Уточню, вирусов на флешках, использующих «авторан». Может подскажете зачем авторы Stuxnet-а (умнейшие люди, между прочим), для распространения через флешки искали zeroday вместо того, чтоб просто использовать «неотключенный авторан»?
В википедии написано как оно на самом деле работает, а не мифы. А в интернете можно найти и инструкции по перемещению свопфайла на рамдиск и по отключению авторана на Vista/Win7 и страшилки про страшные эпидемии вирусов, с которыми пользователь ничего не может сделать.
Ссылки, которые Вы привели я видел. Вы утверждали что-то про «новую «пустую» флешку (запаянная в блистерной упаковке была, при мне вскрывал)» — то есть сошедшую с конвейера. Причем утверждали, что видите подобное постоянно — вот хорошо бы, если б Вы подтвердили свои слова.
Здесь скорее, как сказал Синофский, в дороге можно использовать как таблетку, пришел домой — подключил клавиатуру — и у тебя полноценный ноутбук.
Хотя опять таки, если сильно хочется (или сильно нужно), можно и без клавиатуры использовать какой нибудь фотошоп/офис. Правда здесь лучше иметь перо (уже сейчас до фига планшетов, поддерживающих гибридный пальцево-перьевой ввод).
Что необычного? Наверное то, что очень похоже на банальное вранье. en.wikipedia.org/wiki/Autorun.inf#Inf_handling
Уже почти 10 лет без согласия пользователя ничего с флешек не запускается и уж тем более «уже черте какой по счету аналогичный случай» это откровенный пиздеж. Вас конечно не затруднит показать новости (это ж надо полагать вся серия флешек сошла с конвейера завирусованной) об этих происшествиях — ведь Вы точно знаете модель и производителя? Один простенький запрос — и вот подтверждение Ваших слов.
Zotob — через две недели после патча (это, пожалуй, самое близкое, но опять встает вопрос об отключенном файрволе и отключенных апдейтах)
Sasser — через 17 дней после апдейта
Lovesan/Blaster — через месяц после апдейта (автора поймали, на суде он признался, что реверсил МС-овский патч, а не саму винду)
Если сравнивать с Эппловым подходом, при котором файрвол должен быть отключен по умолчанию, а апдейты можно релизить через полгода ПОСЛЕ публикации уязвимостей, то это конечно очень-очень плохо
> Т.е. когда MS месяц не выпускает апдейт безопасности
Когда не выпускает? Вам побешить или Вы действительно интересовались вопросом? Если сравнивать с МС, то они в тот же день публикуют воркэраунды и митигейшны, Эппл же месяц пытались скрыть вообще любую информацию (даже собственным саппортам говорили ничего не подтверждать, не опровергать и не предлагать помощи).
> а когда корпорации не ставят этот апдейт в день его выхода (типичная ситуация для WSUS, кстати) — сами виноваты
Не в тот же день, а ЧЕРЕЗ МЕСЯЦ, но кого это интересует, правда? Вот если Эппл по полгода-году не релизит апдейты публично раскрытых уязвимостей — это только потому, что там о безопасности волноваться не надо.
> Ну тогда вспомните про Sadmind и Code Red. Стада веб-серверов на IIS
Мдя. Нет, это Вы вспомните.
Патч для sadmind был выпущен за 7 (СЕМЬ) месяцев до появления червя, патч для code red был выпущен за месяц до появления червя. «Не патчат в тот же день», ага.
Я не видел. Джавы у меня в принципе нет, вот с адоби все несколько сложнее, но против них несколько митигейшнов и у меня даже 6-тилетний сын ни разу не ловил вирусов (да, у него есть собственный компьютер).
То что атаки на флеш/pdf (который тоже является «безопасным» и сходу открывается после скачивания :-) )/java не являются специфичными для Windows уже сказано, но есть еще пара вещей, которые стоит учесть.
1. В Windows нет Java (спасибо Sun), пользователь ставит ее сам, а вот в MacOSX — это часть ОС, причем часть ОС, с традиционно очень хреновыми апдейтами безопасности (да, у MacOSX собственная версия java, которая иногда отстает с апдейтами на полгода и больше)
2. В Safari нет sandbox-инга. Вопреки распространенному мнению, сендбоксинг впервые появился в IE7 (Protected Mode IE), а уж потом в хроме. То есть мало того, что нужно скомпрометировать плагин — нужно еще и выбраться из песочницы, что далеко не всегда под силу блекхэтам (у VUPEN получилось, но люди с ТАКИМ опытом могут монетизировать свои знания и легальным путем). Но это в Windows/IE, в Safari же достаточно скомпрометировать сам плагин и система твоя.
Каким образом аппстор решает ЭТУ проблему? Человек заходит на сайт и у него автоматически запускается инсталлятор «антивируса». Или Вы предлагаете вообще убить возможность ставить чего либо НЕ из аппстора?
Более того, аппстор не решает и большинство других проблем. Например, скачивание «кряков» со встроенными сюрпризами. На винде тоже есть куча мест, откуда можно скачать гарантированно «чистый» софт, но люди почему то качают с бухты.
Ну вот об этой галке (в числе прочего) и речь. Кроме того, проверка обновлений антивирусных баз будет теперь ежедневной и прочие мелочи.
ARDF — это Apple RDF — свойство людей верить всему, что говорит Джобс.
Что же до песочниц — платформ виртуализации приложений просто до фига (в том числе и Microsoft-овский App-V, которому тоже уже сто лет), но полная виртуализация для большинства применений — явный оверкилл, поэтому обычно под песочницами чаще всего понимаются per-process настройки безопасности (и, иногда хотя и не обязательно, brokered доступ к ресурсам).
С винлокерами история еще забавнее, они устанавливались В ТОЧНОСТИ как макдефендер (в некоторых было даже лицензионное соглашение, в котором описывались последствия его установки :-) )
Что же до «этой страны» — ну кто ж виноват в глупости то. А, да, вспомнил. Винда виновата
Просто ненавязчиво указываю на тот факт, что в данном случае пользователь буквально заставляет программу передать его данные злоумышленнику.
И? В винде все происходит точно так же.
Обычно в среде Windows можно словить вирус просто зайдя на интернет страницу.
Мдя. Не соизволите показать мне эту страницу? Ну или хотя бы ответить на вот такую просьбу?
А Вы посмотрите сколько статей на хабре было про винлокер, который и распространялся и действовал ТОЧНО ТАК ЖЕ. К тому же, «вирусом» уже давно называют вообще всю малварь, примерно как «под зонтиком» html5 собрались html, css и ecmascript.
Сравните мой скриншот (10.6.6 которому, на минуточку, слегка меньше 7 лет) и скриншот из поста. Что то мне подсказывает, что Вы, скажем так, не совсем искренни.
Что же до сендбоксов, у Вас слишком много веры в ARDF и, похоже, недостаточно реальных знаний (хотя с уверенностью утверждать не берусь). Сендбокс это не что-то магическое (в частности в винде они реализуются за счет обычных DACL и restricted token-ов, которым сто лет в обед). Сколько б лет там Эппл ни работали, в винде уже более 10 лет эти сендбоксы присутствуют. Что же до РЕВОЛЮЦИОННОЙ технологии сендбоксов, которую Эппл вот-вот реализует — если их track record в плане безопасности является хоть каким то показателем, то они непременно сфейлят по факту, но при этом убедят всех, что это настолько революционно, что даже представить себе сложно и больше никто до этого не додумался.
А вообще, мой Вам совет: сносите сафари и ставьте хром — это единственный кроссплатформенный браузер, в котором к безопасности относятся серьезно, а не просто кричалками.
Это кстати очень хороший пример. Автора бластера в конце концов поймали (что случается начасто) и в в суде было показано, что он реверсил патч безопасности, а не саму винду. В общем то по таймлайну и так понятно, что большинство редхэтов так и делают (если делают вообще), но в данном случае это достоверно доказано.
История та же, что и с конфикером: если ты специально отключаешь апдейты и файрвол — ты сам напрашиваешься на неприятности.
Что же до сендбоксов — Apple даже табы Safari не может изолировать в песочницах, а это приложение, которое чаще всего «общается» с «диким интернетом». Чего уж говорить о вообще всем.
Уточню, вирусов на флешках, использующих «авторан». Может подскажете зачем авторы Stuxnet-а (умнейшие люди, между прочим), для распространения через флешки искали zeroday вместо того, чтоб просто использовать «неотключенный авторан»?
Ссылки, которые Вы привели я видел. Вы утверждали что-то про «новую «пустую» флешку (запаянная в блистерной упаковке была, при мне вскрывал)» — то есть сошедшую с конвейера. Причем утверждали, что видите подобное постоянно — вот хорошо бы, если б Вы подтвердили свои слова.
Проблемы вирусов на флешках нет начиная с XP. Это документированное поведение:
Хотя опять таки, если сильно хочется (или сильно нужно), можно и без клавиатуры использовать какой нибудь фотошоп/офис. Правда здесь лучше иметь перо (уже сейчас до фига планшетов, поддерживающих гибридный пальцево-перьевой ввод).
А некоторые, у которых ЧСВ развито сильнее любознательности — начали выступать со своим Мнением, прежде, чем хоть немного ознакомиться с вопросом.
www.apple.com/macosx/security/
en.wikipedia.org/wiki/Autorun.inf#Inf_handling
Уже почти 10 лет без согласия пользователя ничего с флешек не запускается и уж тем более «уже черте какой по счету аналогичный случай» это откровенный пиздеж. Вас конечно не затруднит показать новости (это ж надо полагать вся серия флешек сошла с конвейера завирусованной) об этих происшествиях — ведь Вы точно знаете модель и производителя? Один простенький запрос — и вот подтверждение Ваших слов.
Sasser — через 17 дней после апдейта
Lovesan/Blaster — через месяц после апдейта (автора поймали, на суде он признался, что реверсил МС-овский патч, а не саму винду)
Если сравнивать с Эппловым подходом, при котором файрвол должен быть отключен по умолчанию, а апдейты можно релизить через полгода ПОСЛЕ публикации уязвимостей, то это конечно очень-очень плохо
Когда не выпускает? Вам побешить или Вы действительно интересовались вопросом? Если сравнивать с МС, то они в тот же день публикуют воркэраунды и митигейшны, Эппл же месяц пытались скрыть вообще любую информацию (даже собственным саппортам говорили ничего не подтверждать, не опровергать и не предлагать помощи).
> а когда корпорации не ставят этот апдейт в день его выхода (типичная ситуация для WSUS, кстати) — сами виноваты
Не в тот же день, а ЧЕРЕЗ МЕСЯЦ, но кого это интересует, правда? Вот если Эппл по полгода-году не релизит апдейты публично раскрытых уязвимостей — это только потому, что там о безопасности волноваться не надо.
> Ну тогда вспомните про Sadmind и Code Red. Стада веб-серверов на IIS
Мдя. Нет, это Вы вспомните.
Патч для sadmind был выпущен за 7 (СЕМЬ) месяцев до появления червя, патч для code red был выпущен за месяц до появления червя. «Не патчат в тот же день», ага.
1. В Windows нет Java (спасибо Sun), пользователь ставит ее сам, а вот в MacOSX — это часть ОС, причем часть ОС, с традиционно очень хреновыми апдейтами безопасности (да, у MacOSX собственная версия java, которая иногда отстает с апдейтами на полгода и больше)
2. В Safari нет sandbox-инга. Вопреки распространенному мнению, сендбоксинг впервые появился в IE7 (Protected Mode IE), а уж потом в хроме. То есть мало того, что нужно скомпрометировать плагин — нужно еще и выбраться из песочницы, что далеко не всегда под силу блекхэтам (у VUPEN получилось, но люди с ТАКИМ опытом могут монетизировать свои знания и легальным путем). Но это в Windows/IE, в Safari же достаточно скомпрометировать сам плагин и система твоя.
Более того, аппстор не решает и большинство других проблем. Например, скачивание «кряков» со встроенными сюрпризами. На винде тоже есть куча мест, откуда можно скачать гарантированно «чистый» софт, но люди почему то качают с бухты.
ARDF — это Apple RDF — свойство людей верить всему, что говорит Джобс.
Что же до песочниц — платформ виртуализации приложений просто до фига (в том числе и Microsoft-овский App-V, которому тоже уже сто лет), но полная виртуализация для большинства применений — явный оверкилл, поэтому обычно под песочницами чаще всего понимаются per-process настройки безопасности (и, иногда хотя и не обязательно, brokered доступ к ресурсам).
читать как «большинство блэкхэтов»
Гы и чего только в голову ни лезет :-)
Что же до «этой страны» — ну кто ж виноват в глупости то. А, да, вспомнил. Винда виновата
И? В винде все происходит точно так же.
Обычно в среде Windows можно словить вирус просто зайдя на интернет страницу.
Мдя. Не соизволите показать мне эту страницу? Ну или хотя бы ответить на вот такую просьбу?
И? Поимею нескромность процитировать себя:
все равно пользователь, который устанавливает «антивирус» не разберется в чем отличие от software update
Вы действительно считаете, что люди, устанавливающие «антивирус» не установят «апдейт»?
Что же до сендбоксов, у Вас слишком много веры в ARDF и, похоже, недостаточно реальных знаний (хотя с уверенностью утверждать не берусь). Сендбокс это не что-то магическое (в частности в винде они реализуются за счет обычных DACL и restricted token-ов, которым сто лет в обед). Сколько б лет там Эппл ни работали, в винде уже более 10 лет эти сендбоксы присутствуют. Что же до РЕВОЛЮЦИОННОЙ технологии сендбоксов, которую Эппл вот-вот реализует — если их track record в плане безопасности является хоть каким то показателем, то они непременно сфейлят по факту, но при этом убедят всех, что это настолько революционно, что даже представить себе сложно и больше никто до этого не додумался.
А вообще, мой Вам совет: сносите сафари и ставьте хром — это единственный кроссплатформенный браузер, в котором к безопасности относятся серьезно, а не просто кричалками.
История та же, что и с конфикером: если ты специально отключаешь апдейты и файрвол — ты сам напрашиваешься на неприятности.
Что же до сендбоксов — Apple даже табы Safari не может изолировать в песочницах, а это приложение, которое чаще всего «общается» с «диким интернетом». Чего уж говорить о вообще всем.