Перейти к содержанию
bse

Интервью с Джоанной Ратковской: виртуализация, руткиты и гипервизоры

Автор bse, в Интервью с экспертами

Recommended Posts

bse    115

bse
Опубликовано

"На днях нам посчастливилось пообщаться с Джоанной Ратковской (Joanna Rutkowska), одним из ведущих специалистов-новаторов в области компьютерной безопасности в мире. Она является основателем и главным исполнительным директором (CEO) Invisible Things Lab (ITL), компании, занимающейся консалтингом и исследованиям в сфере компьютерной безопасности."

Очень интересная статья, на мой взгляд.

Хотелось бы услышать комментарии Экспертов (и кандидатов в Эксперты) по всем направлениям:

1. "безопасность путём дизайна"

2. "безопасность из-за неизвестности"

3. "безопасность путём изоляции"

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rem    15

rem
Опубликовано

Хех :) . Что, интересно, скажут эксперты на эти строки(разумеется в контексте всей статьи)?

Если посмотреть с перспективы "хороших" пользователей, то такие атаки предотвратить нельзя, если привилегий меньше, чем у оппонента (или они равны). Именно поэтому антивирусные продукты проигрывают битву с руткитами уровня ядра, которые часто могут отключить агент режима ядра известных антивирусов, поскольку они хорошо известны, и против них можно применить специфическую атаку. Затем выходит новая версия антивируса, "вредонос" тоже должен обновиться, и так далее. Гонка вооружений продолжается, злодеи зарабатывают деньги и радуются жизни, производители антивирусов тоже зарабатывают деньги и радуются жизни, хотя и не достигают заявленной цели, а именно защиты пользователя.
Неважно, выберите ли вы ПК или Mac, единственным перспективным решением сегодня является использование того или иного продукта виртуализации, который будет обеспечивать изоляцию между разными приложениями (по крайней мере, между разными браузерами), что мы уже обсуждали выше. Антивирусный продукт, по крайней мере, в той форме, что есть сегодня - это потеря денег и ресурсов на мой взгляд. Да и за последние годы не раз случалось, что компоненты ядра многих антивирусных программ содержали ошибки и добавляли уязвимости в систему, которую они призваны защищать! Я не использую никакого антивируса на своих компьютерах (включая и виртуальные машины). Я не вижу, как антивирусная программа может обеспечить улучшение безопасности по сравнению с весьма разумной конфигурацией, которую мы реализовали с помощью виртуализации.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Вадим Волков    176

Вадим Волков
Опубликовано

Сразу бы посоветовал тем, кто нормально знает английский язык - читать оригинал:

http://www.tomshardware.com/reviews/joanna...otkit,2356.html

К сожалению, не силен в английском, поэтому начал с русского варианта.

И одна ошибка там точно есть. Сравните: "Но вот "жёлтая" машина может работать только с соединениями HTTPS к сайту моего банка" и "Finally, the "Green" machine should be allowed to do only HTTPS connections to only my banking site".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано

Сегодня вся сфера ИБ сводится к предоставлению решений, которые должны решать проблемы поставленные вопросом: Как удержать воду в решете?

И похоже, следующая конфа будет о том, как выгнать руткитов из процессорного микрокода.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dot_sent    140

dot_sent
Опубликовано

В некоторых пунктах соглашусь с Джоанной, пожалуй...

Только вот с представлением виртуализации, как панацеи от всех бед она все-таки перебарщивает. Да, это её хлеб, но отнюдь не каждому это нужно :)

В чем согласен, так это с тем, что принцип "безопасность путем дизайна" не работает. Просто потому, что программы пишут люди и человеческую способность ошибаться никто не отменял.

Тем более не работает "безопасность из-за неизвестности". Есть в криптографии известный Принцип Кирхгофа, который гласит, что для криптографических систем все параметры системы (в том числе и алгоритмы) кроме криптографического ключа должны быть открытыми - вернее, их открытие не должно влиять на стойкость системы. Я лично придерживаюсь того мнения, что правильно построенная компьютерная сеть должна соответствовать этому принципу. Разумеется, на практике на настоящий день это практически недостижимо, но есть хоть идеал, к которому следует стремиться...

Ну и наконец "безопасность путём изоляции" - интересно, а как эту саму изоляцию проводить? Аппаратно? Программно? И в том, и в другом случае будут делать свое черное дело ошибки проектирования и программирования, что нас возвращает обратно к "безопасность путем дизайна"...

В общем, в статье сказано много, но ничего нового И практически применимого для простых пользователей. Виртуализация кагбэ не нова, а устанавливать себе, скажем, Xen из соображений безопасности будут только доли процента.

Хех :) . Что, интересно, скажут эксперты на эти строки(разумеется в контексте всей статьи)?

Я лично думаю почти так же - о пользе антивирусов лично для меня. Потому на моем ноутбуке со дня его покупки не было и скорее всего не будет установлено ни одного антивирусного резидентного монитора и/или ХИПС - только простенький порт-фильтр. С другой стороны, для непродвинутых пользователей наличие защитного ПО на компьютере я считаю обязательным.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

пользователь    65

пользователь
Опубликовано
Я не вижу, как антивирусная программа может обеспечить улучшение безопасности по сравнению с весьма разумной конфигурацией, которую мы реализовали с помощью виртуализации.

Если у меня уведут пароли от почты, аськи и тп, то мне эта виртуализация поперек горла встанет.

В общем, с этим моментом категорически не согласен. Если один из моих любимых сайтов ломанут - будет больно. И то, что я ими пользовался с "желтой машины" - меня не утешит.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yen-Jasker    265

Yen-Jasker
Опубликовано
Если у меня уведут пароли от почты, аськи и тп, то мне эта виртуализация поперек горла встанет.

В общем, с этим моментом категорически не согласен. Если один из моих любимых сайтов ломанут - будет больно. И то, что я ими пользовался с "желтой машины" - меня не утешит.

Прав.

АВ на компьютере нужен, нужно чем-то чистить вирусы на флешках.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

пользователь    65

пользователь
Опубликовано
АВ на компьютере нужен, нужно чем-то чистить вирусы на флешках.

Вирусы с флэшек можно и вручную прибить - ничего сложного. Хотя, я тоже предпочитаю, чтобы этим занимался антивирь...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

bse    115

bse
Опубликовано
В общем, в статье сказано много, но ничего нового

Ничего нового? Совсем ничего?

в августе на Black Hat Рафаль и Алекс будут показывать реальные атаки ... К сожалению, я не могу сказать больше. Просто скажу, что мы уже некоторое время тесно работаем с Intel по поводу обеих найденных уязвимостей, и Intel представит исправления за несколько недель до конференции.

И Intel представил http://www.3dnews.ru/news/intel_predupredi...oshibke_v_bios/ Наверно, как раз об этом речь? Вы про это знали ранее?

К сожалению невозможно спрогнозировать, когда появится та или другая уязвимость и будет ли она эксплуатироваться злоумышленниками (т.е. будет ли это настоящий 0-day), или будет продана iDefense (или другой компании) и отправлена приозводителю. Статистика по 0-day за конец 2008 и 2009 год показывает, что RCE уязвимости все чаще продаются на черном рынке и мы о них узнаем вследствии их эксплуатации.

Что касается выявления - эти уязвимости к сожалению выявляются по факту взлома или при попытке взлома ... это как бы очевидные вещи, я не счел нужным о них писать

Может быть, Вы считаете, такую деятельность более полезной? Я имею ввиду написание статей. А знаете, кто это написал? Ну, конечно же, знаете.

/Для тех, кто не эксперт, не кандидат, и не знает, это написал Валерий Марчук, редактор SecurityLab.ru, MVP in Enterprise Security 17.07.2009 г./

Да... Каждый в статье вычитал, то, что вычитал. И я тоже...

Мне, как пользователю на стороне пользователя, очевидно, что нет препятствий для использования всех подходов одновременно. При комплексном их использовании получается приемлемый для меня результат, даже, если для вас,профи, это звучит наивно.

Безопасность из-за неизвестности (или через маскировку) состоит из упомянутой рандомизации адресного пространства, использовании более-менее надёжных паролей, шифровании и запрете всех входящих соединений фаерволом...

Безопасность на основе дизайна (или конфигурации) реализована производителями процессора, BIOS, ОС, заключается в отключении излишних системных сервисов, использовании менее уязвимого браузера, не использовании приложений с сомнительной репутацией или полученных из недоверенных источников...

На понятие безопасность через изоляцию я смотрю шире. Она реализована в использовании учётной записи пользователя, запрете в браузере скриптов и левых кукисов, резервном копировании данных на съёмные носители... Но, кроме изоляции процессов или разноцветных виртуальных машин друг от друга, ещё можно изолировать самого себя от якобы удобных услуг сомнительного качества. Например, веб-интерфейса в почтовом ящике, вай-фая в общественных местах, мобильного банкинга, социальных сетей и т.д...

И ни кто ни кому не запрещает ещё где-то в середине воткнуть HIPS, антивирус и/или системный бэкап. ИМХО, важнее понять, что есть опасность, тогда и понятие безопасности легче сформулировать.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Интервью с экспертами

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Если пишет что файлов нет то так оно и есть, по пути в принципе видно, что их там точно быть не может.
      Проблема же в том что при запуске под SYSTEM, API windows не способен правильно разбирать некоторые ярлыки, где не указан абсолютный путь, такие ярлыки меняют цель в зависимости от того под каким пользователем работает конкретный процесс, зачем это сделал microsoft для меня загадка.
      Единственное решение - это написать api для разбора любых ярлыков с нуля и добавить еще нехилую надстройку для анализа относительных путей в них, но это довольно сложная задача и на данный момент реализована лишь в малой части и скорее всего никогда не будет реализована на 100%.
      Потому если хочется удалить ссылки на отсутствующие объекты имеющие ярлыки то нужно запускаться под текущим пользователем, проблем будет меньше... если пользователь один Все системные файлы имеют внешнюю эцп и вполне определенные имена.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      uVS  в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
      Имя файла                   CALIBRE-PORTABLE.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
      ---------------------                 Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
      --------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись.                                 
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
×