Tag Archive for 'virus'

Przykazanie numer 1: zawsze sprawdź co wysyłasz klientom

Published by
Michał Osmenda
2008-04-07 in Bezpieczeństwo. Comments Tagi: ,

Jedynie kilka niedużych firm do tej pory odczuło efekty wypuszczania na rynek oprogramowania niesprawdzonego pod kątem wirusów, ale to co przytrafiło się HP można będzie zaliczyć do klasyki gatunku.

Zgodnie z doniesieniami AusCERT z dnia dzisiejszego (07/04/2008, pierwsze informacje prasowe pochodzą z 03/04/2008) do niektórych serwerów z serii Proliant z dołączonym kluczem USB o wielkości 256MB lub 1GB (taki klucz jest opcjonalny przy zamówieniach serwera) może być dodany extra, zupełnie darmowo wirus W32.Fakerecy lub W32.SillyFDC. Zagrożonymi systemami są stare odmiany Windows: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000, a sam wirus jest praktycznie nieszkodliwy, jednak PR-hit jaki dział serwerowy firmy HP odczuje może okazać się znaczny.
Łatwo można sobie wyobrazić sytuację, w której na małej “kostce” pamięci USB zamiast małego i nieszkodliwego konia trojańskiego, schowa się coś bardziej “inteligentnego” i szkodliwego, na tyle niezauważalnego, by szybko rozprzestrzenić się po lokalnej sieci firmowej i dokonać znacznych zniszczeń.

Dla HP zapewniej taniej byłoby opracować procedury bezpieczeństwa i zbudować system automatycznego skanowania, mające na celu wyeliminowanie takich sytuacji, niż ponieść znaczne koszty rozpraw sądowych i całkiem ralnych przegranych.

W końcu kilka takich systemów na świecie istnieje, a ja admnistruję jednym z nich.

Windows Server 2008 zadebiutował - spojrzenie od środka

Published by
Michał Osmenda
2008-02-04 in Microsoft and Windows Server 2008. Comments Tagi: , , ,

Najnowszy serwerowy system operacyjny Microsoftu ukazał się dzisiaj w wersji RTM - Release To Manufacturing. Oznacza to, że grupa produktowa zakończyła już prace i przekazała skompilowane oprogramowanie do grupy zajmującej się wypuszczeniem produktu na rynek, do mojej grupy - Release Services. Od nas, po stworzeniu tzw. master disc, produkt zostanie przekazany do firm zajmujących się tłoczeniem CD/DVD i pudełkowaniem. Stamtąd już prosto na półki sklepowe i do dystrybutorów. Proste, prawda?

Zanim jednak to nastąpiło, jeszcze w czasie pracy nad ostateczną wersją inna cześć mojej grupy - Product Launch Services (PLS) - pracował nad zebraniem w jedną całość tak istotnych materiałów jak grafika, klucze seryjne (wygenerowane przez jeszcze inną grupę), pudełka, numery produktów (te zapisane w postaci X00-000). Inny dział, Pricing, kalkulował ceny dla każdego rynku europejskiego.
Ja w tym czasie pomagałem grupie Windows podpisać ich kod certyfikatami (authenticode, niektóre także strong name dla .Net Framework), sprawdzić jak reagują na nowy kod programy antywirusowe i kiedy wszystko było OK, dać all-clear. To w miarę zautomatyzowany proces, ale i tak zabawy jest dość sporo.

Business as usual.

Btw, Windows Vista SP1 też się ukazał. Tutaj proces jest nieco odmienny, bo część release’u ląduje na Windows Update. Ale to już zupełnie inna historia …

Kaspersky Personal Security

Published by
Michał Osmenda
2007-11-26 in Bezpieczeństwo and Funny. Comments Tagi: , ,

W Estonii - elektronicznym i internetowym tygrysie Europy Wschodniej, Kaspersky, znany producent oprogramowania antywirusowego w dość zaskakujący sposób dystrybuuje swój najnowszy produkt - Kaspersky Personal Security. Oto zdjęcie produktu:

Produktu tego nie można kupić w żadnym sklepie, supermarkecie czy przez Internet. Jest on rozprowadzany przez bardzo miłe i skąpo ubrane panie (tutaj należy oddać szacunek za poświęcenie, w Estonii o tej porze roku jest naprawdę zimno!) na starym mieście w Tallinie. W dodatku oferowany jest za darmo! Produkt działa na każdym systemie operacyjnym i z dotychczasowych testów doskonale chroni przed wirusami i niechcianym oprogramowaniem.

Z jego użyciem wiąże się jednak pewien mankament: raz zainstalowany wystarcza tylko na jednorazowe użycie. Jednak wszyscy dotychczasowi klienci bardzo sobie nowe narzędzie z firmy Kasperskiego chwalili.

Oto opakowanie wraz z zawartością:

Wszystkie zdjęcia wykonane przez autora bloga, dystrybucja na zasadach Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 Unported License.

Update: James także o tym napisał/James blogged about it as well

Malware z cyfrowym podpisem

Published by
Michał Osmenda
2007-09-12 in Bezpieczeństwo, Windows Server 2003, Windows Vista and Windows XP. 11 Comments Tagi: , , ,

==Aktualizacja (16/09/2007)==

Certyfikat tutaj opisany nie zaświadcza, że program, który został nim podpisany jest bezpieczny, jakąkolwiek definicję bezpieczeństwa przyjmiemy. Zdanie to jest zawarte w poniższym tekście, jednak nie wszyscy są w stanie wyłowić taki niuans.

==Oryginał poniżej==

Upadkiem dobrych obyczajów i utratą zaufania można nazwać ostatnie znalezisko firmy Sunbelt Software z USA: spyware podpisany cyfrowo przez Thawte.

Tutaj można znaleźć wynik skanowania podpisanego przez Thawte pliku. Jak widać, całkiem nieciekawy widok.

Problem jest całkiem złożony. Zaczyna się od tego, że każdy komputer z zainstalowanym systemem Windows (praktycznie w dowolnej wersji) ufa firmie Thawte i jej certyfikatom jako zaufanym i wszystko co jest przez ich certyfikaty podpisywane, traktowane jest jako “bezpieczne”. Jednak firma Thawte jest także zwykłą firmą, której głównym celem jest zarabianie pieniędzy. Nic zatem dziwnego, że sprzeda swoją technologię także firmom czy osobom prywatnym, których celem jest dostarczanie użytkownikom komputerów niezgodnego z prawem oprogramowania: wirusów, adware, spyware, trojanów i temu podobnych. Taki certyfikat kosztuje niemało, ale też nie jest na tyle drogi, by średnio przedsiębiorczy autor szkodnika mógł osiągnąć zyski z takiego zakupu.

Sam certyfikat dostarczany przez Thawte oczywiście nie zaświadcza, że oprogramowanie nim podpisane nie wyrządzi szkód naszemu systemowi i danych na nim zawartych. Jak można zresztą wyczytać z powyższego obrazka, certyfikat oznacza “jedynie”, że kod pochodzi od firmy, dla której certyfikat wystawiono i że oprogramowanie nie zostało zmodyfikowane po jego podpisaniu. Nie ma wzmianki o tym, że program jest “bezpieczny”. Problemem jest interpretacja, jaką zwykło się przyjmować dla kodu podpisanego przez zaufane firmy. W Windows XP, 2000, 2003 i Vista wywołując polecenie certmgr.msc można zobaczyć listę instytucji certyfikujących zakwalifikowanych do grona zaufanych. Jest tam Thawte, VeriSign czy Globalsign. Programy podpisane przez certyfikaty tych firm nie spowodują wyświetlenia ostrzeżenia o uruchamianiu programu pochodzącego z nieznanego źródła.

Czy to może oznaczać, ze Microsoft zadecyduje o wyłączeniu opcji “ufaj Thawte” w jakiejś kolejnej poprawce, SP czy kolejnej wersji systemu operacyjnego? Raczej mało prawdopodobne. Ale może to oznaczać, że Thawte będzie musiało nieco zmienić swoją politykę dostarczania technologii podpisu cyfrowego każdemu kto o to poprosi i zapłaci wystarczająco dużo. W innym przypadku będziemy świadkami dośc poważnego kryzysu zaufania do instytucji certyfikujących (którą na marginesie jest także Microsoft).

Źródło: Sunbelt Software blog

Zabij sobie sieć aktualizacjami programu antywirusowego. Gratis!

Published by
Michał Osmenda
2007-08-22 in Bezpieczeństwo and Zarządzanie IT. 10 Comments Tagi: , , , ,

Ręka do góry, który z Pań/Panów administratorów przewidział ruch sieciowy jaki może być generowany przez aktualizacje programów antywirusowych. Hm, mało.
Kryterium obciążenia łącza jest rzadko brane pod uwagę przy wyborze ochrony antywirusowej, choć to duży błąd. Ściąganie aktualizacji na centralny serwer takim problemem nie jest, ale już dystrybucja na kilkaset/kilka tysięcy komputerów w sieci, już może być.

Wziąłem pod lupę kilka skanerów, które w mojej opinii są najpoważniejszymi kandydatami przy wyborze rozwiązania AV. Porównałem je pod kątem częstotliwości aktualizacji i wielkości poprawek. Wyniki są ciekawe.

  • AVG, Grisoft - około 1GB poprawek miesięcznie, dystrybuowane dziennie, czasami dwa razy na dzień
  • Authenium - 200MB/miesiąc, aktualizacje raz na dzień
  • Kaspersky - od 200 do 500MB/miesiąc, aktualizacje nawet co godzinę, 8-10 “dużych”, kumulatywnych aktualizacji na miesiąc
  • McAfee - od 2 do 10GB aktualizacji miesięcznie, 5-7 aktualizacji na dzień
  • MPScan - skaner MS dołączany do Windows Defender i OneCare, około 4GB aktualizacji miesięcznie, 6 aktualizacji na dzień
  • Eset NOD32 - 500MB/miesiąc, 2-3 razy/dzień
  • Norman - 2-5GB aktualizacji/miesiąc, 6 aktualizacji na dzień
  • Symantec - 3-10GB aktualizacji na miesiąc, 5-7 razy dziennie
  • Sophos - 80-100MB/miesiąc, 1-7 razy dziennie
  • VET (Computer Associates czy też CA) - około 100MB/miesiąc, raz dziennie
  • TrendMicro - 5-20GB/miesiąc, około 30 aktualizacji dziennie!

Ostatni skaner potrafi dość skutecznie obniżyć wydajność sieci, więc każdy administrator posiadający TrendMicro w swojej infrastrukturze powinien dokładnie planować aktualizację skanerów.

Zasadnicza uwaga: większość z tych aktualizacji jest kumulatywna, co oznacza że n+1 zawiera n wzbogacone o kilka dodatkowych definicji. Z tego szablonu wyłamuje się Kaspersky, który dostarcza nowe definicje w każdej nowej aktualizacji, wypuszczając kumulatywne jedynie 8-10 razy na miesiąc.

« Previous Entries

Kalendarz

maj 2008
P W Ś C P S N
« kwietnia    
 1234
567891011
12131415161718
19202122232425
262728293031  

Disclaimer

All postings are provided "AS IS" with no warranties, and confer no rights. This weblog does not represent the thoughts, intentions, plans or strategies of Microsoft or any other company or organization. Because a weblog is intended to provide a semi-permanent point-in-time snapshot, you should not consider out of date posts to reflect current thoughts and opinions.
All software used by author of this blog come from legal sources.

Add to Technorati Favorites

RSS RSS Feed