Дохтур Паутиныч жжотЪ

Posted: 2012-06-12 in IT

То, что почти 90% домашних пользователей сидят под виндой — не секрет. Что из них у 80% машины толком не защищены — вообщем-то тоже. [Откровения товаrища tezla про PoC-эксплойты доставляют, да] Ну и о том, что ради удовлетворения спроса со стороны «хомячкофф» микрософт не готова поставлять виндовс в духе «secure by default» — тем более.

На фоне этой радостной вакханалии попытки антивирусных компаний просветить пользователей (чтобы им в день присылали не 10 000 вирусов, а хотя бы тыщщонку-другую) выглядят конечно здорово и героически, но в общем-то бессмысленно.

Вот прислали мне такую ссылку:
ВебIQметр — Узнай свой IQ в области компьютерной безопасности!
Что такое просто IQ и как его определяют — можно прочитать в википедии. А вот что такое «IQ в области компьютерной безопасности» — науке сие неведомо. Как авторы тестофф не лопнули от пафоса — без понятия. Скажу честно, я пару вопросов завалил 😀 Ну вот не в курсе я, какие методы приема бабла от населения предпочитают авторы современных винлокеров, и как чаще всего коммуниздят аккаунты от социальных сетей. И что сцуко характерно, мне почему-то совершенно не стыдно за свою неграмотность в этом вопросе 😀 😀

А теперь пара забавных моментов. Один из вопросов звучит так:

Снизить риск загрузки ложного антивируса можно:

и два варианта ответов. Правильный —

Запретив всплывающие окна и запретив исполнение Java-скриптов.

В конце теста можно найти такую же фееричную рекомендацию:

Запретите всплывающие окна и исполнение Java-скриптов в браузере — уязвимости в этих технологиях позволяют скачивать на компьютер программы даже без вашего ведома (например, методом «теневой загрузки»).

Это что за ебалайтунг, нахх ??
Путать Java-апплеты и JavaScript — вполне простительно для домохозяйки, но совершенно не простительно для антивирусного вендора. Почему я так уверенно об этом говорю ? Да потому что при отключении JavaScript в тестах Дохтура Паутиныча нельзя ни ответить на вопрос, ни пропустить его. Сайт-то с тестами тоже ведь заражен AJAX-ом 😀 😀 😀 😀 😀

И если Java-апплеты реально нужны только для ряда особо хитрых веб-интерфейсов сугубо админского назначения (Proxmox, IP-KVM, Ubiquity AirView, некоторые элементы интерфейсов управляемого оборудования) или максимум — для каких-нибудь IP-камер, то JavaScript сейчас реально нужен примерно на каждом 10-м обычном сайте, и на каждом втором — если у вас там есть учетная запись.

Авторы тестов такие няшки.

- комментарии
  1. overly:

    Им нужно было назвать свой продукт "доктор Плацебо"

  2. anonymous:

    tezla writes:при всем уважении, но меня не стоило поминать 😉 я ж всего лишь ковыряльщик уязвимостей вантуза, так что… а вот подобные тесты аццке жгут: на жабаскриптах сейчас много чего вертится. хотя, лично я более люблю текстовые браузеры. в вантузе безопасность в 90% зависит от настроек, а не от того, на что легче всего списать. большинство виндовозников юзает систему с дефолтными настройками, а значит с запуском системы стартует куча левых сервисов, которые рядовому пользователю ни к чему. например, никто не вырубает доступ анонимного пользователя (HKLMSYSTEMCurrentControlSetLsa, параметр RestrictAnonymous типа REG_DWORD со значением 2), а это уже лазейка; также было бы укоротить доступ к локальным дискам (HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters, параметр AutoShareWks (или AutoShareServer, если винда серверная) типа REG_DWORD равный нулю); для домашнего пользователя вряд ли нужны службы вроде доступа к удаленному рабочему столу и иже с ними, да и вообще рядовой пользователь уже должен переходить на Linux, а держаться за вантуз из-за одних игр, как оно в большинстве случаев имеет место быть, не разумно. не то что в unix-системах нет дыр — дыры есть в любых ОСях, — способ эксплуатации различен, а если учесть, что активно зомбируются по большей части вантузные системы, то…

  3. Aminux:

    Ковыряльщик уязвимостей — это не "всего лишь", не скромничайте. :coffee:Текстовые браузеры хорошо работают либо на чистых, не перегруженных говном сайтах, либо с теми веб-мордами, где возможность работы с текстового браузера как минимум рассматривалась.Проблема настроек по-умолчанию стара как мир. Но тут M$ стала заложником собственной политики. Да, можно выпустить изначально секурно настроенную виндовс, где "из коробки" и сразу после инсталла будет логин в не-админа с минимум 8-и символьным паролем, админская учетка с 15-и смвольным паролем и капчей, где будет сразу корректно отключен автозапуск, где наконец-то будут по умолчанию отключены нахуй "удаленные реестры", где не будет пачки открытых портов с уязвимыми службами (да-да, я про тот самый рпц), и где с помощью политик GPO разрешены к запуску будут только подписанные приложения и только из %WINDIR% и PROGRA~1. И где UAC наконец-то научится различать источники совершаемых действий, не стремая меня хуетой в духе "просмотр HTML-кода в Блокноте может быть сцукоопасен".Есть только одна проблема. На такой системе поставить современную говноигрушку со старфорсовским руткитом или какой-нить 3D Max — будет не сильно проще, чем в самособранной гентушке с собранным в полнолуние свежайшим пре-альфа релизом wine.И кстати, звание "доктора Плацебо" паутиныч не заслуживает. Это действительно не самый плохой антивирус — бывают гораздо, гораздо хуже.

  4. anonymous:

    tezla writes:не могу не согласиться, что от UAC'а головной боли больше, нежели толку. в сети счас полно статей как его можно нагнуть, некоторые особенно элегантны 😉 по крайней мере если эти способы действенны и применимы в жизни, ведь я не проверял их все, но та малая часть, что удалось потестировать отрабатывали на "ура!", в итоге какбэ Балмер должен был задуматься, ан нет, сцуко Балмер знай себе, пардон, херачит дизайны "гламурно блондинко". рпц… даж не знаю как помягче то сказать… но, думаю, Вы меня и без слов поймете. GPO хоть и довольно неплохой инструмент, но и он не панацея: достаточно много в нем упущений, позволяющих обходить некоторые ограничения. более или менее со своей задачей справляется cacls, однако и у этого подхода есть свои недостатки, например, пакетизация. вообще, вантуз по своей сути является неплохой идеей с отстойной реализацией. ккак нельзя кстати ныне много плясок с бубном вокруг Flame, который как оказалось еще натянул WU, — вопрос, стоит ли держать WU открытым, когда кривые фиксы можно скачать самостоятельно? ладно, шиш с ним, с этим WU, вернемся к теме игр. старфорс непросто руткит, а легальный руткит, который не палится аверами, все потому, что дрова первого проходят по базам последних, как безопасные (извините, но это ПИЗДЕЦ!) хотя SecuROM не лучше, несмотря отличную от StarForce архитектуру. отмечу, что мне как-то попадался руткит сварганенный на основе StarForce, который — о чудо! (иль нет), — не палится аверами, а все потому, что в сигнатурах он не числился, раз, разработчики аверов очевидно не в курсе коллизий md5sha1-хэшей (какбэ намек). антивирусы давно стали своего рода всего лишь припаркой: эвристики давно идут лесом, а актуальность сигнатур весьма уловна, данные из облака относительны… и потом http://www.rsdn.ru/article/asm/driverholes.xml

  5. Aminux:

    Актуальность сигнатур ? При современной скорости выпуска ? лол =)

  6. anonymous:

    tezla writes:а чего, собсна? сигнатурный способ детектирования это и есть лол, ведь слово "актуальность" в данном случае какбэ намекает…