Доктор Веб показал неэффективность "песочницы" Касперского

image

Теги: Доктор Веб, Лаборатория Касперского

Специалисты компании «Доктор Веб» сумели в ряде тестов обойти защиту «безопасной среды», реализованной в новом продукте «Лаборатории Касперского» - Kaspersky Internet Security 2010.

Технология Sandbox («песочницы» или Green Zone — «безопасной среды»), впервые появившаяся в комплексном решении Kaspersky Internet Security 2010 (антивирус, антиспам, защита от атак), привлекла пристальное внимание конкурентов ЛК. Напомним, что Sandbox позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве.

 «Мы не могли удержаться от тестирования новой технологии наших коллег, — говорят представители  компании . «Доктор Веб». — Поскольку идея «песочниц» не нова и довольно много антивирусных компаний уже долгое время имеют схожие разработки, а также в связи с тем, что наша антивирусная лаборатория постоянно ведет исследования в этой области, подобная информация, естественно, представляет для нас большой интерес».

«Для выполнения первого теста файловый менеджер FAR был помещен в «песочницу» и запущен на исполнение, — описывают свой эксперимент в «Доктор Веб». — Затем из Сети были взяты четыре эксплойта, использующие уязвимости ОС Windows. Вредоносные файлы не были задетектированы средствами KIS (не сработала ни эвристика, ни HIPS) и запущены на исполнение. В результате все эксплойты выполнили свое предназначение (переход в режим ядра ОС), а «песочница» так и не осуществила свою миссию, доказательством чему был синий экран смерти Windows (BSoD). Операционной системе был нанесен безусловный вред».

В другом тесте была произведена проверка на способность изолировать изменения файловой системы внутри Green Zone. «Обычные операции над файлами никак не повлияли на работоспособность основной системы, — продолжают в «Доктор Веб». — Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор (как это делал, например, вирус Win32.Ntldrbot), можно получить полный доступ к системе за пределами «песочницы» и способность изменять критически важные объекты. Так, простой командный файл (bat) из двух строк с легкостью удаляет файл c:\ntldr, что приводит к полной неработоспособности всей системы после перезагрузки».

Таким образом, как утверждают представители «Доктор Веб»,  Green Zone на самом деле совершенно не гарантирует, что вредоносные программы не смогут нанести вред операционной системе и файлам пользователя, как было заявлено при запуске KIS 2010.


или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  
rem
01-09-2009 10:53:50
гениально! Т.Е. де-факто доказано простейшее утверждение: если у нас есть два zero-days сплойта, один позволяющий получить shell а второй повышающий привелегии до корневых никакие права доступа на файлы (или привилегии и.т.п.) или их симуляция ("песочница", selinux и.т.п.) нас не остановят... Неявное следствие: в среднем безопасность большинства современных ОС одинакова неэффективна против целенаправленной атаки.
0 |
Sw%00p aka Jerom
01-09-2009 11:28:31
зеро-дей эксплоит будет срабатывать по любому конечно же тесты проводились на дырявой винде без патчей и никакая система защиты не спасёт вот если бы была бы уязвимость в самой песочнице и происходил бы её обход то это совсем другое дело а писать про то что мол вот КИС не справился не правильно пс: даже если заблокировать выполнение всех сторонних программ зеро-дей эксплоит всё равно сработает
0 |
rem
01-09-2009 11:34:31
Согласен, чего-то я заболтался. В новости то говорится о "тесте песочницы". - если прямо то не очень понятно где этот тест песочница провалила (обращения по SMB/CIFS к админским шарам вроде как проблемы серверных компонентов windows и идиота пользователя , а не защита ФС)
0 |
53713
01-09-2009 11:52:18
Сам смысл этой песочницы в защите от зиродеев.
0 |
rem
01-09-2009 11:55:07
Если это так, выше доказана неэффективность.
0 |
Mr. Smith
02-09-2009 02:04:59
дядю Женю опустили ?! 56248
0 |
reader
02-09-2009 20:47:46
>вот если бы была бы уязвимость в самой песочнице и происходил бы её обход то это совсем другое дело Перечитываем еще раз: "Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор , можно получить полный доступ к системе за пределами «песочницы»"
0 |
null
01-09-2009 14:50:30
SELinux может и должен препятсвовать процессом с EUID==0. Он не может препятсовать коду, выполняющимся в пространстве ядра. Это важное отличие.
0 |
rem
01-09-2009 15:59:15
Конечно правильно, но имея доступ в пространство ядра, что нам мешает отключить SELinux?
0 |
null
01-09-2009 17:19:31
Просто ты его не получишь и всё Ну, или предложи концепцию исполнения кода в пространстве ядра, инициированную из юзермода, интересно послушать.
0 |
rem
01-09-2009 17:22:19
переполнение буфера в ядре. вызываем функцию т.е. системный вызов, и передаём заранее известные параметры (те значения которые вызывают некорректную работу с буфером), к файловой системе в этом случаи можно не обращаться. если, что либо непонятно написано дико извиняюсь
0 |
20931
01-09-2009 17:44:24
Я вижу ты не в курсе что переполнения буфера отсекаются в линуксе сходу
0 |
rem
01-09-2009 17:47:27
Поясни плз.
0 |
04-09-2009 16:14:54
видимо, речь о сборке ядра с -fstack-protector вообще, механизмов противодействия успешной эксплуатации уязвимостей в linux достаточно много.
0 |
null
02-09-2009 07:21:33
Всё понятно. Два замечания: 1. Такие уязвимости (возможность исполнения секции данных в ядре) - капитальная редкость, хотя и случаются (наверное). 2. Исполнение буфера, как я понимаю, возможно на 32-х битной x86 платформе и ещё некоторых стареньких. На x86_64 неисполняемые участки кода исполнить не получится, будет ошибка защиты памяти (функция, реализуемая MMU процессора) и просто система свалится. Исполнить же ничего не удастся.
0 |
rem
02-09-2009 15:56:08
По правде говоря, в данном обсуждении я дошёл до границы своей компетенции. Сказать по правде aseembler не знаю (университетский курс на основе 8086 не в счёт), так, что остаётся только признать, что ни могу не подтвердить ни опровргнуть предыдущее утверждение (или заняться на досуге изучением? ).
0 |
04-09-2009 16:17:36
кстати, вопрос по схожей теме: допустим, есть уязвимое 32бит приложение, исполняющееся на 64битном ядре. насколько это усложняет успешную эксплуатацию уязвимости? (речь о x86 & x86_64 ессно)
0 |
04-09-2009 16:13:17
оно не отключабельно налету. да и зачем отключать, если мы уже в ядре?
0 |
RU_LIDS
08-09-2009 16:06:27
А затем, что "нам" нужно породить процесс. К примеру прибиндить шелл. Так вот этот процесс хоть и будет иметь uid 0, но ни к чему доступа не получит (в соответствии с правилами SELinux)
0 |
01-09-2009 10:54:10
Вы не поняли, "песочница" не для пользователя а для вирусов! по этому и не за детектили их. ЗЫ Что только дядя женя не придумает, что бы продавать свои домашние поделки из пластилина
0 |
01-09-2009 15:15:55
К сожалению, лучше этих поделок покамест ничего не придумали. Фор виндоус онли. Поправьте, если ошибаюсь.
0 |
Барнаул
01-09-2009 10:59:28
Отстойные методы конкуренции. Потеряют на этом больше клиентов, чем каспер.
0 |
43905
01-09-2009 11:00:21
Войны антивирусных компаний... Как это эпично!
0 |
Зверьё-маё
01-09-2009 15:47:18
и эпатажно!
0 |
SMakc
01-09-2009 16:17:19
Ну войны как бэ нет, то что у Др.Вэба все плохо, видно уже давно, но войной тут не пахнет ))
0 |
Серый волк
01-09-2009 11:01:18
че то нефига не понял, а нафига эта так сказать "песочница" нужна? Для чего? Что скачивать всякую шнягу из инета и запускать её? Так для этого есть другие инструменты... например виртуализация, ах даааа заыбыл совсем... блиииин с установленным поделием от Касперского ресурсов на виртуалку то не хватит... P.S. ЧЕ тока не придумают, чтобы побольше денег снять с глупых пользователей.
0 |
стопицот
01-09-2009 11:56:37
Я бы еще добавил, что доктор веб как бы тоже не предел мечтаний, систему притормаживает значительно больше, чем тот же касперский.
0 |
65357
01-09-2009 12:20:26
Я бы еще добавил, что доктор веб как бы тоже не предел мечтаний, систему притормаживает значительно больше, чем тот же касперский. Я бы не согласился с добавленным, так как хоть др.веб и не самый быстрый, но тормазнее дядежениных поделок не бывает.
0 |
Капча
01-09-2009 12:41:07
Согласен, веб меньше тормоз чем каспер
0 |
стопицот
01-09-2009 13:14:25
Ну я выводы делаю не из воздуха, ставил и то, и другое. С вебом много проблем, начиная от тормозов, заканчивая например тем, что при скачке обновлений на определенный софт они не могут установится, т.к веб их проверяет и соответственно что-то не получается. Еще была проблема такая, не мог записать файлы на флешку, при копировании, где то на процентах 40 - 70(когда как), вылазила ошибка о том, что файл занят, при отключении веба все скопировалось отлично. П.С. Железо не супер мощьное, но и не барахло.
0 |
08364
01-09-2009 17:12:12
Организация, 40 компов. Доктор веб, глюков описаных выше не было не разу.
0 |
29285
01-09-2009 21:36:11
Организация, 1200 компов, глюков нет, полет нормальный, или пример, банк, 35 000 компов, линух, полет нормальный, глюков нет, вирей тоже )
0 |
Страницы: 1  2  3  4  5