Citiraj:
Autor domy_os
Ring 0 obuhvaća kernel odnosno samu jezgru Windowsa zajedno s driverima i trojanac ili bilo kakva druga štetočina koja za upad u sustav iskorištava neki driver/kernel file, može ti nanijeti štetu, ako nemaš ring 0 firewall.
Postoji još ring 1, 2 i 3. Za ring 1 i 2 nisam u potpunosti siguran što obuhvaćaju, znam samo da su, između ostalog, servisi i pitanju. Ring 3 se odnosi samo na aplikacijsku razinu i zbog toga je najslabija karika u lancu kad je u pitanju zaštita. Ako imaš ring 3 firewall, a pokupiš ring 0/1/2 štetočinu, bit će veselja jer ring 3 firewall štiti samo izvršne aplikacije.
|
Malo si se zapetljao u silnim ringovima, no ono sto ti mogu reci je da s Windowsima na takvo nesto mozes slobodno zaboraviti. Zasto?
Problem lezi u tome sto tzv. "personal firewall" koji koriste end useri u Windowsima ima zadacu sprijeciti promet "zlocestih" programa. Osnovni problem je blesavoca instaliranja aplikacija u Windowsima, u koji mozes zapakirati atomsku bombu velicine Nevade i da je nitko ne primjeti.
No drugi, puno veci problem, je nacin na koji Windowsi rade, tj. zasto je prakticki nemoguce to sto ti hoces. Naime, pojednostavljeno, sav mrezni promet na Windowsima se odvija otprilike ovako:
Virtual sex with Lola (ili neka druga tebi draga aplikacija koja ima potrebu za slanjem podataka preko mreze) -> Winsock -> API shim -> driveri -> NIC.
Gdje je problem? Pa u tome sto bi, u slucaju da zelis pozicionirati firewall prije drivera, morao napisati vlastite Winsock libraryje i slicne perverzije, sto, priznat ces, nitko nema motiva ni zelje ako se radi o "personal firewallu" (duboko sumnjam da ce se takvo sto ikada i promijeniti, no...). No sve i da napravis to, problem lezi i u cinjenici da u Windowsima, za razliku od (donekle) normalnih operativnih sustava koji dozvoljavaju samo privilegiranim procesima (root, SUID...) da dodaju shimove ili prtljaju po hardveru/driverima, bilo koji kod moze napraviti sranja po zelji bez da se ikoga ista pita. Stoga bi tvoj dovitljivi trojanac ili neki drugi maliciozni kod opet mogao, uz vlastiti TCP state machine, "preskociti" firewall i zadati ti eventualne glavobolje.
Ali opet, koliko god ovo izgledalo "kriticno", zaista treba biti specijalac da na obicnom kucnom racunalu poberes nekakav trojan ili slicnu kenju, sigurnosnim rupama unatoc. Naravno, ovo vrijedi za korisnika koji ne klikce na pop up na kojem pise "You have just won 100000$!", jel...