Új hozzászólás Aktív témák
-
rt06
veterán
olvass sokat, es idovel rajosz (hint: nem vagyok sem anyad, sem apad, korrepetalasert meg nem fizetsz)
shadow: nincs automatikus update, ha uj verzio kell, azt magam teszem fel a meglevok melle (java-ban fejlesztek, ezert fontos, hogy ugyanazzal fejezzem be, mint amivel elkezdtem dolgozni)
-
Penge_4
veterán
Annyira nem fejlett, hogy sikítson sima programindításkor. Ha a programban nincs implementálva még akár a Windows mappát is megkísérelheti törölni (természetesen sikertelenül) anélkül, hogy eleválást kérne.
Sok patchet is jobbklikk -> Run As-szal kell futtatni, mert nem kér eleválást, de meg se patchel semmit usermódban.
Tehát egy user jogosultságú könyvtárba telepített szoftver esetén (lásd: Chrome) megpatchelhet bármilyen folyamat bármilyen fájlt (beleértve a DLL-t), onnantól van egy fertőzött szoftvered, ami viszont szintén usermódban használhatja a hálózatot és indíthat DDoS támadásokat a user tudta nélkül. Bár a remote access-t én sem tudom, hogy ahhoz kell-e admin jog, de durva lenne, ha nem.
Persze valami csak feltűnik, ha más nem, akkor egy oda nem illő processz. Én már az indokolatlan CPU terheltségre vagy homokórára is felfigyelek (aztán látom, hogy pl. TrustedInstaller.exe vagy MsMpEng.exe)
Azt már nem tudom, hogy adminmód megkerülésével pl. ékelődhet-e svchost fájlba (hogy a Task Managerben is rejtve maradjon), de az átlagusernek úgyse tűnik fel egy idegen processz. De még a magas CPU használat is csak akkor, ha már a user experience rovására megy vagy túl hangos a ventilátor.
De a kérdés inkább az, hogy egy program el tud-e indulni úgy, hogy a böngésző cache-ében landol opr00000.tmp nevű fájlként. Windows alatt kétlem, mivel itt a kiterjesztéstől függ, hogy hogyan/mivel akar megnyílni egy fájl szemben pl. a Linux-szal, de ott meg hiába tudna, nem kap futási jogot a cache-ben lévő fájl, Windows-on meg tudtommal majdnem mindenhol a userspace-ben van futásjoga minden létrehozott fájlnak, még egy Untitled.txt.exe-nek is.
Itt ismételten megjegyezném a Chrome default "Download to predefined download folder without asking user" beállításának és a Windows "mindenhol futtatási jogod van" kombinációjának veszélyeire. Mert Operában is veszélyes lehet ennél fogva a letöltés automatikus elindulása, de itt legalább a .tmp kiterjesztésű fájl nem fog elindulni még ha le is töltődik, amíg le nem okézom, meg nem keresem a mentési helyét, hogy oda, immáron .exe kiterjesztéssel mentsem. Ott meg maximum azt a hülye toolbart dobja fel, hogy Downloading xy.exe
Bár a hülye usert semmilyen oprendszer nem védi meg, mert Linuxot is ugyanúgy megfektet egy sudo dpkg -i /verpista/home/downloadedmalware.deb paranccsal.
"ezalol kivetel persze, ha abszolut eleresi uttal hivatkozik a program a dll file-ra"
És ilyenkor az a mellékhatás, hogy ha a következő Windows verzióban megváltozik az elérési út, a fejlesztő adhat ki új verziót, mert a régi emiatt nem fog futni.
(#27) tigerscorpio: Milyen Rapidról? A valóban veszélyeseket nem ott terjesztik, HTTP szerverről húzhatod le nagy sebességgel például a WatchPremierHollywoodMovies_Player.exe-t és azonnal el is indul a letöltés, amennyiben rákattintasz a lejátszás gombra a Flash playeren.
(#33) sh4d0w: Még ez is hagyján, a kedvencem, mikor a Next-Next-Finish fázist "Next-Finish"-re rövidítő telepítőkön a 8-as betűtípussal kék linkként szereplő "Advanced"-re kattintás hiányában minden szar felmászik. Egyrészt nagyon megtévesztő, másrészt ha már sokadszor frissíted a szoftvert úgy gondolnád, hogy megjegyzi a default beállításokat és aszerint települ. Én is véletlenül jöttem rá, mivel mindig az Advancedre mentem már csak azért is, mert pl. sosem rakok a Desktopra ikont, az meg alapból be volt pipálva mindenhol. Mikor megláttam a bepipált Chrome-ot egyszer azóta fokozottan ügyelek mindenhol.
Lassan már sok komponenst számláló cocec pack-ekben (pl. K-Lite) is ott lesz majd legalul a Chrome checkbox.
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
rt06
veterán
válasz
t72killer
#29
üzenetére
pont ezert irtam, hogy a tv megy portable modban es remote access-t biztosit a gepedhez
ahhoz pedig, hogy ne a windzoe dll-jet hasznalja, elegendo annyi, hogy a program futasi konyvtaraban ott van egy dll pont olyan neven, mint a keresett, ugyanis win-en elobb nezi a munkakonyvtarat es csak aztan a path-etigaz nem tudom pontosan, hogy itt a path-et nezi-e, vagy valami mas alapjan keres, de a lenyeg, hogy ha teszel a program melle egy kernel32.dll-t, akkor azt fogja a program hasznalni, nem pedig a windoze/system32 konyvtarban levot
ezalol kivetel persze, ha abszolut eleresi uttal hivatkozik a program a dll file-ra) -
t72killer
titán
Dehogynem. Csak arra akartam fentebb kilyukadni, hogy csak két útját látom a fertőződésnek: 1. user error, 2. exploit.
A cikkben nem volt exploitról szó, ezért inkább az első változatra gyanakszom, ami vállalatnál inkább a corporate IT sara, mint a felhasználóé.
#32, tigerscorpio: +1...
#33:
... nem elég, hogy maga a java is shitware/holeware... -
#33
sh4d0w
félisten
tigerscorpio
#32
sh4d0w
félisten
válasz
tigerscorpio
#32
üzenetére
Ha még kiveheted a pipát, az hagyján, nade ez...
-
#32
tigerscorpio
aktív tag
Kaiku
#28
-
sh4d0w
félisten
-
t72killer
titán
A portable appok sztorija más: én is használok portable appot a céges gépemen (a melóhoz találtam egy hasznos kis cuccot) - de ez semmilyen rendszerbeállításhoz nem fér hozzá, és a legkevésbbé sem tud remote desktopot nyitni a gépemre.
Admin mód, UAC=0 - ha az ember belegondol, sokunk van ezen a biztonsági szinten: ha feljön az uac ablak, sokszor gondolkodás nélkül írjuk bele a jelszót - illetve, ha akarjuk, hogy működjön valami, akkor nincs sok választása az embernek
.#30, Kaiku: Ha álca lenne, akkor nem működne portable-ként, lévén bármilyen rendszerpiszkáláshoz adminjogok kellenek, az meg nekem a mhelyin nincs.
-
#28
Kaiku
senior tag
tigerscorpio
#27
Kaiku
senior tag
válasz
tigerscorpio
#27
üzenetére
Ne is bízz. Sok embernek viszont lövése sincs az egész Internetről, hálózatról, stb. Pont ugyan az a felfogása mint otthon a sütővel vagy a robotgéppel. Egy eszköz amivel dolgozik, kommunikál. Mint annó a levél papír meg a dosszié.
-
#06658560
törölt tag
válasz
t72killer
#24
üzenetére
Nem feltétlen kell júzer nélkülinek lennie. Nem minden oldható meg júzer beavatkozás nélkül- pl. mikor nekem MSO összeomlásokat, java és flash problémákt kellett korrigálni akkor rendre be kellett lépnem adott szolgáltatásba, hogy kiderüljön müködik-e. Ha a gépre adott program telepíthetö, s abban van az exploit, akkor meg elég csaj a júzer felületéhez hozzáférni.
-
t72killer
titán
válasz
#06658560
#22
üzenetére
Nálunk is külföldön van a rendszergazda - de ezek a remote desktop és remote telepítés dolgok régóta be vannak járatva, nem egyik napról a másikra találják ki, hogy új remote kliens kell.
Amúgy nálunk a telepítésbe a usernek nem sok beleszólása van, reggel beindítom a gépet, elmegyek reggelizni a kollégákkal, közben ő frissíti magát, telepít ezt-azt.Igazából nem látom azt a támadási vektort, amivel a useren keresztül exploit nélkül bármit is telepíteni lehetne. Ha egy vadidegen engem felhív, attól még neki nem lesz adminjelszava.
#23: ehhez exploit kell. Pl az acrobatban volt nemrég, de azt is javították. Illetve ahhoz, hogy egy képbe injektált kártevő települjön, kell még egy csúnya right-elevation exploit az OS részéről - lévén nem adminként fogom megnyitni az ominózus doksit.
Amúgy meg az r=1 user ne nyitogasson meg mindenféle vackot és ne pornózzon az adófizető/munkaadó pénzén. Ezutóbbira találták ki a szigorú tartalomszűrést.
-
#06658560
törölt tag
válasz
t72killer
#20
üzenetére
"Én azt nem értem, hogy hogy a jóistenbe telepítenek egy kormányzati gépre egy akármilyen legális progit csak úgy? Az én céges gépemre szigorúan azokat az appokat engedik fel, amik a munkához kellenek, semmi egyéb. És mit keres egy távoli elérést biztosító progi egy alkalmazott gépén???"
Ha rendszergizdának adják ki magukat és felhívják akkor már könnyü meglépni. Cégek szoktak korlátozott telepítési jogokat adni, vagy adott géphez rendszergizdait is láttam már. Mely appok kellenek adott munkához? Egy foxit reader az adobe reader helyett? Egy NexusFile intézö helyett nem járható út? Egy képernyökép készítö program?
Távoli elérés miért kell? Mindig ott ül a rendszergizda a dolgozó mellett? Több telephely esetén is? Központi menedzselésnél sem kell távoli elérés? -
#06658560
törölt tag
válasz
Alchemist
#15
üzenetére
Ezt én tudom, de döntéseket nem én hozok. amúgy tudom ofkozni, még országilag is máshol vannak, mint mi.
#11 atti_2010: A) tudom. B) mennyi? -> megéri energiát feccölni ott nem állami, hanem magángépek basztatásába?
#13 sh4d0w: a megjegyzésed alapján a cikkben szereplö térképet ifgyelembe véve gondolkodtam hangosan.
-
t72killer
titán
Én azt nem értem, hogy hogy a jóistenbe telepítenek egy kormányzati gépre egy akármilyen legális progit csak úgy? Az én céges gépemre szigorúan azokat az appokat engedik fel, amik a munkához kellenek, semmi egyéb. És mit keres egy távoli elérést biztosító progi egy alkalmazott gépén???
Illetve otthon, ha nem adminként használom a gépem, kíváncsi vagyok, hogy tudnak ilyet nekem telepíteni, úgy, hogy ne vegyem észre, és hogy működön a távvezérlés?
OK, az UAC-t és frissítéseket kilövő + gépet admin módban használó pistikéknél, és az enter gombot nem találó nagymamáknál nem csodálkozom az ilyesmin.
-
Kaiku
senior tag
-
Alchemist
addikt
-
#06658560
törölt tag
Amikor a rendszergizdai jogokat gyakorlók külsö cégbe vannak szervezve, s kell párszor belépni ide-oda amoda problémamegoldáskor is, mert pont a belépés a gond, akkor igen egyszerü ilyet összehozni. Ráadásul pár értelmes msn program e téren kezd kikopni, hogy végképp teljes legyen a szopatás.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
... nem elég, hogy maga a java is shitware/holeware...
.
Új hozzászólás Aktív témák
- Új Zsír Dell Inspiron 14 7441 -40% Érintős "Kis Gamer" Ultrabook Snapdragon X Plus 16/1TB SSD QHD+
- Samsung Galaxy A16 5G 128GB Kártyafüggetlen 1Év Garanciával
- Vojens Gamer Szék/ Gamer Asztal/ Perifériák
- Eladó Asus ROG Strix Oled gaming monitor
- SAMSUNG Gaming 360Hz OLED monitor 27", 2560x1440, LS27DG600SUXEN, 0.03ms, HDMI/DisplayPort/USB,Pivot
- Xiaomi Redmi Note 10 Pro 128GB, Kártyafüggetlen, 1 Év Garanciával
- ÁRGARANCIA!Épített KomPhone Ryzen 5 7500F 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
- Telefon felvásárlás!! Samsung Galaxy A70/Samsung Galaxy A71/Samsung Galaxy A72
- SzoftverPremium.hu
- Magic Trackpad legújabb fajta, lightning csatlakozóval
Állásajánlatok
Cég: FOTC
Város: Budapest