Komentarze do wpisu 'Ukryć wirusa, czyli podręcznik niebezpieczeństwa sieciowego' http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/ Sat, 30 Aug 2008 11:55:10 +0000 http://wordpress.org/?v=2.6.1 Przez: Amatorszczyzna hacking.pl at ITblog http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-21158 Amatorszczyzna hacking.pl at ITblog Thu, 22 Feb 2007 13:40:30 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-21158 [...] bezmózgowego tłumaczenia. Stali czytelnicy ITblog’a zapewne pamiętają moje tłumaczenie artykułu dot. badania stopnia wykrywalności wirusów ukrytych w dokumentach Word’a. Pięknie podane i opracowane. I z takimi dokumentami i wnioskami można się zgodzić, nawet [...] [...] bezmózgowego tłumaczenia. Stali czytelnicy ITblog’a zapewne pamiętają moje tłumaczenie artykułu dot. badania stopnia wykrywalności wirusów ukrytych w dokumentach Word’a. Pięknie podane i opracowane. I z takimi dokumentami i wnioskami można się zgodzić, nawet [...]

]]> Przez: Jan P. Monsch http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-14224 Jan P. Monsch Fri, 24 Nov 2006 01:10:29 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-14224 Hi Mike I am the author of the alternative word format paper. Since I do not understand the polish comments in your blog I would be interested in a short English summary on the discussions. You might be interested to read the following blog which states that HIPS seem to better detect malware than AV products: http://mcwresearch.com/archives/344 Kind regards Jan P. Monsch Hi Mike

I am the author of the alternative word format paper. Since I do not understand the polish comments in your blog I would be interested in a short English summary on the discussions.

You might be interested to read the following blog which states that HIPS seem to better detect malware than AV products:
http://mcwresearch.com/archives/344

Kind regards
Jan P. Monsch

]]> Przez: Irma http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12939 Irma Mon, 16 Oct 2006 15:40:28 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12939 @ptashek, każdy, kto jest twórcą, także oprogramowania, wie, że trudno stworzyć dzieło doskonałe :) Leonardo da Vinci był ogarnięty ideą doskonałości. W praktyce jednak ulepszanie (w tym "łatanie" oprogramowania) jest raczej trudne do uniknięcia. Jeśli twórcy potrzebują tego miecza obosiecznego, jakim jest publikacja, nie świadczy to o nich najlepiej, a szczególnie, gdy to - jak piszesz - wielcy tego świata :) Gdybym ja odkryła lukę, najpierw wysłałabym informację do twórcy, a dopiero przy braku reakcji publikowałabym swoje odkrycie ku przestrodze użytkowników. @ptashek,
każdy, kto jest twórcą, także oprogramowania, wie, że trudno stworzyć dzieło doskonałe :)
Leonardo da Vinci był ogarnięty ideą doskonałości.
W praktyce jednak ulepszanie (w tym “łatanie” oprogramowania) jest raczej trudne do uniknięcia.
Jeśli twórcy potrzebują tego miecza obosiecznego, jakim jest publikacja, nie świadczy to o nich najlepiej, a szczególnie, gdy to - jak piszesz - wielcy tego świata :)
Gdybym ja odkryła lukę, najpierw wysłałabym informację do twórcy, a dopiero przy braku reakcji publikowałabym swoje odkrycie ku przestrodze użytkowników.

]]> Przez: ptashek http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12935 ptashek Mon, 16 Oct 2006 12:34:06 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12935 Troche zbaczajac z tematu ale w kontekscie ujawniania zagrozen przed znalezieniem sposobu na obrone: Jestem zwolennikiem "full disclosure". Ujawnienie luk/zagrozen w tym samym czasie i producentowi danego oprogramowania i jego uzytkownikom wysyla pozadany sygnal: piszcie swoje oprogramowanie tak, aby nie bylo w nim dziur, to nie bedziecie mieli problemu. Inaczej nikt nie bedzie sie specjalnie spieszyl z poprawkami, az jakas grupa zacznie aktywnie wykorzystywac problem do niecnych celow. Microsoft, Symantec i inni wielcy sa liderami takiego podejscia, choc trzeba przyznac, ze Microsoft od pewnego czasu robi sporo sam z siebie. Ile zajelo zalatanie ostatnich dziur w Wordzie i PowerPoint'cie? Kilka tygodni. Czy zostalyby zalatane, gdyby nie fakt, ze informacja o problemie pokazala sie w sieci razem z dzialajacym kodem wykorzystujacym luke? Nie. A przynajmniej nie tak "szybko" (jak na Microsoft). I badzmy szczerzy: im mniej luk w oprogramowaniu, tym wirusy maja mniej mozliwych drog infekcji i problem w pewnym momencie zaczyna sprowadzac sie glownie do edukacji uzytkownikow - w ramach prewencji. Troche zbaczajac z tematu ale w kontekscie ujawniania zagrozen przed znalezieniem sposobu na obrone:

Jestem zwolennikiem “full disclosure”. Ujawnienie luk/zagrozen w tym samym czasie i producentowi danego oprogramowania i jego uzytkownikom wysyla pozadany sygnal: piszcie swoje oprogramowanie tak, aby nie bylo w nim dziur, to nie bedziecie mieli problemu. Inaczej nikt nie bedzie sie specjalnie spieszyl z poprawkami, az jakas grupa zacznie aktywnie wykorzystywac problem do niecnych celow. Microsoft, Symantec i inni wielcy sa liderami takiego podejscia, choc trzeba przyznac, ze Microsoft od pewnego czasu robi sporo sam z siebie.

Ile zajelo zalatanie ostatnich dziur w Wordzie i PowerPoint’cie? Kilka tygodni. Czy zostalyby zalatane, gdyby nie fakt, ze informacja o problemie pokazala sie w sieci razem z dzialajacym kodem wykorzystujacym luke? Nie. A przynajmniej nie tak “szybko” (jak na Microsoft).

I badzmy szczerzy: im mniej luk w oprogramowaniu, tym wirusy maja mniej mozliwych drog infekcji i problem w pewnym momencie zaczyna sprowadzac sie glownie do edukacji uzytkownikow - w ramach prewencji.

]]> Przez: Irma http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12911 Irma Sun, 15 Oct 2006 13:34:03 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12911 Michał, nie lekceważę zagrożeń :) Dotknęło mnie trochę, że mój antywirusowy monitor nie wypadł w testach dobrze. :/ Nie tylko z wygody w Internecie bywam Operą, która nie uruchamia niebezpiecznych formatów. A wirusy w jpg-ach antywirus mi zgłasza. Kiedy zetknęłam się z tym pierwszy raz, byłam zaskoczona. Zresztą dotychczas wiele osób nie dowierza mi, że w grafice można ukryć niebezpieczny kod (i to tych znacznie lepiej obznajomionych z informatyką ode mnie). Prawdopodobnie ten typ zagrożenia masz na myśli (za cytowanym autorem testów). Cieszę się, że Twoja Firma jest świadoma. Wspomnę jeszcze o tym, że czasem - by nie inspirować niewłaściwych ludzi - lepiej nie pisać o zagrożeniach, zanim nie znajdzie się sposobu obrony. Michał, nie lekceważę zagrożeń :)
Dotknęło mnie trochę, że mój antywirusowy monitor nie wypadł w testach dobrze. :/
Nie tylko z wygody w Internecie bywam Operą, która nie uruchamia niebezpiecznych formatów.
A wirusy w jpg-ach antywirus mi zgłasza. Kiedy zetknęłam się z tym pierwszy raz, byłam zaskoczona.
Zresztą dotychczas wiele osób nie dowierza mi, że w grafice można ukryć niebezpieczny kod (i to tych znacznie lepiej obznajomionych z informatyką ode mnie). Prawdopodobnie ten typ zagrożenia masz na myśli (za cytowanym autorem testów).
Cieszę się, że Twoja Firma jest świadoma.
Wspomnę jeszcze o tym, że czasem - by nie inspirować niewłaściwych ludzi - lepiej nie pisać o zagrożeniach, zanim nie znajdzie się sposobu obrony.

]]> Przez: ptashek http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12910 ptashek Sun, 15 Oct 2006 13:28:07 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12910 OK, to moze napiszemy proof-of-concept? :-) I jak sam wspomniales, ta nauka nie ma konca. Nigdy nie bedzie programu AV, ktory wykryje 100% zagrozen. Jesli wykrywa 90%, dla mnie jest w scislej czolowce. OK, to moze napiszemy proof-of-concept? :-) I jak sam wspomniales, ta nauka nie ma konca. Nigdy nie bedzie programu AV, ktory wykryje 100% zagrozen. Jesli wykrywa 90%, dla mnie jest w scislej czolowce.

]]> Przez: Michał Osmenda http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12869 Michał Osmenda Sat, 14 Oct 2006 17:35:21 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12869 @ptashek: to jedynie kwestia czasu, innego wirusa lub programu, który potrafi uruchomic binaria zapisane w XML. Dokument ten dotyczy skali wykrywalnosci i to jest chyba najwazniejsze, nieprawdaz? Coz z tego, ze najlepsze programy potrafia wykryc 90% zagrozen, skoro przepuszczaja 10%? Pamietasz, kiedy kilka lat temu pojawily sie wirusy-makra w dokumentach worda? Producenci oprogramownia antywirusowego musieli szybko nauczyc sie jak zbudowane sa pliki doc i dot by moc rozpoznawac nowe zagrozenia. Ta nauka nie ma konca i chyba najwyzszy czas by nauczyc sie nowych formatow. @ptashek: to jedynie kwestia czasu, innego wirusa lub programu, który potrafi uruchomic binaria zapisane w XML.
Dokument ten dotyczy skali wykrywalnosci i to jest chyba najwazniejsze, nieprawdaz? Coz z tego, ze najlepsze programy potrafia wykryc 90% zagrozen, skoro przepuszczaja 10%?
Pamietasz, kiedy kilka lat temu pojawily sie wirusy-makra w dokumentach worda? Producenci oprogramownia antywirusowego musieli szybko nauczyc sie jak zbudowane sa pliki doc i dot by moc rozpoznawac nowe zagrozenia. Ta nauka nie ma konca i chyba najwyzszy czas by nauczyc sie nowych formatow.

]]> Przez: ptashek http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12868 ptashek Sat, 14 Oct 2006 14:31:34 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12868 Nie Michal, z tego dokumentu nie wynika jak posiadanie oprogramowania antywirusowego zmniejsza ryzyko zarazenia komputera wirusem, bo autor nie probowal nawet udowodnic swoich "odkryc" w praktyce (czyt.: nie probowal zarazic). Jesli udowodni, ze tak spreparowanymi plikami uda mu sie zarazic - bez wykrycia - komputer ofiary, uwierze ze ma racje. Nie Michal, z tego dokumentu nie wynika jak posiadanie oprogramowania antywirusowego zmniejsza ryzyko zarazenia komputera wirusem, bo autor nie probowal nawet udowodnic swoich “odkryc” w praktyce (czyt.: nie probowal zarazic). Jesli udowodni, ze tak spreparowanymi plikami uda mu sie zarazic - bez wykrycia - komputer ofiary, uwierze ze ma racje.

]]> Przez: Michał Osmenda http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12866 Michał Osmenda Sat, 14 Oct 2006 11:34:43 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12866 @ptashek: tym samym posiadanie programu antywirusowego jedynie zmniejsza ryzyko "zarazenia" komputera wirusem (w jakim stopniu, to wynika z tego dokumentu), a wazniejsza jest swiadomosc jak mozna wirus przetransportowac. Czyli znow dochodzimy do meritum kazdej publicystyki: informowac, by uswiadomic. I to, i tylko to, bez dyskredytacji jakichkolwiek producentow oprogramowania antywirusowego, bylo moim zamiarem przy publikacji tego posta. @ptashek: tym samym posiadanie programu antywirusowego jedynie zmniejsza ryzyko “zarazenia” komputera wirusem (w jakim stopniu, to wynika z tego dokumentu), a wazniejsza jest swiadomosc jak mozna wirus przetransportowac. Czyli znow dochodzimy do meritum kazdej publicystyki: informowac, by uswiadomic. I to, i tylko to, bez dyskredytacji jakichkolwiek producentow oprogramowania antywirusowego, bylo moim zamiarem przy publikacji tego posta.

]]> Przez: ptashek http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12865 ptashek Sat, 14 Oct 2006 11:06:51 +0000 http://michal.osmenda.com/2006/10/12/ukryc-wirusa-czyli-podrecznik-niebezpieczenstwa-sieciowego/#comment-12865 Autor napisal: This paper demonstrates the decoding capabilities of AV products in case of alternative file formats when used in a gateway scenario. Or in other words it about delivery vectors and not attack vectors. To, ze wirus lezy na komputerze ofiary zaszyty w formacie pliku, ktory nie jest jego "naturalnym srodowiskiem", nic nie znaczy. Tak jak granat nie wybuchnie bez wyciagniecia zawleczki, tak i wirus nie zarazi systemu bez stosownych procedur. Cos tego wirusa musi zdekodowac i wykonac. W takim przypadku heurystyka i biezacy monitoring pamieci powinny zalatwic reszte, jesli mamy w miare niezly program antywirusowy. Z calym szacunkiem dla autora, ale ten artykul wnosi tyle, ze nic nie wnosi. Po prostu pokazuje, ze silniki dekoderow/filtrow w oprogramowaniu antywirusowym sa rozne u roznych producentow. Autor napisal:
This paper demonstrates the decoding capabilities of AV products in case
of alternative file formats when used in a gateway scenario. Or in other words it about
delivery vectors and not attack vectors.

To, ze wirus lezy na komputerze ofiary zaszyty w formacie pliku, ktory nie jest jego “naturalnym srodowiskiem”, nic nie znaczy. Tak jak granat nie wybuchnie bez wyciagniecia zawleczki, tak i wirus nie zarazi systemu bez stosownych procedur.

Cos tego wirusa musi zdekodowac i wykonac. W takim przypadku heurystyka i biezacy monitoring pamieci powinny zalatwic reszte, jesli mamy w miare niezly program antywirusowy.

Z calym szacunkiem dla autora, ale ten artykul wnosi tyle, ze nic nie wnosi.
Po prostu pokazuje, ze silniki dekoderow/filtrow w oprogramowaniu antywirusowym sa rozne u roznych producentow.

]]>