Vlákno názorů k článku
Falešná stránka 7Zip šířila škodlivý kód pro Windows
od starobrno - A *zase* dalsi bezpecnostni problem, ktery by pravdepodobne...
-
To vam nepomuze.
Maji podepsane aplikace.. a to vam taky problem neresi.
Maji store ... a taky tam muzete dostat malware.
Uplne stejne, jako v jakemkoliv balickovacim systemu, ktery ma byt realne pouzitelny a ne pod tak striktni kontrolou jakou ma napr. Apple.
To, ze to Applu napr funguje a dokaze ukocirovat - je jenom diky tomu ze muze forcnout revokaci a odinstalaci aplikaci. Sice se o to snazil taky microsoft, ale dopadlo to tak jako vzdy .. featura byla zneuzita a useri prisli o uzitecne tooly, protoze se nekomu neco nezdalo.
A pokud vim, tak zadny balickovaci system v linuxech neumi odstranit balicek na zaklade pozadavu z distribuce balicku (max by slo provest volitelny upgrade, napr na prazdny payload). Opravte me, pokud se mylim.
-
Ondra Satai NekolaZlatý podporovatelOno to problem neresi... ale resi. Neresi to stoprocentne, ale resi to docela dost.
-
V debianu(deb/apt) by teoreticky šlo mít nějaký balík, třeba součást základního systému, který by definoval klíčová slova Conflicts/Breaks/Replaces, a ty by obsahovala názvy balíků, které se mají takto odebrat. Ale nezkoušel jsem, jak se to zachová, možná to ani nebude fungovat.
Ale taky by mě zajímalo, jestli neexistuje něco lepšího. -
Bohuzel, na widlich je situace takova, ze BFU winget typicky nezna a instaluje programy starou metodou:
1. Otevre webovy prohlizec
2. Do vyhledavace zada 7zip
3. Protoze pravdepodobne nezna spravnou domenu, otevre 1. odkaz, kde v nekterych skvelych prohlizecich jako Google Chrome to muze byt uplne spatna domena, uz se to myslim na rootu resilo
4. Stahne .exe ktery otevre a klika next, next, next, next, next, next, nextBFU absolutne neresi nejaky kontrolni soucty a podpisy.
Balickovaci systemy nejsou idealni, taky se tam da propasovat malware, ale porad je ta situace o hodne bezpecnejsi nez na Widlich, si myslim.
Ale mozna se pletu. -
vam asi Windows Store nic nerika co?
(jasne ze ne, protoze to funguje je na secure bootu a s TPM myslim, a kdyz mate nepodporovany hw, a smelite to rufusem, tak to pak je rozbity)Zajimavy ze 7-zip je tam skrze Tencent, a dostupny jenom v Cine.
Zrejme si rudi cmoudi musi cinknout appku po svem :Dhttps://apps.microsoft.com/detail/xpdm3x7fl84x2k?hl=en-us&gl=CN
-
Řekl bych, že to není jen problém u BFU. Jak chcete dnes poznat, co je legitimní stránka, když vám někdo řekne, "stáhni si software X pro windows", o kterém jste do té doby neslyšeli? Pokud vím, mít kontrolní součty není na windows běžná věc, ani tam dlouho nebyla snadná metoda jak je ověřit, i kdyby je někdo zveřejnil. A kde je vezmete, na té samé (falešné) stránce odkud stahujete?
Jediná možnost je pak snažit si ověřit z několika zdrojů, že jdete správně, což nemusí být triviální, jak vidíme na tomto příkladu.Na druhou stranu, čekal bych, že minimálně MS Defender zareaguje, když stáhnete něco "nakaženého", nebo k čemu tam vlastně v těch widlích je, když to nedělá?
-
Co ti pomoze kontrolny sucet na falosnej stranke? Ved predsa utocnik si tam da sucet tak aby pasoval na tu zavirenu verziu.
Centralizovany balickovaci system vo vysledku neriesi nic, iba centralizuje, vid napriklad viacere utoky na niektore vcelku pouzivane kniznice:
npm: event-stream, eslint-scope,
nuget: Moq,
PyPI - viacero pripadov depencency confusion - vydavanie balickov s rovnakym menom s vyssou verziou,
apt - xz utils.Ci mi chces povedat ze ked na linuxe ides nieco stiahnut/naisntalovat/updatnut, tak prehladas polku internetu aby si si overil ze nikde nie je co i len najmensia zmienka o tom ze dany balicek moze byt rignuty?
