Egy hacker tud védekezni a vírus írtók ellen?

#6:

13-15 évesen 2-3 hét "tanulás" (akkor még csak olvasgattam, nem céltudatos tanulás volt) után bejutottam 2 hosthoz akik szervereket szolgáltattak

nem károkozás volt a célom, csak kipróbáltam pár dolgot és ebből bejöttek (más-más hibákból adódóan), jeleztem is nekik ezeket a hibákat

az egyik hostnál az egész rendszerükhöz hozzáfértem fájl és szerver szinten kb félóra alatt

publikus dolgokról volt szó, mégis egyik host sem ismerte ezeket a biztonsági réseket és több éve futó aktív hostokról van szó

a kérdésre visszakanyarodva, maga a kérdés részben hibás

de tételezzük fel, hogy a személyre gondolt a kérdező

igen a hacker tud védekezni a vírusirtók ellen, ezért is fejlődnek az új vírusok

Annyit még hozzátennék, hogy bár "vírusirtó"-nak hívjuk ma a védelmi rendszereket, valójában ezek nem azok.

A tevékenységük 0,00%-át teszi ki jó esetben a vírusirtás.

Anno amikor még nem volt internet, vírusok terjedtek floppy lemezeken, majd később cd-ken. Ezek ellen találták fel a vírusirtó programokat - melyek az internet eltejedésével már minden mást (behatolás megelőzés, tűzfal, virtuális teszt környezet amiben lefuttatja a programokat viselkedés elemzéssel, felkeresett weboldalak eredetiségének ellenőrzése, emailben kapott kamu weboldalak kiszűrése ... ... ...) is csinálnak.

Mivel mindenki így hívta őket hát így maradt a nevük, de ha valaki a vírusirtó szót meghallja ne a vírusok irtására gondoljon mert ezknek a RENDSZEReknek a célja és fő tevékenysége pont az hogy ilyesmit SE kelljen csinálnia.

Én védelmi rendszernek hívom őket, ugyanis egy-egy ilyen program csomagban sok motor dolgozik különböző célokkal.

És igen, sokkal költséghatékonyabb ismert sebezhetőségekre rámenni mint ismeretleneket kitalálni. Így ha van védelmi csomagod és frissíti is magát rendszeresen akkor nagyságrendekkel kisebb az esélyed hogy zombivá alakuljon a géped, lenyúlják a fizetési adataid egy kamu site-on ...

A hackerek 99%-a nem "immunis rá" ( :D ) mert csak kevesen foglalkoznak új sebezhetőségek felderítésével. A legtöbben nem érnek rá mert a sebezhető gépekből csinálnak sok pénzt maguknak. Persze az újságokban ez az 1% fog szerepelni...

De persze az emberi tényező még mindig ott van. Egy jó spam szűrű kiszűri a kamu leveleket és hamis feladókat, de ha bemegy valaki a spam mappába és rákattint mert "egy jó csaj küldött nekem üzenetet azt írja" akkor így járt...

Előzőnek:

Most olvastam hogy egy felmérés szerint a magyar céges szerverek 80%-a esett már áldozatul sikeres támadásnak.

Szerintem ez attól lehet, hogy a biztonság azért pénzbe kerül.

Sok vezető szerintem úgy van vele hogy nincs olyan céges adat amit féltene, nincsenek bizalmas adataik és újrahúzni a meglévő minimális szerverparkot olcsóbb mint tűzfalat és licenceket vásárolni.

És sok helyen support cég is van.

Ez egy jó találmány elvileg, azonban egy informatikai support cég ha betörtek: Plusz pénzért helyre állítja a károkat, megtervezi a védelmet, megvalósítja az akkori körülményeknek megfelelően. Nem érdekük hogy folyamatos lineáris biztonságot produkáljanak és nem is teszik. Akkor dolgoznak ha kérés érkezik, nem akkor amikor esemény van, pl. kiderül egy új sebezhetőség.

Nem olvastam el a teljes válasz listát, így lehet amit leírok azt már említették.

- A vírusirtó mintákkal dolgozik. Mivel számít a számítógép gyors működése, így ismert viselkedési mintázatokat vesz alapul. Továbbá minden programot betesz egy "homokozóba" és megnézi mit csinál.

- A fentiek miatt, mivel ismert dolgokról van szó, így egyedi személyre szabott vírust már képtelen felismerni, mivel a viselkedési mintája nem hasonlítható egy víruséhoz. Ez miatt folyamatosan mennek a vírus gyűjtések és a naponta érkező frissítések.

Továbbá, ha nem kártékony programról van szó, hanem egy interneten keresztül szivárogtató kémprogramról. Ezt mondhatni, majdnem minden programra ráillik, ami neten kommunikál, így nem törli/veszi észre.

- A hacker nem programmal dolgozik, hanem hibák kihasználásával és azon történő behatolással. Ez kvázi egy "lehetőség" ajtónak is mondható, ami a vírus hatáskörén kívül esik. Erre külön programok léteznek, de ez se 100%-os. Mert egy weboldalon történő behatolás vagy egy hibás protokollon történő támadás a rendszer természetesnek vesz, mert az adott port azért van nyitva, hogy használják... Lásd: 443/tcp

- A 0-day sérülékenységről. Sokan rosszul tudják ennek fogalmát. Ez a hiba olyan hiba, ami nem publikált, gyártó cég is most értesült és egyes hacker közösségen belül terjedő információ. Mihelyt publikált, megjelenti újság cikkben, már NEM beszélhetünk/nevezhetjük"0-day"-nek, mivel ismerté válik. Onnantól adott napi sérülékenységről beszélünk.

Tehát ha újságban 0-dayt látsz, akkor az már nem 0-day.

- Az emberek legtöbbje nincs bizalma a szoftver frissítésben, aminek az eredeti: Windows, kompatibilitási probléma. Ezek miatt, hiába van már egy hibára megoldás, az emberek nem frissítik. Így a hiba/sérülékenység folyamatosan jelen van, így idő kérdése, hogy valaki észre veszi, és visszaél vele. Kvázi betör. Tehát itt az emberi tényező is játszik, szóval a kérdésed eredete, hogy a vírusirtóra lehet-e hagyatkozni, kezd megingani.

Kérdező:

Ha úgy érted, hogy ki lehet-e kerülni a vírusirtók védelmét, akkor persze ki lehet.

#14:

[link]

A "0-day" sebezhetőség már kiadáskor benne van az adott szoftverben, csak teszteléskor nem derül ki, így rendszerint a fejlesztők sem tudnak róla.

(persze előfordul, hogy a fejlesztők benne hagynak felismert, kisebb hibákat a közeli határidők miatt, és aztán rövid időn belül korrigálják azokat, - mivel az ismert hibákat ugye könnyebb orvosolni, mint az ismeretleneket)

A "0-day" sebezhetőség a kijavításig "0-day" sebezhetőség marad.

#14:

Bocs, az előbbi hozzászólásban szintén a rossz értelmezést írtam.

Te írtad jól, - a szakmai zsargonban a "0-day" akkor indul, amikor a hiba a fejlesztő tudomására jut.