Comments 12
Почему-то в голову сразу приходит уязвимость по коллизиям контрольных сумм файлов (проверка-то по ним?). Интересно, насколько с этой стороны защищено.
Ну и сценарий: на один IP (в одну сеть) сначала отдаётся хороший файл, который проходит сканирование. Затем идёт зловредная коллизия. Несмотря на кажущуюся маловероятность метода пример с коллизиями сертификатов доказывает, что в принципе, это не фантастика.
если мы не боимся использовать хэш-функции для цифровых подписей (где если не доверять надежности хеш-функций, то можно вообще забыть про цифровые подписи), то почему бояться их использовать в данном случае?
согласен, вероятность коллизии есть, но она больше похожа на теоретическую, а не практическую.
согласен, вероятность коллизии есть, но она больше похожа на теоретическую, а не практическую.
забыл сказать, да, сверяем по контрольным суммам
Для этого нужно уметь изготавливать файл с определенным содержимым так, чтобы его хэш оказался строго заданным.
Если я правильно понимаю, на данный момент не существует такого способа.
Если я правильно понимаю, на данный момент не существует такого способа.
Атака в виде создания файла под наперед известную заданную сумму пока не осуществима ни для одного из известных алгоритмов.
Но атаки по созданию двух разных файлов с одинаковой (но неизвестной заранее) хеш-суммой и для MD5 и для SHA-1 уже есть и совершенно незатратны вычислительно.
Как уже было сказано в первом комментарии, схема будет следующей: злоумышленник создает безвредный и вредоносный файл, «скармливает» антивируснику хороший, ждет распространения кэша, после чего может пользоваться вредоносным в своих целях.
Остается добавить, что к SHA-224 (и выше), TIGER и ГОСТ 34.11-94 хеш-коллизии пока подобрать не удалось — используйте их, что и демонстрирует Симантек в этом релизе.
habrahabr.ru/blogs/infosecurity/50434/
Но атаки по созданию двух разных файлов с одинаковой (но неизвестной заранее) хеш-суммой и для MD5 и для SHA-1 уже есть и совершенно незатратны вычислительно.
Как уже было сказано в первом комментарии, схема будет следующей: злоумышленник создает безвредный и вредоносный файл, «скармливает» антивируснику хороший, ждет распространения кэша, после чего может пользоваться вредоносным в своих целях.
Остается добавить, что к SHA-224 (и выше), TIGER и ГОСТ 34.11-94 хеш-коллизии пока подобрать не удалось — используйте их, что и демонстрирует Симантек в этом релизе.
habrahabr.ru/blogs/infosecurity/50434/
Я правильно понимаю, что некоторая информация о всех просканированных файлах передается куда-то на сервера Симантек?
не совсем.
Или совсем нет).
Итак: две технологии:
1. Insight (репутационный анализ): собирает информацию об исполняемых файлах (не обязательно в момент сканирования, чаще во время скачивания или запуска файлов). Эта информация о файлах (именно информация, а не сами файлы) может передаваться в Symantec. Если не хотите, то может и не передаваться, это легко отключается.
2. Shared Insight Cache (единократное сканирование в рамках инфраструктуры): информация собирается только в рамках инфраструктуры и никуда не передается.
Или совсем нет).
Итак: две технологии:
1. Insight (репутационный анализ): собирает информацию об исполняемых файлах (не обязательно в момент сканирования, чаще во время скачивания или запуска файлов). Эта информация о файлах (именно информация, а не сами файлы) может передаваться в Symantec. Если не хотите, то может и не передаваться, это легко отключается.
2. Shared Insight Cache (единократное сканирование в рамках инфраструктуры): информация собирается только в рамках инфраструктуры и никуда не передается.
Sign up to leave a comment.
Случилось чудо, друг спас жизнь друга