January 2010 Archives

Еще в 1985 году Ф. Коэн показал, что:
1. Существует машина (Тьюринга), для которой любая последовательность символов на ленте является вирусом (то есть, через некоторое количество шагов на ленте появится "копия" этой последовательности).
2. Существует машина, для которой любая последовательность символов не является вирусом.

Из этого факта, применительно к современным реалиям, следует довольно простой вывод. Чтобы остановить распространение вирусов достаточно ввести запрет на создание (изменение) исполняемых файлов. Очевидным результатом является невозможность несанкционированного создания файлов и последующего запуска. Не нужны антивирусные базы, так как борьба осуществляется не с проявлениями проблемы, а с самой причиной.
С другой стороны, данный метод сведет на нет лишь распространение вирусов, но он не затрагивает вопросов несанкционированного исполнения кода на целевой системе (эксплоиты). То есть, компьютер остается зараженным до последующей перезагрузки.

Что же касается практического использования, возможна реализация через перехват системных вызовов создания / записи файлов, а также составление списка доверенных приложений, которым разрешено создание исполняемых файлов (файловые менеджеры, компоновщики), недоверенных приложений (некоторые серверные процессы) и остальных, для которых, при попытке создания исполняемого файла, разрешение будет спрашиваться у пользователя.
Тут очевидны проблемы: как гарантированно отличать исполняемые файлы от прочих и как не быть слишком навязчивым по отношению к пользователю.

PTF от vulnerabilityassessment.co.uk обновился до версии 0.57. На данный момент это единственный адекватный фреймворк, описывающий техническую часть проведения теста на проникновение. Аналогичный фреймворк есть от организации Open Information Systems Security Groups - ISSAF, но у них сайт на PHP, значит ничего хорошего ждать от них не приходится :)
Once, a famous Windows system administrator came to Master Foo and asked him for instruction: "I have heard that you are a powerful Unix wizard. Let us trade secrets, that we may both gain thereby."

Master Foo said: "It is good that you seek wisdom. But in the Way of Unix, there are no secrets."

The administrator looked puzzled at this. "But it is said that you are a great Unix guru who knows all the innermost mysteries. As do I in Windows; I am an MCSE, and I have many other certifications of knowledge not common in the world. I know even the most obscure registry entries by heart. I can tell you everything about the Windows API, yes, even secrets those of Redmond have half-forgotten. What is the arcane lore that gives you your power?"

Master Foo said: "I have none. Nothing is hidden, nothing is revealed."

Growing angry, the administrator said "Very well, if you hold no secrets, then tell me: what do I have to know to become as powerful in the Unix way as you?"

Master Foo said: "A man who mistakes secrets for knowledge is like a man who, seeking light, hugs a candle so closely that he smothers it and burns his hand."

Upon hearing this, the administrator was enlightened.

About this Archive

This page is an archive of entries from January 2010 listed from newest to oldest.

December 2009 is the previous archive.

February 2010 is the next archive.

Find recent content on the main index or look in the archives to find all content.