Comu verit/neverit pri bezpecnostnej analyze systemu

[KEO]

Spoliehame sa dnes na rozne formy zabezpecenia. Pasivne i aktivne.

Medzi pasivne patria napr. antiviry, ktore chodia s krizkom po funuse a detekuju hrozbu, az ked je uz rozsirena, znama, pripadne ked uz je infekcia v systemoch.

Rozne aktivne ochrany - ako napr. firewally, ktore zakazuju komunikovat, alebo povoluju komunikaciu. Lenze niekedy sa v tom tazko vyznat aj pre skusenejsich uzivatelov a tak sa stava, ze sa povoli nieco so sa nema. Okrem toho, funguju aj systemy IDS a IPS, casto zabudovane do firewallov, ktore podobne ako antiviry sa snazia detekovat zname hrozby a zname utoky a ich zneuzitie.

Lenze ani to casto nestaci. Niekedy nemusime o tom vediet, alebo len tusime na zaklade netypickeho spravania sa systemu a urobime si analyzu systemu, alebo nam ju urobi niekto.

Lenze mozeme verit aj analyze systemu ? Ked pasivna aj aktivna ochrana zlyhaju, ked zlyhava uzivatel, tak manualne mozeme patrat co sa vlastne v systeme deje.

Najde sa infiltracia, odstrani sa. Lenze co ked zlyha aj samotna manualna analyza systemu ? Ked totiz problem zmizne, clovek si mysli, ze je aj problem odstraneny. Ale on len zmizol nevidime ho.

Dnesny malware ma moznosti, ukryvat sa pre nastrojmi na analyzu systemu. Podvrhovat im falosne vysledky, falosne podpisovat subory a vydavat sa tak za sucast systemu. Naviac ak je v systeme rootkit, moze byt aktivovany este pred startom systemu a moze pocitat s oblafnutim kazdeho, kto sa ho snazi vystopovat.

Tak potom ako si moze byt niekto isty po analyze systemu len na zaklade logov, ze system je naozaj cisty, ked vsetko sa da podvrhnut ?

Alebo ake nastroje su, ktore umoznia zabranit podvrhnutiu falosnych vysledkov pri analyze ? Nemal by sa na fore aj zmenit pristup k analyze systemu a bezpecnosti ?

[Pavuk29]

KEO my asi zijeme v uplne inom vesmire.
Pises, ze

...
Medzi pasivne patria napr. antiviry, ktore chodia s krizkom po funuse a detekuju hrozbu, az ked je uz rozsirena, znama, pripadne ked uz je infekcia v systemoch....

dobre.
moj AV prakticky stale mlci. Pochopitelne, pokladam sa za uzivatela, ktory ho ma ako preventivnu zalezitost, ale tvoj komentar, ze chodi s krizikom po funuse je dost mimo. Ked odhliadnem od toho, ze mi chce stale zozrat keylogger, moj AV odvadza stale kus prace tym, ze ma aspon zavse upozorni, ze sa prave chystam urobit daku hlupost.
Kvoli ludom ako si ty musime donekonecna preventivne posobit. Lebo ty si nepripustis, ze siris vsetku tu haved

[Pavuk29]

KEO obdivujem tvoje analyticke schopnosti. Bez srandy, myslim to vazne.
ty si vies genialne nastavit ciel a napises vsetko pre to, aby ti to pasovalo

[KEO]

moj AV prakticky stale mlci.

Moj tiez. Ale v ramci zabezpecenia ho mam len ako informativnu zalezitost zo zvyku. Nie ako hlavne zabezpecenie. Dobre nastaveny a zabezpeceny system, pri vhodnom nastaveni a vhodnom pouzivanim - moze byt pouzity bez antiviru. Zvyraznil som prave to dolezite. Netreba si to mylit s tym, ze niekto pouziva defaultne nastavenia, nevie co si moze dovolit a nebude pouzivat ani antivir. To je obrovsky rozdiel, tak si to netreba vysvetlovat zle. Prave pre tento pristup je na fore tolko ludi, co ma problem s bezpecnostou, lebo pri dobrom nastaveni a zasadach, mozu uzivatelia na viry zabudnut. Len to chce zmenit pristup, co je casto problem.

Pochopitelne, pokladam sa za uzivatela, ktory ho ma ako preventivnu zalezitost, ale tvoj komentar, ze chodi s krizikom po funuse je dost mimo.

Vidis a toto je jeden z problemov, ako sa standardne nazera na koncept bezpecnosti. Vela ludom sa zda normalne, ze nieco je zle, tak to zakazem, zablokujem. Hovoris tomu aktivny pristup. Bezpecnost ma vsak stat na opacnom zaklade. T.j. system - nikomu never, ver iba tomu, komu musis verit a aj toho preveruj. Nie navrhovat bezpecnost stylom, ze cakam, kym sa vyskytne incident, ale nedopustim, aby sa stal, alebo, ked sa stane, tak aby bol bez nasledkov - t.j. nikomu sa nic nestane, nebude mat ziadny efekt.

Ked odhliadnem od toho, ze mi chce stale zozrat keylogger, moj AV odvadza stale kus prace tym, ze ma aspon zavse upozorni, ze sa prave chystam urobit daku hlupost.

Pred par mesiacmi som narazil na jedneho trojsekeho kona v zabezpecenom PC /nie na maximalnu bezpecnost, ale slusne/. Ziadny AV ho nedetekoval a ktovie, kolko to v tom systeme hniezdilo. Vacsina AV laboratorii dostala vzorku. Avira sa vytacala, ze tam nic neni. Symantec potvrdil, ze je to trojan. V ESETe reagovali asi najrychlejsie. Kasperskemu to trvalo 3 tyzdne, kym zareagoval a Microsoft to ignoroval cca 1 mesiac. Toho trojana som zlikvidoval manualne, bez AV, pretoze ten vtedy nic nenasiel. Neposlat vzorku AV firmam, tak si to spokojne niekde hniezdi. Co urobi autor takeho trojana teraz ? Modifikaciu... a zas ho ziadny AV nebude poznat. Preto tvrdim, ze toto je PASIVNA forma bezpecnosti. Na svete je uz niekolko milionov kusov kodu skodliveho malware. Tisicky denne pribudaju, pricom AV zachytia mozno tak desatinu z toho. Je pekne sa tesit, ze AV nieco chytil. Vyrobca sa moze ohanat tym, aky je sikovny. Ale ja sa nebojim toho, co vie chytit, ale toho, co chytit nevie. Robia sa rozne analyzy, ako je skodlivy kod rozsireny a ako na tom nezalezi, ze par vzoriek AV pusti. Hlupost. To, ze AV nic nedetekuje, este neznamena, ze PC je ciste. Budem to opakovat stale. Znamena to len, ze AV nic nenasiel. T.j. moze to byt ciste, alebo nema informaciu o hrozbach, ktore tam su, ale nema na ne udaje v databaze. Z celkovej koncepcie je AV len jedna mala barlicka. Tymto vsak treba podotknuut, aby si uzivatelia, ktori o zabezpeceni vedia minimum, nenahovarali, ze AV vynechaju. Z hladiska spotrebneho uzivatela to vyznam ma, aky taky. Z celkoveho hladiska bezpecnosti, je to vsak len barlicka. Ale urcite lepsie ako nic

Kvoli ludom ako si ty musime donekonecna preventivne posobit. Lebo ty si nepripustis, ze siris vsetku tu haved

Ziadnu haved nesirim. Nechce sa chytat, aj keby som ju dobrovolne nasadil

KEO obdivujem tvoje analyticke schopnosti. Bez srandy, myslim to vazne.
ty si vies genialne nastavit ciel a napises vsetko pre to, aby ti to pasovalo

To nie su najnovsie myslienky, i ked som sa k nim dopracoval aj nezavisle. System treba navrhovat ako bezpecny. Predstav si, ze by si sa mal na to spolahnut, napr. keby to riadilo lety vo vesmire. Pri prvej chybe, by bol clovek KO.

[j3šť3r]

System treba navrhovat ako bezpecny.

Souhlas, ale aby to pak jeste pouzitelne bylo. Zablokuj veskere mene standardni akce a zarucuju ti, ze normalni clovek se na neco takoveho vykasle.
Podivej se na hry (podle me nejkriklavejsi priklad) - DRM ochrana leze na net (i pri offline hrach), obcas si instaluji drivery (pro DRM/Antihack ochrany - nejvetsi prasarnu jsem videl v podobe skryteho uctu s pravy spravce), updatery (do startup registru), ruzne komunikatory, po spusteni vyuzivaji primy pristup ke klavesnici, prepinaji na celoobrazovkovy rezim atd. Kdyz by byla v systemu nejaka hluboka kontrola tohodle a na kazdou akci se to ptalo, tak kolik lidi by vedelo, ze to jsou pro danou aplikaci celkem normalni akce? A resit to automatikou zase znamena bezpecnostni riziko.

Mezi bezpecnosti a comfortem pouzivani je treba zvlolit nejaky kompromis a ten antiviry jakz takz resi.
Podivej se i na Android, v zakladu je to dost bezpeceny system (nepocitam kurvitka tretich stran), ale kdyz nekdo nevi, co povoluje, tak ho nezachrani ani svecena voda.

[KEO]

Ono sa to da nastavit tak, aby clovek, ked presne pomenuje co chce a potrebuje robit, aby to robit mohol. Jediny problem potom je, ze ked chce robit nieco ine, co nespecifikoval, musi sa to podla toho upravit, inak si neskrtne.