Térdre kényszerítheti a számítógépeket a windows 10 vírusirtója

Microsoft Windows

https://www.origo.hu/techbazis/20220502-windows-10-20h2-defender-memoriaszivargas.html

  • 845 megtekintés

( peterdif | 2022. 05. 03., k – 07:58 )

Szerkesztve: 2022. 05. 03., k – 07:59

Bármelyik gyártónál előfordulhat ilyen.

De ezért jobb ha: "cipőt a cipőboltból" -> secu. megoldást secu. gyártótól választunk.

Nem azok, de nálunk a cégnél külön víruskergető van, azokkal nem volt gond, otthon sem jelentkezett, pedig Defender van csak, Origónak meg a Tech részét is kétségekkel kell fogadni...

Amúgy gyártótól függetlenül nem hiába vannak még mindig whitelist-ek a különböző víruskergetőkben, ha valami lassan fut, érdemes megvizsgálni, ne rakjuk-e kivételek közé (mondjuk a Wordot/Outlookot pont ne rakjuk :D, de pl, ha van olyan hülye a víruskergető, hogy vegzálja a PST/OST-ket, bár azért ezt nem hiszem, azt pl fel lehet venni kivételnek a fájlrendszer vizsgálatnál).

Na pl a Defendert pont kezdhetnélk átírni Rust-ban, hátha javítana rajta, vagy máshogy lenne szar :D

Színes vászon, színes vászon, fúj!

Kérem a Fiátot..

Ezt senki nem mondta, sőt...

Ami a nagy különbség szerintem, hogy a secu gyártóknál erről szól a "business" és legalább értenek is hozzá valamelyest, invesztálnak a kutatásba és nem fél - 1 év késéssel a piacon lévő kipróbált dolgokból 1-2 feature-t kimazsolázva, lebutítva "piacra dobnak" valamit, ami a legnagyobb jóindulattal sem nevezhető megoldásnak és legtöbbször valamilyen bundle-ban kitolva ráerőltetnek az ügyfelekre, hogy jó lesz az nektek, "ingyé'" van. 

A "szuperül" megírt OS-ükhöz akarnak egy újabb bőrként a "javítási, biztonságnövelő" tool-okat eladni, csak nem mindig sikerül elsőre (meg néha másodikra sem) használhatóra...ahelyett hogy az OS-t fejlesztenék gőzerővel, hogy egyre kevesebb sérülékenység legyen benne by default.

Mindeközben a secu gyártókat ott szivatják ahol tudják, zárt interfacek, csak "hivatalos" kiadás után elérhető verziók, dokumentációk nekik is. Van 0 napjuk igazítani a kódot...

aslr, dep és társai, security reference monitor, uac, vbs és vtl-ek, object integrity szintek (uipi), control flow guard, win32k szegregáció, konzol menedzsment, protected processzek/light, konténerek, kernel patch protection, credentinal/device guard-ok, amsi interface, soroljam? Ennyit a "szuperül" megírt OS-ről.
A defender atp amúgy egy jó megoldás, nem tudom milyen "secu gyártók" azok, akik "valamelyest" értenek hozzá.

~20 éve kernelszinten támogatott:
https://www.kernel.org/doc/html/latest/security/digsig.html
http://www.usenix.org/event/lisa04/tech/full_papers/apvrille/apvrille.pdf
http://github.com/digsig-ng/linux-digsig

Egy összefoglaló az userspace megoldásokról.

Oldschool Computer - http://oscomp.hu

Ja, én is pont ezekről beszélek.

Marketing anyagban igen jól működnek, a harcmezőn már nem annyira, tele vannak sérülékenységekkel és nagyvállalati környezetben management szempontból (kivételkezelés, customizálás, integrálhatóság, Segregation_of_Duties,...) egy rémálom. De van ahol ez pont elég, lehet pipálni a secu-t.

pl: https://www.blackhat.com/docs/us-15/materials/us-15-Zhang-Bypass-Control-Flow-Guard-Comprehensively-wp.pdf

Lehet félreérhető volt amit írtam. 

Azt gondolom, hogy azt az energiát, amit félkész, fáziskéséses, "light" funkcionalitású secu modulok fejlesztésésre fordítanak, hasznosabb lenne, ha az alap OS funkcióba tennék és a secu fejlesztők ezeket néznék át release előtt inkább, hogy pl ne kelljen a credential kezelést egy belső virtuális gépben futtatni, hogy "biztonságos" legyen.

Ha így tennének, akkor az ő OS-ük lenne a szuperül megírt.... :-)

De ezért ugye nem lehet plusz pénzt kérni, az E5 csomagért meg igen. És mivel bundle-be összerakják 1-2 alap, az OS-ból hiányzó, de az operációt megkönnyítő dolgokkal, sok cég ha már megveszi, akkor rátolják őket  a secu modulokra is, mert a vezetőséget megmajmolják, hogy ha már kifizetted csomagban, miért használnál mást? - "Good enough" a szlogen.

Így bármilyen, 3rd party, full funkcionalitású secu cucc árát a 0-val kell összehasonlítani...ami persze nem igaz, de így is lehet olvasni....erre iram, hogy "ingyé'" van.

+ ha minden ilyen plusz dolog szuperül működne is felvetne szegregációs kérdéseket, mert nem lehet az IT adminisztrációt vegytisztán szétválasztani a securitytől. Nem a devsecops-ra gondolok, hanem vannak összeférhetetlen kontrollok, amik nem érnek sokat ha 1 kézben vannak, (insider threat kezelés pl.) Ilyen szempontból is érdemes körbejárni kicsit - globalizáció az IT ban :-)

A vindóz biztonságáról annyit tudok elmondani, hogy volt egyszer egy nagy teszt, ahol windwos xp, vista, 7, 8, vállalati és home "terepen" össze lettek mérve a víruskergetők és a defender/security essential a hét teszten hatszor utolsó lett, egyszer utolsó előtti: http://bgafc.t-hosting.hu/bvk.php?m=0&o=9625&c=1
Meg még annyit, hogy a letöltött vírust nyugodtan hagyja futtatni, de az én homebrew programomat kérdés nélkül letörli, mielőtt elindíthatnám (security essential), vagy blokkolja az indítását (smartscreen): http://bgafc.t-hosting.hu/bvk.php?m=0&o=11662&c=1, http://bgafc.t-hosting.hu/bvk.php?m=0&o=17277&c=1

Oldschool Computer - http://oscomp.hu

Microsoft is fejlesztőcsapatokat tart fent a Defender fejlesztésére (ami egyébként csak részben ingyenes), konkrétan már komplexebb a termékük, mint a nagy gyártók egy részének - csak nem feltétlenül ide építik be az új funkcionalitást, hanem az Azure-be (Defender for Cloud pl.) és GitHub-ba.

De egymástól is vesznek funkciókat és tényleg nem tökéletes egyik sem.

Defender ATP for Linux egyelőre nem támogatja a Docker Layer FS szkennelését, az említett Sophos amióta átállt a Capsule8 engine-re, nincs pattern alapú keresés - tehát egy szimpla EICAR-al nem tudod tesztelni a működését.