Máte pravdu, i Windows mají spoustu bezpečnostních opatření v základu. Jenže nikdo není zvyklý je používat. A když něco nejde, tak šup, nastavíme Full Access pro Everyone, ať to funguje ihned bez zjišťování příčiny.
Ale toto se děje i na druhé straně. Nějaký problém s Joomlou nebo Wordpress? Šup, dáme všemu 777, psali to přece někde na diskusi.
V článku je trochu divná anketa. Viry během roku potkal snad každý, ale potkání viru neznamená ještě zavirování počítače. Dokonce ani aktivace viru ještě nutně neznamená zavirování počítače.
Loni jsem pár nedetekovaných virů a pár falešných poplachů hlásil. Vím o pár chybách programů, které jsou celkem snadno zneužitelné (skrze dokumenty), chyby dobře dokumentované "nadšenci" z celého světa a přesto se jimi žádný antivirus nezabývá... přesto si myslím, že situace není tak děsivá.
Ochrana je v pravděpodobně jen softwarová. Ovladač si přečte zda je aktivována či ne. Jako dříve u disket. Já mám doma hned několik zařízení kterým je úplně jedno jak máte ochranu na SD nastavenou, vždy mají právo zapisovat.
Opravdová, fyzická ochrana je to co mi na SD kartách schází. Nikdy jsem nestudoval co který PIN na SD kartě znamená, ale předpokládám, že když jich je tam tolik tak chránit SD kartu před zápisem, fyzicky rozpojením kontaktu, by bylo možné.
Jestli to funguje jak si myslim => posilaji privatni cast, tak celkem nic, jen ze vasim jmenem muze vystupovat naprosto kdokoli a neexistuje zpusob, jak by ste to mohl napadnout. Jiste ste podepsal, ze certifikat budete drzet na bezpecnem miste.
BTW: Ja onehda prisel do banky, a tuse potize sem se vybavil disketou (presne podle jejich navodu), protoze s CD/DVD/USB/... neumeli pracovat.
Rekneme, ze potrebuju cist a psat na USB na ruznych pocitacich. Pak cizi pocitace (zavirovane) klidne muzou zapsat ten autorun a muj pocitac musim tedy zajistit hned po instalaci tak, abych nemohl spoustet autorun. Dal ale muzu byt prenasec. Mam si tedy na vsech USB udelat adresar autorun.inf jako protivirovou ochranu?
To mi teda prijde jako pekna pakarna. Co kdyby se s timhle adresarem uz USB prodavaly a mely na sobe nalepku Windows security certified ?
Kdyz to probiram ze vsech stran, tak mi vychazi, ze win maji zasadni bezpecnostni chybu.
Je pravdou , že ten článek mi sem trošku nesedí... No co naplat.. Buďme rádi , že se alespoň nekdo snaží psát.
Problém s Autorunem je naštestí už problém tak akorát domácích uživatelů.
Dovolím si tvrdit, že v podnikové sféře už to moc problémů neudělá..
Autorun mám ve všech doménách už skoro 3 roky zakázaný přes domain policy a když k tomu přidáme správně nastavený anitivir tak je z toho tak akorát položka v logu o odstranění infekce...
„postačí jediné připojení USB klíčenky k sousedovu zavirovanému počítači a virus už je jen krůček od toho, aby se pak zabydlel i ve vašem systému. “
Jasně, přinesu si od souseda flashdisk, připojím, koukám: jé, hele, tady přibyla nějaká binárka, zkusím ji spustit (mimo sandbox), schválně, co to udělá!
„rozšířených domácích WiFi sítích bez skrytého SSID“
…a pak objevili Kismet.
Jendo a X, ten návrh s ochranou byl obecný. Nepochopil jsem přesně čeho chtěl autor původního příspěvku (vlákna) dosáhnout.
Může také vyřadit Autorun, může zabránit připojení veškerých USB zařízení,... možností je hodně a způsobů provedení také (od jednoduché změny politiky systému až po speciální drivery či speciální SW. Já dávám přednost jednoduchým systémovým řešením.
To, že tu ochranu lze obejít když máte externí USB úložiště v ruce a k dispozici vlastní systém je bez debat.
Pokud řešíte, že zavirovaný počítač může ochranu spouštění AutoRun vypnout a následně ho nahradit zavirovanou verzí, tak může.
Musím ale říct, že jinak se na situaci díváte z naprosto nesmyslného úhlu pohledu. Nebo mi uniká pointa, možná nepochopením prvotního příspěvku.
Pokud se náhodou nejste ochotni spolehnout ani na služby vlastního systému tak si "tu vaši flešku" strčte do kapsy a zašijte. Zaručeňe tak nedojde k jejímu zneužití a pravděpodobně se jí nic nestane, přinejmenším do prvniho praní...
P.S. Osobně tedy vůbec necítím potřebu AutoRun vyřadit z provozu, podle mne jde o značně nafouknutou bublinu. Daleko větší problém se dnes týká zneužití dokumentů pro Office a Adobe. Navíc, antiviry se těmito hrozbami vůbec nezabývají.
Co takhle flashdisk:
PQI U339 Pro
a spol.
http://www.pqigroup.com/product.asp?cate1=2
„Z článku není jasné jak to funguje. Předpokládám, že se v systému zavede driver který zabrání zápisu.“
Nevím, měl jsem prehistorický flashdisk (nějaký Corsair 64 MB), který měl přepínač, který hardwarově zápisu zabránil. Takže technologicky to není problém.
Ale na flashdisk občas potřebujete zapisovat i na cizím počítači. Takže co vyřešit problém hned u kořene: nespouštět kód z flashdisku, který jsem předtím měl v cizím počítači?
Opravdu to byla HW ochrana? Nefungoval zmíněný přípínač jen jako signální bit, který říká ovladači který obhospodařuje dané USB zařízení, zda má povolit zápis?
Zkoušel jste toto zařízení zprovoznit například v některém video/audio zařízení? Například audio systémy USB/SD často ignorují i ochranu před zápisem na SD kartách, většinou ale nepracují s SDHC a s Flash/HDD pracují jen do 40GB.
Nastavení nějakých NTFS práv na flashce není řešení v tom, že ty práva mohou být v cizím počítači ignorovány. Pokud strčíte flashdisk do zavirovaných windows, tak ten virus může práva snadno přenastavit a nakopírovat si tam, co chce. Pokud strčíte flashdisk do počítače s jiným OS, tak NTFS ovladač v tom jiném OS nemusí NTFS práva respektovat.
Čili zavirovat flashdisk chráněný NTFS právy v zásadě není problém.
Vy píšete, že se spoléháte na služby vlastního systému - ale to není pravda - vy se ve skutečnosti spoléháte na to, že ostatní mají stejný OS jaky vy (stejný výrobce a stejně nezavirovaný). Což je pochopitelně špatně.
Já naopak zase cítím velmi silnou potřebu vypínat autorun - zejména u médií jako je flashdisk. Filosoficky nechápu, proč bych měl automaticky spouštět kód, který je na cizím médiu k dispozici a který může být (a často je) škodlivý.
Vám přijde, že jde o značně nafouklou bublinu? Mě tedy přijde, že vůbec ne. Viry se tak šíří často - a spousta lidí si to hlavně neuvědomuje, takže to neřeší. Že se nemá spouštět neznámé exe stažené z internetu dneska už většina lidí ví. Ale že strčit si do standardně nastavených windows flashdisk může být zcela totéž - to si uvědomuje málokdo.
Ano - problém se zranitelnostmi v dokumentech - určitě existuje a určitě je přehlížen. Ale ignorovat kvůli tomu značné riziko z flashdisků - tomu nerozumím.
Z článku není jasné jak to funguje. Předpokládám, že se v systému zavede driver který zabrání zápisu. U USB by tam musel být přidán ještě jeden vlastní řadič, který by šel přepnout do režimu jen pro čtení.
Mne však více zajímá ochrana SD karet. Když ji strčím do cizího zařízení, chci ji mít chráněnou. Každá SD karta má vlstní řadič, takže takhle by to také mohlo fungovat (nemusel by se rozpojovat kontakt).
S Flesh Stick mám totiž špatné zkušenosti. Když si v Česku koupíte SDHC kartu a Flash Stick od jednoho výrobce, stejné (maximální dostupné) kapacity, se stejným datumem výroby tak při stejné ceně bude SDHC minimálně o generaci novější, tedy i rychlejší a spolehlivější.
To bych spíše ocenil ochranu USB 2,5 inch přenosných HDD.
Antivirove firmy se asi brzo budou potykat s financnimi problemi ... je spousta FREE antiviru a jestli da MS svuj MSE jako "doporucenou aktualizaci", tak to bude konec pro ostatni AVsotfy.
Jen je stale zarazejici, jak vyrobci PC a notebooku to stale skousi a predinstalovavaji ty zkusebni verze AVsoftu...
No, to už je poněkud moc paranoidní: vir nemá právo na přímý zápis na fleshku - k tomu musí využívat služby OS => nemá možnost na Win NTFS práva obejít (s výjimkou uživatele, který je přihlášen jako admin a buďto má XP, nebo vypnuté UAC).
Představa, že by vir měl zapisovat na fleshku v ne-MS OS, aby se ve Win spustil autorun, je úsměvná: abyste si zjednodušil zápis na NTFS, chcete se nabourat do non-MS OS; jinými slovy: abych si usnadnil infikování systému A, budu hledat cestu, jak infikovat systém B... :)
A to pomíjím to, že takový životní cyklus je příliš složitý na to, aby měl vir šanci na epidemii.
Většina normálních lidí... a zvláště pak my se špatnými zkušenostmi, zbytečně nepřipojujeme NTFS svazky pod Linuxem.
Rozhodně bysme dobrovolně nedovolili připojit kdejakému šílenci, s libovolným systémem (bez znalosti systému už vůbec), naši flešku do jeho systému ;-)
Asi bychom se mohli shodnout :)
Jen si nejsem jist s tím rozšířením XP - hodně jich je v podnikové sféře, ale ty bývají slušně administrované = bezpečné; hodně jich je v Číně, ale odtud si fleshku přinese málokdo. Jaký je poměr XP na domácích počítačích u nás si netroufám odhadnout.
USB jsou svinstvo, jeste ze se musi bat pouze uzivatele jedne platformy. Zajimave by bylo, kdyby nekdo zvladl virus, ktery umi pri nacitani v pocitaci upravit trebas kartu do fotaku tak, ze by po vlozeni do pristroje nejak poskodila i tento hardware. Je to sice malo realne, ale co kdyby ;-)
Mohl byste spolehnout na souborový systém NTFS a vestavěnou ochranu systému. Můžete jednak nastavit práva tak aby Autorun.inf nešel měnit, nebo ani spouštet.
Také existuje, u systémů Vista a 7, bit (attribut), který může celý disk nastavit třeba jen pro čtení
DISKPART
Help Attributes Volume
Help Attributes Disk
Bohuzel (sem pro trest smrti za toto), prectete si napr dokumentaci k vBulletinu, na kazdym druhym miste kde je neco o pravech k souborum vam napisou, ze mate nastavit 777. Fakt dementi. Obdobne to "funguje" u spousty ruznych aplikaci, specielne tech webovych. Aneb proc vymejslet minimalni nutna prava kdyz se vsema to funguje. A ne nemluvim o diskusnich forech ale o oficialni dokumentaci :/ .
Jendo a X, ten návrh s ochranou byl obecný. Nepochopil jsem přesně čeho chtěl autor původního příspěvku (vlákna) dosáhnout.
Může také vyřadit Autorun, může zabránit připojení veškerých USB zařízení,... možností je hodně a způsobů provedení také (od jednoduché změny politiky systému až po speciální drivery či speciální SW. Já dávám přednost jednoduchým systémovým řešením.
To, že tu ochranu lze obejít když máte externí USB úložiště v ruce a k dispozici vlastní systém je bez debat.
Pokud řešíte, že zavirovaný počítač může ochranu spouštění AutoRun vypnout a následně ho nahradit zavirovanou verzí, tak může.
Musím ale říct, že jinak se na situaci díváte z naprosto nesmyslného úhlu pohledu. Nebo mi uniká pointa, možná nepochopením prvotního příspěvku.
Pokud se náhodou nejste ochotni spolehnout ani na služby vlastního systému tak si "tu vaši flešku" strčte do kapsy a zašijte. Zaručeňe tak nedojde k jejímu zneužití a pravděpodobně se jí nic nestane, přinejmenším do prvniho praní...
s výjimkou uživatele, který je přihlášen jako admin a buďto má XP, nebo vypnuté UAC
No ale tahle "výjimka" se týká značné části uživatelů. XP jsou pořád značně rozšířený OS a domácí uživatelé jsou admini ve valné většině případů. Pokud mají Visty/7, tak vypnuté UAC je taktéž poměrně častá věc. Uvědomte si, že stačí jedna aplikace, která vypnutí UAC vyžaduje, nebo je pro ní vypnutí UAC nejsnazší způsob, jak ji rozchodit a mnoho domácích uživatelů UAC vypne a už nezapne. Takovou aplikací může být nějaká stará aplikace, která běžně požaduje admin práva a vznikla před vydáním Vist - typicky starší hra - přesně aplikace, která se na domácích počítačích často vyskytuje.
A když se nad tím zamyslíme selským rozumem: Nezavirované windowsy mi flashku nenakazí (takže je nemusím řešit). Zavirované windowsy jsou to, čeho se bojím, co mi může nakazit flashku. Admin práva a vypnuté UAC (u OS, které je mají) - to je polovina úspěchu při průniku viru - takže takový počítač bude častěji zavirován. Čili u počítačů, které jsou zavirovány s menší pravděpodobností ochrana přes NTFS práva funguje, ale u počítačů, které jsou zavirované s větší pravděpodobností vůbec nefunguje. Má smysl se na takovou ochranu spoléhat?
Není pro XP potřeba jezdit do Číny. XP má pořád silné místo v korporátní sféře - a tam máte pravdu, že jsou obvykle dobře administrované, čili bezpečné. Ale XP má silné místo i v malých firmičkách (které se způsobem IT provozu podobají domácnostem - co napíšu o těch malých firmách víceméně platí i o domácnostech). Čili na počítači je většinou takový OS, jaký tam jako OEM předinstaloval výrobce. Čili všechno před rokem 2007/2008 (čili spousta počítačů) je s WinXP.
Navíc Visty byly první rok až dva po uvedení problematické, takže se často downgradovaly na XP, čili dost počítačů z let 2007-2008 má taky XPčka.
Problematické byly v tom, že by hodně HW náročné na tehdejší dobu, že na nich nefungovaly (a někdy stále nefungují) některé starší programy a že pro ně nebyly (a většinou stále nejsou) ovladače pro spoustu stále používaného staršího HW.
A v těch malých firmách jsou počítače většinou administrovány velmi špatně (buď se o to stará každý sám, nebo to dělá navíc ke své práci ten nejvíce IT gramotný člen týmu) - čili tyhle počítače vůbec bezpečné nebývají. O UAC na Vistách a W7 v malých firmách většinou platí to, co jsem psal v minulém příspěvku - pokud s tím byl jednou jeden problém, tak je to vypnuté.
Takže rizika v podobě XP (a Vist/7 s vypnutým UAC) je pořád spousta.
Ehm, ntfs a prava ? Myslite tu srandu kterou si muze kdokoli kdykoli prepsat jak portebuje ? Ja si teda napriklad v tucnakovi bez potizi prectu (a samo zapisu) vsechny nezasifrovane adresare, naprosto bez ohledu na nastaveni prav, protoze tucnak na ntfs prava kasle. Ostatne, v pripade mountu ext2/3 do win to funguje uplne stejne.
Trochu mě překvapuje, že není ani zmíněna základní ochrana proti autorun virům - vypnutí autorunu. Přitom zrovna u USB zařízení mi to přijde jako zcela bezpečné a neomezující opatření - tam má autorun smysl akorát u *cizích* počítačů, a o ty se stará *jejich* majitel...
Pokud jde o životnost flashek, řekl bych, že je *přeceňována*, ne podceňována. Podle dalšího textu si to autor myslí také - prosím, opravit.