Перейти к содержанию
bse

Интервью с Джоанной Ратковской: виртуализация, руткиты и гипервизоры

Recommended Posts

bse

"На днях нам посчастливилось пообщаться с Джоанной Ратковской (Joanna Rutkowska), одним из ведущих специалистов-новаторов в области компьютерной безопасности в мире. Она является основателем и главным исполнительным директором (CEO) Invisible Things Lab (ITL), компании, занимающейся консалтингом и исследованиям в сфере компьютерной безопасности."

Очень интересная статья, на мой взгляд.

Хотелось бы услышать комментарии Экспертов (и кандидатов в Эксперты) по всем направлениям:

1. "безопасность путём дизайна"

2. "безопасность из-за неизвестности"

3. "безопасность путём изоляции"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rem

Хех :) . Что, интересно, скажут эксперты на эти строки(разумеется в контексте всей статьи)?

Если посмотреть с перспективы "хороших" пользователей, то такие атаки предотвратить нельзя, если привилегий меньше, чем у оппонента (или они равны). Именно поэтому антивирусные продукты проигрывают битву с руткитами уровня ядра, которые часто могут отключить агент режима ядра известных антивирусов, поскольку они хорошо известны, и против них можно применить специфическую атаку. Затем выходит новая версия антивируса, "вредонос" тоже должен обновиться, и так далее. Гонка вооружений продолжается, злодеи зарабатывают деньги и радуются жизни, производители антивирусов тоже зарабатывают деньги и радуются жизни, хотя и не достигают заявленной цели, а именно защиты пользователя.
Неважно, выберите ли вы ПК или Mac, единственным перспективным решением сегодня является использование того или иного продукта виртуализации, который будет обеспечивать изоляцию между разными приложениями (по крайней мере, между разными браузерами), что мы уже обсуждали выше. Антивирусный продукт, по крайней мере, в той форме, что есть сегодня - это потеря денег и ресурсов на мой взгляд. Да и за последние годы не раз случалось, что компоненты ядра многих антивирусных программ содержали ошибки и добавляли уязвимости в систему, которую они призваны защищать! Я не использую никакого антивируса на своих компьютерах (включая и виртуальные машины). Я не вижу, как антивирусная программа может обеспечить улучшение безопасности по сравнению с весьма разумной конфигурацией, которую мы реализовали с помощью виртуализации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков

Сразу бы посоветовал тем, кто нормально знает английский язык - читать оригинал:

http://www.tomshardware.com/reviews/joanna...otkit,2356.html

К сожалению, не силен в английском, поэтому начал с русского варианта.

И одна ошибка там точно есть. Сравните: "Но вот "жёлтая" машина может работать только с соединениями HTTPS к сайту моего банка" и "Finally, the "Green" machine should be allowed to do only HTTPS connections to only my banking site".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Сегодня вся сфера ИБ сводится к предоставлению решений, которые должны решать проблемы поставленные вопросом: Как удержать воду в решете?

И похоже, следующая конфа будет о том, как выгнать руткитов из процессорного микрокода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

В некоторых пунктах соглашусь с Джоанной, пожалуй...

Только вот с представлением виртуализации, как панацеи от всех бед она все-таки перебарщивает. Да, это её хлеб, но отнюдь не каждому это нужно :)

В чем согласен, так это с тем, что принцип "безопасность путем дизайна" не работает. Просто потому, что программы пишут люди и человеческую способность ошибаться никто не отменял.

Тем более не работает "безопасность из-за неизвестности". Есть в криптографии известный Принцип Кирхгофа, который гласит, что для криптографических систем все параметры системы (в том числе и алгоритмы) кроме криптографического ключа должны быть открытыми - вернее, их открытие не должно влиять на стойкость системы. Я лично придерживаюсь того мнения, что правильно построенная компьютерная сеть должна соответствовать этому принципу. Разумеется, на практике на настоящий день это практически недостижимо, но есть хоть идеал, к которому следует стремиться...

Ну и наконец "безопасность путём изоляции" - интересно, а как эту саму изоляцию проводить? Аппаратно? Программно? И в том, и в другом случае будут делать свое черное дело ошибки проектирования и программирования, что нас возвращает обратно к "безопасность путем дизайна"...

В общем, в статье сказано много, но ничего нового И практически применимого для простых пользователей. Виртуализация кагбэ не нова, а устанавливать себе, скажем, Xen из соображений безопасности будут только доли процента.

Хех :) . Что, интересно, скажут эксперты на эти строки(разумеется в контексте всей статьи)?

Я лично думаю почти так же - о пользе антивирусов лично для меня. Потому на моем ноутбуке со дня его покупки не было и скорее всего не будет установлено ни одного антивирусного резидентного монитора и/или ХИПС - только простенький порт-фильтр. С другой стороны, для непродвинутых пользователей наличие защитного ПО на компьютере я считаю обязательным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
Я не вижу, как антивирусная программа может обеспечить улучшение безопасности по сравнению с весьма разумной конфигурацией, которую мы реализовали с помощью виртуализации.

Если у меня уведут пароли от почты, аськи и тп, то мне эта виртуализация поперек горла встанет.

В общем, с этим моментом категорически не согласен. Если один из моих любимых сайтов ломанут - будет больно. И то, что я ими пользовался с "желтой машины" - меня не утешит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Если у меня уведут пароли от почты, аськи и тп, то мне эта виртуализация поперек горла встанет.

В общем, с этим моментом категорически не согласен. Если один из моих любимых сайтов ломанут - будет больно. И то, что я ими пользовался с "желтой машины" - меня не утешит.

Прав.

АВ на компьютере нужен, нужно чем-то чистить вирусы на флешках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
АВ на компьютере нужен, нужно чем-то чистить вирусы на флешках.

Вирусы с флэшек можно и вручную прибить - ничего сложного. Хотя, я тоже предпочитаю, чтобы этим занимался антивирь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
В общем, в статье сказано много, но ничего нового

Ничего нового? Совсем ничего?

в августе на Black Hat Рафаль и Алекс будут показывать реальные атаки ... К сожалению, я не могу сказать больше. Просто скажу, что мы уже некоторое время тесно работаем с Intel по поводу обеих найденных уязвимостей, и Intel представит исправления за несколько недель до конференции.

И Intel представил http://www.3dnews.ru/news/intel_predupredi...oshibke_v_bios/ Наверно, как раз об этом речь? Вы про это знали ранее?

К сожалению невозможно спрогнозировать, когда появится та или другая уязвимость и будет ли она эксплуатироваться злоумышленниками (т.е. будет ли это настоящий 0-day), или будет продана iDefense (или другой компании) и отправлена приозводителю. Статистика по 0-day за конец 2008 и 2009 год показывает, что RCE уязвимости все чаще продаются на черном рынке и мы о них узнаем вследствии их эксплуатации.

Что касается выявления - эти уязвимости к сожалению выявляются по факту взлома или при попытке взлома ... это как бы очевидные вещи, я не счел нужным о них писать

Может быть, Вы считаете, такую деятельность более полезной? Я имею ввиду написание статей. А знаете, кто это написал? Ну, конечно же, знаете.

/Для тех, кто не эксперт, не кандидат, и не знает, это написал Валерий Марчук, редактор SecurityLab.ru, MVP in Enterprise Security 17.07.2009 г./

Да... Каждый в статье вычитал, то, что вычитал. И я тоже...

Мне, как пользователю на стороне пользователя, очевидно, что нет препятствий для использования всех подходов одновременно. При комплексном их использовании получается приемлемый для меня результат, даже, если для вас,профи, это звучит наивно.

Безопасность из-за неизвестности (или через маскировку) состоит из упомянутой рандомизации адресного пространства, использовании более-менее надёжных паролей, шифровании и запрете всех входящих соединений фаерволом...

Безопасность на основе дизайна (или конфигурации) реализована производителями процессора, BIOS, ОС, заключается в отключении излишних системных сервисов, использовании менее уязвимого браузера, не использовании приложений с сомнительной репутацией или полученных из недоверенных источников...

На понятие безопасность через изоляцию я смотрю шире. Она реализована в использовании учётной записи пользователя, запрете в браузере скриптов и левых кукисов, резервном копировании данных на съёмные носители... Но, кроме изоляции процессов или разноцветных виртуальных машин друг от друга, ещё можно изолировать самого себя от якобы удобных услуг сомнительного качества. Например, веб-интерфейса в почтовом ящике, вай-фая в общественных местах, мобильного банкинга, социальных сетей и т.д...

И ни кто ни кому не запрещает ещё где-то в середине воткнуть HIPS, антивирус и/или системный бэкап. ИМХО, важнее понять, что есть опасность, тогда и понятие безопасности легче сформулировать.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Gamers Planet
      Здравствуйте. С 2015 года изучаю информационную безопасность, это тема очень интересная и актуальная на сегодняшнее время. Недавно решил создать игровой канал Gamers Planet посвященный компьютерным играм. Узнал, что в игровой сфере очень популярен голосовой чат Discord и который пользуется популярностью среди кибер преступников. С помощью сервиса происходит распространения троянов(RAT). Самый популярный из них NanoCore. Позже, на своем канале, планирую сделать об этом информационное видео. Так что будьте на чеку! 
    • demkd
      uVS транслирует то что сообщает система. Для встроенных ЭЦП. А это для внешних ЭЦП, видимо каталоги у них как-то обновляются, плюс им.
        Это проблема FRST.
    • PR55.RP55
      Demkd А насколько верно uVS работает с ЭЦП тема: https://forum.esetnod32.ru/forum6/topic15013/ Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature А здесь мы видим только запись:  Trusted Source И FRST  не пишет, что это Microsoft Corporation а только ( )
    • demkd
      пожалуй стоит добавить команде OFFSGNSAVE функционала - выгрузка пользовательской базы сигнатур на время исполнения скрипта во избежании проблем.
    • santy
      а товарищ в теме, похоже имеет отношение к этой теме. https://xakep.ru/2010/12/09/54255/   LOIC (Low Orbit Ion Cannon) — приложение, разработанное
      хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
      участием тысяч анонимных пользователей, пользующихся программой. Атаки
      производятся на такие сайты как, например,  
×