Windows Vista biztonsági rés (ROTFL)

Fun

Az új Windows Vista sem elég biztonságos, a bekapcsolt hangszóró és a hangfelismerő rendszer sebezhetővé teszi. Elég ha egy olyan flash-es oldalt látogatunk meg, ahol a flash lejátszik egy ilyen hangsort tartalmazó file-t: "Open File Explorer, Select all, Delete, Yes", vagy elég ha ugyanezen utasítás sorozatot "meghallja" a Vista mondjuk a szobában tartózkodó személytől. :-) Bővebben itt és itt.

(A Microsoft Security Response Center válasza itt - a szerk.)

( syntern | 2007. 02. 02., p – 07:51 )

esetleg "open linux.com, begin install"

(linux.com = ízlés szerint)

na jah :)

( boobaa | 2007. 02. 02., p – 07:51 )

/.-on kicsit másképp jött ki: "Microsoft confirmed the bug and suggested as workarounds that either 'A user can turn off their computer speakers and/or microphone'; or, 'If a user does run an audio file that attempts to execute commands on their system, they should close the Windows Media Player, turn off speech recognition, and restart their computer.'"

Mindegy, így is, úgy is LOL.

( Yorirou | 2007. 02. 02., p – 07:58 )

Ez durva. De most hogy is van? A Vista nem tudja megkülönböztetni, hogy az adott hang egy audio file-ból vagy a mikrofonból jön?
Szvsz ez minden idők legmulatságosabb biztonsági rése ^^ (vagy tud valaki jobbat?)

---------
WARNING: Linux requires you to type! After rebooted to Windows, you can safely unplug your keyboard.

Azért megjegyzem hogy technikailag nem lehetetlen megcsinálni azt hogy ha a hang a
hangszóróból jön akkor ne reagáljon rá. Hiszen azt a hangot ami a hangszóróból jön
az végül is egyszer "átmegy" az oprendszeren, tehát elvileg össze lehet hasonlítani azzal ami bejön a mikrofonon. Vagy akár csak letiltani a hangfelismerést ha éppen jön valami a hangszóróból, ezt nyilván öt perc megcsinálni, ha az ember hozzáfér a forráshoz.

Szóval szerintem nem kérdezett akkora hülyeséget. (Vagy én is hülye vagyok, ami persze nincs kizárva. :)

szerk: ez persze nem védi ki azokat az eseteket amikor nem a gép saját hangszórójából jön a hang,
de akkor meg legalább be lehetne állítani hogy csak akkor működik a dolog ha lenyomva tartod (mondjuk) a CTRL gombot.... vagy valami, mert ennek így semmi értelme.

Persze, technikailag nem lehetetlen, de azért megnézném, hogy minimális overhead mellett hogyan oldod meg azt, hogy egy adott szoba falai által keltett visszhang és mindenféle egyéb hang torzulások mellett egy szoftver felismerje (a delay miatt visszafele pufferelje, majd alaposan összehasonlítsa), hogy valóban az hallatszik-e vissza a mikrofonból, mint ami kiment a hangszórón. Ha ez olyan triviális dolog lenne, akkor már évek óta nem kellene szívni többek közt a rádióstudiókban sem azzal, hogy ha egy hallgató betelefonál és szól nála a rádió, akkor ne gerjedjen be és ne visszhangozzon az egész.

Másik felvetés, hogy addig kapcsolja ki a hangszórót... Hát persze, menjünk vissza a half duplex vokitoki (walky talky, CB rádió :) korszakba. :D
Ne lehessen halk zenét hallgatni a háttérben azért, mert be van kapcsolva a mikrofon? Ne viccelődjünk már. :)

Kicsit túl van már megint hypeolva ez a "probléma".

Igazából ez nem ugyanaz a probléma mint a betelefonálásnál mert itt pl. elvileg működhetne az is ha egyszerűen a hangszórón kiadott hangot is "felismeri" és a mikrofonon bejövőt is és ha mind a kettő azt mondja hogy 'shutdown' akkor nem csinálja. Vagy a másik megoldás hogy ahhoz hogy elfogadja a parancsot lenyomva kell tartani egy billentyűt. Pl., de nyilván ezeknél jobb módszereket is ki lehet találni.

Egyetértek, nem éri meg hogy ennyit beszéljünk róla. Viszont a vista hangfelismerés sem ér meg még annyit sem hogy az első service pack ne szedje ki végleg a fenébe, IMHO.

Jah, csak így a kimenő hanganyagot is át kell ereszteni a beszédfelismerő rendszeren. Mint mondtam, felesleges overhead.

A másik megoldás meg azért nem lenne szimpatikus sok embernek, mert mondjuk diktálás közben sokan szeretnek az irodában járkálni és nem a gép előtt ülve a CTRL gombot nyomkodni...

Sokkal egyszerűbb a usert rávenni még mindig, hogy letöltsön egy malicsusz programot és futtassa, mint csinálni egy olyan hanganyagot, amely annyira megegyezik a user hangjával, hogy a beszédfelismerő rendszer értelmezni tudja és vegrehajtani.

Szóval FUD az egész.

Jah, csak így a kimenő hanganyagot is át kell ereszteni a beszédfelismerő rendszeren. Mint mondtam, felesleges overhead.

Hát ha a beszédfelismerő eleve nem nagy overhead, akkor ez se, mert csak ugyanazt kell csinálni mégegyszer.

A másik megoldás meg azért nem lenne szimpatikus sok embernek, mert mondjuk diktálás közben sokan szeretnek az irodában járkálni és nem a gép előtt ülve a CTRL gombot nyomkodni...

Hát akkor lenne egy olyan beállítás is, és az automatikusan kikapcsolná a hangszórót. Vagy esetleg valaki egyszerre szeret zenét hallgatni, diktálni és mászkálni? :)

Szóval FUD az egész.

Ezt nem tudom, viszont számomra kétségkívül nem túl érdekes, szóval részemről ennyi. Csak azért írtam mert egy usert kapásból lehurrogtak, hogy milyen hülyeséget kérdezett, pedig szerintem annyira nem is. Ennyi, na.

Az egyik cikkben leírták, hogy az Apple ezt 15 évvel ezelőtt úgy oldotta meg, hogy a gépnek szóló parancsok előtt egy egyénileg beállított kulcsszót kell mondani.
Gyakorlatban ez úgy néz ki, hogy elnevezed a gépedet mondjuk Mórickának és a neki szóló parancsok elé odateszel egy megszólítást, mint az emberi kommunikációban is. Pl.: "Móricka, állítsd le magad!".

Amúgy nekem gyanús, hogy a Microsoft direkt hagyta ezt ki a rendszerből, mert a beszédfelismerő rendszereknél ez olyan alap dolog lehet, mint hogy egy autóba féket is szerelnek, nem csak motort.
Cserébe lett egy ingyenes sajtókampányuk és most már a Blikk-et olvasó Kati néni is tudni fogja, hogy megjelent egy újabb Windows változat, amiben még beszédfelismerés is van.

Tudom, hogy Apple hogy oldotta meg, de nyilván MS azt gondolta, hogy kényelmesebb úgy, ha nem kell állandóan 'jelszót' kiadni. Elvégre ez sem segít az ellen, hogy valaki elhalad a géped mellett és amikor hallja, hogy milyen parancsot használsz állandóan, akkor azt felhasználva ő is bekiabál egyet... ;)

De ez a beszédfelismerő cucc annyira huszadrangú dolog a Vista-ban, hogy rohadtul nem érdemes vele foglalkozni. Kb. a "van benne ilyen is, tudomásul vettük" kategória.

Neked es sokaknak teljesen huszadrangu egy beszedfelismero rendszer, de vannak olyan emberek aki ilyen segitseg nelkul csak nehezen vagy egyaltalan nem tudnak hasznalni a szamitogepet.
Lehet biztonsagi res, de a szamitogepek jelentos reszehez nincs se mikrofon se hangszoro.

York.

------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."

( Tron | 2007. 02. 02., p – 08:12 )

Hogy is van ez? Ha egy lakótelepen a legtöbb háztartásban Vista üzemel, akkor elég az utcában végigmenni egy hangosbeszélővel, és egy kurjantással leírtom szegények adatait? Muhahaha!

------------------------------------
[Debian Sarge; ASUS P4T533-4; 2.4GHz CPU; 512MB RAM; XFree86; FluxBox]

( ptomi | 2007. 02. 02., p – 08:15 )

Most öszintén, és? Én ritkán szoktam védeni az MS-t ,de ha felraksz a gépedre egy hangfelismerőt, amivel file-okat lehet törölni hanggal akkor nem kell meglepődni, ha a delete,delete,delete.mp3 nevű új megaslágert hallgatod (és közben a mikrofont a hangszóró pofájába dugod), hogy letörlődtek a file-ok a gépről. A hülyeség ellen egy op.rendszer sem véd.

akkor az összes linux disztribúció szar és veszély, mert felrakja az rm parancsot használatra készen...

ha a hangfelismerővel nem lehetne megtenni azt amit a cikk is említ, akkor meg jönne szintén a windows leugatása, hogy milyen gáz már, mert korlátozza az ember lehetőséget és még egy fájlt se lehet vele törölni...

( samuf v | 2007. 02. 02., p – 08:32 )

És ha Vista-n egy szöveg felolvasó progival valaki elolvassa ezt a cikket, akkor ugyancsak törlés lesz az eredmény?! :)

( szimi (nem ellenőrzött) | 2007. 02. 02., p – 08:48 )

A japanok nehany eve keszitettek egy olyan robotot, ami arcrol felismeri, hogy ferfi vagy no beszel hozza. Meg csinaltak gyerekeknek Tamagochit is. Kezdem azt hinni, hogy a szakma egyre inkabb az utobbirol kezd szolni. Ti hogy erzitek?

( BlinTux v | 2007. 02. 02., p – 08:50 )

En ezen mar nem csodalkozom, egy Hello vilag progit nem tudna az M$ bug nelkul megirni! Abban is lenne 5 biztonsagi res amivel at lehet venni a gep folott az iranyitast, 3 fele modon le lehetne fagyasztani es a gepet meg hardveresen is karositana!
A Vista meg maregy komplett megsemmisito rendszer, de azt is elcsesztek mert onmagat semmisiti meg. Ja hogy az osszes windoz ilyen? Megszoktuk...
Amit tegnap a baratnomnel muvelt az ikszpé hat az durva volt, mindjart le blogolom. Hajamat befontam mar tole...

Namost eléggé nézőpont kérdése, hogy ez most biztonsági rés vagy sem. Szerintem ez egy szolgáltatást egyszerűen nem rendeltetésszerűen használ, okos MS mérnökök előtt az lebegett, hogy jó legyen a usernek de nem gondoltak erre. Ez most kb. olyan mint "hűdeszar a WoW meg a Blizzard, a védelmét ki lehet játszani a Sony rootkitjével, nahát de bughalom".

---
"Neszójábee! Linugz!" - ng

Meg lettek belőle igen sok ember igen sok haját megmentő makrók is. Mert volt rá igény. Minden fícsörrel szükségszerűen együtt járnak bizonyos kockázatok. Természetesen bármely rendszer biztonsága a használhatatlanságig fokozható, ahogy a régi mondás tartja, de azért érdemes mérlegelni. ;)

Ez pl tuti, hogy egy csomó szerencsétlen, nem egészséges ember életét meg fogja könnyíteni, miért baj az, hogy ott van, alapból kikapcsolva?

( uid_1062 | 2007. 02. 02., p – 08:59 )

A blog bejegyzes vegen:
*This posting is provided "AS IS" with no warranties, and confers no rights.*

hehe.

-De hat a fejleszto aszonta a blogban, hogy ez a kigyo nem merges.
-Es az utolso sort elovasta?

( Chain-Q v | 2007. 02. 02., p – 09:31 )

En ezt nem ertem. Amikor a Microsoft eloszor probalkozott hangfelismeressel, akkor mindenki kirohogte, hogy nem mukodik. (Foleg pl. a regi OS/2-esek, mert mi mar 10 eve is hangfelismeroset jatszottunk a Warp4-el.) Most megcsinaltak. Mukodik. Tessek, itt a bizonyitek. Erre kirohogitek oket megint. En ezt nemertem. Nektek semmi se jo, szemet trollok.

(Ps: Linuxra van mar mukodo hangfelismeres, amivel Gnome-t/KDE-t, vagy tetszoleges WM-t lehet vezerelni? Es benne is van valamelyik disztroban alapbol?)

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

Nem is olyan regen valakik itt valahol leirtak azoknak, akik nem jonnek ra maguktol, hogy ez miert is majdhogynem lehetetlen. Most tenyleg. Ki veszi ezt komolyan? Es, ha meg vagyok fazva, akkor is felismeri a berekedt torokbol jovo parancsot? Hangfelismero rendszernel szerintem ez (lenne) a min. kovetelmeny. Majd, ha ezt fogja tudni egy szoftver, akkor lehet beszelni egyaltalan hangfelismeresrol. Mert eddig ez csak earcandy...

Ahogy valaki már korábban megírta, az OS/2 Warp 4 már tudta ezt tisztességesen. Még az én akkori nem-angolomat is megtanulta, és a szövegszerkesztő szépen kezelte a "make a table with three rows and four columns" utasításaimat :). Megj: még valahol mindig megvan a dobozos szoftver, ha valakit érdekel... tényleg jó kis diktáló volt...

( toros | 2007. 02. 02., p – 10:11 )

Ez tipikusan olyan bug, ami ugyan nem is bug, de néhány sör mellett egy órán keresztül lehet röhögni rajta, egymást túllicitálva, hogy milyen hülyeségekre, és hogyan lehet kihasználni... :)

( sz | 2007. 02. 02., p – 10:30 )

Megoldás lehetne a problémára, ha a beszédfelismerő mellé egy beszélőfelismerőt is odacsomagolnának a Vista mellé, ami legalább annyit meg tud állapítani, hogy az a júzer mondta-e a parancsokat, aki éppen be van loginolva...

( joyeux | 2007. 02. 02., p – 10:31 )

Bemész egy számítógép terembe és el kiáltod magad : SHUTDOWN!
Utána meg lehet futni a feldühödött tömeg elől :)

Az MS szerver termékékben is benne lesz ? Az adatközpontba akkor csak szájtapasszal lehet belépni ? :)

( anr | 2007. 02. 02., p – 10:52 )

ha valaki a minimalis biztonsagot akarja akkor a beszedfelismero modult ki kell egeszitenie egy beszélő felismero modullal.
addig csak biztonsagos helyen (ertsd hangszigetelt kamraban) van minimális biztonsagban.
;)

masreszt ti felteszitek, hogy mukodik. na ez azert nem ilyen egyszeru:)

http://www.youtube.com/v/2Y_Jp6PxsSQ

jó, nem akarom elvenni a beszélőfelismerőt író programozók munkáját, de egy ilyen modul eleve hülyeség.. bejön a valaki a szobába, elkezd velem beszélni, oda se figyelek a gépre, de az meg csinálja amit tőlem hall? inkább azt kéne tudnia, hogy neki beszélek, de ez még emberek között se mindig egyértelmű, ezért kell egy nem hang alapú megerősítés is minden parancshoz. szerintem.

( kupcsik v | 2007. 02. 02., p – 11:16 )

En sem szoktam vedeni a Wint, de szerintem ez nem torli a fajt, csak berakja a kukaba. Az illeto biztos eszreveszi, es egyszeruen csak visszaallitja oket. Utana meg persze tobbszor nem nyitja a meg a problemat okozo hangfajt. Vagy tevedek?