Pull to refresh

Comments 16

Теперь с каждой перезагрузкой Windows будет изменять виртуальные адреса размещения не только драйверов, но и, практически, всех структур ОС и компонентов, работающих в системном виртуальном адресном пространстве

Главная цель, которую преследует Windows (как и Apple OS X, iOS, Google Android) при реализации ASLR заключается в перемещении важных структур данных и системных образов в системной части виртуального адресного пространства по новым адресам с каждой перезагрузкой

Я думаю мысль понятна и с первого раза.
Чуствую у многих контор которые пишут специфический секьюрный софт, типа мониторингов, а возможно и антивирусы отвалятся после обновления на данный билд. Или я не прав?
Почему они должны отвалиться?
Я так понимаю, что эти случайные адреса будут одинаковыми для всех процессов? Т.е. всё ещё можно будет, например, подцеплять библиотеку из чужого процесса (CreateRemoteThread и LoadLibrary)?
В общем то да. Но тут надо учитывать, что у приложений тоже может быть включён ASLR, насколько я понимаю он как раз и должен избавлять от части уязвимостей при вызовах указанных функций API.
Ещё пожирнеем и потормозим.
MSVC при включённом ASLR генерирует экзешки процентов на 10 жирнее.
Пользую EMET на 7 и добавил ff.
Вопрос: есть ли смысл ставить 10?
Что вы подразумеваете под ff?
добавленное приложение firefox v 44.0b9
С точки зрения безопасности 10 конечно будет получше 7, но слишком сильно заморачиваться на эту тему не стоит в принципе, лучше акцентируйте внимание на совместимости приложений и куче странностей в поведении ядра, часть из которых тянется ещё с Win 8.

Советую сперва потестировать 10 хорошенько на реальном железе, например поставив рядом, ибо меня после 7 просто вымораживают постоянные подвисания новомодной части интерфейса то там то тут особенно это заметно при полностью загруженном процессоре (баг оформлен уже несколько раз). Однако когда это будет исправлено не понятно.
В том то и дело, что интересует именно? безопасности. Я нигде не видел анализ эффективности линуксовых систем контроля доступа на предмет устойчивости к эксплойтам и по куче причин? переход на него «напостоянку» не стоит. Хотя для некоторых задач пользую. Я легкомысленно) не пользуюсь ав т.к. полагаюсь на свою осмотрительность, и (относительную) безопасность постоянно посещаемых сайтов и форумов. Но вот на некоторых специализ блогах и сайтах (тематики seo, трафика или там джумлы) кагбэ слегка очкую), полагая, что если там чо) и подсадят, то не siskikabaeva.exe из-под noscript'a & ublock'a.
Вообще, даже одного только анонса билда 14332. достаточно, что б озадачиться его установкой, вопрос в реальной эффективности объявленных механизмов. Я на winaero.com бывает посматриваю инфу о новых билдах, а аспект безопасности там обойден.
И вот интересно, тестилась ли эта сборка с новыми механизмами на известных сплойтах?
А что там ещё тестировать именно относительно этого изменения? Ведь если эксплоит полагается на константные адреса то он просто не отработает, а значит функциональность в таких случаях будет работать, если же во вредоносном софте применены какие то механизмы для обхода ASLR (обычно это довольно дорогие для злоумышленника эксплойты для уязвимостей 0 дня), то соответственно и этот механизм обойдут.

На счёт безопасности и вирусов: у меня тоже штатно антивируса не установлено в системе, даже «защитник» (антируткит ПО) отключён по тем же причинам. При этом правда есть некоторая отгороженность в виде SRP и EMET в системе, ublock и mywot в браузере (у меня Firefox, у домашних Chrome ибо его через GPO настроить можно в значительной мере), а также домашнего шлюза с KerioControl, в котором антивирусы Sophos и ClamAV проверяют трафик, ах да, поскольку ClamAV уже проверяет сайты по базе Google Safe Browsing, то в браузерах эта фича отключена. Правда на всякий случай я раз в месяц (во время процедуры установки апдейтов) проверяю системы (свою и домашних, у них тоже отгороженность настроена и тоже админ прав нет) с помощью HerdProtect. В общем именно потому и советую протестировать 10 в аспектах удобства, совместимости и прочего ибо в плане безопасности все системы хороши если хоть немного их настроить и если дыры в них латаются (если поддержка не прекращена).

На счёт Linux, он не менее и не более безопасен для того кто понимает как оно работает, да и хотя бы просто потому что там слишком многое сделано совсем по другому, но из коробки для простого пользователя он действительно более безопасно сконфигурирован, как минимум если сравнивать отчасти сравнимое, то в Linux эквивалент виндового SRP уже настроен сразу, что отсекает очень многие атаки на браузер, на флешки и т.д. Также там очень удобно сделана возможность запускать приложение под пользователем «никто» (nogroup nobody), в тоже время есть сложности централизованного управления из-за отсутствия GPO, да и антивирусного ПО для Linux (даже для проверки файлопомойки по базам) кот наплакал, а мощных инструментов с облачной защитой и подобной функциональностью по моему так вообще нет. В общем везде в итоге свои заморочки.
На счет тестирования — резонно, я не сомневаюсь в работоспособности, просто примеры и демонстрации оставляют чувство «глубокого удовлетворения», а не просто предвкушения удовольствия)
Спасибо за подсказку herd'a, давно уже практиковал периодически сканить машину (уж не помню каким). А сейчас, если вдруг( начинаю параноить, запускаю sfc/scannow, для процессов запускал чо то, уж не помню)
Он такой злой): неподписанные adb.exe, installapk.exe, ....kms.exe и пр. даже хромовские js и attsetap ругает) avira даже неподписанные микрософтовские длл -ки нашел)
В общем я убедился в правильном, запланированном еще раньше, установом 10. Жаль что старая бучка не подделживает vt-d(
А за линуксы… и сейчас стоит деби, но он под рутом, и не по этим делам) и wifislax, но в настройки selinux и прочая втыкаться действительно нет смысла, да и с картинками-баннерами под вином привычней
Кстати, вчера на гике было — сайт компании Maisto International подсаживал криптовымогатель.
кстати, уже есть на торренте
windows-10-insider-preview-redstone-1-build-100143321000-2016-rus
а ms все еще раздает
Windows 10 Enterprise, Version 1511, Build 10586 | 64-bit ISO
Windows 10 Enterprise, Version 1511, Build 10586 | 32-bit ISO
Windows 10 Enterprise LTSB, Build 10240 | 64-bit ISO
Windows 10 Enterprise LTSB, Build 10240 | 32-bit ISO
Only those users with full accounts are able to leave comments. Log in, please.