление поста. Считаю минус адекватным, скажу даже больше -- по-моему (на 100% не уверен) это первый минус, который я вообще поставил кому-либо.

Это даже не толстый троллинг, а откровенная ложь. Вы сказали, что пришли меня обидеть, заранее уверены в моей некомпетентности, поставили минус с однозначным комментарием что я ни в чём не разбираюсь. Когда же я показал, что понимание и компетентность у меня на должном уровне, а вы и ваши дружки по ЧО просто пытаетесь меня оболгать - вы придумываете какое-то "общее содержание и направление поста". Ну что же, это и многое другое красочно показывает вашу сущность, ваш "стиль" общения. Вот в этом суть, а на репу мне параллельно.

Matousec лжец и вор (а не вор и бездарь) по изложенным уже ранее причинам.

Не факт. Многие не знали про такие уязвимости и колбасили на продажу защитные продукты. Некоторые знали, но также ничего не правили в продаваемых продуктах. Вы сами об этом пишите. Матусек же за продажу уязвимых защитных продуктов денег не брал. Он зарабатывает на тестировании. Антималваре занимается схожей деятельностью кстати за деньги. Каждый зарабатывает на предоставляемых услугах и рекламирует их.

А теперь о Матусике, как о "это непрофессионал"е, но не "бездаре". Нельзя знать всё. То, что он не знал о проблеме - плохо. Но. Он сам её заново открыл (в конце статьи он пишет об этом). Понимаете? Он не вычитал это где-то в туториале или на форуме. Нет. Он сам обнаружил уязвимость и исследовал её. Легко быть умным "задним" умом, вычитать про уязвимость, а потом бегать и понтоваться на форумах. Вычитал - это +1. А сам открыл и разобрался - это +100. Таким образом, уровень профессионализма Матусека тут не упал, как вы хотите представить, а наоборот. Матусек "подрос". И ничего нет плохого, что он зарабатывает свой хлеб своими исследованиями и тестами. Есть конечно там тёмные пятна, как они есть и у других игроков АВ-рынка. А многие намного хуже Матусека.

Как Вы выражаетесь, "УГ-разработчики" розовые и пушистые - в Вашем представлении. Я нигде этого не говорил...

А я и не говорил, что это вы говорили. Читайте внимательнее.

Смысл был в том, что не надо тут делать Матусека козлом отпущения. Кривые руки не у него. Доказательств воровства идеи у вас нет. Есть только измышления в которых вы снова уверены просто из уверенности. Вопросы его рекламы и игре на рынке тоже не в вашей компетенции.

В итоге у вас ничего нет. Есть только одна история. История человека, который пришёл на форум с историей фолсов на дампер ключей, который распространяется в исходниках, но зачем-то паковался всякой фигнёй, на что ругались антивирусы. Сэмпл сего творения был уничтожен, но была написана целая статья и проч., пошло поехало. Да. На форум часто забегают такие "залётные", но их быстро приструнивают. Всё бы ничего, но приход этого человека совпал с отказом одного известного форумчанина от работы за деньги на портал (не хотел кривить душой и стать "проституткой"). Стало понятно, что выделен некоторый бюджет на определённые цели. Оставалось только ждать развития событий. И они не заставили себя долго ждать. Вся эта история очернения Матусека и его тестов на фоне конкурирующего портала антималваре как-то "попахивает". Не находите?

Как предложите решение проблемы с хэндлами... А пока лишь слышу те же фразы, что и от GData/ESET - "тривиальная проблема - все #удаки".

Вот вы снова переводите стрелки. Придумываете какие-то цитаты.

Сейчас для АВ-рынка "момент истины" по данному вопросу. Проблема интересна, интересна реакция и меры игроков этого рынка. Будем следить.

[sww 486]

Вы сказали, что пришли меня обидеть, заранее уверены в моей некомпетентности, поставили минус с однозначным комментарием что я ни в чём не разбираюсь.

Дизелюшка, ты сам виноват в этом - нес ересь в различных темах, касающихся технической стороны вопроса. Объяснять почему это ересь - это как разговор человека с капустой - бесполезно, ты все-равно не поймешь (хотя мы и пытались, да утомились).

Когда же я показал, что понимание и компетентность у меня на должном уровне,

Да откуда это видно то??? Ну расскажи нам пожалуйста что-нибудь про технические аспекты данной атаки, про различные решения, чтобы атаку предотвратить и т.д. Пока что сплошная вода и болтология в стиле: "все вендоры #удаки - хахаха, так им и надо".

Стало понятно, что выделен некоторый бюджет на определённые цели. Оставалось только ждать развития событий. И они не заставили себя долго ждать. Вся эта история очернения Матусека и его тестов на фоне конкурирующего портала антималваре как-то "попахивает". Не находите?

Paranoid mode [on].

Сейчас для АВ-рынка "момент истины" по данному вопросу. Проблема интересна, интересна реакция и меры игроков этого рынка. Будем следить.

Никакой это не момент истины. Теоретическая атака, ничего ItW, не было смысла делать.

[Mrs Ganzalis 0]

Да и Касперский там на достаточно почетном месте. Ссориться не хотят или платят? Мутная история...

Что мутного то. Касперский на том месте где надо, не думаю что этой то лаборатории надо платить за тесты. Они итак себя хорошо зарекомендовали.

[Mr. Justice 771]

Оффтопик удален.

sww, sp0Raw , dr_diezel - предупреждение за флейм

Danilka, Fixxxer - предупреждение за явный оффтопик

sda - предупреждение за троллинг и оффтопик

[Lias 5]

вот уже видны промежуточные результаты

в топе - не самые распиаренные продукты, притом есть бесплатные

[GReY 35]

Матусек временно дисквалифицировал Online Armor, только я не очень понял, за что

[OlegAndr 236]

Зато протестил KIS 2011. Приятно что не сдали позиции на 10+.

[Danilka 678]

Кстати да:

# 2010-09-07: New results have been published for:

* Kaspersky Internet Security 2011 11.0.1.400

* Privatefirewall 7.0.21.1

Kaspersky Internet Security 2011 comes with improvements again. Today it reaches the Excellent level of protection in our challenge with its result of 92 %. Good job!

The new version of Privatefirewall is also improved. Its today's result is 86 %, which we classify as a Very good result.

По сравнению с 736 сборкой 2010 - увеличили уровень до 92 % с 86 %.

[zzkk 130]

2010-09-26: New results have been published for:

Dr.Web Security Space Pro 6.0.2.07290

Rising Internet Security 2010 22.33.00.01

ZoneAlarm Free Firewall 9.2.076.000

Pleasant surprise among today's results is the score of Rising Internet Security 2010. Its previously tested version scored as low as 5 %. The latest version comes with various improvements and reached 55 %.

Dr.Web Security Space Pro is new to our challenge but it did not score very well. 14 % is far behind many of its competitors.

ZoneAlarm Free Firewall failed in the tests like its previously tested version. Its current 7% score is not good.

[Виталий Я. 859]

Забавные результаты. С китайцами не покидает ощущение, что 2 уровня по 50% они проходили с секундомером в руках.

[Сергей Ильин 1538]

Dr.Web Security Space Pro is new to our challenge but it did not score very well. 14 % is far behind many of its competitors.

Провальный дебют.

P.S. Как же так Агнитум с заимствованными технологиями то так далеко вперед в тесте Матюшека ушел ...

[Виталий Я. 859]

P.S. Как же так Агнитум с заимствованными технологиями то так далеко вперед в тесте Матюшека ушел ...

Илья, еще рад так сбредишь - в Питер не позову! Назови хоть навскидку хоть одну тестирующуюся Матушеком область, где технологии Аутпоста "заимствованы" (видимо, лицензированы - если ты это имел в виду)?