Как стать автором
Обновить

Комментарии 12

Почему-то в голову сразу приходит уязвимость по коллизиям контрольных сумм файлов (проверка-то по ним?). Интересно, насколько с этой стороны защищено.
Ну и сценарий: на один IP (в одну сеть) сначала отдаётся хороший файл, который проходит сканирование. Затем идёт зловредная коллизия. Несмотря на кажущуюся маловероятность метода пример с коллизиями сертификатов доказывает, что в принципе, это не фантастика.
если мы не боимся использовать хэш-функции для цифровых подписей (где если не доверять надежности хеш-функций, то можно вообще забыть про цифровые подписи), то почему бояться их использовать в данном случае?

согласен, вероятность коллизии есть, но она больше похожа на теоретическую, а не практическую.
забыл сказать, да, сверяем по контрольным суммам
Всё зависит от того, какую хеш-функцию используете. MD5 и SHA1, например, явно не стоит.

И да, контрольная сумма совсем не то же, что и хеш. К контрольной сумме не предъявляется требование сложности нахождения коллизий.
уточню: используем SHA256. Предлагаю доверять результату)
Да, на SHA256 как раз недавно Release файлы в Debian перевели.
Для этого нужно уметь изготавливать файл с определенным содержимым так, чтобы его хэш оказался строго заданным.

Если я правильно понимаю, на данный момент не существует такого способа.
Атака в виде создания файла под наперед известную заданную сумму пока не осуществима ни для одного из известных алгоритмов.
Но атаки по созданию двух разных файлов с одинаковой (но неизвестной заранее) хеш-суммой и для MD5 и для SHA-1 уже есть и совершенно незатратны вычислительно.

Как уже было сказано в первом комментарии, схема будет следующей: злоумышленник создает безвредный и вредоносный файл, «скармливает» антивируснику хороший, ждет распространения кэша, после чего может пользоваться вредоносным в своих целях.

Остается добавить, что к SHA-224 (и выше), TIGER и ГОСТ 34.11-94 хеш-коллизии пока подобрать не удалось — используйте их, что и демонстрирует Симантек в этом релизе.

habrahabr.ru/blogs/infosecurity/50434/
Я правильно понимаю, что некоторая информация о всех просканированных файлах передается куда-то на сервера Симантек?
не совсем.
Или совсем нет).

Итак: две технологии:
1. Insight (репутационный анализ): собирает информацию об исполняемых файлах (не обязательно в момент сканирования, чаще во время скачивания или запуска файлов). Эта информация о файлах (именно информация, а не сами файлы) может передаваться в Symantec. Если не хотите, то может и не передаваться, это легко отключается.
2. Shared Insight Cache (единократное сканирование в рамках инфраструктуры): информация собирается только в рамках инфраструктуры и никуда не передается.
Понял, спасибо
Зарегистрируйтесь на Хабре, чтобы оставить комментарий