bse

Интервью с Джоанной Ратковской: виртуализация, руткиты и гипервизоры

В этой теме 9 сообщений

"На днях нам посчастливилось пообщаться с Джоанной Ратковской (Joanna Rutkowska), одним из ведущих специалистов-новаторов в области компьютерной безопасности в мире. Она является основателем и главным исполнительным директором (CEO) Invisible Things Lab (ITL), компании, занимающейся консалтингом и исследованиям в сфере компьютерной безопасности."

Очень интересная статья, на мой взгляд.

Хотелось бы услышать комментарии Экспертов (и кандидатов в Эксперты) по всем направлениям:

1. "безопасность путём дизайна"

2. "безопасность из-за неизвестности"

3. "безопасность путём изоляции"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хех :) . Что, интересно, скажут эксперты на эти строки(разумеется в контексте всей статьи)?

Если посмотреть с перспективы "хороших" пользователей, то такие атаки предотвратить нельзя, если привилегий меньше, чем у оппонента (или они равны). Именно поэтому антивирусные продукты проигрывают битву с руткитами уровня ядра, которые часто могут отключить агент режима ядра известных антивирусов, поскольку они хорошо известны, и против них можно применить специфическую атаку. Затем выходит новая версия антивируса, "вредонос" тоже должен обновиться, и так далее. Гонка вооружений продолжается, злодеи зарабатывают деньги и радуются жизни, производители антивирусов тоже зарабатывают деньги и радуются жизни, хотя и не достигают заявленной цели, а именно защиты пользователя.
Неважно, выберите ли вы ПК или Mac, единственным перспективным решением сегодня является использование того или иного продукта виртуализации, который будет обеспечивать изоляцию между разными приложениями (по крайней мере, между разными браузерами), что мы уже обсуждали выше. Антивирусный продукт, по крайней мере, в той форме, что есть сегодня - это потеря денег и ресурсов на мой взгляд. Да и за последние годы не раз случалось, что компоненты ядра многих антивирусных программ содержали ошибки и добавляли уязвимости в систему, которую они призваны защищать! Я не использую никакого антивируса на своих компьютерах (включая и виртуальные машины). Я не вижу, как антивирусная программа может обеспечить улучшение безопасности по сравнению с весьма разумной конфигурацией, которую мы реализовали с помощью виртуализации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сразу бы посоветовал тем, кто нормально знает английский язык - читать оригинал:

http://www.tomshardware.com/reviews/joanna...otkit,2356.html

К сожалению, не силен в английском, поэтому начал с русского варианта.

И одна ошибка там точно есть. Сравните: "Но вот "жёлтая" машина может работать только с соединениями HTTPS к сайту моего банка" и "Finally, the "Green" machine should be allowed to do only HTTPS connections to only my banking site".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня вся сфера ИБ сводится к предоставлению решений, которые должны решать проблемы поставленные вопросом: Как удержать воду в решете?

И похоже, следующая конфа будет о том, как выгнать руткитов из процессорного микрокода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В некоторых пунктах соглашусь с Джоанной, пожалуй...

Только вот с представлением виртуализации, как панацеи от всех бед она все-таки перебарщивает. Да, это её хлеб, но отнюдь не каждому это нужно :)

В чем согласен, так это с тем, что принцип "безопасность путем дизайна" не работает. Просто потому, что программы пишут люди и человеческую способность ошибаться никто не отменял.

Тем более не работает "безопасность из-за неизвестности". Есть в криптографии известный Принцип Кирхгофа, который гласит, что для криптографических систем все параметры системы (в том числе и алгоритмы) кроме криптографического ключа должны быть открытыми - вернее, их открытие не должно влиять на стойкость системы. Я лично придерживаюсь того мнения, что правильно построенная компьютерная сеть должна соответствовать этому принципу. Разумеется, на практике на настоящий день это практически недостижимо, но есть хоть идеал, к которому следует стремиться...

Ну и наконец "безопасность путём изоляции" - интересно, а как эту саму изоляцию проводить? Аппаратно? Программно? И в том, и в другом случае будут делать свое черное дело ошибки проектирования и программирования, что нас возвращает обратно к "безопасность путем дизайна"...

В общем, в статье сказано много, но ничего нового И практически применимого для простых пользователей. Виртуализация кагбэ не нова, а устанавливать себе, скажем, Xen из соображений безопасности будут только доли процента.

Хех :) . Что, интересно, скажут эксперты на эти строки(разумеется в контексте всей статьи)?

Я лично думаю почти так же - о пользе антивирусов лично для меня. Потому на моем ноутбуке со дня его покупки не было и скорее всего не будет установлено ни одного антивирусного резидентного монитора и/или ХИПС - только простенький порт-фильтр. С другой стороны, для непродвинутых пользователей наличие защитного ПО на компьютере я считаю обязательным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не вижу, как антивирусная программа может обеспечить улучшение безопасности по сравнению с весьма разумной конфигурацией, которую мы реализовали с помощью виртуализации.

Если у меня уведут пароли от почты, аськи и тп, то мне эта виртуализация поперек горла встанет.

В общем, с этим моментом категорически не согласен. Если один из моих любимых сайтов ломанут - будет больно. И то, что я ими пользовался с "желтой машины" - меня не утешит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если у меня уведут пароли от почты, аськи и тп, то мне эта виртуализация поперек горла встанет.

В общем, с этим моментом категорически не согласен. Если один из моих любимых сайтов ломанут - будет больно. И то, что я ими пользовался с "желтой машины" - меня не утешит.

Прав.

АВ на компьютере нужен, нужно чем-то чистить вирусы на флешках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВ на компьютере нужен, нужно чем-то чистить вирусы на флешках.

Вирусы с флэшек можно и вручную прибить - ничего сложного. Хотя, я тоже предпочитаю, чтобы этим занимался антивирь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В общем, в статье сказано много, но ничего нового

Ничего нового? Совсем ничего?

в августе на Black Hat Рафаль и Алекс будут показывать реальные атаки ... К сожалению, я не могу сказать больше. Просто скажу, что мы уже некоторое время тесно работаем с Intel по поводу обеих найденных уязвимостей, и Intel представит исправления за несколько недель до конференции.

И Intel представил http://www.3dnews.ru/news/intel_predupredi...oshibke_v_bios/ Наверно, как раз об этом речь? Вы про это знали ранее?

К сожалению невозможно спрогнозировать, когда появится та или другая уязвимость и будет ли она эксплуатироваться злоумышленниками (т.е. будет ли это настоящий 0-day), или будет продана iDefense (или другой компании) и отправлена приозводителю. Статистика по 0-day за конец 2008 и 2009 год показывает, что RCE уязвимости все чаще продаются на черном рынке и мы о них узнаем вследствии их эксплуатации.

Что касается выявления - эти уязвимости к сожалению выявляются по факту взлома или при попытке взлома ... это как бы очевидные вещи, я не счел нужным о них писать

Может быть, Вы считаете, такую деятельность более полезной? Я имею ввиду написание статей. А знаете, кто это написал? Ну, конечно же, знаете.

/Для тех, кто не эксперт, не кандидат, и не знает, это написал Валерий Марчук, редактор SecurityLab.ru, MVP in Enterprise Security 17.07.2009 г./

Да... Каждый в статье вычитал, то, что вычитал. И я тоже...

Мне, как пользователю на стороне пользователя, очевидно, что нет препятствий для использования всех подходов одновременно. При комплексном их использовании получается приемлемый для меня результат, даже, если для вас,профи, это звучит наивно.

Безопасность из-за неизвестности (или через маскировку) состоит из упомянутой рандомизации адресного пространства, использовании более-менее надёжных паролей, шифровании и запрете всех входящих соединений фаерволом...

Безопасность на основе дизайна (или конфигурации) реализована производителями процессора, BIOS, ОС, заключается в отключении излишних системных сервисов, использовании менее уязвимого браузера, не использовании приложений с сомнительной репутацией или полученных из недоверенных источников...

На понятие безопасность через изоляцию я смотрю шире. Она реализована в использовании учётной записи пользователя, запрете в браузере скриптов и левых кукисов, резервном копировании данных на съёмные носители... Но, кроме изоляции процессов или разноцветных виртуальных машин друг от друга, ещё можно изолировать самого себя от якобы удобных услуг сомнительного качества. Например, веб-интерфейса в почтовом ящике, вай-фая в общественных местах, мобильного банкинга, социальных сетей и т.д...

И ни кто ни кому не запрещает ещё где-то в середине воткнуть HIPS, антивирус и/или системный бэкап. ИМХО, важнее понять, что есть опасность, тогда и понятие безопасности легче сформулировать.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...