[Bssldr]

Mainiks ära, et süsteem on puhas, aga teatud ajavahemike tagant teen siiski ennetavas mõttes kõikidele kõvaketastele zerofilli. Mõtlesin, et võiks nende meetodite hulka lisada ka BIOS flashimise. Oletame nüüd, et on worst-case scenario ja mingi pahalane istub nii BIOSis kui ka kõvakettal - mis oleks sellisel juhul parim cleanup meetod?

Ise olen mõelnud midagi sellist:
1. Kõvaketas tühjaks.
2. Q-Flash või DOS utiliidiga BIOSile flash (Windowsi-põhise flash utiliidiga võib pahalane arvatavasti manipuleerida).
3. OS peale.

[Märt.]

BIOSega ära mängi, võid saada töötava emaplaadi asemel tellise. Pärast CIH-i pole eriti selliseid pahalasi esinenud. Neil on vaja töötavat masinat. Ja kui sa kõvakettale mingi teatud aja tagant zero filli teed, siis peaksid küll fooliumimütsikest kandma või end arvutikasutamise osas kõvasti rohkem harima. Pahalased arvutis on alati tihendi viga.

[Bssldr]

[heikis]

a milleks see zero fill vajalik on?

[blinx]

[Marie]

Kõige suurem turvalisuse ohu põhjustab Windows OS kasutamine, kõigepealt loobu Windowsi kasutamisest, kasuta mõnda Linux versiooni, või veel suurema turvalisuse tagab kui kasutad Live Linux`i versiooni, BIOS`e üle flash`imine ei anna turvalisuse seisukohalt midagi juurde

[Bssldr]

[kusti85]

pigem sellel, et sa ei ole kogu aeg ruuduna sees.

[ThedEviL]

Kas fooliummytsikest ka ikka formeerid?

Ja windowsi plaadid on steriilsed?

Klaviatuuri kasutad ikka kummikinnastega?

Vårgupistiku otsas on ikka kondoom?

[Betamax]

[Bssldr]

[Betamax]

Yeah, edu selle strateegiaga. Tänapäeval on kõikidesse failidesse võimalik hunnik pahalasi peita. Kaasa arvatud foto-, video- ja muusikafailid. Lisaks võib su arvuti edukalt välise kõvaketta nakatada mõne Autorun ussiga, mis omakorda nakatab su zerofill kettale tehtud puhta installi. Ehk siis on sul kordades suurem võimalus saada oma masinasse suvaline Windowsi-põhine pahalane kui BIOSi pahalane.

[kasutaja01]

[friik1]

Bssldr, ilmselgelt on su IT teadmised eriti viletsad, et ennast sellise masohhismiga vaevad.

[Märt.]

No las teeb, mis tahab- tahab, flashib masina telliseks- tahab -zerofillib kettaid ja transab asju edasi-tagasi (tegelikult peaksid need failid ka hävitama, sest tänapäeval pahalane peidetakse suva faili edukalt).

Asi on ikkagi tihendis ja kodanikud, ärge muretsege liialt, las tegutseb turvalisuse nimel edasi, kuis Don Quijote.
Edu!

[ipredator]

Ja ma mõtlesin, et ma olen paranoiline. Kasuta siis juba mõnda Linux live cd-d. Iga boot on puhas op süsteem.

[Bssldr]

[friik1]

Bssldr, ilmselgelt pead sa kõiki siinseid inimesi idiootideks. Paraku peavad kõik siinsed sind idioodiks. Samuit ütles üks tark mees kunagi, et kui sa arvad, et kõik on idioodid, oled sa seda paraku ise...
Ma arvan, et ma olen paraku üsna pädev sellel teemal sõna võtma, kuna olen tegelenud delikaatsete isikuandmete käitlemise, kõrgkäideldavuse jms tegevustega, kus terviklus ja käideldavus on olulised ning võin pidada end piisavalt pädevaks väitma, et sa mängid kilplast.

[Bssldr]

[friik1]

Bssldr, esiteks sellest, et tuleks takistada pahavara süsteemi jõudmist või kui see on juba toimunud, takistada selle käivitamist. Ning see on vaata et olulisemgi, kui pidev süsteemi kontroll.
Pädev antiviirus + piiratud kasutajaõigused + Software Execution Policies / AppLocker on Windowsis piisavalt pädevad pahavara püüdmiseks ja piiramiseks. Kui nõutav tase on kõrgem, siis ka mõni kurjem tulemüür (Windowsi sisseehitatud pädeb kah üldjuhul) kas tööjaamale või veel parem, sisu kontrolliva proxyga terve võrgu ette.
Sinu BIOSipaanikat aitab maandada uuema kooli brändikatel olev võimalus lubada vaid digiallkirjastatud sisu BIOSi kirjutada. Kuna privaatvõti on vaid tootjal, võid mingi jama BIOSist kohe ära unustada.

Lühikese vastusena on ainuke tõsiseltvõetav tööriist kontrollimiseks siiski antiviirus, kuid enamik rõhku läheb ennetustööle.

[Bssldr]

[friik1]

Bssldr, see turvaaugujutt on väga tore, aga sellise taseme 0-day rünnakud on üsna haruldlased ning praktiliselt alati on olemas mingi workaround, mis ohu likvideerib.
See tulemüürijutt on väga tore, aga kõige selle jutu jaoks on vaja administraatoriõigusi. Software Execution Policies / AppLocker ei luba väljaspoolt määratud asutkohti (Windows ja Program Files by default) koodi käivitada ega librasid mällu laadida, maandades oluliselt riski.
Krüpteeritud pahalane tuleb paraku käivitamiseks dekrüpteerida ning antiviirus jälgib mälus toimuvat. Uued viirused või vanad viirused, nad üritavad teha samasuguseid või sarnaseid tegevusi, mida antiviiruste heuristikafunktsioonid kenasti tuvastavad ja blokeerivad. Samuti tulevad kasuks Intrusion Protection tooted. Teise protsessi mälu üle kirjutamiseks on tarvis admini õigusi, kuna kaasaegsed op-süsteemid töötavad protected mode režiimis.
Ja kerneli torkimiseks on samuti tarvis admini õigusi.

Mees, tegele oma paranoiaga. Ainus tõsiseltvõetav asi sinu jutust on 0-day rünnak. Paraku pole selleks võimalik eriti valmistuda, see on lihtsalt risk, mida tuleb maandanda muude meetmetega.

[ipredator]

Bssldr, ootaks sinupoolset pädevat vastust ka kuidas kindlaks teed, et pahalane arvutis istub?

[Bssldr]

[friik1]

Arutlus teemal, mis juhtuks siis kui käivitada vidin administraatoriõigustes, on üsna mõttetu, kuna eesmärk on seda takistada. Siiski, antiviirus käib kerneliruumis ning seal tegutsevad vidinad saavad teha praktiliselt ükskõik mida tahavad. Samamoodi järgivad nad ka adminiõigustes käivitatud asju ning pahavarale omaseid mustreid.
Sinu loogika järgi ei töötaks antiviirused üldse. Antiviirus kontrollib käivitatavat koodi sõltumata tema asukohast ning astub vahele. Käivitatav kood on üldjuhul muutumatu ning selle kontroll pole eriti ressursimahukas. Polümorfne kood on teine asi. Sellised asjad on üldjuhul haruldlased ning väga spetsiifilised. Ka pahavara on tihti polümorfne, seega on sellised rakendused false-positive'de allikad.
Ma saan aru, et sa oled progeja ning ei tea suurt midagi süsteemide kaitsest. Soovitan tutvuga terminitega riskianalüüs ja aksepteeritav jääkrisk.