Windows Vista biztonsági rés (ROTFL)

 ( E-Medve | 2007. február 2., péntek - 8:32 )

Az új Windows Vista sem elég biztonságos, a bekapcsolt hangszóró és a hangfelismerő rendszer sebezhetővé teszi. Elég ha egy olyan flash-es oldalt látogatunk meg, ahol a flash lejátszik egy ilyen hangsort tartalmazó file-t: "Open File Explorer, Select all, Delete, Yes", vagy elég ha ugyanezen utasítás sorozatot "meghallja" a Vista mondjuk a szobában tartózkodó személytől. :-) Bővebben itt és itt.

(A Microsoft Security Response Center válasza itt - a szerk.)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

esetleg "open linux.com, begin install"

(linux.com = ízlés szerint)

na jah :)

/.-on kicsit másképp jött ki: "Microsoft confirmed the bug and suggested as workarounds that either 'A user can turn off their computer speakers and/or microphone'; or, 'If a user does run an audio file that attempts to execute commands on their system, they should close the Windows Media Player, turn off speech recognition, and restart their computer.'"

Mindegy, így is, úgy is LOL.

Ez durva. De most hogy is van? A Vista nem tudja megkülönböztetni, hogy az adott hang egy audio file-ból vagy a mikrofonból jön?
Szvsz ez minden idők legmulatságosabb biztonsági rése ^^ (vagy tud valaki jobbat?)

---------
WARNING: Linux requires you to type! After rebooted to Windows, you can safely unplug your keyboard.

Miért szerinted, ha a hangszóróból jön a hang, akkor a mikrofonnak honnan kéne tudnia, hogy az kinek a hangja? Vagy kéne tudnia, hogy te bewszélsz, a szomszéd, vagy a zene üvölt. A te mikrofonod az kiszűr minden hangot a tieden kívül?

o nem is ezt kerdezte...
---
"A legjobb dolgok az életben nem dolgok."

igen de hülyeséget kérdezett.
a mikrofonba jut el végül a hang nem, függetlenül attól h
a hangszóróból jön, avagy a szádból

Azért megjegyzem hogy technikailag nem lehetetlen megcsinálni azt hogy ha a hang a
hangszóróból jön akkor ne reagáljon rá. Hiszen azt a hangot ami a hangszóróból jön
az végül is egyszer "átmegy" az oprendszeren, tehát elvileg össze lehet hasonlítani azzal ami bejön a mikrofonon. Vagy akár csak letiltani a hangfelismerést ha éppen jön valami a hangszóróból, ezt nyilván öt perc megcsinálni, ha az ember hozzáfér a forráshoz.

Szóval szerintem nem kérdezett akkora hülyeséget. (Vagy én is hülye vagyok, ami persze nincs kizárva. :)

szerk: ez persze nem védi ki azokat az eseteket amikor nem a gép saját hangszórójából jön a hang,
de akkor meg legalább be lehetne állítani hogy csak akkor működik a dolog ha lenyomva tartod (mondjuk) a CTRL gombot.... vagy valami, mert ennek így semmi értelme.

Persze, technikailag nem lehetetlen, de azért megnézném, hogy minimális overhead mellett hogyan oldod meg azt, hogy egy adott szoba falai által keltett visszhang és mindenféle egyéb hang torzulások mellett egy szoftver felismerje (a delay miatt visszafele pufferelje, majd alaposan összehasonlítsa), hogy valóban az hallatszik-e vissza a mikrofonból, mint ami kiment a hangszórón. Ha ez olyan triviális dolog lenne, akkor már évek óta nem kellene szívni többek közt a rádióstudiókban sem azzal, hogy ha egy hallgató betelefonál és szól nála a rádió, akkor ne gerjedjen be és ne visszhangozzon az egész.

Másik felvetés, hogy addig kapcsolja ki a hangszórót... Hát persze, menjünk vissza a half duplex vokitoki (walky talky, CB rádió :) korszakba. :D
Ne lehessen halk zenét hallgatni a háttérben azért, mert be van kapcsolva a mikrofon? Ne viccelődjünk már. :)

Kicsit túl van már megint hypeolva ez a "probléma".

Igazából ez nem ugyanaz a probléma mint a betelefonálásnál mert itt pl. elvileg működhetne az is ha egyszerűen a hangszórón kiadott hangot is "felismeri" és a mikrofonon bejövőt is és ha mind a kettő azt mondja hogy 'shutdown' akkor nem csinálja. Vagy a másik megoldás hogy ahhoz hogy elfogadja a parancsot lenyomva kell tartani egy billentyűt. Pl., de nyilván ezeknél jobb módszereket is ki lehet találni.

Egyetértek, nem éri meg hogy ennyit beszéljünk róla. Viszont a vista hangfelismerés sem ér meg még annyit sem hogy az első service pack ne szedje ki végleg a fenébe, IMHO.

Jah, csak így a kimenő hanganyagot is át kell ereszteni a beszédfelismerő rendszeren. Mint mondtam, felesleges overhead.

A másik megoldás meg azért nem lenne szimpatikus sok embernek, mert mondjuk diktálás közben sokan szeretnek az irodában járkálni és nem a gép előtt ülve a CTRL gombot nyomkodni...

Sokkal egyszerűbb a usert rávenni még mindig, hogy letöltsön egy malicsusz programot és futtassa, mint csinálni egy olyan hanganyagot, amely annyira megegyezik a user hangjával, hogy a beszédfelismerő rendszer értelmezni tudja és vegrehajtani.

Szóval FUD az egész.

Jah, csak így a kimenő hanganyagot is át kell ereszteni a beszédfelismerő rendszeren. Mint mondtam, felesleges overhead.

Hát ha a beszédfelismerő eleve nem nagy overhead, akkor ez se, mert csak ugyanazt kell csinálni mégegyszer.

A másik megoldás meg azért nem lenne szimpatikus sok embernek, mert mondjuk diktálás közben sokan szeretnek az irodában járkálni és nem a gép előtt ülve a CTRL gombot nyomkodni...

Hát akkor lenne egy olyan beállítás is, és az automatikusan kikapcsolná a hangszórót. Vagy esetleg valaki egyszerre szeret zenét hallgatni, diktálni és mászkálni? :)

Szóval FUD az egész.

Ezt nem tudom, viszont számomra kétségkívül nem túl érdekes, szóval részemről ennyi. Csak azért írtam mert egy usert kapásból lehurrogtak, hogy milyen hülyeséget kérdezett, pedig szerintem annyira nem is. Ennyi, na.

Vess egy pillantást a kategóriára, mielőtt felspanolod magad.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Úgy tűntem, mint aki felspanolta magát?

Az egyik cikkben leírták, hogy az Apple ezt 15 évvel ezelőtt úgy oldotta meg, hogy a gépnek szóló parancsok előtt egy egyénileg beállított kulcsszót kell mondani.
Gyakorlatban ez úgy néz ki, hogy elnevezed a gépedet mondjuk Mórickának és a neki szóló parancsok elé odateszel egy megszólítást, mint az emberi kommunikációban is. Pl.: "Móricka, állítsd le magad!".

Amúgy nekem gyanús, hogy a Microsoft direkt hagyta ezt ki a rendszerből, mert a beszédfelismerő rendszereknél ez olyan alap dolog lehet, mint hogy egy autóba féket is szerelnek, nem csak motort.
Cserébe lett egy ingyenes sajtókampányuk és most már a Blikk-et olvasó Kati néni is tudni fogja, hogy megjelent egy újabb Windows változat, amiben még beszédfelismerés is van.

Tudom, hogy Apple hogy oldotta meg, de nyilván MS azt gondolta, hogy kényelmesebb úgy, ha nem kell állandóan 'jelszót' kiadni. Elvégre ez sem segít az ellen, hogy valaki elhalad a géped mellett és amikor hallja, hogy milyen parancsot használsz állandóan, akkor azt felhasználva ő is bekiabál egyet... ;)

De ez a beszédfelismerő cucc annyira huszadrangú dolog a Vista-ban, hogy rohadtul nem érdemes vele foglalkozni. Kb. a "van benne ilyen is, tudomásul vettük" kategória.

Neked es sokaknak teljesen huszadrangu egy beszedfelismero rendszer, de vannak olyan emberek aki ilyen segitseg nelkul csak nehezen vagy egyaltalan nem tudnak hasznalni a szamitogepet.
Lehet biztonsagi res, de a szamitogepek jelentos reszehez nincs se mikrofon se hangszoro.

York.

------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."

Szerintem a legmulatsagosabb biztonsagi reshez a legmulatsagosabb kerdest sikerult feltenned. :)))

Hogy is van ez? Ha egy lakótelepen a legtöbb háztartásban Vista üzemel, akkor elég az utcában végigmenni egy hangosbeszélővel, és egy kurjantással leírtom szegények adatait? Muhahaha!

------------------------------------
[Debian Sarge; ASUS P4T533-4; 2.4GHz CPU; 512MB RAM; XFree86; FluxBox]

:-D

Egyebkent tekintettel kell legyel a nyelvi verziokra is! :-)

Most öszintén, és? Én ritkán szoktam védeni az MS-t ,de ha felraksz a gépedre egy hangfelismerőt, amivel file-okat lehet törölni hanggal akkor nem kell meglepődni, ha a delete,delete,delete.mp3 nevű új megaslágert hallgatod (és közben a mikrofont a hangszóró pofájába dugod), hogy letörlődtek a file-ok a gépről. A hülyeség ellen egy op.rendszer sem véd.

Az egy dolog, hogy valaki hülye és feltesz egy hangfelismerőt, és más dolog, ha egy oprendszer alapból azzal érkezik és mondjuk be is van kapcsolva. Nem tudom, hogy Vistában mi a default beállítás, de Ubuntu Edgy-ben alapból ki van kapcsolva.

---
"Neszójábee! Linugz!" - ng

"In order for the attack to be successful, the targeted system would need to have the speech recognition feature previously activated and configured." Szvsz ezek szerint nem alapból van fenn.

akkor az összes linux disztribúció szar és veszély, mert felrakja az rm parancsot használatra készen...

ha a hangfelismerővel nem lehetne megtenni azt amit a cikk is említ, akkor meg jönne szintén a windows leugatása, hogy milyen gáz már, mert korlátozza az ember lehetőséget és még egy fájlt se lehet vele törölni...

Na és Flash pléjerből hogyan használnád ki az "rm" parancsot?

semmi gond, a windows vista legalább alapból 1000x annyi fájlt felrak a rendszerre, mint egy átlag linux disztró (ami még le sincs annyira csupaszítva, mint a windows vista), úgyhogy ha egy-két (ezer) fájlt letörölsz, azt meg sem érzed ;-)))

És ha Vista-n egy szöveg felolvasó progival valaki elolvassa ezt a cikket, akkor ugyancsak törlés lesz az eredmény?! :)

A japanok nehany eve keszitettek egy olyan robotot, ami arcrol felismeri, hogy ferfi vagy no beszel hozza. Meg csinaltak gyerekeknek Tamagochit is. Kezdem azt hinni, hogy a szakma egyre inkabb az utobbirol kezd szolni. Ti hogy erzitek?

En ezen mar nem csodalkozom, egy Hello vilag progit nem tudna az M$ bug nelkul megirni! Abban is lenne 5 biztonsagi res amivel at lehet venni a gep folott az iranyitast, 3 fele modon le lehetne fagyasztani es a gepet meg hardveresen is karositana!
A Vista meg maregy komplett megsemmisito rendszer, de azt is elcsesztek mert onmagat semmisiti meg. Ja hogy az osszes windoz ilyen? Megszoktuk...
Amit tegnap a baratnomnel muvelt az ikszpé hat az durva volt, mindjart le blogolom. Hajamat befontam mar tole...

Namost eléggé nézőpont kérdése, hogy ez most biztonsági rés vagy sem. Szerintem ez egy szolgáltatást egyszerűen nem rendeltetésszerűen használ, okos MS mérnökök előtt az lebegett, hogy jó legyen a usernek de nem gondoltak erre. Ez most kb. olyan mint "hűdeszar a WoW meg a Blizzard, a védelmét ki lehet játszani a Sony rootkitjével, nahát de bughalom".

---
"Neszójábee! Linugz!" - ng

Igen, sok ms hiba pont ebből ered:

kényelmes legyen, de nem gondolkoznak a biztonsági következményeken. Az eredmény az, hogy léteznek pl. word makrovírusok.

Meg lettek belőle igen sok ember igen sok haját megmentő makrók is. Mert volt rá igény. Minden fícsörrel szükségszerűen együtt járnak bizonyos kockázatok. Természetesen bármely rendszer biztonsága a használhatatlanságig fokozható, ahogy a régi mondás tartja, de azért érdemes mérlegelni. ;)

Ez pl tuti, hogy egy csomó szerencsétlen, nem egészséges ember életét meg fogja könnyíteni, miért baj az, hogy ott van, alapból kikapcsolva?

lol, a tiednél sötétebb hozzászólásokat ritkán olvasni. hol itt a bug? ennek így kellene működnie...
az, hogy nem értesz a windowshoz az privát probléma, de ilyen faszságokat nem kéne a világgákürtölni...

es akkor csodalkoznak, hogy egyesek milyen pataliat csapnak az ilyen 'szakmai' hozzaszolasokra reagalva :) kesz komedia
---
"A legjobb dolgok az életben nem dolgok."

Szerintem meg nem mint az feltebb már megírtam. Vagy ha szerinted igen akkor írd meg miért rossz amit fentebb írtam.

blintux elvakult ms-fikazos hozzaszolasara irtam.. latszik hogy csak az utalat es a szuk latokor beszel belole

A blog bejegyzes vegen:
*This posting is provided "AS IS" with no warranties, and confers no rights.*

hehe.

-De hat a fejleszto aszonta a blogban, hogy ez a kigyo nem merges.
-Es az utolso sort elovasta?

En ezt nem ertem. Amikor a Microsoft eloszor probalkozott hangfelismeressel, akkor mindenki kirohogte, hogy nem mukodik. (Foleg pl. a regi OS/2-esek, mert mi mar 10 eve is hangfelismeroset jatszottunk a Warp4-el.) Most megcsinaltak. Mukodik. Tessek, itt a bizonyitek. Erre kirohogitek oket megint. En ezt nemertem. Nektek semmi se jo, szemet trollok.

(Ps: Linuxra van mar mukodo hangfelismeres, amivel Gnome-t/KDE-t, vagy tetszoleges WM-t lehet vezerelni? Es benne is van valamelyik disztroban alapbol?)

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

Nem is olyan regen valakik itt valahol leirtak azoknak, akik nem jonnek ra maguktol, hogy ez miert is majdhogynem lehetetlen. Most tenyleg. Ki veszi ezt komolyan? Es, ha meg vagyok fazva, akkor is felismeri a berekedt torokbol jovo parancsot? Hangfelismero rendszernel szerintem ez (lenne) a min. kovetelmeny. Majd, ha ezt fogja tudni egy szoftver, akkor lehet beszelni egyaltalan hangfelismeresrol. Mert eddig ez csak earcandy...

Meg különben is mi értelme, nem elég okos a gép összetettebb műveletek elvégzéséhez, az alap dolgokat meg gyorsabb billentyűzettel, egérrel végezni. Esetleg ha lehetne neki szöveget diktálni, az még talán.

Ahogy valaki már korábban megírta, az OS/2 Warp 4 már tudta ezt tisztességesen. Még az én akkori nem-angolomat is megtanulta, és a szövegszerkesztő szépen kezelte a "make a table with three rows and four columns" utasításaimat :). Megj: még valahol mindig megvan a dobozos szoftver, ha valakit érdekel... tényleg jó kis diktáló volt...

igen. miért szerinted nem?

Ez tipikusan olyan bug, ami ugyan nem is bug, de néhány sör mellett egy órán keresztül lehet röhögni rajta, egymást túllicitálva, hogy milyen hülyeségekre, és hogyan lehet kihasználni... :)

Megoldás lehetne a problémára, ha a beszédfelismerő mellé egy beszélőfelismerőt is odacsomagolnának a Vista mellé, ami legalább annyit meg tud állapítani, hogy az a júzer mondta-e a parancsokat, aki éppen be van loginolva...

Bemész egy számítógép terembe és el kiáltod magad : SHUTDOWN!
Utána meg lehet futni a feldühödött tömeg elől :)

Az MS szerver termékékben is benne lesz ? Az adatközpontba akkor csak szájtapasszal lehet belépni ? :)

Aha, aztán a 20 gép egyszerre azt mondja, hogy "Are you sure to shut me down?" Esetleg: "Dave..."

ROTFL!!!

Ave, Saabi.

leolvassa a szadrol, hogy ki akarod kapcsolni a hangfelismerest es kizar a vilagurbe :)

HAL9000 rulz ;)

--
status: no carrier

"es kizar a vilagurbe"

Miért, újraindította a NASA az Apollo programot és az MS támogatja? :)

a filmet lattad-e? =)

--
status: no carrier

ha valaki a minimalis biztonsagot akarja akkor a beszedfelismero modult ki kell egeszitenie egy beszélő felismero modullal.
addig csak biztonsagos helyen (ertsd hangszigetelt kamraban) van minimális biztonsagban.
;)

masreszt ti felteszitek, hogy mukodik. na ez azert nem ilyen egyszeru:)

http://www.youtube.com/v/2Y_Jp6PxsSQ

Lolza. Ez fake. Vagyis nem teljesen, de szenzaciohajhasz riporter vagta igy ossze. Azert eloben nem volt ilyen durva...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Konkretan hol vannak benne a vagasok? Nekem elegge konzisztensnek tunik.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

jó, nem akarom elvenni a beszélőfelismerőt író programozók munkáját, de egy ilyen modul eleve hülyeség.. bejön a valaki a szobába, elkezd velem beszélni, oda se figyelek a gépre, de az meg csinálja amit tőlem hall? inkább azt kéne tudnia, hogy neki beszélek, de ez még emberek között se mindig egyértelmű, ezért kell egy nem hang alapú megerősítés is minden parancshoz. szerintem.

En sem szoktam vedeni a Wint, de szerintem ez nem torli a fajt, csak berakja a kukaba. Az illeto biztos eszreveszi, es egyszeruen csak visszaallitja oket. Utana meg persze tobbszor nem nyitja a meg a problemat okozo hangfajt. Vagy tevedek?

select all
delete
yes
empty recycle bin
yes

elmented cool.mp3 (esetleg videoval cool.avi-ba)-ba es elkuldod az ellensegeidnek
:)

az ellenségeimnek inkább a
"unistall windows vista,
install fucking unusable pcbsd,
restart"
fájlt küldeném el.
hadd fagyogasson a gépük!

Miért, vistával nem fagy?