Кто нибудь смотрел winpcap для висты x64?
Там через драйвер все сделано как и раньше? И подписан ли этот дайвер? Если подписан (а я могу предположить что такое возможно ), то ведь получается такая логическая бомба — компания выпускает подписанная софт, который делает дырку в безопасности. И таким образом по сути ломается сама цель требования подписи. Забавно, если все таки драйвер подписан.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Кто нибудь смотрел winpcap для висты x64? AWW>Там через драйвер все сделано как и раньше? И подписан ли этот дайвер? Если подписан (а я могу предположить что такое возможно ), то ведь получается такая логическая бомба — компания выпускает подписанная софт, который делает дырку в безопасности. И таким образом по сути ломается сама цель требования подписи. Забавно, если все таки драйвер подписан.
Ну если в ченж логах значится
Enabled PreFAST driver compilation for the x64 build.
то можно сделать вывод что все через свой драйвер, а не через WFP.
Про подпись — вероятность 1 прцоент.
Здравствуйте, IceStudent, Вы писали:
IS>Здравствуйте, Denwer, Вы писали:
D>>Про подпись — вероятность 1 прцоент. IS>Подписан: CACE TECHNOLOGIES, LLC, с мая 07 по май 08.
Вот те раз, и не подумаешь.
Re: Кто смотрел winpcap для висты x64?
От:
Аноним
Дата:
20.01.08 21:49
Оценка:
AWW>Там через драйвер все сделано как и раньше? И подписан ли этот дайвер? Если подписан (а я могу предположить что такое возможно ), то ведь получается такая логическая бомба — компания выпускает подписанная софт, который делает дырку в безопасности. И таким образом по сути ломается сама цель требования подписи.
Какая дырка? Local elevation vulnerability? нет. Remote exploitation? Нет. Premium HD content stealing? Нет. Дык в чем проблема? Локальный фтп сервер тоже дырка, если его неправильно юзать.
Здравствуйте, Denwer, Вы писали:
D>Вот те раз, и не подумаешь.
Я же говорил, полный дурдом. У них там в МС, одна рука неведает что вторит другая. Одни пробивают обязательства подписи в ядре, другая выдают эти подписи всем кому попало. Смешно.
Здравствуйте, Аноним, Вы писали:
AWW>>Там через драйвер все сделано как и раньше? И подписан ли этот дайвер? Если подписан (а я могу предположить что такое возможно ), то ведь получается такая логическая бомба — компания выпускает подписанная софт, который делает дырку в безопасности. И таким образом по сути ломается сама цель требования подписи.
А>Какая дырка? Local elevation vulnerability? нет. Remote exploitation? Нет. Premium HD content stealing? Нет. Дык в чем проблема? Локальный фтп сервер тоже дырка, если его неправильно юзать.
От бублика... winpcap, это не дырка, а дырень.
Не все кто уехал, предал Россию.
Re[3]: Кто смотрел winpcap для висты x64?
От:
Аноним
Дата:
21.01.08 08:12
Оценка:
А>>Какая дырка? Local elevation vulnerability? нет. Remote exploitation? Нет. Premium HD content stealing? Нет. Дык в чем проблема? Локальный фтп сервер тоже дырка, если его неправильно юзать. AWW>От бублика... winpcap, это не дырка, а дырень.
Здравствуйте, Аноним, Вы писали:
А>>>Какая дырка?
AWW>>От бублика... winpcap, это не дырка, а дырень.
А>Очень интересный аргумент.
Что-то не понятно, извините. Ознакомьтесь с продуктом и освойте компьютерную безопасность. Тогда ненужны будут даже такие аргументы.
Не все кто уехал, предал Россию.
Re[5]: Кто смотрел winpcap для висты x64?
От:
Аноним
Дата:
21.01.08 09:07
Оценка:
AWW>Что-то не понятно, извините. Ознакомьтесь с продуктом и освойте компьютерную безопасность. Тогда ненужны будут даже такие аргументы.
Я с ним ознакомлен и очень часто юзал, в т.ч. и для "хороших" и для "плохих" целей. Я прекрасно понимаю о чем вы говорите — что он предоставляет функционал, который ограничен в ядре — возможность прослушки и генерации трафика на низком уровне. Но это такое же нарушение политики безопасности как открытие 21го порта и предоставление доступа к файлам third-party ftp сервером. В конце то концов виста должна предоставлять низкоуровневый доступ к сетевым интерфейсам — для создания NAT, виртуальных сетевух типа vmware и тп. Просто драйвер winpcap очень распространен вследствие своей бесплатности и открытости. А ваша позиция запретить широко распространенный драйвер, оставив другие, не настоллько распространенные (са объяснение про NAT) это просто завуалированная позиция security by obscurity.
Здравствуйте, Аноним, Вы писали:
AWW>>Что-то не понятно, извините. Ознакомьтесь с продуктом и освойте компьютерную безопасность. Тогда ненужны будут даже такие аргументы.
А>Я с ним ознакомлен и очень часто юзал, в т.ч. и для "хороших" и для "плохих" целей. Я прекрасно понимаю о чем вы говорите — что он предоставляет функционал, который ограничен в ядре — возможность прослушки и генерации трафика на низком уровне.
Отлично. Тогда вы должны понимать, что есть функционал доступный для рута, а есть для пользователя. И если функционал не имеет секюрити релэйтед ристикций, то это дыра.
А> Но это такое же нарушение политики безопасности как открытие 21го порта и предоставление доступа к файлам third-party ftp сервером.
Нет. Для того чтобы фтп стал дырой он должен быть не верно настроен. А winpcap всегда дыра, он как бы всегда не верно настроен.
А>В конце то концов виста должна предоставлять низкоуровневый доступ к сетевым интерфейсам — для создания NAT, виртуальных сетевух типа vmware и тп.
Подумайте — вот есть задача накормить человека. Можно дать ему расфасованное мясо в супермаркете, неразделанную тушу и острый нож с топором, или вообще патроны и ружье, пусть идет в лес и завалит лося.
А> Просто драйвер winpcap очень распространен вследствие своей бесплатности и открытости. А ваша позиция запретить широко распространенный драйвер, оставив другие, не настоллько распространенные (са объяснение про NAT) это просто завуалированная позиция security by obscurity.
winpcap, это по сути инструментальное средство, а не для народного хазяйства. Если бы он не имел подписи, то каким бы идиотом бы не был пользователь, его бы установить не удалось. А так по сути все. Весь эфект от обязательной подписи дров, пошел псу под хвост. Ведь зачем лезли в ядро, да как раз вот за этой функциональностью. А так — бамс, и все и тек есть.
Не все кто уехал, предал Россию.
Re[7]: Кто смотрел winpcap для висты x64?
От:
Аноним
Дата:
21.01.08 09:43
Оценка:
А>>Я с ним ознакомлен и очень часто юзал, в т.ч. и для "хороших" и для "плохих" целей. Я прекрасно понимаю о чем вы говорите — что он предоставляет функционал, который ограничен в ядре — возможность прослушки и генерации трафика на низком уровне. AWW>Отлично. Тогда вы должны понимать, что есть функционал доступный для рута, а есть для пользователя. И если функционал не имеет секюрити релэйтед ристикций, то это дыра.
Гмы. А вы пробовали юзать winpcap не из под админа?
Тут даже недавно проскакивала ветка что дескать "вой-вой-вой бяда — под вистой надо через run as admin апликуху запускать чтоб winpcap заюзать"
А>> Но это такое же нарушение политики безопасности как открытие 21го порта и предоставление доступа к файлам third-party ftp сервером. AWW>Нет. Для того чтобы фтп стал дырой он должен быть не верно настроен. А winpcap всегда дыра, он как бы всегда не верно настроен.
Да нет. чтобы WinPCap стал дырой, его надо не верно заюзать. Сам по себе он никакая не дыра
А>> Просто драйвер winpcap очень распространен вследствие своей бесплатности и открытости. А ваша позиция запретить широко распространенный драйвер, оставив другие, не настоллько распространенные (са объяснение про NAT) это просто завуалированная позиция security by obscurity. AWW>winpcap, это по сути инструментальное средство, а не для народного хазяйства. Если бы он не имел подписи, то каким бы идиотом бы не был пользователь, его бы установить не удалось. А так по сути все. Весь эфект от обязательной подписи дров, пошел псу под хвост. Ведь зачем лезли в ядро, да как раз вот за этой функциональностью. А так — бамс, и все и тек есть.
Я скажу по секрету свои измышления — вся эта обязательная подпись MS'у нужна не для защиты винды от спайваров и троянов, а для DRM. Спайвар, он знаете ли сможет просто запустить BCDEDIT и исправить конфиг загрузки так чтоб неподписанные дрова можно грузить.
Здравствуйте, Аноним, Вы писали:
А>Гмы. А вы пробовали юзать winpcap не из под админа?
Пробовал. Вы зря утверждаете, что это не возможно. Проверьте или приведите место в коде где проверяется безопасность.
А>Тут даже недавно проскакивала ветка что дескать "вой-вой-вой бяда — под вистой надо через run as admin апликуху запускать чтоб winpcap заюзать"
И что? Вот если бы мне было лень вам отвечать то другие анонимы, ссылались это это сообщение — что вот мол ... низя.
А>>> Но это такое же нарушение политики безопасности как открытие 21го порта и предоставление доступа к файлам third-party ftp сервером. AWW>>Нет. Для того чтобы фтп стал дырой он должен быть не верно настроен. А winpcap всегда дыра, он как бы всегда не верно настроен. А>Да нет. чтобы WinPCap стал дырой, его надо не верно заюзать. Сам по себе он никакая не дыра
Как это не верно юзать... Что мне уже весело становится. То есть, троян сливающий инфу через эту дыру, это типа "не верно заюзать"?
А>Я скажу по секрету свои измышления — вся эта обязательная подпись MS'у нужна не для защиты винды от спайваров и троянов, а для DRM. Спайвар, он знаете ли сможет просто запустить BCDEDIT и исправить конфиг загрузки так чтоб неподписанные дрова можно грузить.
Да что вы!? Нет конечно, неполучится. ничего в x64, полный облом бутет.
Не все кто уехал, предал Россию.
Re[9]: Кто смотрел winpcap для висты x64?
От:
Аноним
Дата:
21.01.08 10:57
Оценка:
А>>Гмы. А вы пробовали юзать winpcap не из под админа? AWW>Пробовал. Вы зря утверждаете, что это не возможно. Проверьте или приведите место в коде где проверяется безопасность.
Ну если так тогда согласен что дыра.
А>>Я скажу по секрету свои измышления — вся эта обязательная подпись MS'у нужна не для защиты винды от спайваров и троянов, а для DRM. Спайвар, он знаете ли сможет просто запустить BCDEDIT и исправить конфиг загрузки так чтоб неподписанные дрова можно грузить. AWW>Да что вы!? Нет конечно, неполучится. ничего в x64, полный облом бутет.
see http://www.vistax64.com/vista-hardware-devices/43373-permantely-disable-vista-64-bit-diver-signature-check.html
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>winpcap, это по сути инструментальное средство, а не для народного хазяйства. Если бы он не имел подписи, то каким бы идиотом бы не был пользователь, его бы установить не удалось. А так по сути все. Весь эфект от обязательной подписи дров, пошел псу под хвост. Ведь зачем лезли в ядро, да как раз вот за этой функциональностью. А так — бамс, и все и тек есть.
Давайте по порядку:
1. Чтобы установить этот драйвер нужны права рута, так что идиот пользователь не установит (а значит с security всё ок)
2. Если драйвер устанавливается, значит это кому-то нужно (какому-либо приложению), по умолчанию он не поставляется, следовательно дыры нет. Не нравится — не ставьте, какие проблемы.
3. Даже если с драйвером можно было работать только с правами рута, это ничего не меняло бы. Раз ставили драйвер (права при установке были), ничто не мешало ещё и сервис поставить, которому прав уже хватит чтоб с драйвером общаться, а программа простого юзера уже будет общаться с сервисом.
4. Имхо, все эти подписи дров ради DRM, а прикрываются под маской повышения security. Важно понимать, что решать что грузить, а что нет имеет право администратор системы, но никак не microsoft, тем более что всё по принципу "AS IS", т.е. вина за любые последствия целиком на пользователе/администраторе. Ну это уже оффтопик.
5. А зачем в ядро лезут всякие klif.sys и прочие драйвера фаерволов, антивирусов и т.д. ? они тоже кстати подписаны. им значит можно, в чём тогда проблема ?
важно понимать, что драйвер всего лишь средство, такое же как широко распространенный кухонный нож. И то что нож можно использовать не по непосредственному назначению (например как орудие убийства) ещё не привело к тотальному запрету ножей. Отвественность за использование лежит опять таки на пользователе, в чём проблема ?
А>5. А зачем в ядро лезут всякие klif.sys и прочие драйвера фаерволов, антивирусов и т.д. ? они тоже кстати подписаны. им значит можно, в чём тогда проблема ?
Вот тут и понятно зачем нужна цифровая подпись и зачем она не нужна. Цифровые подписи нужны только ( я вопрос с DRM оставлю в стороне — это отдельный разговор ) для борьбы с руткитами. Если смотреть на проблему под таким углом — все становится более менее ясным. Писателю руткита довольно проблематично получить цифровую подпись и даже если он ее получит, она может быть отозвана. Таким образом MS борется с угрозами их собственной системе безопасности — т.е самому ядру, предоставляющему разграничение привилегий и набору драйверов. Я думаю MS ср...ть хотела на проблемы пользователей, возникающих из-за софта, предоставленного третьими фирмами — в конце концов, это проблемы самих пользователей и этих фирм. Если же трояны начнут использовать подписанный драйвер winpcap — я думаю, он довольно быстро лишится своей подписи и разработчики будут вынуждены решать проблемы безопасности. Так что IMHO все заняли места согласно купленных билетов
), то ведь получается такая логическая бомба — компания выпускает подписанная софт, который делает дырку в безопасности. И таким образом по сути ломается сама цель требования подписи. Забавно, если все таки драйвер подписан. 
