tag:blogger.com,1999:blog-6846929136376245264.post6564068903054599377..comments2024-01-03T12:54:39.457+03:00Comments on Привычка не думать: Латание дырИлья Весеннийhttp://www.blogger.com/profile/12075968879288943233noreply@blogger.comBlogger10125tag:blogger.com,1999:blog-6846929136376245264.post-8543782863180803972008-05-30T12:42:00.000+04:002008-05-30T12:42:00.000+04:00Сергей, Ваша позиция понятна. Конечно, я не собира...Сергей, Ваша позиция понятна. Конечно, я не собирался обвинять всех разработчиков в глупости, поэтому приношу извинения всем, кого случайно обидел.<BR/><BR/>Я только хочу разобраться, зачем оставляются некоторые очевидные дыры.<BR/><BR/>Например, давайте разберёмся, зачем надо исполнять файлы с расширениями bat, cmd, pif и lnk? Именно исполнять (как исполняемые файлы), а не интерпретировать (как должно поступать с bat и cmd) и не вытаскивать путь к программе и дополнительные настройки (как надо делать с pif и lnk). Как я вижу, это нужно только вирусам (потому что пользователь уже знает, что в .exe и .com может быть вирус, а .pif и .lnk ещё не боится). Можно ли придумать логичную причину для исполнения таких файлов? (чтобы пользователь, случайно переименовавший notepad.exe в notepad.pif не пострадал?)<BR/><BR/>Другой пример: зачем в visual basic'е была (есть ли сейчас - не знаю) функция, рассылающая данную строку на _все_ адреса из записной книги пользователя? Это же нужно (и использовалось) только для одной цели - чтобы разослать вирус одной командой! Других причин вызывать такую функцию я не знаю. Я не говорю, что разработчики VB специально добавили эту функцию для вирусописателей. Склоее всего, они просто не вникли, кому делают подарок. (Признаю, что и без этой функции проблем у вирусописателей не было бы - всегда можно пробежать циклом по записной книжке, отправляя письма одно за другим всем контактам. Но так это было ещё проще!)<BR/><BR/>И таких примеров странных решений много. На каждый из них можно придумать набор рекомендаций для пользователя - чего делать и чего не делать, чтобы не пострадать от этой потенциальной проблемы. Но не проще ли было подумать нескольким сотням человек, чтобы потом несколько сотен миллионов не парились?Илья Весеннийhttps://www.blogger.com/profile/12075968879288943233noreply@blogger.comtag:blogger.com,1999:blog-6846929136376245264.post-36885157026577217502008-05-30T12:16:00.000+04:002008-05-30T12:16:00.000+04:00Исполнять .exe, .bat, .cmd, .pif, .lnk, .scr можно...Исполнять .exe, .bat, .cmd, .pif, .lnk, .scr можно, они для того и предназначены. Браузеры с настройками по умолчанию всегда спрашивают подтверждения пользователя (видел в IE и FireFox). Если пользователь согласился с запуском, то запускать просто необходимо. То, что пользователь может что-то сделать, ещё не означет дыру в защите.<BR/><BR/>Мой поинт в следующем. Из написанного вами складывается картина: глупые разработчики (вероятно, с привычкой не думать, ага) реализовали возможность для легкого распространения вирусов. Этого не было. И они не глупые, а, напротив, довольно вдумчивые ребята.Sergeihttps://www.blogger.com/profile/07809853101130143057noreply@blogger.comtag:blogger.com,1999:blog-6846929136376245264.post-3800001924085890942008-05-30T09:49:00.000+04:002008-05-30T09:49:00.000+04:00Уважаемый аноним, похоже там всё ещё проще: судя п...Уважаемый аноним, похоже там всё ещё проще: судя по написанному в сети, получив запрос к файлу deti.jpg, сервер злоумышленника отдавал 301-ый или 302-ой редирект на файл deti.scr (как мы знаем, это исполняемый файл). Соответственно, опера его тоже благополучно скачивала и запускала.Илья Весеннийhttps://www.blogger.com/profile/12075968879288943233noreply@blogger.comtag:blogger.com,1999:blog-6846929136376245264.post-75494346102336427412008-05-29T17:11:00.000+04:002008-05-29T17:11:00.000+04:00Мда. Совет всем кто боится вирусов - переходите на...Мда. Совет всем кто боится вирусов - переходите на никс (сорри за банальщину, но ведь действительно смешно)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6846929136376245264.post-47206753614174748012008-05-29T12:43:00.000+04:002008-05-29T12:43:00.000+04:00У меня этот вирус сработал на последней Опере, хот...У меня этот вирус сработал на последней Опере, хотя в ней по идее нет прикола с запуском исполняемых файлов из-под картинок. И запущеный сразу после перехода по ссылкам Аваст ничего не нашел, вирус-то новый. Так умер неделю назад с огромным трудом поставленый на новом ноуте WinXP. <BR/>Так что от всего застраховаться нельзя, даже если знаешь что делаешь.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6846929136376245264.post-9618966056969367872008-05-29T09:00:00.000+04:002008-05-29T09:00:00.000+04:00Сергей, и Вам спасибо за интересные вопросы. Про у...Сергей, и Вам спасибо за интересные вопросы. Про устройство того deti.jpg точно не знаю, но выглядит так, как будто сервер отдавал http-заголовки, означающие для IE, что это не картинка, а поэтому это надо попробовать исполнить (как я понимаю, "application/octet-stream"). Есть, например, такое свидетельство: http://www.ciac.org/ciac/bulletins/m-027.shtml - полагаю, есть много таких уязвимостей. <BR/>Признаю, я не специалист в этих вопросах, хочу лишь сказать, что меня в windows давно эта "смышлёность" раздражает - он исполняет почти любой файл, не глядя на расширение (можно переименовать .exe в .bat, .cmd, .pif, .lnk, хотя <B>эта фича нужна только для функционирования вирусов!</B>). Про червь Rovud деталей не знаю, однако других вирусов, использующих такую способность "запускать всё подрят" хватает. И именно об этом речь.<BR/><BR/>Кстати, про buffer overrun, это тоже можно избежать, если сделать нормальный код с достаточным количеством проверок. Согласитесь, разобрать png-файл - не такая сверхсложная задача, что её невозможно сделать надёжно.Илья Весеннийhttps://www.blogger.com/profile/12075968879288943233noreply@blogger.comtag:blogger.com,1999:blog-6846929136376245264.post-32333373399944843862008-05-28T21:29:00.000+04:002008-05-28T21:29:00.000+04:00>А точнее, зачем эта особенность (возможность неяв...>А точнее, зачем эта особенность (возможность неявно запустить исполняемый файл, нажав на картинку) была реализована.<BR/><BR/>Почему вы думаете, что эта особенность была реализована? Я не знаю как работает этот deti.jpg (в той статье нет достаточных технических подробностей), но, скорее всего, это buffer overrun.Sergeihttps://www.blogger.com/profile/07809853101130143057noreply@blogger.comtag:blogger.com,1999:blog-6846929136376245264.post-14918632599787589102008-05-28T18:39:00.000+04:002008-05-28T18:39:00.000+04:00Кстати, Алексей, да, не каждый IE7 боится этой реа...Кстати, Алексей, да, не каждый IE7 боится этой реализации этой уязвимости. На странице http://lleo.aha.ru/test/ie/logbro.htm собирается лог браузеров, попавшихся в ловушку - там хватает IE7. Я тестировал на IE6 (нет IE7 под рукой) - ёжики бегали. В комментариях у Каганова были записи от пользователей IE7, что проблема есть (были и обратные утверждения). Это значит, что проблема бывает, но не всегда (не при любых настройках/не с каждым сочетанием версий и т.д.) И пока внятно не сформулировано, что надо сделать с IE7, чтобы этой дыры заведомо не было.Илья Весеннийhttps://www.blogger.com/profile/12075968879288943233noreply@blogger.comtag:blogger.com,1999:blog-6846929136376245264.post-56705551891986868452008-05-28T17:57:00.000+04:002008-05-28T17:57:00.000+04:00Не понял. Илья, это очередной тест ничего не прини...Не понял. Илья, это очередной тест ничего не принимать на веру? Мой IE7 7.0.05730.13 вполне справился с той картинкой, на которую ссылается Леонид Коганов (http://p-userpic.livejournal.com/73887779/15402874). Ничего кроме черной точки я не увидел. <BR/>Внутренности png действительно интересные :)Алексей Гладковhttps://www.blogger.com/profile/07528456786538905572noreply@blogger.comtag:blogger.com,1999:blog-6846929136376245264.post-71975546991562426272008-05-28T15:46:00.000+04:002008-05-28T15:46:00.000+04:00В каком-то смысле создатели "публичных" вирусов - ...В каком-то смысле создатели "публичных" вирусов - молодцы, потому что обращают внимание на существующие дыры, и в конце концов их закрывают. <BR/><BR/>Гораздо хуже то, что существует масса непопулярных, но опасных уязвимостей, которые вполне могут использоваться втихаря для контроля над компьютером, кражей паролей, кредиток, и т.п.Anonymousnoreply@blogger.com