Vírusírtó Blog

A Google rendszerét használták vírusok terjesztésére

2015.04.19. 10:28 G Data

gdata_virusirto_logo.pngA Google hirdetési rendszerét, a Google AdSense szolgáltatást használták a Nuclear készítői arra, hogy több millió internetezőt fertőzzenek meg az Adobe Flash Player egy ismert sérülékenységén keresztül.

 

A G Data saját monitorozási rendszerén keresztül észlelte, hogy hirtelen megnövekedett azon támadások száma, melyek az Adobe Flash egy már ismert sérülékenységét próbálják meg kihasználni. A német vírusirtócég végül arra jött rá, hogy illetéktelenek a Google AdSense rendszerét használták fel egy új támadásra.

 

Az AdSense a világ legnagyobb online hirdetési hálózata, az első százezer legnépszerűbb internetes oldal 12 százaléka jelenít meg hirdetéseket a platformon keresztül. Ez lehetőséget adott a támadóknak, hogy egyszerre több millió internetezőt érjenek el. A támadást a G Data azért észlelte, mert termékeibe nemrég olyan technológiát integrált, mely a külső alkalmazások sérülékenységei ellen is védelmezik a számítógépeket. Az Adobe Flash program CVE-2015-0336 számon nyilvántartott sérülékenysége tavaly december elején vált ismertté, a hivatalos javítócsomag pedig már a sérülékenységet kihasználó támadás előtt megjelent.

 

illustration_nuclear_04_2015_v1_lowres.jpg

Ralf Benzmüller, a G Data víruslaboratóriumának vezetője szerint a problémát az a hibás gondolkodás okozza, mely szerint egy működő rendszerhez nem szabad hozzányúlni. Ennek köszönhetően hiába jelenik meg egy új biztonsági frissítés, sok internetező és vállalat nem telepíti azt. „Ez a felfogás aranybánya a kártevők készítői számára” – mondja a szakember, aki hangsúlyozza, hogy a hasonló támadásokkal szemben csak az érezheti magát biztonságban, aki folyamatosan telepíti az elérhető biztonsági frissítéseket.

 

A Nuclear exploit kit idén márciusban kezdte el kihasználni a CVE-2015-0336 sérülékenységet. Ezt követően a G Data 10 nappal ezelőtt, április 7-én észlelte, hogy a bűnözők a Google AdSense rendszerén keresztül terjesztik a kártevőket.

 

A fertőzés úgy következik be, hogy egy weboldal helyet biztosít a felületén arra, hogy a Google AdSense rendszerén keresztül érkező hirdetések megjelenjenek. A hirdetést a Google AdSense szervere határozza meg, egy Java szkript segítségével. Ez a szkript a megjelenítendő tartalmat egy hirdetési partner szerveréről tölti le, mely jelen esetben az engagelab.com oldal volt.

 

illustration_nuclear_count_04_2015_v1_en_lowres.jpg

 

Mindez eddig teljesen szokásos működést jelent, de ezúttal a kód tartalmazott egy iFrame hivatkozást egy másik, fertőző szerver internetcímére. Ennek köszönhetően az internetezők az általuk meglátogatott szokásos weboldalakon olyan hirdetésekkel találkoztak, melyek kitették őket a sérülékenységet kihasználó fertőzésnek.

 

A G Data szerint az eset újabb bizonyítékot jelent arra, hogy a hagyományos vírusvédelmi megoldásokat át kell gondolni, és új technológiákkal kell kiegészíteni azokat. A német cég két éve mutatta be a banki trójaiak ellen kifejlesztett BankGuard védelmét, a külső alkalmazások sérülékenységei ellen védelmet nyújtó G Data Exploit Protection technológiát pedig tavaly építette be termékeibe. A Google AdSense rendszer kompromittálódását ez utóbbinak köszönhetően észlelte a cég: a G Data termékei által védett számítógépek jelentették a fertőzéssel kapcsolatos információkat. A német vírusirtócég ezzel együtt hangsúlyozza, hogy a biztonsági frissítések rendszeres telepítése alapvetően fontos a megfelelő védekezéshez.

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Címkék: vírusirtó G Data

25 hozzászólás

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr387379920

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Androsz · http://wikipedia.blog.hu/ 2015.04.19. 22:48:48

Eddig csak az volt igaz, hogy azért kell egyre erősebb gépet vásárolnunk, hogy elbírja az operációs rendszert és a multifunkcionális szuperprogramkönyvtárakat is. Sajnos úgy néz ki, hogy emellett el kell majd bírnia az egyre nehézkesebb tűzfalat és az egyre komplikáltabb víruspajzsot is. Tulajdonképpen még örülhetünk a végén, ha a gépünkben jut némi kapacitás programok futtatására is.

Phteven 2015.04.19. 22:52:01

@Androsz: Meg vehetünk erősebb vasat az egyre "éhesebb" Adobe Flash player miatt is. Lassan nagyobb erőforrásigénye lesz, mint magának a Windowsnak.

inebhedj - szerintem 2015.04.20. 09:22:01

Most Java szkript vagy Javascript?

pingwin · http://pingwin.blog.hu 2015.04.20. 09:22:21

nocript segít valamit, vagy halottnak a puszi?

G Data 2015.04.20. 10:15:48

@inebhedj - szerintem:

Mivel a Java a tulajdonnév, ezért Java, a szkript szót pedig magyarul is használjuk, számítógépes szkriptként. Ezért Java szkript. Angolul pedig Javascript.

G Data 2015.04.20. 10:17:21

@Androsz: Az, hogy valami másképpen működik, nem jelenti azt, hogy szükségszerűen több erőforrást használ. Az új védelmi technológiák nem brute force módszeren, hanem intelligens algoritmusokon alapszanak. A G Data próbaverziója letölthető a honlapunkról, nézd meg, hogy jobban lassítja-e a géped, mint amit most használsz.

G Data 2015.04.20. 10:19:12

@pingwin: Általánosságban segít, mindenképpen biztonságosabb úgy böngészni. Csak az a baj, hogy a felhasználói élményt rontja. Sok weboldal pedig egyenesen használhatatlanná válik noscript beállítással (űrlapok kitöltése, vásárlás, stb.).

pingwin · http://pingwin.blog.hu 2015.04.20. 10:42:03

@G Data: nah igen, sokszor furán néz ki egy-egy oldal

G Data 2015.04.20. 14:37:34

@nitro1: Ebben az esetben az adblock is segíthet.
De a noscript beállításhoz hasonlóan az a baj, hogy elvileg nem így szeretnénk netezni. Az Adblock is blokkolhat jó tartalmakat, amiket a felhasználó meg szeretne nézni.

(Ha régre visszamegyünk, az Adblock onnan ered, hogy szerettük volna megakadályozni, hogy a modemes kapcsolaton a nagy hirdetések betöltődjenek, és fizetni kelljen a nem kívánt tartalomért. Ennek ma már nem nagyon van jelentősége.)

nitro1 2015.04.20. 15:29:16

Dehogynem, nagyon sok a rossz, villogó, nagy, rosszul célzott reklám. Sőt, inkább úgy fogalmaznék, hogy sosem láttam még olyan reklámot, ami engem érdekelhetne.

Androsz · http://wikipedia.blog.hu/ 2015.04.21. 22:32:16

@G Data: ELVILEG én szívesen neteznék reklámok nélkül, meg a sok poénos animgif nélkül stb. Az én gépemen XP fut, a Firefoxhoz rutinszerűen fut az AdBlockPlus, a NoScript, a FlashBlock és a Toggle Animated GIFs, a felhasználói élmény így elfogadható. Viszont egy hardverhiba miatt most a feleségem laptopját vagyok kénytelen használni, Windows 7, a Firefox az említett bővítmények nélkül, és már nagyon ideges vagyok. Mint mindig, amikor ezt a gépet használom böngészésre. Ólmos lassúsággal állnak össze az oldalak, állandóan elugrik, amit már becéloztam ezzel a nyüves touchpaddel, mert mégiscsak betöltődik még egy banner vagy valami más szar, és állandóan újratördeli az egész oldalt. Aztán pedig már az oldal görgetése is szaggat, mert villog-ugrál-mocorog minden. Akkor már sokkal inkább nézek rá a NoScript ikonjára, és ha kell, odakattintok, hogy átmenetileg (esetleg végleg) engedélyezzem az adott oldalt.

"A G Data próbaverziója letölthető a honlapunkról, nézd meg, hogy jobban lassítja-e a géped, mint amit most használsz."

Most az Avastot használom, mert az elég megbízhatónak mondott pajzsok közül ez az egyetlen ingyenes, és az extra funkciókra nekem nincs is szükségem. Elfogadom, pontos és pártatlan adatok hiányában, hogy a G Data hatásfoka és erőforrás-igénye az Avastéval egyenrangú, akkor sem láthatom még bizonyítottnak, hogy a jövőben a víruspajzsok nem lesznek egyre nehezebbek. Ha az algoritmusok fejlesztésével a leterhelés növelése nélkül javítható még a védelem, akkor feltehető az a csak félig indokolt, de félig mégiscsak indokolt kérdés, hogy a világ legprofibbjai eddig miért nem fejlesztették fel annyira az algoritmusokat, amennyire ezután fogják. Az a törvény persze ezután is érvényes lesz, hogy ha egy program elérte a fejlettségnek egy megfelelő fokát, akkor csak erőforrás feláldozásával növelhető a képessége. Legyen az processzoridő vagy tároló. Ha tudnám, akkor talán kísérletképpen összehasonlítanám, hogy bármelyik pajzs, például a G Data által okozott rendszerterhelés mennyit változott mára egy három évvel ezelőtti verzióhoz képest. Ha nőtt a terhelés (az Avasté bizonyosan, a Comodo IS 8-é pedig annyira, hogy inkább visszaálltam a 7-re), akkor az valószínűsítené a sejtésemet, miszerint egyre nagyobb gépre lesz szükség a kurzor villogtatásához is.

G Data 2015.04.22. 10:05:36

@Androsz: Kedves Androsz, teljesen igazad van abban, hogy a vírusirtó szoftverek terhelése abszolút értékben nő. Csakúgy, mint sok másik szoftveré. Hiszen folyamatos a fejlesztés, új funkciók kerülnek be, stb.

Viszont a gépek átlagos teljesítménye még jobban nőtt időközben, és ez azt jelenti, hogy a vírusirtó szoftverek relatív, érzékelhető erőforrásigénye csökkent. Egy nem éppen mai, hanem egy 3-4 évvel ezelőtti gépen is gyorsabban fut ma a legújabb vírusirtó szoftverünk, mint ahogyan 5-6 évvel ezelőtt futott egy naprakész hardveren. Úgy is fogalmazhatnánk, hogy a hardver elhúzott a szoftverek előtt.

Az XP-re viszont gyakorlatilag már lehetetlen megfelelő védelmet nyújtani, mert lyukas, mint a halászháló....

Androsz · http://wikipedia.blog.hu/ 2015.04.23. 13:54:02

@G Data: Az XP lyukai miatt én nem aggódom túlságosan, bár tisztában vagyok a kockázatokkal. De elfogadom a lehetőségek határait.

Viszont te is elismered, hogy a vírusirtók azért futnak ma is ahhoz hasonló sebességgel, mint a régiek - a pajzsom régen sem akadályozta a munkát, de most is látható késedelmet okoz, ha egy futtatható fájlt ellenőriz -, mert a hardver eleget fejlődött ehhez. Akkor viszont közelítőleg igaznak vehetjük azt, hogy a hasonló teljesítmény feltétele a jövőben is egyre erősebb hardverre való folyamatos áttérést követel. Ezzel nem a vírusirtók készítőit akarom felelőssé tenni, csak alátámasztani azt, amit eredetileg mondtam: ha egyre több munkát terhel a gépre a még fejlettebb operációs rendszer, a még több számomra haszontalan lehetőséget kínáló flash lejátszó (@Phteven: találó észrevételéhez csatlakozva), a még elnagyoltabban összetákolt alkalmazások, és ezek mellett a még többféle támadási lehetőséget átvizsgálni kénytelen vírusirtók, akkor egyre erősebb gépet kell ezek alá tennünk ahhoz, hogy dolgozhassunk is vele valamicskét. A nem túl fiatalok még emlékezhetnek azokra a naiv jóslatokra, hogy a számítógépek egyre olcsóbbak lesznek, és végül már fillérekért lehet PC-ket vásárolni. Elfogadom, hogy a növekvő képességek ellenére a gépek ára nem emelkedett ahhoz illő magasságokig, viszont a gépek megvásárlása még ma sem fillérekbe kerül, mert sosem marad meg a kínálatban az a gépkategória, amit végül már fillérekért adhatnának. A hardver- és szoftvergyártók és a forgalmazók folyamatosan új és még erősebb gépek vásárlására kényszerítenek bennünket, és így a régi ábránd csak szinte nevetséges ábrándként süllyedt el a múltban.

A húsz évvel ezelőtti gépemen beletelt néhány másodpercbe, amíg a Word elindult. Ma is beletelik néhány másodpercbe, amíg a mai Word elindul. Csak közben a gépem órajel-frekvenciája 300-szorosára nőtt, és nyilván az architektúra, a buszsebesség, a perifériák teljesítménye sem húzzák vissza a gépet. Nehéz megtippelni, hogy miért is, de a szoftverek relatíve egyre lassabbak, a számításból ezt az egyszerű végkövetkeztetést vagyunk kénytelenek levonni. Ezek szerint a hardverek észvesztő fejlődése, ami kimondottan sebességtesztelő szoftverekkel világosan kimutatható, szinte hiábavaló volt az átlagos alkalmazások felhasználói számára. Arra volt elég, hogy fedezze a veszteséget. Hiába lehet ma lélegzetelállító realisztikussággal megjeleníteni egy harci jelenetet egy játékban, engem, aki nem játszom ilyenekkel, jobban érint az, hogy ma is másodpercekig tart, amíg egy nagy alkalmazás bezárása után az operációs rendszer újra megjeleníti az ikonokat az asztalon, és ma jóval tovább tart egy Windows 7-en a telepített programok kilistázása, mint amennyi ideig az az XP-n ma szinte naponta megfigyelt módon lezajlik. A registry, amit láthatóan óriási felelőtlenség volt az alkalmazásfejlesztők részére korlátozás nélkül, tálcán felkínálni, tíz év alatt a tízszeresére nőtt, és persze a minden apróságért ahhoz forduló programok sebessége is ehhez aránylik.

Tudjuk jól, hogy ha egy adott gépet egyre későbbi szoftverekkel használunk, a teljesítmény folyamatosan romlik. "Korszerűtlen a gép", mondják erre bicskanyitogató pofátlansággal a fejlesztőcégek és a kereskedők. Egy táblázatkezelő programnak ma sem kell sokkal többet tudnia, mint a húsz évvel ezelőttieknek, hozzátéve, hogy ma sem kell a programnak egyszerre kezelnie húsz diagramot és tízezer cellás számításokat, ma is csak külön-külön veszem igénybe a hasznos vagy haszontalan többletfunkciókat.

Rossz irányba haladtak a dolgok a szoftvertéren, nekem ez a következtetés adódik mindebből. A víruspajzsok készítői profibb módon dolgoznak, mint az átlagos alkalmazások fejlesztői, feltehetően nagyobb hatásfokú programokat írnak, mint az átlagalkalmazásokat folyamatosan korszerűsítő szoftverházak. De ha kiderülne, hogy némelyik rendszervédelmi szoftver .NET vagy Java motorra támaszkodik, vagy a programokat C++-ban írják és fordítják, akkor a készítőik a szememben elvesztenék a becsületüket.

G Data 2015.04.23. 14:10:57

@Androsz: Kedves Androsz! Teljesen igazad van mindenben, amit mondasz.

Ugyanez a helyzet az autók területén: nem igazán van ma olyan új autó, amiben nincs ABS vagy légzsák vagy légkondi, és hasonló módon az új autók ára nem csökkent le 1 millió forint alá, pedig egy régi kocka ladás technológiát valószínűleg össze lehetne hozni annyiból.

A technológiai fejlődés nem csak egy lehetőség, hanem egy kényszerpálya, amit a piacgazdaság ránk diktál. Mind az informatikában, mind más területeken együtt kell élnünk ezzel.

pythonozok · http://visszabeszelo.blog.hu 2015.05.07. 09:42:54

@G Data: azért ezt így kijelenteni... ésszel kell használni. Ha paranoiás vagy, akkor minden tiltva és amit használni akarsz, azon a szerveren katt a temporary allow-ra. Persze ez sem nyújt 100% biztonsagot. CIS+adblock+noscript+nem tutudom még mi használata mellett is begyűjtöttem valami szart, ami később nyom nélkül felszívódott: weblabor.hu/forumok/temak/132181
Nem is emlékszem, mióta használom ezeket, nagyon ritkán okoztak gondot
A cookie msnagerem már több szopással járt.

pythonozok · http://visszabeszelo.blog.hu 2015.05.07. 09:46:15

@Androsz: comodot milyen gépen? Én nem érzem, hogy komolyan lassítana
i5-2520m, 8g ram, ssd - de az eredeti hdd-t használva sem éreztem lssdúnak.
Inkább a HIPS veri ki a biztosítékot amikor a cygwint sandboxba teszi, mert nem ismeri.

Androsz · http://wikipedia.blog.hu/ 2015.05.07. 14:28:52

@pythonozok: A gépem egy Athlon X2 2,6 GHz 2 GiB memóriával, WinXP alatt. Nagyon jól elvagyunk egymással. A viszony akkor romlott meg, amikor a Comodo 8 minden tárolandó változtatást kb. 22 másodperces lemerevedés árán rögzített. Ebből a szempontból mindegy, hogy a tűzfal vagy a HIPS kérdésére adott válaszról van-e szó, nyilván a HIPS hússzor annyi kérdést tesz fel, dehát ez az ára a biztonságnak. Nade egy új program indítása 2-3 percre húzódik el, jó esetben?

Végül kiderítettem: a Comodo is a registryben tárol mindent, a registrybe való írkálás pedig keservesen sokáig tart, az ég vágjon fejbe érte minden idióta fejlesztőcéget. Ráadásul közben kiderült, hogy a Comodo8 HOZZÁNYÚL a gép által kezelt exe fájlhoz akkor is, ha csak átmásolom valahová. Megváltozik a fájl dátuma, és olvastam (nem végig) valami olyan elemzést, amely azt írja le, hogy a Comodo8 néha pár byte-ot betesz a fájl végébe, valami homályos magyarázattal arról, hogy ez az én érdekemet szolgálja. No, ezzel betelt a pohár, és nagy nehezen, de tényleg nagy nehezen megszabadultam tőle, és némi küszködés árán feltettem a már csak torrenten megtalálható Comodo 7-et. A program ingyenes, csak éppen mindig a "legkorszerűbb" érhető el a gyártónál, ha tetszik, ha nem. Nos, a 7-es verzió szolgáltatásai szemre ugyanazok, és a registryben való tárolás 3 másodperc alatt megtörténik. Ugyanaz a gép, ugyanaz a konfiguráció. És nincs belefirkálás a PROGRAMfájlokba.

Egy nagy múltú program nagy kapacitású gyártója nem képes arra, hogy rájöjjön az ősi igazságra, mely szerint a Comodo a saját adatait tárolhatná egy villámsebességgel kezelhető saját adatbázisban, a registryben pedig egyetlen bejegyzést kell elhelyezni: hol van ez az adatbázis. Kész. Én egyszerűen nem értem ezt a registrymániát. Az XP-m registry-exportja 130 MB méretű. Nézze meg bárki, hogy a Win7-e exportja mekkora. Ijesztő lesz. Ezt a gigafájlt lapozza át minden program százszor minden szarért. Esetleg nézze meg a Windows\winsxs mappáját (Win7), amelyben nekem e pillanatban 10029 mappa van, egy szinten!! Hát mennyi időbe telik, amíg a rendszer ezek valamelyikét megkeresi? A Total Commander, amelyben én meglehetősen bízom, ezen a 64 bites, két éves laptopon az egymás utáni HARMADIK, tehát biztosan pufferelt kísérletre 8,9 másodperc alatt nyitotta meg a mappát! Bassza meg, így kell optimalizálni egy rendszert? Eszerint egy átlagos alkalmazás átlagosan 4,5 másodperc alatt ér el benne egy fájlt. A System32 mappában 2031 fájl van, egy szinten. Programok indításakor hozzá fordul a rendszer, gyanítható hatékonysággal.

Nem azért marad lassú mindengép annak ellenére, hogy egyre erősebbek lettek, mert valami varázslat gátolja, hanem mert a fejlesztők ostobál és nemtörődömök. Egy csomó program követeli rajtam a legfrissebb Java és Flash Player alapot. Pontosab melyi Flash verzióra épült az illető fejlesztés, amit megvásárolni van szerencsém? "A legutolsóra"? Mi, ez a telepített program kódja folyamatosan módosítja magát? Vagy a fejlsztő ahhoz is lusta volt, hogy megnézze, éppen milyen Flashre írja a programját, és szarik rá, hogy melyik verzióban érvényes funkciókat használ. Lehet, hogy a program simán elmenne a 6-os verzióval, és én is szépen ellennék vele, de az van beleírva, hogy induláskor nézzen utána, melyik a legfrissebb verzió, aztán követelje rajtam azt. Nem mondhatom, hogy jó nekem a régi is, megbízom a fejlesztő ügyességében, hanem Töltse Le A Legújabbat! Mert anélkül nem fogok működni! Meg anélkül sebezhető a gépe! Ha a most letöltöttel már nem sebezhető, akkor a jövő héten már sebezhető lesz, mert van egy újabb Flash verzió?!

A nemtörődömség, a lustaság miatt szívunk folyamatosan. És nézhetjük, ahogy egyre nagyobb erőműveket tolva a szoftverek alá semmi gyorsulást nem vehetünk észre, inkább csak lassulást. Hát akkor nekem a G Data is villantson nagyot, hogy elhiggyem róla, hogy profik profi módon csinálták, nem csak a szokásos módon egybelapátolva, ami éppen kéznél van. Mert akkor bizony ahogy a vírusok száma és típusa nő, úgy fog lassulni a gépünk, és én csak ezt állapítottam meg a legelső kommentemben is.

pythonozok · http://visszabeszelo.blog.hu 2015.05.07. 21:07:12

@Androsz: elő tudnád keresni, hogy hol volt szó arról, hogy beleír az .exe-kbe? Valami hasonló szöveggel én is találkoztam, de a forrása nem tűnt elég megbízhatónak.

nitro1 2015.05.08. 00:47:03

@Androsz: Ritkán olvasok ilyen hosszú hozzászólásokat, aminek csaknem minden szavával egyetértek. :-)
Egyébként meg manapság már nem divat a kódoptimalizálás, vegyed csak meg az erősebb vasat! Még jó hogy nem írják oda a soha el nem olvasott végfelhasználói licenszegyezmény végére, hogy "készült a hardvergyártók támogatásával".
Gondolom, az sem ritka, hogy a szoftvereket már csak egyetlen platformra írják meg, utána meg portolják a többire, így aztán ami optimizálás volt is benne, az az ebek harmincadjára jut...

Androsz · http://wikipedia.blog.hu/ 2015.05.08. 00:55:16

@pythonozok: Az állítás hitelességét én sem tudom igazolni. Az tény, mert a saját szememmel láttam számos alkalommal, hogy amikor egy exe fájlt lemásoltam - és ekkoriban pont biztonsági mentéseket csináltam sok programról -, akkor nem meghatározható rendszer szerint a fájl dátuma időnként az aktuálisra változott. Ugyanazt a fájlt lemásoltam háromszor, és az első két alkalommal változott, harmadszorra nem, például. Amikor kellett, akkor az exe fájlokat addig másolgattam, amíg a másolat az eredeti dátumot nem mutatta. Mivel én rendszerint nemcsak ZIP-ekben tárolom az összes telepítőprogramot, hanem néha egy külön SFV fájlt is melléjük teszek, ezért ellenőrizni próbáltam az érintetlenségüket is, én sosem találkoztam fájl módosulásának más jelével, mint a dátum változásával. De nekem ennyi is több volt már az elégnél ahhoz, hogy végül a kukába vágjam, és egy hosszú szívásba kezdjek a 7-es verzió feltelepítésével és a rendszer újraarchiválásával.

Viszont amikor annak idején utánanéztem ennek a dátumváltozási ügynek, több furcsa infót is láttam, egyet közülük elmentettem, későbbi nézegetésre. Ez a forums.comodo.com oldalon a "CIS/CES 8 adds ADS to files which
remain present if files distributed" topic, itt egy link: forums.comodo.com/format-verified-issue-reports-cis/cisces-8-adds-ads-to-files-which-remain-present-if-files-distributed-m1367-t108102.0.html . Persze bugnak mondják, de nem olvastam el végül. Előtte ezzel találkoztam: forums.comodo.com/defense-sandbox-help-cis-b136.0/-t109389.0.html . Ez egy kommentből van: "Guess I'll just use Windows Firewall--no outbound or cross-process protection, but at least it doesn't f* up my system like all these other firewalls do. Thanks, COMODO.", a topic neve: "COMODO changes date of EXE/BAT/CMD/etc. on copy, extract, etc." Beszédes.

Kénytelen vagyok mások által írt programokra támaszkodni, nyilvánvaló. Van, amelyikre külön odafigyelek, mert tudom, hogy sandaságokat várhatok tőle, kéretlen kiegészítők telepítését, mindenféle reportok küldözgetését, az automatikus frissítésekről nem is beszélve. De ha rossz hírbe tudják hozni azt a programot, amelynek az lenne a célja, hogy a többi programra figyeljen a gépemen, az nekem nem esik jól.

pythonozok · http://visszabeszelo.blog.hu 2015.05.14. 06:54:55

@Androsz: bocs, Windows-on csak felhasználó vagyok, ilyen apróságokra ritkán figyelek. Ha lemásolsz egy fájlt, nem az lenne a normális, ha az utolsó módosítás dátuma megváltozna? Amilyen rendszereken dolgoztam, azok mind így működtek... (a beleszemetelés más téma, és úgy tűnik van alapja a hírnek :( )

Androsz · http://wikipedia.blog.hu/ 2015.05.14. 14:41:07

@pythonozok: Amit mondasz, az jó, de a helyzet nem pontosan ez. A fájlokról a rendszer (legalább) három dátumot tart nyilván: a létrehozás, az utolsó módosítás és az utolsó hozzáférés (olvasási megnyitás) időpontjait. Ha egy fájlt akár COPY paranccsal, akár ikon másolásával, akár a Total Commander másoló funkciójával másolok le, a létrehozás időpontja a művelet valódi ideje, de az utolsó módosítás időpontja átöröklődik a forrásfájlról. Vagyis az a furcsa helyzet áll elő, hogy az utolsó módosítás időpontja az előttre mutat, hogy a fájl létrehozása megtörtént. De ez összességében így van rendjén.

A Comodo 8 ebbe valahogy beleavatkozik. Lehetne úgy is nézni, hogy megakadályozza a módosítás dátumának átörökítését, vagy nézhetjük úgy, hogy utána átírja azt a pillanatnyi dátumra. Nem érthető, hogy erre mi oka lenne. Egy jó tűzfal mélyen összefonódik az operációs rendszerrel, hogy minél kikerülhetetlenebbül ellenőrzés alatt tarthassa az oprendszert igénybe vevő programok ügyködését, de ez nem engedély arra, hogy változtasson az oprendszernek egy ide nem tartozó funkcióján is.

Eleve mélységesen meg kell bíznunk azokban, akiknek ilyen programját beleszőjük a gépünk oprendszerébe, tehát hinnünk kell a víruspajzsok, tűzfalak, registryjavítók (!) készítőinek erkölcsi szilárdságában és tisztességes szándékában. Mert ha egy tűzfal készítője bármilyen adatot ki szeretne csempészni vagy be szeretne ültetni a gépünkbe, hát nehéz ennél jobb és észrevehetetlenebb módszert kiagyalni, nem igaz? Hasonló hitet kell táplálnunk a Skype, TeamViewer és más olyan programok készítői iránt, amiken keresztül akár nagyon kényes adatfájljaink tömegét áramoltatjuk át, és persze ennek érdekében, a tűzfalon számukra kaput nyitva, szabad bejárást adunk a háttértárainkra.

Nos, mindezek után mondhatjuk azt, hogy rendben, a Comodo 8 valamilyen, nyilván az én biztonságomat szolgáló okból belenyúlt a fájlok dátumozásának rendjébe. De akkor miért csakis az .EXE fájlok, a programfájlok dátumozása változott meg?! Akkor tehát nem az oprendszer funkcióját írta át általában, hanem olyan válogatási szempontot is tett hozzá, ami minimum gyanús. Ha megkérdezünk bárkit arról, hogy szerinte mi okozhatja azt, hogy a gépünkön csak a programfájlok dátumai úgy néznek ki, mintha valami hozzá akart volna nyúlni a tartalmukhoz, akkor mindenki, még a járatlanabbak is kapásból azt mondják, hogy hát vírus, te tökfej, te is jókor kapsz észbe. Na, hát ennek a látszatát keltette egy ezek ellen írt tűzfal+viselkedésvizsgáló alkalmazás. Nekem ez elveszi a jókedvemet.

Nekem nem érthető, hogy a Comodo 8 készítői, ha ügyeskedtek valami nem a nyilvánosságnak szánt funkció beépítésében, hogyan követkettek el ekkora óvatlanságot. Az egyik válasz az, hogy íme, ide süllyedt a programozói színvonal, már nem csak hibás programokat árusítanak, azt mondván, hogy jön a frissítés, már nem csak indokolatlanul óriási méretű szoftverpaneleket dobálnak bele válogatás és bárminemű optimalizálás nélkül egy új alkalmazásba, hanem most már annyit sem vesz észre egy félhomályban ügyködő fejlesztő, hogy véletlenül kitéve felejtette az "ITT ADATLOPÁS FOLYIK" táblát a főkapun.

A másik, a paranoid változat pedig az, hogy ezzel jól lebuknak, és így más talán senki nem keresi a másik, jól elrejtett trükköt a programban, vagy a felhasználók közül az adatbiztonságra érzékenyebben visszatérnek a Comodo 7-hez, amelyben már évek óta ott lapul a beépített, mindeddig fel nem fedezett rés. Az utóbbi hihetetlennek tűnne, mert én hajlamos lennék úgy gondolni, hogy ezek után én a Comodo utolsó nyomát is elpusztítom a gépemen és soha többé a hírüket sem akarom hallani, de sajnos nincs másik olyan ingyenes tűzfal, amely elég jó lenne, így a Comodo 7-et szereztem meg (nehezen) és tettem a helyére. Sajnos fizetős tűzfalat jelenleg nem engedhetek meg magamnak, ez már az én problémám. Amihez persze hozzátartozik, hogy hacsak nem monitorozzák folyamatosan a gépemet, akkor nemigen fognak hozzáférni a biztonságosan elásott, védett cuccaimhoz. De Ez az egész sajnos egy újabb példa arra, hogy mi, felhasználók, karbantartók, programozók, rendszergazdák, mindenki, aki számítógépet használ, folyamatosan ki van szolgáltatva a szoftveriparnak.

pythonozok · http://visszabeszelo.blog.hu 2015.05.14. 14:58:01

@Androsz: érdekes amit írsz, bár én egyelőre kicsit optimistább hangulatban állok a témához. El kellene olvasni a CIS doksiját. Nekem rémlik valami, hogy virtualizál mindent, amit csak tud. Ha valóban így van és a virtuális I/O rendszerbe bug került, az lehet egy magyarázat a dátumok módosítására. A többi... passz.

pythonozok · http://visszabeszelo.blog.hu 2015.05.14. 19:37:41

@Androsz: közben előszedtem a laptopom és megnéztem, hogy mi történik.
Valóban, néha egy-egy .exe-be biztosan belerondít valami és ez jelen esetben vélhetőleg valóban a CIS.
De... ami érdekes: ha nem azonnal készítesz másolatot, hanem vársz pár percet, akkor az az érdekes dolog történik, hogy a létrehozás ideje az lesz, amikor a copy-t kiadtad az eredeti ablakban, a módosítás dátuma meg megegyezik a paste kiadásának idejével.
És úgy tűnik, a két image között nincs érdemi eltérés, mert az md5 hash megegyezik mindkét fájl esetében.
Szerintem a fejlesztők a clipboard védelménél kefélhettek el valamit.
Vagy valami nagyon furfangos vírust csempésztek bele a kódjukba ;)))
(na jó, ez csak vicc volt - szerintem hihető a bug teória)

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (36) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (21) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) facebook (129) Facebook (10) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (35) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) kriptobányászat (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) Skype (1) skype (2) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) virusirtó (1) vírusirtó (12) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) Windows (2) windows (1) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő
süti beállítások módosítása