Bruk av combofix/hijackthis og andre custom tools følger security by obscurity prinsippet og bør unngås.

1 innlegg i emnet

Skrevet

Vil poengtere at dette ikke er rettet mot enkeltbrukere her på forumet eller andre nettsider(nasjonalt/internasjonalt), men mer min personlige betraktning av nytterverdien av slike verktøy.

Custom tools, eller det enkelte kaller avanserte verktøy for fjerning av maleware, lister opp prosesser og div komponenter på systemet.

På bakgrunn av infoen som kommer opp, vil da enkelte gi råd om hva som er skadelig og skal fjernes. Problemet er at de fleste som gir råd på bakgrunn av slike logger, har lite kompetanse om om problemet uover det de har lært i "lukkete" fora som gir opplæring/kurs i tolking av logger fra custom tools. Er ofte en latens tid fra nye malware dukker opp, til disse forumene har informasjon om hvordan en kan fjerne de, som da igjen medlemmene på de sidene kan lære av, og bringe videre i sine vurderinger av loggene.

Et godt eksempel er det såkallte MSN viruset som medførte stor aktivitet i forumet. Brukere ble oppfordret til å kjøre combofix/hijachtis, og men i følge logg tolkerne, så var maskinen clean.

Om ikke det var nok; combofix og hijackthis er statiske verktøy som lister opp det som kjører på maskinen. (navn, tidspunkt for aksess/endring selv om ikke timestamp kan stoles på, og hvor de ligger, og visse andre features) De har ingen muligheter til å inspisere dynamisk de prosesene(kode) som kjøres. Med andre ord er en avhengig av en som tolker loggen, og kan heller ikke gi en dypere analyse av prosessen/koden. Eneste som kan gjøre dette er anti virus programmer...Og ja...gratis versjoner gjør en tilnærmet like god jobb for å søke etter kjennte virus (nesten alle produsentene har oppdaterte virus definisjoner selv om det også her er latenstid og noe forskjeller i hvor raskt en er ute med nye virus definisjoner ), men skillet går først og fremst mellom hvem som kan oppdage nye virus via såkallt heuristic skanning

Tilbake til custom tools, og "hemmelighold" av råd...Argumentasjonen er todelt.

1) du gir system endringer som potensiellt kan gjøre pcen ubrukelig, råd om logger bør da gies av folk med kompetanse

2) en vil ikke opplyse malware programmerere om hvilke teknikker de bruker.

kan for så vidt være enig i 1, men hvorfor ikke gjøre informasjonen offentlig tiljgengelig, slik at en ikke trenger å være medlem av en eller annen "community" for å tilegne seg kunnskapene. Om lesere følger med i postering og vurdering av logger, så følger prosedyren en fast mønster. Du har en innledende fase, scanningsfase der brukeren skal postere loggen, deretter følger vurderingsfasen og anbefalinger for hva en eventuellt skal fjerne, og til slutt gjerne en avsluttende scan for å se om alt er "fjernet". Det er selvfølgelig enkelte variasjoner ute å går, men hovedpoengene er de samme.

Desverre så følger det veldig sjelden med en forklaring på hvorfor en skal fjerne eventuelle malware, og stiller en spørsmål av teknisk karakter, er svarene generelle/overfladiske og ofte feilaktige. Kilder til den tekniske infoen/rådene de gir er også fraverende.

Bruk av slike verktøy medfører med andre ord monopolisering av kunnskap, ulike community "konkurrerer" og medlemmne opparbeider seg status seg i mellom...og ikke minst trafikk for nettsidene. (og da reklameinntekter)

Og for 2..er totalt håpløs..Koderene av maleware vet allerede allt som er å vite om malware bekjempelse. På samme måte som i release scenen av software/filmer/musikk, så er det et hierarki i virus/maleware verdenen, og det er en uendelig "krig" mellom de som koder skadelig kode, og forskere/produsenter av anti-vir produkter, der de som tolker custom logger er langt nede på rangstigen både i henhold til informasjonsflyt og teknologiske mulighter til å gjøre undersøkelse av potensiell skadelig kode ( begrensingene i verktøyene som benyttes )

Allt du gjør ved å benytte slike verkøty er å lage et marked for såkallt security by obscurity prinsippet, der "sikkerheten" er avhengig av å holde tekniske detaljer hemmelig fra offentligheten. (bortsett fra community sitene som fronter opplæring i loggtolkning osv)

Ut fra et sikkerhetsperspektiv har disse verktøyene begrenset nytteverdi, og brukere flest vil få en langt tryggere hverdag med Vista og brukerkontrollen på, samt et komsersiellt antivir/firewall produkt med host/netverk intrusion detection system og heuristisk skanning av maleware.

Bekjempelse av spwyare/virus og annen malware er et teknisk komplekst og meget krevende område, og bør primært overlates til profesionelle aktører.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive