Kaspersky IS - zaupanje?

ngc2392

Guru
4. okt 2007
2.172
512
113
kranj
To sem tudi jaz študiral da bi lahko bil prirejeni "firmware" na ruterju recimo.

Ni to neka draga zadeva da bi jo proizvajalec redno posodabljal.

Sem tudi poizkusil na novo dat gor firmware. Samo mislim da ni bilo nekakšnega efekta.
firmware običajno popravlja napake...in morebiti tudi kakšne varnostne popravke. ni nujno nekaj takega, da bi opazil razlike. običajno je dovolj, da imaš zadnji popravek. pa morda nastaviš, da lahko prideš na router samo z določene naprave (če sumiš lastno mašino, potem nastaviš ip od enega drugega domačega računalnika recimo...).
 

philips

Guru
Osebje foruma
Administrator
17. avg 2007
9.837
666
113
To sem tudi jaz študiral da bi lahko bil prirejeni "firmware" na ruterju recimo.

Ni to neka draga zadeva da bi jo proizvajalec redno posodabljal.

Sem tudi poizkusil na novo dat gor firmware. Samo mislim da ni bilo nekakšnega efekta.
Pri firmware napadih gre večinoma za direktno periferijo, torej GPU, mrežna, programabilne miške/tipkovnice, razne druge USB naprave in ključki.

Primer: https://en.wikipedia.org/wiki/BadUSB
 

AndrejD

Guru
20. jul 2007
7.206
1.372
113
Hmm. Bom poskusil preverit.

Drugače pa mi je ta video dal malo za mislit:

Sem šel malo brskat po registru in našel cel kup japonskih/kitajskih/korejskih črk, ki sem jih kratkomalo zbrisal poleg pa tudi nekaj legitmnih programov:
UrpanVPN
Brave
Tor
itd...

Od kje so prišli ne vem.Jih pa sedaj več ni.

Sicer so exe bili preimenovani in posledično nisem bil pozoren v task managerju.


Hja bo kot kaže potrebno naredit fresh nov install.
 

AndrejD

Guru
20. jul 2007
7.206
1.372
113
Vsa zadeva pa ni bila brez posledic, kot kaže je bil del nekje v boot-u saj mi je po restartu kratko malo javil bsod da ne najde nekaj v boot-u.
Sem imel nekaj dela ampak sem spet v winsih. In čakam da se zadeva ponovi ali pa ne.
Nov install bo še moral malo počakati.

Tiste "hieroglife" pa sem dal v google translate pa ni najdel nobenega jezika iz katerega zna prevajati. Poskusil tudi ročno brez uspeha.
Tako da kot kaže ni kitajsko, korejsko, japonsko... ampak nekaj drugega.

Nekako bi razumel da bi to nekdo delal v času ko sem imel dostop do zelo hitrega interneta (1000/1000), ko so vsi meli 1 ali 10.
Ampak v današnjem času ? Ko je to nekak standard pa mi ni jasno zakaj.
 

jtfc

Guru
Izključen uporabnik
24. jul 2007
19.994
2.718
113
Jaz ga imam še zmeraj..... ne panicarim spljoh.
 

AndrejD

Guru
20. jul 2007
7.206
1.372
113

Sicer 45gb fajl samo gesla so kot kaze prava.

Sem ze spremenil gesla, ceprav mi ni jasno kako so prisli do gesla od ruterja. Verjetno preko kaksne znane luknje...

Nic bo treba nekaj novejsega nabavit.
 

erikson

Guru
25. avg 2007
22.272
6.103
113
Pa je bilo geslo tako kompleksno, da ni možno, da bi ga uporabljal tudi kdo drug?
 

AndrejD

Guru
20. jul 2007
7.206
1.372
113
Pa je bilo geslo tako kompleksno, da ni možno, da bi ga uporabljal tudi kdo drug?
Mocno dvomim da ima kdo taksna gesla kot jaz, vendar nikoli ne ves.

Sicer pa tega ni bilo tezko dobit ce imajo dostop do rač...

Vprašanje je samo kje so not prišli, in kdo, ter zakaj.

Logi so namreč "čudežno" izignili. Moram preverit če je kje kak skrit log...
 

Gonzo

Guru
1. sep 2007
9.305
9.514
113
EU
Kasperski me vse bolj nervira. Odpre okno za eno datoteko, potem ne da možnosti "ignore", ampak samo "delete" in "block". Okna sploh noče zapreti, brez restarta Winzov.
Izklopil sem možnost pregledovanja datotek na disku, dokler še lahko.

 

AndrejD

Guru
20. jul 2007
7.206
1.372
113
 

Ytbnd

Guru
2. mar 2010
16.786
5.917
113
Vsi av-ji, ki delujejo z ring 0 privilegiji lahko povzročijo bsod, oz sesujejo linux kernel.

Če bi kdo rad preizkusil zadnji kos programske opreme, ki je danes delala bsod reklamo
15 dnevni free trial

EDR/XDR
 

Ytbnd

Guru
2. mar 2010
16.786
5.917
113
Crownstrike tudi na linuxu dela težave

Crowdstrike did this to our production linux fleet back on April 19th, and I've been dying to rant about it.
The short version was: we're a civic tech lab, so we have a bunch of different production websites made at different times on different infrastructure. We run Crowdstrike provided by our enterprise. Crowdstrike pushed an update on a Friday evening that was incompatible with up-to-date Debian stable. So we patched Debian as usual, everything was fine for a week, and then all of our servers across multiple websites and cloud hosts simultaneously hard crashed and refused to boot.

Priporočila:
- Make sure you're running in user mode (eBPF) instead of kernel mode (kernel module), since it has less ability to crash the kernel. This became the default in the latest versions and they say it now offers equivalent protection.




Crowdstrike took a day to respond, and then asked for a bunch more proof (beyond the above) that it was their fault. They acknowledged the bug a day later, and weeks later had a root cause analysis that they didn't cover our scenario (Debian stable running version n-1, I think, which is a supported configuration) in their test matrix. In our own post mortem there was no real ability to prevent the same thing from happening again -- "we push software to your machines any time we want, whether or not it's urgent, without testing it" seems to be core to the model, particularly if you're a small IT part of a large enterprise. What they're selling to the enterprise is exactly that they'll do that.