Hlavní navigace

Vlákno názorů k článku USB: Univerzální Strach a Boj bez konce od anonym - Máte pravdu, i Windows mají spoustu bezpečnostních opatření...

  • Článek je starý, nové názory již nelze přidávat.
  • 4. 1. 2011 14:51

    bez přezdívky

    Máte pravdu, i Windows mají spoustu bezpečnostních opatření v základu. Jenže nikdo není zvyklý je používat. A když něco nejde, tak šup, nastavíme Full Access pro Everyone, ať to funguje ihned bez zjišťování příčiny.

    Ale toto se děje i na druhé straně. Nějaký problém s Joomlou nebo Wordpress? Šup, dáme všemu 777, psali to přece někde na diskusi.

  • 4. 1. 2011 13:21

    bez přezdívky

    Rekneme, ze potrebuju cist a psat na USB na ruznych pocitacich. Pak cizi pocitace (zavirovane) klidne muzou zapsat ten autorun a muj pocitac musim tedy zajistit hned po instalaci tak, abych nemohl spoustet autorun. Dal ale muzu byt prenasec. Mam si tedy na vsech USB udelat adresar autorun.inf jako protivirovou ochranu?
    To mi teda prijde jako pekna pakarna. Co kdyby se s timhle adresarem uz USB prodavaly a mely na sobe nalepku Windows security certified ?
    Kdyz to probiram ze vsech stran, tak mi vychazi, ze win maji zasadni bezpecnostni chybu.

  • 4. 1. 2011 18:42

    bruno (neregistrovaný)

    vytvorte v adresari autorun.inf ešte adresar s neplatným názvom:
    md .\con\\
    malware už vie vymazať autorun.inf, ale takto sa mu to zaručene nepodarí

  • 4. 1. 2011 20:15

    Uživatel si přál zůstat v anonymitě (neregistrovaný)

    Jendo a X, ten návrh s ochranou byl obecný. Nepochopil jsem přesně čeho chtěl autor původního příspěvku (vlákna) dosáhnout.
    Může také vyřadit Autorun, může zabránit připojení veškerých USB zařízení,... možností je hodně a způsobů provedení také (od jednoduché změny politiky systému až po speciální drivery či speciální SW. Já dávám přednost jednoduchým systémovým řešením.

    To, že tu ochranu lze obejít když máte externí USB úložiště v ruce a k dispozici vlastní systém je bez debat.
    Pokud řešíte, že zavirovaný počítač může ochranu spouštění AutoRun vypnout a následně ho nahradit zavirovanou verzí, tak může.

    Musím ale říct, že jinak se na situaci díváte z naprosto nesmyslného úhlu pohledu. Nebo mi uniká pointa, možná nepochopením prvotního příspěvku.

    Pokud se náhodou nejste ochotni spolehnout ani na služby vlastního systému tak si "tu vaši flešku" strčte do kapsy a zašijte. Zaručeňe tak nedojde k jejímu zneužití a pravděpodobně se jí nic nestane, přinejmenším do prvniho praní...

    P.S. Osobně tedy vůbec necítím potřebu AutoRun vyřadit z provozu, podle mne jde o značně nafouknutou bublinu. Daleko větší problém se dnes týká zneužití dokumentů pro Office a Adobe. Navíc, antiviry se těmito hrozbami vůbec nezabývají.

  • 5. 1. 2011 11:05

    Flasi (neregistrovaný)

    Nastavení nějakých NTFS práv na flashce není řešení v tom, že ty práva mohou být v cizím počítači ignorovány. Pokud strčíte flashdisk do zavirovaných windows, tak ten virus může práva snadno přenastavit a nakopírovat si tam, co chce. Pokud strčíte flashdisk do počítače s jiným OS, tak NTFS ovladač v tom jiném OS nemusí NTFS práva respektovat.

    Čili zavirovat flashdisk chráněný NTFS právy v zásadě není problém.

    Vy píšete, že se spoléháte na služby vlastního systému - ale to není pravda - vy se ve skutečnosti spoléháte na to, že ostatní mají stejný OS jaky vy (stejný výrobce a stejně nezavirovaný). Což je pochopitelně špatně.

    Já naopak zase cítím velmi silnou potřebu vypínat autorun - zejména u médií jako je flashdisk. Filosoficky nechápu, proč bych měl automaticky spouštět kód, který je na cizím médiu k dispozici a který může být (a často je) škodlivý.
    Vám přijde, že jde o značně nafouklou bublinu? Mě tedy přijde, že vůbec ne. Viry se tak šíří často - a spousta lidí si to hlavně neuvědomuje, takže to neřeší. Že se nemá spouštět neznámé exe stažené z internetu dneska už většina lidí ví. Ale že strčit si do standardně nastavených windows flashdisk může být zcela totéž - to si uvědomuje málokdo.

    Ano - problém se zranitelnostmi v dokumentech - určitě existuje a určitě je přehlížen. Ale ignorovat kvůli tomu značné riziko z flashdisků - tomu nerozumím.

  • 6. 1. 2011 14:46

    Ondřej Bouda (neregistrovaný)

    No, to už je poněkud moc paranoidní: vir nemá právo na přímý zápis na fleshku - k tomu musí využívat služby OS => nemá možnost na Win NTFS práva obejít (s výjimkou uživatele, který je přihlášen jako admin a buďto má XP, nebo vypnuté UAC).
    Představa, že by vir měl zapisovat na fleshku v ne-MS OS, aby se ve Win spustil autorun, je úsměvná: abyste si zjednodušil zápis na NTFS, chcete se nabourat do non-MS OS; jinými slovy: abych si usnadnil infikování systému A, budu hledat cestu, jak infikovat systém B... :)
    A to pomíjím to, že takový životní cyklus je příliš složitý na to, aby měl vir šanci na epidemii.

  • 6. 1. 2011 17:57

    Uživatel si přál zůstat v anonymitě (neregistrovaný)

    Většina normálních lidí... a zvláště pak my se špatnými zkušenostmi, zbytečně nepřipojujeme NTFS svazky pod Linuxem.

    Rozhodně bysme dobrovolně nedovolili připojit kdejakému šílenci, s libovolným systémem (bez znalosti systému už vůbec), naši flešku do jeho systému ;-)

  • 7. 1. 2011 7:31

    Ondřej Bouda (neregistrovaný)

    Asi bychom se mohli shodnout :)
    Jen si nejsem jist s tím rozšířením XP - hodně jich je v podnikové sféře, ale ty bývají slušně administrované = bezpečné; hodně jich je v Číně, ale odtud si fleshku přinese málokdo. Jaký je poměr XP na domácích počítačích u nás si netroufám odhadnout.

  • 4. 1. 2011 13:50

    Uživatel si přál zůstat v anonymitě (neregistrovaný)

    Mohl byste spolehnout na souborový systém NTFS a vestavěnou ochranu systému. Můžete jednak nastavit práva tak aby Autorun.inf nešel měnit, nebo ani spouštet.
    Také existuje, u systémů Vista a 7, bit (attribut), který může celý disk nastavit třeba jen pro čtení

    DISKPART
    Help Attributes Volume
    Help Attributes Disk

  • 4. 1. 2011 16:18

    x (neregistrovaný)

    Bohuzel (sem pro trest smrti za toto), prectete si napr dokumentaci k vBulletinu, na kazdym druhym miste kde je neco o pravech k souborum vam napisou, ze mate nastavit 777. Fakt dementi. Obdobne to "funguje" u spousty ruznych aplikaci, specielne tech webovych. Aneb proc vymejslet minimalni nutna prava kdyz se vsema to funguje. A ne nemluvim o diskusnich forech ale o oficialni dokumentaci :/ .

  • 4. 1. 2011 17:24

    Jenda (neregistrovaný)

    Ne, ochranou NTFS si nepomůžete, útočící počítač může na flashdisk libovolně psát a ochranu přenastavit.

  • 4. 1. 2011 20:11

    Uživatel si přál zůstat v anonymitě (neregistrovaný)

    Jendo a X, ten návrh s ochranou byl obecný. Nepochopil jsem přesně čeho chtěl autor původního příspěvku (vlákna) dosáhnout.
    Může také vyřadit Autorun, může zabránit připojení veškerých USB zařízení,... možností je hodně a způsobů provedení také (od jednoduché změny politiky systému až po speciální drivery či speciální SW. Já dávám přednost jednoduchým systémovým řešením.

    To, že tu ochranu lze obejít když máte externí USB úložiště v ruce a k dispozici vlastní systém je bez debat.
    Pokud řešíte, že zavirovaný počítač může ochranu spouštění AutoRun vypnout a následně ho nahradit zavirovanou verzí, tak může.

    Musím ale říct, že jinak se na situaci díváte z naprosto nesmyslného úhlu pohledu. Nebo mi uniká pointa, možná nepochopením prvotního příspěvku.

    Pokud se náhodou nejste ochotni spolehnout ani na služby vlastního systému tak si "tu vaši flešku" strčte do kapsy a zašijte. Zaručeňe tak nedojde k jejímu zneužití a pravděpodobně se jí nic nestane, přinejmenším do prvniho praní...

  • 6. 1. 2011 16:35

    Flasi (neregistrovaný)
    Tak můj příspěvek neříkal nic o tom, že by na non-windows-os byl vir a zapisoval na flashku. Prostě to tam byl pro úplnost - že ovladače NTFS v jiných OS si mohou dodržovat, co samy chtějí.

    s výjimkou uživatele, který je přihlášen jako admin a buďto má XP, nebo vypnuté UAC

    No ale tahle "výjimka" se týká značné části uživatelů. XP jsou pořád značně rozšířený OS a domácí uživatelé jsou admini ve valné většině případů. Pokud mají Visty/7, tak vypnuté UAC je taktéž poměrně častá věc. Uvědomte si, že stačí jedna aplikace, která vypnutí UAC vyžaduje, nebo je pro ní vypnutí UAC nejsnazší způsob, jak ji rozchodit a mnoho domácích uživatelů UAC vypne a už nezapne. Takovou aplikací může být nějaká stará aplikace, která běžně požaduje admin práva a vznikla před vydáním Vist - typicky starší hra - přesně aplikace, která se na domácích počítačích často vyskytuje.

    A když se nad tím zamyslíme selským rozumem: Nezavirované windowsy mi flashku nenakazí (takže je nemusím řešit). Zavirované windowsy jsou to, čeho se bojím, co mi může nakazit flashku. Admin práva a vypnuté UAC (u OS, které je mají) - to je polovina úspěchu při průniku viru - takže takový počítač bude častěji zavirován. Čili u počítačů, které jsou zavirovány s menší pravděpodobností ochrana přes NTFS práva funguje, ale u počítačů, které jsou zavirované s větší pravděpodobností vůbec nefunguje. Má smysl se na takovou ochranu spoléhat?

  • 7. 1. 2011 10:54

    Flasi (neregistrovaný)

    Není pro XP potřeba jezdit do Číny. XP má pořád silné místo v korporátní sféře - a tam máte pravdu, že jsou obvykle dobře administrované, čili bezpečné. Ale XP má silné místo i v malých firmičkách (které se způsobem IT provozu podobají domácnostem - co napíšu o těch malých firmách víceméně platí i o domácnostech). Čili na počítači je většinou takový OS, jaký tam jako OEM předinstaloval výrobce. Čili všechno před rokem 2007/2008 (čili spousta počítačů) je s WinXP.
    Navíc Visty byly první rok až dva po uvedení problematické, takže se často downgradovaly na XP, čili dost počítačů z let 2007-2008 má taky XPčka.
    Problematické byly v tom, že by hodně HW náročné na tehdejší dobu, že na nich nefungovaly (a někdy stále nefungují) některé starší programy a že pro ně nebyly (a většinou stále nejsou) ovladače pro spoustu stále používaného staršího HW.
    A v těch malých firmách jsou počítače většinou administrovány velmi špatně (buď se o to stará každý sám, nebo to dělá navíc ke své práci ten nejvíce IT gramotný člen týmu) - čili tyhle počítače vůbec bezpečné nebývají. O UAC na Vistách a W7 v malých firmách většinou platí to, co jsem psal v minulém příspěvku - pokud s tím byl jednou jeden problém, tak je to vypnuté.

    Takže rizika v podobě XP (a Vist/7 s vypnutým UAC) je pořád spousta.

  • 4. 1. 2011 16:14

    x (neregistrovaný)

    Ehm, ntfs a prava ? Myslite tu srandu kterou si muze kdokoli kdykoli prepsat jak portebuje ? Ja si teda napriklad v tucnakovi bez potizi prectu (a samo zapisu) vsechny nezasifrovane adresare, naprosto bez ohledu na nastaveni prav, protoze tucnak na ntfs prava kasle. Ostatne, v pripade mountu ext2/3 do win to funguje uplne stejne.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).