В целом — при использовании такого подхода возникает ряд проблем, которые в стандартых схемах давно решены.
Я не имел в виду, что произвольный пользователь сразу получает возможность управлять корпоративный компом. Просто чтобы проанализировать команду и пароль, скрипт уже должен принять сообщение, таким образом открывается дополнительный вектор атаки. В этом смысле любая VPN всё же на порядок безопасней, т.к. даже полное заДДоСивание смотрящего наружу VPN-сервера не приведёт к отказу компьютеров внутри сети…
Я думал, это для примера… т.е. для предприятия приемлемо, что публичный бесплатный сервер периодически отключается, а сообщения на корпоративный компьютер может отправлять любой произвольный пользователь jabber.ru (если он узнает jid)?
Ну, чтобы отправить сообщение по XMPP, компьютеры уже должны быть соединены, разве нет? Если они уже подключены к интернету, то они уже соединены, хотя бы опосредовано через сервер.
В статье озвучивается задача — «Есть несколько компьютеров, которые необходимо соединить в одну сеть». Данная задача не решается, вместо этого предполагается, что компьютеры уже подключены к интернету и мы шлём сообщения на джаббер-сервер. Технически это ничем не отличается от посылания tcp пакета с произвольными данными на сервер, т.е. тут не совсем понятно, как выполняется условие «способ связи компьютеров не должен базироваться на TCP\IP, UDP»…
Что-то я не пойму… xmpp — это уровень приложений, а на сетевом-то уровне машины как связаны? учитывая, что «способ связи компьютеров не должен базироваться на TCP\IP, UDP» — если не айпи, то что?
Да нет же. Чтобы выгрузить хипс, зловред уже должен запуститься. Если же он детектируется хипсом или проактивкой, KIS не даст ему стартовать и поместит в карантин. Либо (в зависимости от вердикта) ограничит функционал, так что тот не сможет управлять окном ремувера.
Факт остаётся фактом — найденная «уязвимость» так же присутствует и до сих пор не исправляется у 100% ведущих антивирусных вендоров. Значит, для этого есть свои причины, и дело совсем не в том что «кто-то недоглядел».
Не знаю. На мой взгляд, если человеку нужен компьютер прямо сейчас и он готов послать смс, то ему и антивирус не поможет. Если же пользователь готов потратить время и силы на удаление зловреда, то он возьмёт live cd или т.п. (ведь штатным образом зайти в систему нельзя). Т.е. в обоих случаях наличие (или отсутствие) антивируса в системе ситуацию не меняет.
Речь, естественно, про новые угрозы, которые ещё не детектируются. Известные-то антивирь зарубит ещё до их запуска.
Вообще коммент MAXH0, по-моему, заминусовали зря — для трояна в удалении антивируса смысла действительно мало, т.к. это сразу же демаскирует троян. Видимо, поэтому другие вендоры парятся на эту тему ещё меньше, т.к. не было прецедентов.
Попробуй провести следующий эксперимент:
1. взять какой-нибудь хорошо известный троян, который одинаково определяется и касперским, и кламавом
2. сжать его любым EXE-упаковщиком (pecompact/asprotect/т.п.)
3. проверить получившуюся экзешку касперским и кламавом
У меня результат был не в пользу кламав.
1. Переполнение буфера
2. ДДоС
Я не имел в виду, что произвольный пользователь сразу получает возможность управлять корпоративный компом. Просто чтобы проанализировать команду и пароль, скрипт уже должен принять сообщение, таким образом открывается дополнительный вектор атаки. В этом смысле любая VPN всё же на порядок безопасней, т.к. даже полное заДДоСивание смотрящего наружу VPN-сервера не приведёт к отказу компьютеров внутри сети…
в т.ч. подложного, который может подставить фальшивый jid отправителя
Предполагается использовать в продакшн публичный сервер типа jabber.ru?
В статье озвучивается задача — «Есть несколько компьютеров, которые необходимо соединить в одну сеть». Данная задача не решается, вместо этого предполагается, что компьютеры уже подключены к интернету и мы шлём сообщения на джаббер-сервер. Технически это ничем не отличается от посылания tcp пакета с произвольными данными на сервер, т.е. тут не совсем понятно, как выполняется условие «способ связи компьютеров не должен базироваться на TCP\IP, UDP»…
Факт остаётся фактом — найденная «уязвимость» так же присутствует и до сих пор не исправляется у 100% ведущих антивирусных вендоров. Значит, для этого есть свои причины, и дело совсем не в том что «кто-то недоглядел».
Речь, естественно, про новые угрозы, которые ещё не детектируются. Известные-то антивирь зарубит ещё до их запуска.
1. взять какой-нибудь хорошо известный троян, который одинаково определяется и касперским, и кламавом
2. сжать его любым EXE-упаковщиком (pecompact/asprotect/т.п.)
3. проверить получившуюся экзешку касперским и кламавом
У меня результат был не в пользу кламав.