Lovitura de teatru pe piata softului de securitate

Lovitura de teatru pe piata softului de securitate -> http://www.matousec....ty-software.php
Pe scurt orice firewall/antivirus 3-rd party poate fi bypasat ,iar exploitul a fost facut public pentru doritori :

3D EQSecure Professional Edition 4.2 VULNERABLE
avast! Internet Security 5.0.462 VULNERABLE
AVG Internet Security 9.0.791 VULNERABLE
Avira Premium Security Suite 10.0.0.536 VULNERABLE
BitDefender Total Security 2010 13.0.20.347 VULNERABLE
Blink Professional 4.6.1 VULNERABLE
CA Internet Security Suite Plus 2010 6.0.0.272 VULNERABLE
Comodo Internet Security Free 4.0.138377.779 VULNERABLE
DefenseWall Personal Firewall 3.00 VULNERABLE
Dr.Web Security Space Pro 6.0.0.03100 VULNERABLE
ESET Smart Security 4.2.35.3 VULNERABLE
F-Secure Internet Security 2010 10.00 build 246 VULNERABLE
G DATA TotalCare 2010 VULNERABLE
Kaspersky Internet Security 2010 9.0.0.736 VULNERABLE
KingSoft Personal Firewall 9 Plus 2009.05.07.70 VULNERABLE
Malware Defender 2.6.0 VULNERABLE
McAfee Total Protection 2010 10.0.580 VULNERABLE
Norman Security Suite PRO 8.0 VULNERABLE
Norton Internet Security 2010 17.5.0.127 VULNERABLE
Online Armor Premium 4.0.0.35 VULNERABLE
Online Solutions Security Suite 1.5.14905.0 VULNERABLE
Outpost Security Suite Pro 6.7.3.3063.452.0726 VULNERABLE
Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION VULNERABLE
Panda Internet Security 2010 15.01.00 VULNERABLE
PC Tools Firewall Plus 6.0.0.88 VULNERABLE
PrivateFirewall 7.0.20.37 VULNERABLE
Security Shield 2010 13.0.16.313 VULNERABLE
Sophos Endpoint Security and Control 9.0.5 VULNERABLE
Trend Micro Internet Security Pro 2010 17.50.1647.0000 VULNERABLE
Vba32 Personal 3.12.12.4 VULNERABLE
VIPRE Antivirus Premium 4.0.3272 VULNERABLE
VirusBuster Internet Security Suite 3.2 VULNERABLE
Webroot Internet Security Essentials 6.1.0.145 VULNERABLE
ZoneAlarm Extreme Security 9.1.507.000 VULNERABLE

Inchideti PC-urile si asteptati updaturile

De IPTables nu spune nimic

(da stiu e alta platforma)

Edited by crysty2k5, 07 May 2010 - 12:34.

Pot sa dorm linistit la noapte.

Quote

Incredibil.

Quote

Mda, asta se stia oricum de cand lumea...

Esti cumva ziarist ? Ca doar aia fac din tantar armasar. Se stie de cand lumea ca orice soft poate fi spart, orice protocol de securitate poate fi ocolit. E normal. Sunt mii de linii de cod, scrise de oameni. E imposibil sa nu apara o eroare pe undeva care sa nu poata fi exploatata de un hacker.

Deci titlurile astea alarmiste chiar nu-si au rostul.

ylgUehT, on 7th May 2010, 12:58, said:

Eu deja mi-am aruncat desktopul de acasa pe geam.
In momentul caderii am auzit un schelalait, sper sa nu fi atins vreun ciine comunitar.

Laptopul de la firma l-am predat la magazie.
Am ramas cu calc de buzunar si masina de scris.
Acum am editat acest post de la un icafe.  

Edited by misu183, 07 May 2010 - 12:58.

Nu speriem pe nimeni ,dar oamenii trebuie informati nu ?! Pe un forum unde Palevo a creat 20+ pagini in cateva zile .E interesant ca toate softuriele alea sunt versiuni noi si printre ele sunt si Avira ,Comodo ,BitDefender crema cremei cum se zice.Tocmai ce doream sa cumpar o licenta sa ma simt protejat .
Deci Comodo si Avira nu sunt un panaceu ,tot ne putem infecta ?!

Informare, da, e ok, dar alarmare nu.
Si e normal ca un antivirus sa nu fie un panaceu. El poate rezolva anumite probleme. Dar problema majora e la interfata dintre monitor si tastatura.
De utilizator depinde totul. daca nu stie decat "click" si nu citeste si pe ce il da...

eiffel, on 7th May 2010, 13:50, said:

Don't be so sure! Ai auzit de AES ?  

Sigur.
Doar  ca e vorba de criptare. Si se pare ca a fost deja spart http://www.esecurity...een-Cracked.htm
Alte detalii aici : http://en.wikipedia....yption_Standard, vezi un pic mai jos despre posibilele atacuri.

Eu cred ca nu trebuie privita cu superficialitate problema ,esenta e ca astia arata ca vendorii de soft de securitate ,care fac atatia si atatia bani si care genereaza atata hype ,nu se sinchisesc sa remedieze un exploit vechi de cativa ani.
De ce naiba sa dau bani pe soft care nu ma protejeaza.De fapt de ce sa instalez soft care e useless pentru ca practic poate fi "orbit".
Nici nu vreau sa-mi imaginez ce o fi fost pe piata neagra intre timp cat astia au tinut ascunsa chestia asta.Poti sa iei virusi si de pe situri compromise asa ca si in cazul in care esti experimentat iei drive by download de nu te vezi.
Astia arata ceva gen one shot kill all si asta e destul de naspa pentru toti utilizatorii de Windows.

"This paper presents attack pattern called the argument-switch attack which shows that common implementations of kernel mode hooks are not secure. This attack represents serious threat because many security software vendors base their security features on hooking. We tested the most widely used security applications and found out that all of them are vulnerable. Today's most popular security solutions simply do not work."

Si sa nu-mi spuneti ca nu credeti ca ce zic astia e o buba mare ,ca doar recomandarile la firewaluri se fac si in functie de ce "zice" matousec din ce vazui.
Te apuci cu disperare instalezi hipsuri de hipsuri (am vazut oameni blindati cu ThreatFire si Comodo in acealsi timp sa se protejeze )  si vezi ca toate dialogurile alea la care raspunzi cu infrigurare sunt pierdere de timp.

Tot ce e facut de mana omului nu e perfect. Cred ca asta lamureste tot...

crysty2k5, on 7th May 2010, 15:35, said:

Intrebarea care se pune e daca un Windows 7 cu firewalul lui si cu antivirusul Microsoft sunt imune la chestia aia ?
Firewalul din W7 paote fi tweakerit putin numai sa stie lumea daca e cat de cat safe.
Cred ca in maxim cateva zile astia cu palarii negre scot ceva care sa-i forteze pe toti producatorii sa rezolve problema ,acum sunt curios in cat timp apar vendorii cu rezolvarea.
Ai dreptate ca-s softuri facute de oameni ,dar parca-s prea multi care gresesc in acealasi timp  de data asta

In primul rand Matousec face teste HIPS, nu teste firewall. De obicei in testele firewall serioase nu are ce cauta cel din Windows care e doar o jucarie.

Este foarte bine ca se descoper astfel de chestii si se publica. E mai grav daca apare atacul si nu se stie de la ce a provenit.

S-ar parea ca pe wilderssecurity discutia pe tema asta intra pe noi culmi ->  http://www.wildersse...853#post1673853
Te pomenesti ca se pierd bani pe piata neagra a exploiturilor
Sandboxie s-ar parea ca nu e afectat , desi foloseste cumva niste procedee inrudite pentru "legare" in sistem -> http://www.sandboxie...p...sc&start=15

Au descoperit si astia de la matousec apa calda. Chestia asta e veche rau. Idea e simpla, pe sisteme pe 32 de biti producatorii prefera hook-uri in sistem fata de API-uri microsoft care sunt si cu diverse limitari (pe 64 de biti au rezolvat-o aia de la microsoft, nu poti folosi hook-uri, doar API-ul tampit - si limitat). Hook-urile nu sunt tocmai safe (implementarea lor e defectoasa - lipsa de experienta, lipsa de timp etc), si e clar ca rezulta asa ceva.  

Cat despre chestiile MS, ei isi folosesc propriul API, asta-i clar, deci FW-ul si anti-virusul microsoft ar trebui sa fie neafectate. Tweakerele in general ar trebui doar sa fie un mijloc de configurare al firewallului, firewallul fiind acelasi, practic se lucreaza cu WFP: http://www.microsoft...etwork/wfp.mspx


Ma mir ca nu a pornit inca o isterie cu rootkit-urile de bios, firmware si alti draci-colaci (ca deh, au trecut 3 ani deja, uita lumea).

Edited by crt, 08 May 2010 - 09:03.

Hehe, decit chestia asta alarmista mai bine un test cinstit la care pica HIPS-urile clasice (bineinteles daca la prima intrebare dai Allow ). OA se pare ca trece testul.
Indeed, D+ pica. Trece doar daca-l rulez direct in sandbox.

Quote

firewallul windows (vorbesc de vista si 7) este un firewall bun. Nu are chestii de HIPS, dar ca firewall pur (cum e de exemplu un firewall hardware dintr-un router) este bun. Face pana si SPI (a da, unele routere viseaza la asta).
Si ca bonus poate face application layer filtering in ambele sensuri.

Faptul ca nu detecteaza injectie in memorie sau alte chestii e pentru ca nu e un HIPS, e un firewall.

Edited by crt, 08 May 2010 - 09:47.

ylgUehT, on 7th May 2010, 15:04, said:

Și se fac prost, pentru că Matousec are teste de HIPS, nu teste de firewall.

Cât despre articol, nu l-am citit. Însă aparent trebuie să fi infectat cu ceva pentru a fi vulnerabil. Big deal. Dacă infecția este detectată și oprită înainte să își facă respectivele hookuri, atunci nu văd problema.


În plus, chestia e alta: exploituri teoretice sunt multe. Dacă ar exista în practică, in-the-wild, malware care să folosească acest tip de atac, atunci produsele de securitate ar fi capabile să le detecteze și să le blocheze. Altfel... sănătate.