Pisete bludy, klikam na to o dusu a nijaky cmd sa mi spustit nesce. Skusal som to mojom pocitaci, co mi ho spravil Fero, co byva za potokom, ked ho zapnem, nevbyhrava tak pekne ako Ancin, ale urobi len take africke bum-bum.
Jano, Horne Orechove, za krcmou dolava, zvonec nemam, nechajte stekat psa
Abyste mi rozuměl, zejména ostatní případní čtenáři, vy jste rozumný dostatečně...
Nechtěl jsem říci, že je zbytečné používat antiviry. To rozhodně ne! Já sám používám několik nástrojů k detekci malware a stop po něm. Kromě toho používám i aktivní (on-line) malware scanner (antivirus). Nemyslím si ani to, že je obecně zbytečné za takový SW platit.
To, že jsem placenou verzi přestal používat já, ještě neznamená, že platit za antivirus je zbytečné. Já jsem k tomu měl, a stále ještě mám, svoje důvody.
Co by mne však opravdu potěšilo, by bylo, kdyby výrobci jednotlivých anti-malware řešení jasně zákazníkům řekli jak jejich systém pracuje a co vše je schopen zachytit. Aby si mohli snadno navrhnout celkovou koncepci systému. Běžně se totiž stává, že člověk zjistí naprosto zásadní věci, zpravidla o ne-funkčnosti nějakého řešení, až při průseru a i tehdy nezná podstatné parametry a tedy i to zda se může problém opakovat, nebo ne...
AV firmy už ani nijak zvlášť efektivně nekomunikují se zákazníky. Stejně, nebo velmi podobně, jsou na tom ale i všechny ostatní, na trhu uspěšné, SW firmy. Dnes už je často k dispozici jen support podobný tomu jakému jsme se dříve smáli u nadnárodních korporací...
Pochopil jsem to jako obecnou deklaraci, že existují nějaké pro AV neznámé/nedetekované problémy v PDF. Ok, asi jsem to pochopil špatně, prostě některé produkty je nedetekují, což není překvapující. Navíc, ochrana je dneska vícevrstevná, takže nechycení jedné vrstvy nemusí znamenat, že celý řetězec projde - což je případ jak těch PDF, tak třeba autorun skriptů. Lepší je chytit obě věci, ale leckdy může stačit jen jedna.
Ke zbytku nemá moc smysl se vyjadřovat, pro běžného frantu je vždy nějaké AV lepší než žádné AV.
Záleží jak který exploit. Uvedený příklad s kalkulačkou, může/mohla být multiplatformní záležitost. Rozuměj tomu tak, že lze vložit i příkazy Unixu či pro Mac. Dokumenty PDF, které v sobě nesou (jako přílohu) škodlivý soubor spustitelný pod Windows asi pod Unixem/Linuxem mnoho škody nenapáchá.
Zda dokáže PDF detekovat platformu na které běží prohlížeč PDF dokumentů, záleží pravděpodobně spíše na vlastním prohlížeči... Jako, konec konců, i to zda příkaz bude vůbec vykonán!
Zda formát dokumentu PDF s podobnou detekcí počítá/počítal opravdu netuším.
/F
/DOS (C:\\\\WINDOWS\\\\system32\\\\calc.exe)
/Unix (/usr/bin/xcalc)
/Mac (/Applications/Calculator.app)
Jak je vidět, tak tahle myšlenka je ocenitelná hlavně hackery.
Já prostě nevím, proč když tam nějaký IT-šmudla musel přidávat spouštění další aplikací, proč není možnost alespoň používat verzi, kde by to z principu nebylo možné.
Pár začínajících kodérů, které je pro Adobe ekonomicky výhodné zaměstnat, něco špatně naprogramuje a stovky lidí teď budou vymýšlet a zdokonalovat antivirové programy, aby přišli na to, jak z vnějšku zjistit, na co tihle hlupáci mohli při programování zapomenout.
Za prvé. O Avastu jsem neřekl ani popel, nemám ho totiž rád a nepoužívám ho.
Za druhé. Nesnažil jsem se vám dodat v článku zmíněný PDF soubor, snažil jsem se vás nasměrovat na stránky kde se lidé podobnou problematikou zabývají. Soubor jsem dodal jen mimochodem, aby se mohli ostatní čtenáři Lupy, u kterých jsem nepředpokládal že půjdou do hloubky článků (odkaz za odkazem) podívat.
Osobně pro on-demand hledání podobných věcí (prohledávání datových souborů) využívám engine (který si poradí i s kdejakým formátem a kompresí) a databázi Clam-u. Přesto bych si nedovolil, a to uvádím jako za třetí, vyslovit závěr, že nedetekování podobných věcí (zejména on-line antiviry) je automaticky chyba. Tyto věci, už z principu, mají být v režii tvůrců aplikací/čteček těchto dat.
Uvedený "skript" není závadný, i když jde o cosi jako "exploit". Jenže, podobné věci se rojí jako na běžícím pásu. Může jít o obrázky, hudební soubor, nestandardní příkaz serveru, alternativný datový stream (třeba jen jakousi poznámku),... prostě cokoli. Čitelného třeba jen jednou aplikací z tisíce.
Například MS Security Essentials nedetekuje ani většinu "exploitů" Autorun hrozeb. Přinejmenším ty, které volají nějaký spustitelný soubor, který teprve bývá vlastní hrozbou. Většina ostatních antivirů přitom tyto Autorun-y označuje za viry i tehdy když vlastní virus (soubor) není v počítači vůbec přítomen. Záleží na celkové "strategii" a přístupu. Například Clam zase označuje za PUA jakýkoliv zapakovaný JavaScript... což mi vadí více než kdyby šlo o opravdu nebezpečný JS.
Podle mne není spolehlivý žádný anti-malware SW, antivirus už vůbec ne. To je můj přístup k problematice. Neočekávám proto záruku spolehlivosti a nejsem ani ochoten platit tvůrcům podobných aplikací (i když licence na ESET mi stále ještě platí).
Když bude kdokoli chtít tak vytvoří, na koleně, klasický škodlivý skript/dávku která antivirus ponechá naprosto v klidu, i tehdy když by měl být spuštěn s právy správce (pravda je, že nebude spolehlivě vykonán na každém PC - každý systém je jiný). O modifikacích registrů také radši nefilozofovat.
Metody dnešních ochran jsou nespolehlivé, nebo obtěžující. Tvůrci těchto aplikací ani nezvládají (i po několika letech) řádně integrovat své produkty do systému. Proto radši spolehnu na virtualizaci (jak procesů kterou dělá systém, tak v případě potřeby pomocí externí aplikace), zdravý rozum (nejen v tom co spouštím, ale i jak co používám a co očekávám) a štěstí...
Zní to možná dramaticky, ale opak je pravdou. Přiliš se bezpečností nezabývám, spoléhám na jednoduchost a zálohu. Například, pokud v mých očích Adobe dlouhodobě nezvládne vytvářet svůj SW, tak buďto přestanu PDF formát používat úplně, nebo ho budu užívat jen v omezené (nejprimitivnější) formě s aplikací jiného tvůrce. Tento formát nepovažuji za žádný zázrak a klidně ho oželím. Osobně, když nemusím, nikdy nepředávám data v dokumentu PDF.
Nerikam, ze to je spravne, ale puvodni myslenka byla nejspis nasledujici. Podobne jako ve Windowsi napovede se nekdy hodi, kdyz v PDF kliknete na nejaky odkaz a bud se otevre jiny dokument na spravne strance nebo se nekde ve Windows spusti nejaka aplikace s nejakym dialogovym oknem, o kterem se prave ve Vasem PDF pise. Kdyz jsem zjistil, ze PDF uz neni pouze vhodne zkonvertovany postscript, ale i neco navic, tak jsem se take dost leknul.
U sebe na počítači jsem již nic nenašel (bohužel již ani odkazy), ale vzpoměl jsem si, že k některým tipům jsem se dostal skrze Bezpečnostní střípky (Root.cz). Doporučuji následující články, a v nich pak vyhledat slovo "PDF".
Bezpečnostní střípky
9.3.2009 Nové vydání Computer Security Handbook
12.4.2010 Je vaším cílem kariéra v oblasti bezpečnosti?
26.7.2010 Jakou zvolit cestu k odpovědnému rozkrývání zranitelností?
Články jsou plné dalších odkazů, nepřehlédněte Escape From PDF hack (ukázka zmíněného calc.exe), zde lze získat ukázkový PDF který se pokusí spustit CMD.EXE.
Když si pročtete i diskuse brzy bude te mít informací a dalších studijních zdrojů až nad hlavu...
Máte pravdu, ale Foxit Reader nebyl zdaleka jediný. Zabýval jsem se tehdy, v článku zmíněnou úpravou PDF. Bohužel tato úprava není jediná, existuje jich docela dost, stačí zabrouzdat po nejakých hackerských webech. Poté stačí jen vložit do těla PDF-ka skript či příkaz, ani nemusí jít o spustitelný soubor...
Nejlepší (rozuměj nejhorší) na tom všem je, že antimalware SW se vůbec podobnými chybami dokumentů nezabývá. Makra v dokumentech Office se také vracejí na výsluní.
Co se týká třeba zmíněné chyby PDF tak jsem, už kdysi dávno, zaslal specifikaci chyby i vzorový PDF soubor ESETu - nereagovali. Podobně MS Security Essentials. Nezbývá nám, než doufat že alespoň skenují vnořené přílohy na malware a doufat že Adobe udělal dobře SandBox u Adobe Readeru. Je to také důvod proč dnes již jiný SW než Adobe nepoužívám a to ještě vypínám Java Script.
Poznámka: Na systémech Windows Vista/7 se také doporučuje zapnout DEP/ASLR/SEHOP. Kdo nemůže, například kvůli nekompatibilnímu SW, povolit SEHOP pro všechny aplikace ať použije řízené zabezpečení (jen pro určené aplikace). K tomu slouží nástroj MS Enhanced Mitigation Experience Toolkit v2.0. V tomto nástroji ať povolí ochranu minimálně pro Internet Explorer a Adobe Reader.