162 wykop

Vista i Windows 2008 - nowy exploit omija wszystkie zabezpieczenia Microsoftu

W trakcie konferencji Black Hat Alexander Sotirov z firmy IBM (Internet Security Systems) oraz Alexander Sotirov z VMware zaprezentowali technikę, dzięki której możliwe jest ominięcie wszelkich mechanizmów chroniących pamięć, jakie Microsoft wbudował w Vistę i Windows Server 2008.

Dodany z idg.pl do Technologia » Komputery z tagami windows vista hacking microsoft bezpieczeństwo exploit

Wykopali 162, zakopali 3

Allegro.pl

Powiązane (2)

  pokaż (2) 
Pokaż: ustaw jako domyślne
pokaż obrazki

Komentarze (43)

  • Reklamy Google

  • Naglfar +8  

    Pentagon zaczął niedawno migrację z Windowsa na Linuksa... Musieli przeoczyć ten raport. ;-)

    pokaż komentarz
    Naglfar
  • paffnucy +7  

    @alecc: poniekąd nasz rację, ale zwróć uwagę, że użytkownicy pecetów dzielą się na dwa rodzaje: zwykłych użytkowników i tzw. "geeków". Z tych 95% komputerów z Windowsem 95% używają "zwykli użytkownicy", a pozostałe 5% to maniacy. Z drugiej strony Linuxa używają głównie ludzie, którzy się dobrze znają na systemie (powiedzmy nawet, że użytkownicy Linuxa są w proporcji 1:1). Kontynuując ci "zwykli" userzy nie wykrywają błędów w systemie, nie znajdują luk, ani nigdzie ich nie zgłaszają - zajmują się tym "maniacy". Można więc z tego wywnioskować, że kontrast między użytkownikami Linuxa a Windy nie jest tak duży, gdyż w tym przypadku liczą się tylko ci zaawansowani. Tak więc nie możesz stwierdzić na podstawie tylko procentowego udziału w rynku, że jeden system ma więcej błędów niż drugi :)

    Dodam jeszcze, że moim zdaniem Windows to wcale nie jest zły system - od czasów XP - używam systemu MS od zawsze i nigdy nie narzekałem, bo tak naprawdę każdy kolejny jest lepszy od poprzednika. A że mają błędy i luki? Sądzę, że przy oprogramowaniu tych rozmiarów jest to nieuniknione - pisząc najmniejszy nawet program popełnia się kupę błędów. Może w czasach kiedy AI będzie tworzyć programy zamiast człowieka, unikniemy tego wszystkiego :D

    EDIT: Powyższy komentarz miał być wyżej - to dlaczego znalazł się na dole jest dla mnie sprawą niewyjaśnioną :)

    pokaż komentarz
    paffnucy
  • retsef +4  

    To co mi się tutaj podoba to fakt, że to jest niskopoziomowy atak. Naprawdę ciekawa sprawa.

    A co do bezpieczeństwa Windowsów to tak jak już ktoś powiedział, MS zawsze skupiał się na desktopach czyli na łatwości obsługi i wodotryskach przez to osiągnął taką pozycję w desktopach jaką ma, ale kompletnie leży wszędzie indziej.

    Inna sprawa, że Linuks nie ma 1% - to ostatnie to tylko kpina na jakimś obrazku wrzuconym na digga. Łatwo jest policzyć ilość komputerów ze sprzedanym windowsem lub linuksem, łatwo jest policzyc ilosc windowsów, ktora odliczyla sie na serwerach przy przeglądaniu stron, ale jak odliczyc serwery? Po kupionych licencjach? W mojej firmie nie uzywamy windowsa, kupilismy goly serwer i jak to jest kwalifikowane? Jak podejsc do linuxa w urządzeniach wbudowanych? Tutaj jest kompletne zero windowsa, po prostu zero, nawet w telewizorach instaluje się linuxa. Podobnie na super komputerach. Linux już wygrał, a Vista to byl tylko gwóźdź do trumny. Obecnie MS trzyma się tylko i wyłącznie dzięki graczom bo tu jak ktos lubi grac to albo kupuje konsole albo PC z windowsem bo na to wychodzą gry!

    pokaż komentarz
    retsef
  • gallez 0  

    Nie zgodzę się, że Windows trzyma się tylko i wyłącznie dzięki graczom. Windows trzyma się przede wszystkim dzięki ludziom niezbyt obeznanym w dziedzinie komputerów, którzy albo nie wiedzą, że jest alternatywa, albo tej alternatywy nie chcą lub się jej boją (przyzwyczajenie). I żeby nie było, na co dzień używam Ubuntu, choć na laptopie mam Vistę i uważam, że jest niczego sobie (ale tylko i wyłącznie na laptopach).

    pokaż komentarz
    gallez
  • no_one +2  

    Czy ta "dziura" to nie czasem taki windowsowy AIDS ?

    pokaż komentarz
    no_one
  • fanzonun +12  

    Alexander Sotirov z firmy IBM (Internet Security Systems) oraz Alexander Sotirov z VMware
    To zbieg okoliczności?

    pokaż komentarz
    fanzonun
  • AgayKhan +2  

    Firmy , które produkują soft zabezpieczający Windowsa przed wszelkim robactwem, to powinny MS po stopach ca łować: mają dzięki niemu na chleb. Po czorta takie złośliwe wytykanie wad.

    pokaż komentarz
    AgayKhan
  • arag0rn 0  

    Tzn. co zbieg okoliczności? Że IBM i VMWare mają wysokiej klasy specjalistów? Ja co prawda wolałbym żeby akurat tacy ludzie jak oni poświęcili swoją energię na znajdowanie luk w otwartych systemach, dzięki temu byłyby bezpieczniejsze, ale zbyt dużo krytycznych instalacji zależy od oprogramowania Microsoftu aby pozostawić tej firmie wyłączność na znajdowanie dziur we własnym sofcie. Wiem po sobie, że nic nie robi tak dobrze programowi niż testowanie go (na różne sposoby) przez osoby z zewnątrz, nawet jeżeli ich jedyną motywacją jest udowodnienie mi że jestem głupi.

    pokaż komentarz
    arag0rn
  • fanzonun +4  

    Nie wątpię, że mają specjalistów, nawet wysokiej klasy ;P, akurat nie o to chodziło.

    pokaż komentarz
    fanzonun
  • RomanX +11  

    Bo widzisz, z IBM jest ten prawdziwy, a z VMWare wirtualny.

    ("Mark Dowd z firmy IBM")

    pokaż komentarz
    RomanX
  • longinustorwaldzki +1  

    hmm... noo tak... oczywiscie bezpieczenstwo nie ma zadnego znaczenia... wazne ze jest latwa obsluga i dzialaja gry... wszystkie nasza hasla, numery kart kredytowych i cala masa innych informacji o nas... to nie sa wazne rzeczy... Jasne, ze mozna zainstalowac nortona czy innego AV tylko wtedy na wiscie 2GB ramu juz chyba nie wystarcza... Z reszta z ta latwoscia obslugi Visty w odniesieniu do nowego Gnome'a czy KDE to mam duze watpliwosci...

    pokaż komentarz
    longinustorwaldzki
  • ajd +1  

    http://osnews.pl/exploit-na-windows-vista-nie-tak-grozny-jak-zapowiadano/

    pokaż komentarz
    ajd
  • ajd +1  

    Ciekawa dyskusja na blogu Bruce'a Schneiera - http://www.schneier.com/blog/archives/2008/08/bypassing_micro.html

    pokaż komentarz
    ajd
  • longinustorwaldzki +8  

    Po tym jak mojej dziewczynie zaczęły wyskakiwać pornole na pulpicie, zdecydowała się po namowach wypróbować linuksa. Wybrałem dla niej LinuxMint - ze względu na jego rewelacyjne nastawienie do początkujących i jego urodę. Jak na razie jest spoko...

    Moi rodzice, ktorzy przeszli na emeryture jakis rok temu od roku wlasnie jadą na ubuntu... radzą sobie świetnie, ale oni wcześniej nie mieli wogóle do czynienia z windowsem... więc nie mieli probleu z przestawieniem.

    reasumując niech te dwa eksperymenty będą odpowiedzią na głosy mówiące, że Linuks jest trudny w obsłudze. Blondynka i dwójka emerytów doskonale sobie z nim radzi a to chyba mówi samo za siebie.

    pokaż komentarz
    longinustorwaldzki
  • jeanpaul -2  

    "Po tym jak mojej dziewczynie zaczęły wyskakiwać pornole na pulpicie, zdecydowała się po namowach wypróbować linuksa."

    To byla wyrazna aluzja pod twoim adresem, a ty zamast skorzystac, linuksa jej zainstalowales. Zeby sie teraz cudzymi "kernelkami" nie zaczela zabawiac.

    pokaż komentarz
    jeanpaul
  • longinustorwaldzki -2  

    domyslam się, jak sobie możesz wyobrażać takiego linuksoego geeka... Musze Cię więc rozczarować. Moja dziewczyna nie może mieć żadnych powodów do takich aluzji, wręcz przeciwnie, nader często odbieram od niej gratulacje za dobrą robotę poprzedniej nocy... i wierz mi... nie chodzi o instalację systemu....

    pokaż komentarz
    longinustorwaldzki
  • mc-west 0  

    @longinustorwaldzki:hehe szacunek

    pokaż komentarz
    mc-west
  • ecco 0  

    chłopak się pochwalił udanym życiem podkołdrowym a ci go minusują ^^

    pokaż komentarz
    ecco
  • pajek +3  

    Czy IBM czasem nie pracuje nad Microsoft-free PC? To oświadczenie miałoby wtedy sens, a raczej chwyt marketingowy. Oczywiście nie wątpię w kompetencje specjalistów z IBM i VMware, może i mają rację.

    pokaż komentarz
    pajek
  • trystero +4  

    @alecc: na podstawie faktow historycznych. (ktorych nie bede tu teraz przytaczal poniewaz bylo ich dziesiatki). ciagle dziury w IE, wpadki z bluescreenami na prezentacjach. bledy krytyczne, poprawki do bledow krytycznych ktore powodowaly kolejne dziury krytyczne. no i sama architektura tego systemu ktora jest jednym wielkim monolitycznym klopsem. ktorym ciezko sie zarzadza od strony programistycznej, poniewaz nie jest napisany modulowo. no i ten wykop ktory nie pozostawia jakichkolwiek złudzeń.

    pokaż komentarz
    trystero
  • alecc +8  

    odpisuj proszę pod wątkiem który sam zacząłeś, wtedy nie wiem czy będzie modułowo, ale na pewno bardziej czytelnie. A na temat bezpieczeństwa systemów MS ciężko się wypowiedzieć, ponieważ niema punktu odniesienia, czyli systemu który byłby na takiej ilości komputerów zainstalowany. 95% rynku przy np. 1% linux'a daje to 95-krotnie większą ilość użytkowników, a co za tym idzie 95-krotnie większą wykrywalność luk * 95 razy więcej powodów by te luki znaleźć/wykorzystać. Idę o zakład, że przy tak dużym udziale na rynku czy to linuksa czy mac os'a czy obojętnie jakiekolwiek systemu, dziur byłoby plus/minus tyle samo wykrytych.

    pokaż komentarz
    alecc
  • okhan -3  

    Dokładnie. Po prostu modne jest, aby robić czarny PR microsoftowi. Żaden system idealny nie jest, ale te wypowiedzi internetowych "ekspertów" od bezpieczeństwa są po prostu smutne.

    pokaż komentarz
    okhan
  • TheBlackMan +17  

    @alecc

    Ja ci odpowiem dlaczego windows był, jest i będzie systemem gorzej zabezpieczonym od Linuksa.

    Jest tak z jednego, bardzo prostego jak w mordę strzelił powodu:
    Microsoft dba PRZEDE WSZYSTKIM, na pierwszym miejscu o łatwość obsługi, a dopiero na DRUGIM o bezpieczeństwo. Jest to doskonale widoczne w polityce tej firmy i chyba nikomu nie trzeba tego udowadniać.

    Jeżeli ktoś skupia się PRZEDE WSZYSTKIM na łatwości użytkowania, oczoj.e.bności mega-wypasionych bajerów, zajezacności interfejsu i takich tam, rzeczą jasną jest, że nie będzie mógł poświęcić tyle samo uwagi bezpieczeństwu...

    To wyjaśnia również dlaczego Linuks jest tak "trudny" w obsłudze dla początkującego user'a - po prostu system był projektowany pod kątem bezpieczeństwa, stabilności i obsługi przez zaawansowanych power-userów używających trybu konsolowego na serwerach, więc nic dziwnego, że kuleje tam gdzie windows rządzi - prostocie obsługi.

    - Powyższe wynika z prostej zasady: "Jeżeli coś jest do wszystkiego, to jest do niczego".
    - A to z kolei wynika z funkcjonowania człowieka: Człowiek nie może na równi poświęcić uwagi wszystkiemu. Zawsze jest tak, że jeżeli skupimy się bardziej na jednej dziedzinie i poświęcimy jej więcej czasu, to inna dziedzina w pewnej jednostce czasu będzie mniej lub bardziej zaniedbana w stosunku do tej pierwszej.

    Człowiek ma skończoną ilość czasu, i praktycznie nieograniczoną liczbę zajęć/dziedzin, które można rozwijać. Więc trzeba dokonywać wyborów.

    pokaż komentarz
    TheBlackMan
  • okhan +4  

    @TheBlackMan - Twoja teza jest dobra, ale tylko do czasu, gdy założymy, że nad danym projektem pracuje ta sama liczba ludzi. W rzeczywistości nic nie stoi na przeszkodzie, żeby w M$ ogromna liczba ludzi pracowała nad interfejsem, a zupełnie inna (również ogromna) nad bezpieczeństwem. Nie twierdzę tutaj, że MS Windows jest najbezpieczniejszym systemem świata, jednak nie widzę korelacji między interfejsem a bezpieczeństwem. Warstwa prezentacji raczej ma się nijak do całej reszty... To tak jakby powiedzieć że ponieważ enlightment jest ładniejszy od gnome, to jest słabiej zabezpieczony.

    pokaż komentarz
    okhan
  • TheBlackMan +8  

    @okhan

    **
    _
    woja teza jest dobra, ale tylko do czasu, gdy założymy, że nad danym projektem pracuje ta sama liczba ludzi. W rzeczywistości nic nie stoi na przeszkodzie, żeby w M$ ogromna liczba ludzi pracowała nad interfejsem, a zupełnie inna (również ogromna) nad bezpieczeństwem. Nie twierdzę tutaj, że MS Windows jest najbezpieczniejszym systemem świata, jednak nie widzę korelacji między interfejsem a bezpieczeństwem
    _
    **

    1. Niestety istnieje OGROMNA korelacja między interfejsem a bezpieczeństwem i nie ma ona wiele wspólnego z ilością ludzi pracujących nad bezpieczeństwem i interfejsem.

    Każda firma ma określone cele i określoną politykę. Jeżeli polityka danej firmy jasno określa, że systemy mają być przede wszystkim łatwe w obsłudze, a dopiero później bezpieczne, to nawet jeżeli w tej firmie więcej ludzi będzie pracować nad bezpieczeństwem (co jest mało prawdopodobne, bo byłoby sprzeczne z polityką firmy), to i tak zawsze bezpieczeństwo będzie kulało, bo zwyczajnie NIE JEST PIERWSZYM PRIORYTETEM !. Programistom/kierownikom/zarządzającym przede wszystkim rozkazuje się żeby skupili się na prostocie, przez co ogólna ilość czasu poświęcona na zabezpieczanie zawsze będzie mniejsza, oraz będzie zmodyfikowana przez oddziaływanie pierwszego priorytetu, którym jest łatwość obsługi.

    Zespoły programistów zespołami programistów, ale to nie oni rządzą - rządzi ZARZĄD i przede wszystkim rządziu POLITYKA FIRMY - wszyscy pracownicy się jej podporządkowywują.

    2. Tutaj akurat spaliłeś KOMPLETNIE, bo ilość programistów, która tworzy Linuksa wielokrotnie przekracza ilość programistów która pisała VIŚTĘ.

    - Nad CAŁĄ VISTĄ (kernel, interfejs, aplikacje dołączone, sterowniki) siedzi ZALEDWIE 2000 programistów.
    - w Linuksie NA STAŁE np. tylko nad SAMYM TYLKO KERNELEM (pełny etat) siedzi ~2000 programistów + pewnie 10 X tyle z doskoku, jak to bywa w projektach OS.
    - Do tego, każdy inny komponent, taki jak środowiska KDE, GNOME, aplikacje dołączone, sterowniki, biblioteki, kompilatory - KAŻDY z tych ELEMENTOW ma swój własny, niezależny ZESPÓŁ PROGRAMISTÓW, który go rozwija i zajmuje się tylko i wyłącznie nim. A więc ogólna ilość programistów, która "na pełny etat" zajmuje się szeroko pojętym linuksem, jest WIELOKROTNIE WIĘKSZA od tej która zajmuje się Windowsem.

    pokaż komentarz
    TheBlackMan
  • Naglfar +4  

    @alecc: Co Ty człowieku bredzisz? To Linux jest bardziej przetestowany pod względem bezpieczeństwa, z dwóch powodów:
    1) Używa się go na serwerach dużo częściej niż Windowsa (myślisz, że co jest głównym celem ataków hakerów? Serwery rządowe i korporacyjne z poufnymi danymi, czy komputer biurkowy Zdzisia z fotkami jego panienki?)
    2) Jego kod jest otwarty - dużo łatwiej wykryć błędy.

    pokaż komentarz
    Naglfar
  • voldenet 0  

    - w Linuksie NA STAŁE np. tylko nad SAMYM TYLKO KERNELEM (pełny etat) siedzi ~2000 programistów + pewnie 10 X tyle z doskoku, jak to bywa w projektach OS.
    - Do tego, każdy inny komponent, taki jak środowiska KDE, GNOME, aplikacje dołączone, sterowniki, biblioteki, kompilatory - KAŻDY z tych ELEMENTOW ma swój własny, niezależny ZESPÓŁ PROGRAMISTÓW, który go rozwija i zajmuje się tylko i wyłącznie nim. A więc ogólna ilość programistów, która "na pełny etat" zajmuje się szeroko pojętym linuksem, jest WIELOKROTNIE WIĘKSZA od tej która zajmuje się Windowsem.
    ...i każdy z programistów Linuksa dokłada własną cegłę. Czasem tylko nie pasuje ona do pozostałych :(

    pokaż komentarz
    voldenet
  • trystero 0  

    http://www.idg.pl/news/163897/Microsoft.poprawia.poprawke.html

    pokaż komentarz
    trystero
  • boberlium +1  

    kocham XP z każdym dniem coraz bardziej

    pokaż komentarz
    boberlium
  • trystero 0  

    no bo bezpieczeństwo w Windows to od lat tylko slogan reklamowy. M$ powie ze system Vista jest najbezpieczniejszy na swiecie i ludzie to lykaja jak małpki orzeszki w zoo... przypomnial mi sie monkey dance w wykonaniu balmerra hahaha

    pokaż komentarz
    trystero
  • alecc -1  

    Na jakiej podstawie tak twierdzisz?

    pokaż komentarz
    alecc
  • okhan -7  

    bredzisz

    pokaż komentarz
    okhan
  • krzst 0  

    @alecc:

    na podstawie ok 300 mln. licencji sprzedanych przez M$ odnosnie Visty ??

    pokaż komentarz
    krzst
  • zychu69 -4  

    Windows kulał, kuleje i kuleć będzie.. a użytkowników i tak ma coraz więcej, taki rynek.

    pokaż komentarz
    zychu69
  • pajek -1  

    Nie uważam się za jakiegoś super znawcę systemów komputerowych, ale używam XP i naprawdę nie mam problemów z obsługą tego. BSODa już dawno nie widziałem i szczerze powiedziawszy nie mam nic do zarzucenia temu systemowi. Wystarczy odrobina zdrowego rozsądku i dobrania softu, żeby system był stabilny i bezpieczny. Bynajmniej nie trzeba do tego instalowania żrących pamięć programów. A jak ktoś pisze, że mu okienka z porno wyskakują, to może czas się zastanowić, czy warto ryzykować swoje hasła dla tak wątpliwej przyjemności, jak .avi czy .jpg ;)

    pokaż komentarz
    pajek
  • longinustorwaldzki -1  

    no to chyba niezbyt dokładnie przeczytałeś artykuł, o którym mówimy...

    pokaż komentarz
    longinustorwaldzki
  • mc-west 0  

    Ja uważam ,że architektura systemu windows jak i sam windows XP/VISTA nie jest taki zły.
    Razi ogromna liczba błędów,ale jak postawic firewalla,AV i instalować aktualizacje to nie jest tak źle.
    Windows ma poważne wady konstrukcyjne(nie trzeba wiedzieć jakie to wady wystarczy korzystać dłuższy czas z systemu),jest też bardzo słabo konfigurowalny,tzn nie możesz zmieniać tego co ci sie podoba w intuicyjny sposób(m.in. rejestr windows).API systemu z moich doświadczeń jest niezbyt stabilne(liczne crashe aplikacji,BSOD,błędy w alokacji pamięci które maja wpływ na uruchamiane w systemie procesy,mało wydajne zarządzanie harwar'em)
    Oprócz tych wad systemy z rodziny windows mają jedną ważną zalete dzieki której tak dobrze opanowały rynek,PROSTOTA użytkowania,to sie sprzedaje i będzie sprzedawać,a MS produkuje taki system jaki dobrze sie sprzeda bo to przeciez firma,a firmy sa nastawione na komercyjne działanie.Moim zdaniem z preferencji większej liczby konsumentów wynika,że
    windows jest jaki jest.Nie wierze w to żeby microsoft nie potrafił napisać komercyjnego,dobrego i stabilnego UNIX'a.Jeśli by do tego doszło napewno ich produkty byłyby o niebo lepsze.

    pokaż komentarz
    mc-west
  • ffatman +2  

    Zainstaluj w windowsie firewalla, antywira, antyadware, program kontrolujacy instalacje, wszystko najlepiej platne, z renomowanej firmy - system bedzie wolniejszy a ty... lepiej sie poczujesz.

    pokaż komentarz
    ffatman
  • michalmt 0  

    To tylko potwierdza że Vista to największe gówno jakie M$ wypuścił. Najgorsze że Windows 7 ma być oparta o Viste...

    pokaż komentarz
    michalmt
  • mad_dud -5  

    http://www.theinquirer.net/en/inquirer/news/2006/01/06/linux-has-more-flaws-than-windows

    THE UNITED STATES Computer Emergency Readiness Team (CERT) has prepared a report for the government that claims that fewer vulnerabilities were found in Windows than in Linux/Unix operating systems in 2005.

    pokaż komentarz
    mad_dud
  • vmiepri -2  

    Dezinformacja. :) Nie żaden exploit, tylko inne (pewniejsze) sposoby, na wykorzystanie już istniejących błędów. Zaktualizowanego systemu i softu raczej tekścik ten nie dotyczy.

    Chyba że ktoś olewa aktualizacje swojej bezpiecznej Visty... to co innego... wtedy aż się prosi, żeby dołączyć do jakiegoś botnetu.

    pokaż komentarz
    vmiepri
  • emcebob -1  

    Olewa aktualizacje albo nie może ich zrobić, bo jego system jest nielegalny :]

    pokaż komentarz
    emcebob
  • Marx64 0  

    @emcebob
    Nielegalnosc to akurat nie problem :] po niewielkich przerobkach kazdy Windows moze byc rozpoznawany jako legalny przez Windows Genuine Advantage, i sciagac aktualizacje z Windows Update. A Vista ma to do siebie ze wystarczy tylko uzyc aktywatora i mamy "legalny" system ;]

    pokaż komentarz
    Marx64
pokaż 

Wykopali i zakopali (162 / 3)