Pull to refresh

Comments 25

Kernel драйвер уже слили в сеть и во всю в нем ковыряются

Разработчики заявляют
Activision обещает

Слова ничего не стоят. Даже если сами Activision этого не делают, гарантировать отсутствие дыр в своём трояне "с доступом на уровне ядра" они не могут.
Любой RCE эксплоит, да и просто локальные уязвимости — это доступ в пространство ядра. При этом игроделы почему-то поливают сиропом свои супер-решения как прорывную заботу об игроках, и большинство вообще не проявляет по этому поводу никакого беспокойства, несмотря на то что это полнейшая дичь. Не должны игры иметь доступ к ядру.

В мире есть много других игр, которые такого не требуют. Скоро рипнутся они, жаль близзард

Вообще никак не скажется. Всегда геймеры не обращали внимания на драйвера защиты, ещё со времён StarForce. Да и, честно говоря, сколько геймеров запускает игры под учёткой, не имеющей права локального админа? Я таких не знаю. Под админом, что есть драйвер, что нет — уже не так важно, доступ к системе полный.
Да и, честно говоря, сколько геймеров запускает игры под учёткой, не имеющей права локального админа?
По умолчанию, начиная с Windows 7, даже если пользователь является локальным администратором, все задачи запускаются с правами обычного пользователя. Для полного доступа требуется получить одобрение пользователя через UAC.

Если же пользователь выключает UAC, то он сам себе злобный буратино и его жаль ничуть не больше, чем тех, кто, скажем, не пристёгивается в автомобиле. Это его выбор, и лететь башкой вперёд через лобовое стекло тоже ему.
Если пользователь запускает игры из стима, те, которые имеют в своём составе kernel драйвер защиты / античит, запускаются уже повышенные, т.к. служба стим имеет права локального админа, чтобы безболезненно сгладить этот момент для пользователя.

В случае, когда игра поставлена отдельно, не в стиме, и имеет свой античит (смотрю на Genshin Impact), тем геймер при клике на ярлык на автомате жмёт «разрешить UAC», просто рассматривая лишний клик как раздражающий фактор.

Я не видел ни одного геймера, который бы посмотрел на предупреждение UAC, выданное игрой, и сказал «я не разрешаю» (особенно если он игру купил).

Практически все онлайн-игры требуют использования систем защиты. И все эти защиты работают в режиме ядра. Разница только в том, что игроделы вводят системы защиты молча, а вот Activision зачем-то стала рассказывать о них в деталях.


Вопрос, на самом деле, в том, какой именно анализ будет проводить этот драйвер и насколько он будет интеллектуален.

И все эти защиты работают в режиме ядра.

Это неправда. VAC вообще этого не делает, а популярные EAC и BattleEye не требуют наличия ядерных компонентов (хотя и используют)


И вообще говоря разница есть. Я не буду защищать ни Epic, ни разработчиков BattleEye, но они продают античиты как продукт и им выгодно сделать его хорошо, потому что для них античит — это и есть товар.
Activision и RIOT не продают античит, они зарабатывают на играх. Значит, им выгодно делать игры, а античит если не мешает зарабатывать деньги на играх — то это хорошо. Поэтому есть большие сомнения в том, что они очень сильно фокусируются на том, чтобы сделать античит безопасным для пользователя.

Почитал про них. До этого я, в основном, сталкивался с корейскими-китайскими поделками, а там вообще жёстко всё.

Как это выглядит обычно:

  • Ну не. Они не будут следить. Это же выяснится и будет удар по репутации

  • Ну они немного следят уже давно и пока ничего не случилось.

  • Ну они, конечно, следят. Но зато дают сервис.

  • Они конечно оборзели, но альтернативы нету.

Уже 100 раз это проходили. И всегда это выглядит одинаково. Да, может быть сразу следить не будут. Но потом обязательно будут. Потому что это деньги.

А подскажите кто в теме, что означают все эти "защиты на уровне ядра", "режим суперпользователя" и т.д. для обычного юзера? Что программа под правами администратора или в режиме ядра может сделать того, что не может сделать обычная программа? Ведь все данные на устройстве хранятся без защиты, это как и различные фотки пользователя, так и полноценные программы типа браузера, которые давно уже устанавливаются в папку пользователя, чтобы не иметь дела с ограничениями. Зачем вообще в современных системах нужны суперпользователи и остальная защита?

Получить доступ к данным другого приложения, например банковского клиента. Потом сбережения за 10 лет исчезнут за 10 секунд

Имеется в виду, к данным в оперативной памяти?

Да. К данным на диске как вы уже отметили доступ как правило есть и так

Если банковское приложение запущено без повышения прав, то его память можно прочитать и без прав администратора.

Проще говоря:
— приложение А запущено с повышенными правами (запрос UAC), приложение Б запущено без повышения прав. Результат: А может прочесть память Б, но Б не может прочесть память А.
— приложения А и Б запущены с обычными правами. Результат: они могут читать память друг друга.

Наглядный пример: хекс-редактор, запущенный с обычными правами, видит память мессенджера, в которой хранится логин учётки ICQ.

Если отключить UAC, то все приложения работают с повышенными правами. В таком случае пользователь сам виноват — правило «не сиди под рутом» придумано не зря, нужно думать, кому ты выдаешь права, а не давать их всем подряд по умолчанию.
UAC теоретически может защитить от случайных троянов. Но не может защитить от приложений, которые юзер осознанно поставил. Потому что почти любой инсталлятор (навскидку, 95%) при запуске просит повышение прав. А что он там наустанавливал — неизвестно (kernel mode driver или ещё какую гадость). И приложение в дальнейшем может взаимодействовать с этим компонентом уже без запроса на повышение.

Если отключить UAC, то все приложения работают с повышенными правами. В таком случае пользователь сам виноват

Я все равно не понимаю, если оба приложения запущены без UAC и если оба запущены с UAC, то разницы по вашим же словам нету, так зачем он вообще нужен?

Нужен, чтобы защитить приложения, запущенные с повышением привилегий (в том числе все критичные системные компоненты) от приложений, запущеных со стандартным уровнем привилегий.

приложения, запущенные с повышением привилегий

А что это за приложения? Назовите хотябы 2. Вот браузер например, это приложение, которое запускается с повышением привилегий? Ведь через него проводятся например банковские операции.

Может ли обычное приложение из user mode получить доступ к памяти браузера? А из super mode?

У Microsoft, разработчика UAC, своё понимание модели угроз :)
Затем же, зачем нужно sudo в Linux. Чтобы повышенные права были только у тех приложений, которым эти права реально нужны.

Вредоносное приложение, получив полные права, может натворить очень многое, от чтения памяти системных процессов и записи в системные каталоги, до перезаписи прошивки матплаты и видеокарты. Поэтому приложения по умолчанию не имеют таких возможностей. Тем не менее, порой им эти возможности нужны (например, если это обновлятор прошивки видеокарты или если приложение установлено в Program Files и хочет обновиться), поэтому они запрашивают повышение привилегий с помощью UAC.

Соответственно, если пользователь скачал из сети веселую программку, которая рисует на рабочем столе сиськи (а параллельно делает вредоносные дела), и она вдруг запросила повышение привилегий, то пользователь имеет возможность задуматься, отказать и спасти систему от заражения.

чтения памяти системных процессов

А что интересного есть в памяти системных процессов?

перезаписи прошивки матплаты и видеокарты

Зачем? Чтобы обратимо "сломать" компьютор пользователя? Но он также может "сломать", удалив все ярлыки с рабочего стола. Чтобы необратимо сломать компьютор? А оборудование поддерживает такую схему необратимой поломки? Страшно жить тогда становится

Зачем?

Чтобы подселить туда руткит, который вы потом фиг вычистите.
То есть, если обощить данные здесь ответы, права администратора нужны, чтобы закрепиться в системе и пережить перезагрузку.

что означают все эти "защиты на уровне ядра", "режим суперпользователя" и т.д. для обычного юзера? Что программа под правами администратора или в режиме ядра может сделать того, что не может сделать обычная программа?

На пальцах оно выглядит примерно так:

Во-первых, программа с правами администратора может подселить на ваш любимый компьютер какую-нибудь штуку, которая, например, будет запускаться при входе в систему и постоянно следить за вашими банковскими операциями (сама или непреднамеренно предоставить дыру для этого). Или перешить биос на какой-нибудь мусор, в результате чего восстановить компьютер можно только прошив микросхему флэша с биосом программатором (такие вирусы для старых материнок реально были, в случае современных материнок с UEFI будет немного иначе, но суть та же).

Во-вторых, некоторые приложения (например, работающие с базами данных), работают не от локального пользователя, а от специально созданного скрытого пользователя (в винде это практикуется реже, в линуксе чаще). Администратор может получить доступ к данным такого отдельного пользователя напрямую. Обычный пользователь только через специально предоставленный ограниченный интерфейс.

В-третьих, ограничения обычного пользователя не позволяют легко и просто срубить систему случайным неловким движением (например, замечательной командой, начинающейся с rm в линуксе).

Соответственно, чем больше у вас приложений, запускающихся с правами администратора, тем больше вероятность поиметь проблемы.

Sign up to leave a comment.

Other news