Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Na Georgia Institute of Technology powstało oprogramowanie BLADE, które chroni przed infekcjami dokonywanymi za pomocą coraz popularniejszej techniki "drive-by downloads". Technika ta, ogólnie mówiąc, polega na wgraniu na komputer ofiary, bez jej wiedzy i zgody, szkodliwego oprogramowania. W sieci istnieją setki tysięcy witryn, które działają w taki sposób. Bardzo często są to zaufane witryny, które same wcześniej padły ofiarą cyberprzestępców.

BLADE (Block All Drive-By Download Exploits) jest oprogramowaniem niezależnym od przeglądarki i zużywającym niewiele zasobów komputera. Jego twórcami są Wenke Lee i Long Lu z Georgia Tech oraz Philip Porras i Vinod Yeneswaran z SRI International. Prace nad BLADE sfinansowały amerykańska Narodowa Fundacja Nauki, Biuro Badań Armii Amerykańskiej oraz Amerykańskie Biuro Badań Morskich, które koordynuje prace naukowe Marynarki Wojennej i Korpusu Marines.

BLADE to skuteczny środek zwalczania wszelkich typów ataków drive-by downloads, ponieważ działa niezależnie od wykorzystywanych przez nie luk w oprogramowaniu - mówi jego twórcy. Przetestowali oni BLADE w różnych konfiguracjach programowych i sprzętowych, zarówno na komputerach z zainstalowanym Firefoksem jak i Internet Explorerem. BLADE zablokował wszystkie ataki z ponad 1900 testowanych witryn serwujących szkodliwe oprogramowanie. Nie wywołał przy tym żadnego fałszywego alarmu. Działanie programu porównano ze skutecznością najpopularniejszych programów antywirusowych. Okazało się, że są one w stanie średnio zablokować mniej niż 30% ataków.

BLADE monitoruje i analizuje wszystko, co jest pobierane na twardy dysk i sprawdza, czy użytkownik wydał zgodę na otwarcie, uruchomienie bądź przechowywanie pliku. Jeśli test wypadnie negatywnie, BLADE blokuje dany plik i usuwa go z dysku twardego - wyjaśnia Lee.

Jako, że ataki drive-by downloads najczęściej pomijają etap wyświetlania przez przeglądarkę alertu i zapytania użytkownika, czy życzy sobie pobrania lub uruchomienia danego pliku, BLADE sprawdza w jaki sposób użytkownik współpracuje z pobieranymi plikami. Oprogramowanie przechwytuje wszystkie okienka dialogowe dotyczące zgody na pobranie lub uruchomienie pliku, analizuje je i sprawdza, jak użytkownik zareagował na ich pojawienie się. Ponadto wszystkie pliki przechowywane są w zabezpieczonej strefie na dysku twardym tak, by BLADE miało do nich łatwy dostęp i mogło zablokować pliki w razie potrzeby. Zastosowano też zabezpieczenia, które uniemożliwiają wgranie pliku poza zabezpieczoną strefę. Użytkownik BLADE ma też możliwość stworzenia "białej listy" zaufanych witryn, z których pliki nie są przez sprawdzane.

Testy BLADE wykazały przy okazji, że najczęstszym celem ataków drive-by downloads są Adobe Reader, Adobe Flash oraz Java. Ponadto maszyny z IE6 są częściej infekowane niż komputery z IE7 lub IE8, a Firefox 3 rzadziej pada ofiarą ataków niż wszystkie wersje Internet Explorera.

Twórcy BLADE zauważają jednak, że program nie jest odporny na techniki inżynierii społecznej i wciąż człowiek pozostaje najsłabszym elementem systemów bezpieczeństwa.

BLADE wymaga, by przeglądarka była skonfigurowana w taki sposób, żeby do pobrania wykonywalnego pliku konieczna była zgoda użytkownika. Jeśli opcja taka zostanie wyłączona, BLADE nie będzie w stanie chronić komputera - mówi Lee.

Share this post


Link to post
Share on other sites

Coś czuje ze pomysł polega na "podpięciu" się pod okno potwierdzenia download jako identyfikator zagrożenia  i zapis do czegoś na kształt kwarantanny.

 

Tylko ze podobne zabezpieczenie daje kontrola pobierania w locie albo kontrola zapisu w locie.

Jak się zablokuje zapis czegokolwiek to ataku drive by download nie będzie.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Na Politechnice Federalnej w Lozannie powstało oprogramowanie, które wykorzystuje awatar, by przewidzieć, ile energii ludzie zużywają w zależności od sposobu chodzenia.
      Szwajcarzy podkreślają, że choć nie zdajemy sobie z tego sprawy, stale zmieniamy tempo chodu, długość kroków i unoszenie stóp (instynktownie "wybieramy" chód, który w danych warunkach jest najmniej energochłonny).
      Awatar autorów publikacji ze Scientific Reports to tułów wyposażony w nogi i stopy. Można go dowolnie konfigurować. Najpierw użytkownik wprowadza swój wzrost i wagę. Później ustawia prędkość chodu, długość i szerokość kroku, uniesienie stopy, a także przechylenie tułowia i podłoża. Dodatkowo można symulować wpływ bycia pchanym bądź ciągniętym na poziomie różnych części ciała. Zużycie energii jest wyświetlane w czasie rzeczywistym za każdym razem, gdy parametry są zmieniane.
      Naukowcy dodają, że dla swojego oprogramowania widzą wiele zastosowań, zwłaszcza medycznych. Oprogramowanie może zostać wykorzystane do wybrania najlepszego projektu egzoszkieletu lub protezy (najlepszego, czyli takiego, który redukowałby wysiłek użytkownika) - tłumaczy Amy Wu.
      Zespół dodaje, że z pomocą oprogramowania można by nawet określić, jak nosić plecak, by zminimalizować wydatkowanie energii. Jeśli [jednak] twoim celem jest spalanie kalorii, oprogramowanie da się wykorzystać do znalezienia serii ruchów z dużym kosztem metabolicznym.
      Szwajcarzy ujawniają, że oprogramowanie powstało w laboratorium robotyki z myślą o robotach humanoidalnych i miało służyć do analizy mechaniki ludzkiego chodu. Sposób, w jaki ludzie chodzą, jest niezwykle skomplikowany. Poziom wymaganej kontroli jest sporym wyzwaniem dla humanoidalnych robotów - podsumowuje Salman Faraji.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby.
      Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011.
      W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla  sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%.
      Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego.
      Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal.
      Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych.
      Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych  nic się w tym zakresie nie zmieniło.
      Wszystkie powyższe dane dotyczą USA.
    • By KopalniaWiedzy.pl
      Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) poinformowała o zbudowaniu około 100 „ultrabezpiecznych“ smartfonów z systemem Android. Urządzenia Fishbowl powstały w oparciu o standardowe ogólnodostępne podzespoły i są na tyle bezpieczne, że pozwalają agentom na prowadzenie rozmów na tajne tematy.
      Margaret Salter z NSA, przemawiając podczas konferencji RSA powiedziała, że połączenia są prowadzone za pośrednictwem komercyjnej infrastruktury, a mimo to dane pozostają bezpieczne. Przyznała jednocześnie, że napotkano poważne kłopoty podczas budowy urządzeń, a ich główną przyczyną był brak kompatybilności pomiędzy produktami różnych firm. Z tego też powodu wykorzystano np. IPSEC a nie SSL VPN. Zdecydowano się na większą liczbę tego typu kompromisów, jednak ogólne bezpieczeństwo smartfonów nie doznało przez to uszczerbku. Potrzebowaliśmy aplikacji głosowej, która obsługiwałaby DTLS, Suite B oraz SRTP, ale nie mogliśmy takiego kupić. Przemysł bardziej skupia się na Session Description Protocol, więc zdecydowaliśmy się na to rozwiązanie - powiedziała Salter.
    • By KopalniaWiedzy.pl
      Jak donosi Businessweek w systemie Windows 8 znajdzie się mechanizm, pozwalający Microsoftowi na zdalne usuwanie i zmianę oprogramowania. Ma być to mechanizm podobny do tego, jaki jest obecny w systemie Android, iOS czy w urządzeniach Kindle.
      Koncern z Redmond nie chce zdradzać szczegółów na temat wspomnianego mechanizmu. Zapewnia jedynie, że pozwoli on tylko i wyłącznie na manipulowanie aplikacjami pobranymi z firmowego sklepu. Programy pochodzące z innych źródeł będą dla Microsoftu niedostępne. Niewykluczone jednak, że mechanizm ten umożliwi również oczyszczanie komputerów użytkowników ze szkodliwego kodu.
      Podobne mechanizmy, chociaż w pewnych przypadkach mogą być korzystne dla użytkowników, budzą liczne kontrowersje. Firmy je wykorzystujące dotychczas nie określiły ścisłych i jednoznacznych zasad ich użycia. Ponadto zawsze istnieje obawa, że przedsiębiorstwa ulegną naciskom polityków i np. będą usuwały z komputerów treści, które nie podobają się rządzącym. Jest ktoś, kto ma absolutną kontrolę nad moim dyskiem twardym. Jeśli używa jej w sposób mądry, może uczynić moje życie lepszym. Jednak nie wiemy, czy używają tego mądrze. Tak naprawdę nie wiemy, czy w ogóle tego używają - mówi Eric Goldman, dyrektor High Tech Law Institute.
      Jeśli jednak przyjrzymy się temu, co mówią przedstawiciele firm, które w swoje produkty wbudowały takie mechanizmy, zauważymy, że pozostawiają sobie duża swobodę. Hiroshi Lockheimer, wiceprezes Google ds. inżynieryjnych systemu Android mówi, że mechanizm jest używany w naprawdę wyjątkowych, oczywistych sytuacjach. Todd Biggs, jeden dyrektorów z Windows Phone Marketplace zapewnia, że w smartfonach z systemem Microsoftu używano tech mechanizmu w celach radzenia sobie z problemami technicznymi, a Apple i Amazon nie chciały sprawy komentować.
×
×
  • Create New...