Domanda:
Come spieghi la necessità di "bombardarlo dall'orbita" al management e agli utenti?
Polynomial
2012-11-19 19:59:04 UTC
view on stackexchange narkive permalink

Quando una macchina è stata infettata da malware, la maggior parte di noi qui identifica immediatamente l'azione appropriata come "bombardala dall'orbita", ovvero cancella il sistema e ricomincia. Sfortunatamente, questo è spesso costoso per un'azienda, soprattutto se i backup sono configurati in modo non ottimale. Ciò può produrre resistenza da parte del management e degli utenti che vogliono semplicemente continuare a utilizzare la macchina per lavoro. Dopotutto, per quanto li riguarda, possono "semplicemente eseguire AV su di esso" e tutto andrà bene.

Come spieghi il problema al management e agli utenti di natura non tecnica? Potrei facilmente fornire una ragione tecnica, ma ho problemi a trovare la formulazione appropriata per gli utenti non tecnici. Apprezzerei particolarmente qualsiasi modo di parlare in cui il destinatario possa identificarsi, ad es. fare appello al senso di gestione del rischio del manager.

Più precisamente. Come possono essere trasferiti in sicurezza i dati di un utente a una nuova macchina. Questo è un problema in cui mi imbatto.
@ktothez È meglio non trasferire i dati dell'utente; ad esempio, fare affidamento su un backup sicuro prima dell'infezione. Tuttavia, se necessario, farei qualcosa come [la mia risposta] (http://security.stackexchange.com/a/24221/2568) convertire i documenti di MS Office in documenti di testo normale / file CSV sulla macchina infetta, avviare in un linux live cd sul computer infetto, montare il disco rigido infetto con `-noexec`, quindi copiare selettivamente il numero limitato di documenti di testo normale dalla macchina infetta a un altro computer. Tuttavia, sii sospettoso che i tuoi file vengano alterati in modo dannoso, ad esempio file di configurazione, password, dati, ecc.
Non è sufficiente limitarsi a dire che la linea di condotta che proponi è l'unica che garantisce il risultato desiderato (supponendo ovviamente che sia l'unica linea di condotta che garantisce il risultato desiderato)?
@ dr. jimbob Faccio qualcosa di simile.
@ jah sfortunatamente non gestisce lo spettacolo nella maggior parte dei posti. Le decisioni IT sono spesso ignorate da persone che non hanno conoscenze IT.
@jah Purtroppo no. Il risultato desiderato per loro è una spesa assolutamente minima per mitigare il rischio. Il risultato desiderato per me è un rischio assolutamente minimo. Il trucco è trovare un equilibrio che funzioni bene per entrambi i lati della medaglia. Sfortunatamente, quell'equilibrio non può essere facilmente raggiunto a meno che entrambe le parti non si capiscano.
"Oh, la mia macchina ha una gomma a terra." "NUKE IT DA ORBIT!"
@Polynomial: Qualcosa che tutti capiscono (o dovrebbero) è il ritorno sull'investimento. Il miglior ROI a lungo termine è probabilmente la tua raccomandazione: minimizza il rischio. Una spesa minima è probabilmente più costosa a lungo termine. Anche la direzione lo capirebbe (se si fidano di te).
-1 * Chi dice * che ogni piccola infezione richieda il nucleare dall'orbita però?Se la mia mano inizia a farmi male, richiederai l'amputazione solo perché pensi che * potrebbe * essere qualcosa che potrebbe diffondersi al resto del mio corpo?E * chi dice * che anche il bombardamento nucleare dall'orbita potrebbe essere sufficiente?C'è sempre una possibilità (per quanto remota) che il tuo malware abbia ad es.ha infettato il firmware e sopravviverà a una cancellazione.Davvero, questa domanda non ha senso.
@Mehrdad Dipende dal tuo modello di rischio.Se stai utilizzando un sistema desktop a casa, forse non è un grosso problema.Se stai utilizzando un server web che gestisce i dati dei clienti, la sostituzione del sistema ha senso in molti scenari.Inoltre, i pulsanti upvote / downvote sono, di solito, da usare quando la * qualità * di una domanda è scarsa, non quando pensi che il richiedente abbia torto.Se non sei d'accordo con la premessa, scrivi una risposta in tal senso.
@Polynomial: Hai detto * niente * di questo nella tua domanda!* "Dipende dal modello di rischio" * ...?Sì, è esattamente quello che stavo dicendo, ed è esattamente ciò che la tua domanda sta ignorando.* "Un server web che gestisce i dati dei clienti" * ...?Da nessuna parte nella tua domanda hai supposto che fosse così;hai appena detto "macchina" e, per quanto ne sa il lettore, potresti parlare delle workstation dei tuoi tecnici o dei server che non gestiscono i dati dei clienti.* "Sostituzione del sistema" * ...?Hai detto cancella, non sostituire, quindi l'ultima parte del mio commento precedente.Per me la domanda * è * di bassa qualità ...
Punti giusti @Mehrdad.Ho scritto la domanda senza includere queste cose perché volevo evitare la discussione un po 'filosofica sulla propensione al rischio e gli approcci di risposta agli incidenti.Ovviamente queste cose contano nel prendere una decisione su * se * bombardare un sistema dall'orbita, ma la domanda è stata posta da una prospettiva in cui (almeno dal punto di vista di un responsabile della sicurezza) è stato scelto * già * di bombardarlo dall'orbitacome l'azione più appropriata.Cercare di spiegare il ragionamento di questo a una persona non tecnica è difficile, ed è di questo che si tratta.
Dieci risposte:
#1
+152
KDEx
2012-11-19 22:56:00 UTC
view on stackexchange narkive permalink

Nella mia esperienza al management non piace ascoltare analogie intelligenti. A seconda della persona a cui tengono i profitti in dollari o ore di produttività. Spiegherei:

La conclusione effettiva è che una compromissione dei nostri dati costerà all'azienda circa X dollari + Y ore per il recupero. Questo è Z% probabile che accada dato il malware che è su questa macchina. Una nuova installazione costerà A dollari + B ore per il ripristino. Scegli l'azione appropriata.

È breve e chiaro e in realtà non lascia loro spazio per discutere. Capiranno chiaramente il rischio e dovrebbero prendere la decisione giusta.

Il problema è la fondamentale _incertezza_ relativa all'X%: una volta che si è verificata un'infezione, potrebbe essere compresa tra lo 0% e il 100%. Non c'è modo di sapere dove e c'è solo un modo per ridurlo allo 0%. Questo è un concetto più complicato del rischio Inoltre, per chiarezza, suggerirei di utilizzare variabili diverse per dollari e ore, ad es. Y e Z.
Buona risposta, KDEx: la sicurezza è un bene economico, con un costo e un valore. Il mio pensiero è che l'X% del malware è probabilmente selvaggiamente sovrastimato, portando l'abitudine di "bombardarlo dall'orbita", ma mi sono occupato solo di malware Solaris e Linux. Il malware di Windows sembra sicuramente più strano e persistente.
Il problema sta nel valutare l'effetto dei tempi di inattività - ma non dovrebbe essere una tua responsabilità - tuttavia devi sapere che per costare le potenziali soluzioni. Ma fai attenzione se fai affidamento sull'AV come soluzione: Art Taylor stima una probabilità del 30% di un buon risultato - ma IMHO questo è piuttosto ottimistico - probabilmente finirai per rimuovere temporaneamente alcuni sintomi.
@KDEx devi considerare il tuo pubblico e adattare la tua risposta a loro. $ X> $ Y può essere la risposta migliore per determinati segmenti di pubblico, ma non tutti i manager la pensano così concretamente, anche avendo i numeri disposti. Se lo facessero, non tenterebbero di sovrascrivere l'esperto nella situazione con la propria soluzione tecnica (eseguire AV su di esso!). Certo, devi conoscere i tuoi numeri quando la discussione arriva a questo punto, ma anche tu dichiari che c'è spazio per l'interpretazione (X%), il che significa che c'è sempre spazio per discutere.
Non è sempre solo un confronto di dollari, è una valutazione del rischio. Fornendo denaro, tempo e rischio di soluzioni diverse, stai aiutando la direzione a effettuare una valutazione del rischio intelligente. I commenti sull'incertezza riguardo al rischio (X%) sono discutibili: si tratta di una stima basata sull'opinione e sull'esperienza di esperti. Se la direzione non si fida abbastanza di te da prendere la tua opinione di esperto come tale e argomentare le tue stime, allora hai già perso e non riuscirai a convincere nessuno, non importa quanto sia intelligente la tua analogia.
@BruceEdiger Esiste una prova di malware che può persino nascondersi nella batteria del laptop rendendo inefficace una reinstallazione da zero, fortunatamente è una prova di concetto. Tutto ciò che serve è un po 'di giocherellare con l'MBR ed è molto difficile da rilevare e sarà in grado di reinstallarsi ogni avvio. Ci sono molti altri posti nel sistema in cui il malware può nascondersi, il problema è ed è sempre stato trovarli tutti.
La difficoltà qui è fornire loro una stima ragionevole dell'X% e dei costi, entro i confini di un ascensore. Non vogliono una lunga conversazione, vogliono solo essere rassicurati sul fatto che l'opzione più conveniente è quella che stiamo cercando. Il rapporto costo-efficacia potrebbe dipendere dalla valutazione del rischio nel lungo periodo, ma tentare di fornire una stima ragionevole dell'X% è una lama di coltello. Stray troppo basso e probabilmente preferiranno l'approccio AV. Vai troppo in alto e rischi di imbatterti in un venditore ambulante FUD. Anche se lo fai bene, * potresti comunque essere posseduto *, il che ti lascia nell'acqua calda.
@Polynomial che suona come molta incertezza ... che per molti nella gestione (a seconda del settore) _è_ la definizione di rischio. Quindi per definizione è una stima difficile. Essendo un esperto nel campo, sei la persona più ben posizionata per fare quella valutazione e fornirla ai decisori, no?
Per quanto riguarda il costo del tempo di inattività, non c'è davvero alcun costo, poiché in qualsiasi ambiente appropriato avrai un server di staging pronto per l'uso.Trasferisci l'immagine di staging sul server di produzione e il gioco è fatto, più o meno (dipende da quanto bene viene mantenuto il tuo ambiente di sviluppo).
#2
+56
Art Taylor
2012-11-19 23:45:36 UTC
view on stackexchange narkive permalink

Eviterei le analogie biologiche o non commerciali (a meno che questo non sia un ospedale). Il tuo compito è valutare rischi, costi e fornire opzioni. Il compito della tua direzione è prendere la decisione in base alla tua analisi e ai tuoi consigli.

In genere, un approccio in formato tabulare è il migliore. "approccio", "probabilità di correggere il problema", "costo" sono il minimo necessario. Puoi chiamare la seconda "Vegas" se devi assolutamente diventare carino.

Ad esempio, in questo caso, potresti avere quanto segue.

  Approach Prognosis CostRun anti -virus sulla macchina 30% 4 ore IT, 4 ore di inattività Sostituzione macchina con nuova macchina 75% $ 3.000, 16 ore IT, 4 ore di inattività Macchina AV, copia file utente, sostituzione macchina, ripristino 60% $ 3.000, 24 ore IT, 4 ore utente , 8 ore di inattività dei file  

In questo elenco (assumendo un desktop utente), il vero problema è il comportamento dell'utente. Dovrai documentare il motivo per cui la prognosi è < al 100% per le varie opzioni e perché tutto ciò che riguarda i file degli utenti è meno efficace del "nuking from orbita".

A seconda del problema, potresti aggiungere "non fare nulla" o "aspettare" per informare la direzione dei rischi per l'azienda in generale.

+1 per la tabella costi-benefici. Questo è davvero ciò che la maggior parte del management vuole vedere.
Questa è un'ottima risposta. Il tavolo ovviamente, e anche gli scenari di non fare nulla o aspettare che hai menzionato, anche se non puoi quantificare bene il rischio di ribasso. Sono comunque opzioni praticabili, ed è fantastico che tu le includa. Le analogie specifiche del contesto sono ottime, ma solo se direttamente rilevanti per il business. Se non puoi farlo con certezza, è meglio non provarci, e decisamente meglio non inquadrare le cose in termini che rafforzeranno noiosi stereotipi sulla cultura del lavoro del personale IT e della sicurezza.
Risposta interessante, il rovescio della medaglia secondo me con una risposta numerica difficile è da dove vengono le probabilità percentuali? In un sacco di sicurezza, quando le persone cercano di quantificare cose come probabilità e costi, i numeri hanno un elemento di "ipotesi migliore" in quanto non esiste davvero un buon modo per prevederli e quindi, se contestati sul motivo per cui sono a quel livello, è difficile difendere loro..
@RoryMcCune Anche se non so se è ciò che ArtTaylor ha in mente, lo penserei sulla falsariga di IT dicendo _ "Questo è ciò che vogliamo che tu faccia" _... Lasciando comunque la decisione finale nelle loro mani
Perché dovresti sostituire la macchina? Perché non dovresti semplicemente pulire il disco rigido e reinstallare il sistema operativo?
Molto spesso, un reparto IT dispone di un numero di macchine predisposte per la sostituzione o la consegna a nuovi assunti, nuove macchine o macchine che sono state pulite dopo che qualcuno ha lasciato l'azienda. I responsabili delle assunzioni spesso fanno schifo nel far loro sapere che qualcuno inizia in una data particolare, quindi bufferizzano l'hardware. In questo caso, è spesso più semplice e meno costoso (per non dire meno fastidioso) camminare verso la scrivania della persona, prendere il laptop, dargli un "nuovo" laptop e aspettare che lo rovini.
@RoryMcCune se non hai stabilito la fiducia in modo che la direzione prenda le tue stime senza dibattito su un piccolo problema come questo, devi prima lavorare su quello. Fino ad allora, è necessario utilizzare i numeri storici dalle solite fonti (Gartner, Forrester, AMR, ecc.).
@ArtTaylor ma se non hai stabilito la fiducia sta dando numeri che non puoi sostenere davvero una buona idea. Punto interessante sui numeri storici ma per questo scenario (cioè la probabilità che un dato prodotto AV rimuova una specifica infezione) non ci sono numeri storici che sarebbero effettivamente esaminati per quanto ne so, se ci fosse un collegamento sarebbe un buon aggiornare :)
#3
+34
schroeder
2012-11-19 21:16:34 UTC
view on stackexchange narkive permalink

Puoi bere tutto l'antivirus del vino rosso che vuoi provare per prevenire il cancro, ma una volta che hai quel primo tumore, bere di più non aiuterà. Devi eliminarlo e assicurarti di averlo tutto, perché se non lo fai tornerà di nuovo.

Una volta che sei stato infettato da un virus, i sintomi evidenti sono un fastidio, ma è quello che non puoi vedere dove si trova il vero pericolo. Backdoor, rootkit e botnet possono nascondersi senza alcuna indicazione che ci sia qualcosa di sbagliato. A volte i pericoli nascosti sono combinati con pericoli evidenti, quindi ti senti sicuro una volta che i sintomi evidenti sono scomparsi, ma l'ovvio è una distrazione dal nascosto.

Una volta che sai di essere stato infettato, non lo sai fino a che punto arriva l'infezione e non sapere ciò significa che non sai cosa è a rischio. La linea d'azione più elementare è quella di bombardarlo dall'orbita. In questo modo sai dove ti trovi e qual è il tuo rischio, anche se ricominciare da capo costa un costo significativo.

La tua analogia con il cancro non regge bene. "Nuke it from orbit" corrisponde a "sparare alla vittima del cancro e iniziare con il suo clone più recente", non la soluzione generalmente preferita.
@CodesInChaos, che dipende interamente dall'utente in questione. ;)
Resiste bene. Non possiamo sostituire tutte le cellule di un corpo umano, ma vorremmo poterlo fare. Il cancro non è mai "curato", è "sopravvissuto" perché non possiamo mai essere sicuri che tutte le cellule tumorali vengano rimosse. Con un computer, abbiamo la capacità di sostituire tutte le cellule per garantire che tutti gli elementi maligni non siano più un fattore.
Direi iodio piuttosto che vino rosso, ma mi piace l'analogia con il cancro. La necessità di tagliarlo fuori dalla rete funziona abbastanza bene.
#4
+20
Mark Allen
2012-11-20 01:16:26 UTC
view on stackexchange narkive permalink

È facile : termina la citazione nella tua domanda, da Aliens.

È l'unico modo per esserne sicuri.

Questo è davvero tutto quello che c'è da fare. Niente di più, niente di meno. Fagli sapere che se esegui il software AV su di esso e il software dice di aver trovato e rimosso il virus, allora forse stanno bene. Può essere. Se il virus è stato davvero rimosso. Se quello fosse davvero l'unico virus.

Per rispondere a ciò che qualcun altro ha pubblicato su "Come salvare i dati utente dalla macchina", la risposta è che non lo fai. "DECOLLA E SFUOTA L'INTERO SITO DA ORBIT" Ciò significa che ripristini dal backup e loro perdono tutto ciò che non è stato sottoposto a backup. Non è la cosa facile da fare, è la cosa giusta da fare.

Perché è l'unico modo per esserne sicuri .

Aspetta un secondo. Questa installazione ha un notevole valore in dollari ad essa collegata.
Li posso fatturare!
#5
+14
Thomas Pornin
2012-11-19 21:48:35 UTC
view on stackexchange narkive permalink

Prova le spie. L'ultima opera di James Bond sembra fare milioni di voci, quindi la folla in generale è, per ora , ricettiva alle storie di spionaggio. Spiega che una volta che le persone inaffidabili / ostili sono al comando (questa è la configurazione "compromessa"), non c'è modo di recuperare la sicurezza adeguata chiedendo loro di farlo ; eppure, questo è ciò che significa eseguire un AV su una macchina infetta. Le reti di spie in tutto il mondo sono sempre state seggregate in celle autonome proprio in modo che le parti marce possano essere recise. Una volta che un agente è stato sovvertito, puoi forse ribaltarlo indietro, ma non ti fiderai mai più di lui.

Per rendere la dimostrazione più completa, parla di firmware della tastiera infetti, che evidenzia la necessità di mettere veramente a fuoco la macchina. Riutilizzare l'hardware, anche dopo un wipeout, è rischioso. Pertanto , i manager / utenti dovrebbero sentirsi grati per il fatto che accettiamo di non fare la pulizia completa e limitarci a nuotare logico , non fisico. Fai in modo che si tratti già di un grave compromesso da parte tua.

Sebbene questo sia un buon modo per metterlo da una prospettiva letteraria, temo che una tale spiegazione lascerebbe sbalorditi la maggior parte dei quadri intermedi da un punto di vista completamente diverso.
Sai se Apple ha fatto qualcosa per l'hackeraggio del firmware della tastiera o se è stato visto in natura?
Non sono a conoscenza di nulla fatto contro di esso, o di alcun avvistamento in natura. Ma questo non prova molto ...
-1
#6
+13
mgjk
2012-11-20 00:08:40 UTC
view on stackexchange narkive permalink

Per essere l'avvocato del diavolo, la direzione ha sentito tutto questo. La sicurezza è la gestione del rischio e devono prendere la decisione. Ricorda loro gli strumenti.

  Rischio = Probabilità di occorrenza X impatto di occorrenza  

100% di possibilità di tempi di inattività della produzione durante la ricostruzione e costi di ricostruzione rispetto allo 0,01% di possibilità di eventi dannosi software o backdoor rimanenti nel sistema.

Chi controllerebbe le backdoor? Criminali informatici che commettono crimini seriali dalla Cina, dalla Russia o dall'Europa orientale. A cosa avrebbero accesso? dati di sistema, condivisioni di file, sniffer della tastiera, microfoni, fotocamere, ecc. Per quanto potrebbero vendere quelle informazioni? Per quanto tempo potrebbero non essere rilevati?

Cosa significa questo per la macchina in questione e le informazioni su di essa?

Quindi fornisci la tua valutazione del target (utilizzando le tue informazioni limitate), e lascia che siano loro a prendere la decisione. Conoscono le finanze e hanno una visione più chiara del vero valore del bersaglio.

Ci sono molti altri vettori per l'attacco. Dipendenti scontenti, appaltatori e le loro apparecchiature, backdoor in software legittimo, sistemi di sicurezza configurati in modo errato, unità non crittografate, ecc. È un mondo imperfetto. Il tempo e il denaro spesi per la ristrutturazione potrebbero essere spesi meglio altrove, come correggere la politica delle password, rafforzare i server di posta elettronica, migliorare i backup, ecc.

#7
+6
tylerl
2012-11-20 00:05:08 UTC
view on stackexchange narkive permalink

Dal punto di vista del tecnico, hai sicuramente ragione. Ma il CEO non sta guardando questo dal punto di vista del tecnico. Quindi devi esprimere l'argomento in termini che abbiano senso per lui.

Nessuna soluzione è assolutamente efficace al 100%. Nemmeno "bombardarlo dall'orbita". Quello che ottieni sono le probabilità. Mettilo su una tabella costi-benefici e stai parlando un linguaggio che il CEO può capire: (i numeri qui sono solo esempi)

  • Quindi, se pulisco da solo il malware evidente, allora il costo è il più basso (1 ora di manodopera / tempo di inattività) e forse quel 20% effettivo (l'80% delle volte, l'attaccante tornerà rapidamente).

  • Se pulisco l'ovvio malware e dedica più tempo a esaminare i file modificati nelle ultime 48 ore, quindi ottengo una maggiore percentuale di successo e un costo maggiore: 6 ore di manodopera / inattività, 60% di percentuale di successo

  • Forse se faccio tutto quanto sopra e reinstallo tutti i pacchetti di sistema (ad esempio sui sistemi RH: yum reinstall openssh-server ecc.), allora il costo e le percentuali di successo vanno più alto: 12 ore di manodopera / tempo di inattività, percentuale di successo del 95%

  • Se eseguo tutto quanto sopra, più dedico più tempo a controllare / rimuovere i file in / bin, / sbin / ecc., che non sono di proprietà di alcun pacchetto, quindi forse questo aggiunge altre 4 ore e mi dà un 3% di punti extra sulla mia percentuale di successo.

  • Infine, se lo "spingo dall'orbita", ottengo il più alto costo e tasso di successo: 48 ore di lavoro / tempo di inattività, percentuale di successo del 99,995%

Da lì, calcoliamo quanto costa ogni ora di lavoro / tempo di inattività, oltre a aggiungere il costo per incidente di ogni exploit, e iniziamo a farci un'idea di quale soluzione probabilmente costerà di meno / di più a lungo termine. E ora è una semplice decisione aziendale. I CEO sono bravi in ​​questo.

Naturalmente, le soluzioni elencate sopra presumono un ambiente * NIX, ma potresti trovare un elenco simile per i sistemi Windows. Assicurati di inserire AV come opzione con una percentuale di successo associata realistica .

Ecco il problema: le probabilità sono difficili da trovare. A meno che tu non abbia fatto o visto molte di queste soluzioni a metà strada, probabilmente non hai alcuna base per andare avanti. Inoltre, convincere un professionista della sicurezza ad accettare la soluzione 3 di cui sopra quando sa che sta specificatamente ignorando alcune minacce potenzialmente gravi sarà una vendita difficile.

Ma la decisione e il rischio sono responsabilità del CEO, non del professionista della sicurezza. Potrebbe decidere di optare per un'opzione meno sicura, ma fintanto che sa quali rischi sta correndo , dovrebbe essere libero di farlo.

Il vero problema è che quando il CEO decide qualcosa di meno che bombardare dall'orbita e l'infezione finisce per sopravvivere e fare gravi danni, la causa rischia di girarsi e dire che poiché l'opzione fatta è stata efficace al 95% e ha fallito quel 95% di la colpa va all'amministratore di sistema che ha effettuato il recupero e poiché qualcuno deve essere licenziato come capro espiatorio per il fiasco, dovrebbe ovviamente essere la persona che non è riuscita a pulire con successo l'infezione.
@DanNeely Questo è sicuramente il genere di cose di cui ti aspetteresti di preoccuparti. Ma fintanto che tutto è adeguatamente spiegato e documentato, non dovrebbe esserlo. Se acquisti un prodotto con una percentuale di difetti documentata del 2% nel tuo contratto, non puoi imputare il 98% della colpa dei difetti al produttore. È al 100% il decisore. Se ti trovi in ​​un luogo di lavoro in cui questo è un problema, dovresti semplicemente (a) rifiutarti categoricamente di fare ciò che il CEO ti dice di fare e / o (b) trovare un nuovo lavoro.
* `yum reinstall openssh-server` ecc * dipende dalla tua capacità di fidarti di` yum` per fare quello che dovrebbe. Fai?
@MichaelKjörling tipicamente, sì. Ancora una volta, stiamo giocando su probabilità e medie. ssh / sshd sono * frequentemente * sottoposti a trojan, così come coreutils incluso md5sum. Ma finora sulle migliaia di sistemi hackerati che ho esaminato, non hanno trojan yum, python o rpm. Non è impossibile, semplicemente non è (ancora) popolare.
#8
+3
GdD
2012-11-19 20:14:55 UTC
view on stackexchange narkive permalink

È difficile. Devi usare concetti che la persona media capirà e trovare un modo per fargli interessare. Vorrei usare virus biologici e come funzionano per spiegare come funzionano i virus informatici perché è qualcosa con cui tutti hanno esperienza e ha il potenziale per convincere l'utente a essere "comprensivo" della situazione del computer.

Un virus biologico sovverte una cellula, facendole fare ciò che vuole il virus. Il virus diventa essenzialmente uno zombi. Non puoi fidarti che la cellula faccia quello che dovrebbe fare, e non puoi fermare la cellula infettata da virus e renderla di nuovo normale, il meccanismo è stato preso così a fondo che puoi solo ucciderlo.

I vecchi virus informatici non imitavano molto da vicino i virus biologici. Il loro livello di sofisticazione era tale che erano in grado di fare alcune cose, ma non di infettare i sistemi al livello che non potevano essere rimossi. La loro sopravvivenza dipendeva più dalla mancanza di un AV nel sistema.

Ora i virus informatici imitano quelli biologici molto più da vicino, sono in grado di sovvertire un sistema così completamente che non puoi mai essere sicuro che siano chiari. Potrebbe dire che è chiaro, ma il virus ha il controllo così totale che può impedire a un AV di rilevarlo. Il computer è come una cellula zombie e l'unico modo per impedire la diffusione del virus è ucciderlo.

#9
+3
Mike Samuel
2012-11-19 21:38:12 UTC
view on stackexchange narkive permalink

Immagina di vivere in un film dell'orrore. Il tuo fidanzato o fidanzata (a seconda del caso) è stato maledetto da una strega e ora sta vomitando vomito proiettile mentre girava la testa in modo innaturale.

Tu, come esorcista e chirurgo cerebrale dilettante, hai due opzioni:

  1. Scaccia i demoni totalmente e riporta l'anima della tua amata alla proprietà del loro corpo.
  2. Prova un intervento chirurgico al cervello lungo giorni e delicato su un corpo soprannaturalmente forte e pericoloso che lo farà combatti ogni tuo tentativo.

L'opzione 1 è semplice, economica e funziona (nei film dell'orrore).

L'opzione 2 richiede team di medici altamente qualificati e costosi e probabilmente non funzionerà perché non puoi anestetizzare i demoni.


Il ripristino del software dal backup è analogo all'opzione 1 e, a differenza dell'esorcismo, funziona IRL.

L'opzione 2 è analoga all'impiego di amministratori di sistema per controllare i binari del programma, i file di dati e le configurazioni rispetto a una buona copia nota che avrebbero potuto installare sulla macchina in primo luogo.

Penso che tu abbia frainteso. Posso fornire una spiegazione tecnica benissimo, ma sto cercando un modo per spiegarla a un utente o manager non tecnico. Inoltre, 100 MB non sono niente in confronto a una tipica installazione del sistema operativo in questi giorni: stai guardando decine di gigabyte per Windows 7 o 8.
@Polynomial, questo è stato il mio tentativo di fornire una spiegazione a un livello di dettaglio che potrebbe essere compreso da utenti non tecnici. Sì, 100's of MBs è un'installazione snella per un sistema operativo rivolto agli utenti in questi giorni. Molti server per scopi speciali, tuttavia, eseguono ancora sistemi operativi più sottili.
@Polynomial si prega di vedere le mie modifiche.
Personalmente avrei messo un'inclinazione da zombi su questo: se un compagno sopravvissuto viene morso, a) applichi il primo soccorso e lascia che lo scrollino di dosso, oppure b) lo uccidi proprio lì per evitare che danneggino qualcun altro e poi bruciare il loro cadavere?
@user3490, Penso che le persone prenderanno la prima opzione.
#10
+3
dr jimbob
2012-11-20 02:10:33 UTC
view on stackexchange narkive permalink

Vale la pena sottolineare che di solito va bene trasferire dati preziosi non eseguibili ( senza backup recente ) da un macchina, prima di nuotare dall'orbita (pulire il disco rigido, reinstallare il sistema operativo da una fonte sicura). Cose come documenti in chiaro (ad esempio, manoscritto in lattice o codice sorgente) o file multimediali importanti (ad esempio, immagini di vacanze in famiglia) possono valere la pena di essere recuperati se non c'è un backup recente. Tuttavia, è necessario sospettare che il virus consenta a un utente malintenzionato di avere il pieno controllo del sistema infetto e che potrebbe aver modificato i dati. Ciò potrebbe includere l'introduzione di backdoor nel codice sorgente, la creazione di propri utenti amministratore nei database, l'alterazione dei file di configurazione in modo che il sistema si trovi in ​​una configurazione debole che possa essere attaccata di nuovo, ecc. (Leggerei tutto il codice sorgente con un pettine per assicurarsi che non siano state apportate modifiche sottili - e questo solo se non è critico per la sicurezza). Fai anche attenzione ad alcuni file multimediali che potenzialmente contengono virus, ad esempio, documenti di MS Office con virus macro (in questo caso, meglio esportare la copia del contenuto di testo dal .doc / .xls in un file di testo semplice dal sistema infetto quando non è connesso a nulla). Prestare attenzione anche a trasferire i dati dalla macchina infetta (per non reinfettare l'altra macchina); ad esempio, probabilmente farei qualcosa come avviare un live cd di Linux, montare il disco rigido infetto con -noexec, connettersi a Internet e copiare selettivamente file importanti e, se possibile, provare a confrontarli con il backup più recente.

Il motivo per il lancio di armi nucleari dall'orbita è l'unico modo in cui puoi avere la certezza di usare di nuovo quel computer in sicurezza. Il software antivirus funziona identificando il malware noto e come tale non può farlo con una precisione del 100% (e il software antivirus in esecuzione su un computer infetto potrebbe essere stato manomesso dal virus, riducendo significativamente le sue possibilità di rimuovere completamente il virus). Ricominciare da un punto sicuro significa che i tuoi dati preziosi non verranno rubati o dovrai ripetere il processo di nuovo in una settimana (possibilmente su più PC man mano che l'infezione si diffonde). La reinstallazione può essere automatizzata e richiede meno di un giorno; all'incirca un tempo equivalente per eseguire una scansione antivirus completa che non ha alcuna garanzia di efficacia. Se il tempo di inattività è un problema, è necessaria una ridondanza nella quantità di risorse di elaborazione disponibili per l'organizzazione.

E poi ci sono i caratteri / immagini / ... che causano attacchi di sovraccarico del buffer nei visualizzatori oi PDF che escono dai visualizzatori: non puoi mai essere sicuro se il sistema non è stato colpito da un 0-day mirato causato da qualche file di dati.
@MartinSchröder - Sono d'accordo che i PDF (come * .doc) sono pericolosi in quanto non sono semplici testi in chiaro, ma spesso eseguono automaticamente script incorporati. Non sono d'accordo con le immagini che saranno generalmente sicure se viste da spettatori maturi. In linea di principio, i visualizzatori di immagini potrebbero essere suscettibili ad attacchi di buffer overflow, ma solo se scritti male [(ad esempio, linguaggio non sicuro con librerie non sicure che non controllano mai i limiti)] (http://en.wikipedia.org/wiki/Buffer_overflow#Protective_countermeasures ). Navigherò sul web e visualizzerò tutte le immagini presentate senza pericolo di virus (a differenza di pdf / doc).
Mi chiedo se i file .txt possano essere infettati anche facendo una sorta di overflow del buffer Unicode.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...