Здравствуйте, ДимДимыч, Вы писали:
RO>>Линукс скорее тем защищен, что его мало. Защита «Неуловимый Джо™». Будет больше Линукса, и вирусы будут писать активнее. В чем разница, iloveyou.exe или iloveyou.sh в почтовом вложении?
ДД>Например тем, что вряд ли сохраненное вложение сразу будет иметь права на исполнение. Т.е. чтоб его запустить, нужно выполнить некоторые действия. ДД>Кроме того, в грамотно установленной системе это iloveyou.sh не сможет себя записать туда, где сможет выполняться. А там, куда сможет записаться, не сможет выполниться.
В грамотно установленной/настроенной системе любой вирус может записать себя в ~ и сделать так, чтобы он запускался от имени этого юзера при входе в систему. Этого хватит для ботнета.
Здравствуйте, misha_irpen, Вы писали:
_>Интересно, как тутошняя общественность относится к идее административной ответственности юзера за принадлежность его системы к бот-сети? Есть ведь такая отвественность за насанкционированную электромагнитную активность (даже не преднамеренную), чем же интернет хуже?
Рассмотрим ситуацию.
У вас грипп и вы пошли на работу. Сели в автобус и разумеется подвергли атаке иммунитет находящихся там людей своими вирусами. И это разумеется не преднамеренно (хотя с другой стороны вы ведь знали что у вас грип).
Здравствуйте, alpha21264, Вы писали:
A>И чего только люди не делают, лишь бы Линукс не учить...\
Просил же! По-человечески просил не начинать.
P.S. Вот за это вас не любят. А заодно и всю вашу систему вместе с программами. Не учите нас жить и мы не будем говорить куда вам с вашими лялихами идти...
Здравствуйте, Roman Odaisky, Вы писали:
E>>3) Я бы ещё вкладывался в бесплатные антивири и раздавал их всем желающим... RO>Наверное, единственное действенное решение.
Это как бесплатная раздача презервативов и шприцов -- упреждающая попытка борьбы с последствиями, а не с самой болезнью.
Здравствуйте, arabo_xv, Вы писали:
_>>Интересно, как тутошняя общественность относится к идее административной ответственности юзера за принадлежность его системы к бот-сети? Есть ведь такая отвественность за насанкционированную электромагнитную активность (даже не преднамеренную), чем же интернет хуже?
_>Рассмотрим ситуацию. _>У вас грипп и вы пошли на работу. Сели в автобус и разумеется подвергли атаке иммунитет находящихся там людей своими вирусами. И это разумеется не преднамеренно (хотя с другой стороны вы ведь знали что у вас грип). _>Исходя из вашей логики вас надо судить
Да, надо. Но в первую очередь осудить надо будет моего работодателя, который заставил (явно или неявно) меня выйти на работу с гриппом, но это к сабжу уже не относится.
Здравствуйте, Roman Odaisky, Вы писали:
RO>В грамотно установленной/настроенной системе любой вирус может записать себя в ~ и сделать так, чтобы он запускался от имени этого юзера при входе в систему. Этого хватит для ботнета.
В грамотно установленной/настроенной системе /home находится на файловой системе с noexec.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
Здравствуйте, Roman Odaisky, Вы писали:
RO>В грамотно установленной/настроенной системе любой вирус может записать себя в ~ и сделать так, чтобы он запускался от имени этого юзера при входе в систему. Этого хватит для ботнета.
Далее. Кроме ~ есть другие места, куда в современных системах с большой вероятностью можно записаться и выполниться, например, /tmp. С этим тоже есть спосособы борьбы: кроме упомянутого noexec можно вообще в /tmp монтировать tmpfs, так что после перезагрузки запускаться будет нечему. Насколько это будет приемлимо и совместимо с существующим ПО — я, например, не знаю. Можно придумать еще более экзотические способы, например записать себя в виде .so-плагина куда-нибудь в более-менее распространенную ~/.<program>/plugins/ и т.п. Метод борьбы — следование программами unix way, т.е. если пользователь явно не разрешил загрузку плагина, то приложение его игнорирует. Но опять же, выполняемый malware может "включить" этот плагин модификацией конфигурационного файла программы. Так что панацеи от последствий заражения не существует, ни под win, ни под lin.
Но мы сейчас рассматриваем проблему не с того конца. Меня больше интересует другой вопрос: каким образом инициируется запуск iloveyou.(exe|sh) во вложении? Я вижу такие варианты:
1) Уязвимость MUA, когда вложение выполняется в процессе загрузки или отображения письма. Единственный на моей памяти случай — уязвимость в Outlook, которую даже по майкрософтовским меркам довольно быстро исправили. И лично я сомневаюсь в случайности появления этой уязвимости.
2) Неосознанный запуск malware пользователем. Действительно, при выключенном показе расширения "зарегистрированных типов файлов" файлы readme.doc и readme.exe с MAINICON как у вордовского документа, с точки зрения пользователя неотличимы. Надавал бы как минимум по рукам тому человеку, который в винде допустил эту настройку включенной по умолчанию. Unix в этом случае в более выгодной ситуации: способность файла выполняться зависит не от его имени, а то аттрибутов. И вряд ли какой разработчик MUA в здравом уме допустит сохранение вложения с аттрибутом выполнения.
3) Осознанное выполнение malware. Тут уж никакие pre-defined меры не помогут, ни в win, ни в lin. Особенно если пользователь является и администратором своей машины. ССЗБ, как говориться. Тут уж может вступать в действие и firewall, и другие способы.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
Здравствуйте, ДимДимыч, Вы писали:
RO>>В грамотно установленной/настроенной системе любой вирус может записать себя в ~ и сделать так, чтобы он запускался от имени этого юзера при входе в систему. Этого хватит для ботнета.
ДД>В грамотно установленной/настроенной системе /home находится на файловой системе с noexec.
Здравствуйте, ДимДимыч, Вы писали:
ДД>Но мы сейчас рассматриваем проблему не с того конца. Меня больше интересует другой вопрос: каким образом инициируется запуск iloveyou.(exe|sh) во вложении?
Никаким. Но разве мало других способов хитростью заставить юзера выполнить вредоносный код?
Здравствуйте, ДимДимыч, Вы писали:
ДД>Здравствуйте, Roman Odaisky, Вы писали:
RO>>Линукс скорее тем защищен, что его мало. Защита «Неуловимый Джо™». Будет больше Линукса, и вирусы будут писать активнее. В чем разница, iloveyou.exe или iloveyou.sh в почтовом вложении?
ДД>Например тем, что вряд ли сохраненное вложение сразу будет иметь права на исполнение. Т.е. чтоб его запустить, нужно выполнить некоторые действия. ДД>Кроме того, в грамотно установленной системе это iloveyou.sh не сможет себя записать туда, где сможет выполняться. А там, куда сможет записаться, не сможет выполниться.
Константин Б. однажды (20 декабря 2007 [Четверг] 10:33) писал:
> ДД>Кроме того, в грамотно установленной системе это iloveyou.sh не сможет себя записать туда, где сможет выполняться. А там, куда сможет записаться, не сможет выполниться. > iloveyou.sh.tar.gz ?
Здравствуйте, Sheridan, Вы писали:
S>Константин Б. однажды (20 декабря 2007 [Четверг] 10:33) писал:
>> ДД>Кроме того, в грамотно установленной системе это iloveyou.sh не сможет себя записать туда, где сможет выполняться. А там, куда сможет записаться, не сможет выполниться. >> iloveyou.sh.tar.gz ?
S>угу, огурцы вилками банка майонеза
Ну для непонятливых объясню.
Приходит по почте письмо "Смотри какая хрень!" с атачем. Дабл-клик на атаче, дабл-клик на файле... Т.к. tar сохраняет атрибуты распаковыается оно с атрибутом исполнения. Все темное дело сделано.
Здравствуйте, Eugeny__, Вы писали:
E__>Самая большая дыра в этой логике в том, что пользователь может быть не виноват в заражении. Совсем. Не обязательно запускать файлик "сиськи.ехе" из письма от хрен знает кого, чтобы подхватить вирус. Многие распространяются через уязвимости. Предложите отвестственность переложить на создателей ПО? Знаете, куда вас пошлет та же МС?
Ну, во-первых, эксплуатация уязвимости — это буквально 1-2% случаев распространения эпидемий, но и тут по идее сложного ничего быть не должно. Просто опять-таки надо наседать на провайдера, а именно:
1. Обязать провайдера использовать IDS/IPS средства на границе своей сети, причем лучше направить в обе стороны.
2. Обязать провайдера держать у себя зеркало обновлений <список ПО>. Трафик до/c этого зеркала, ясен пень, бесплатный.
3. Производить настройку ПК клиентов на получение обновлений с этого зеркала в обязательном порядке.
Ну и можно еще много что придумать...
Деятельность провайдера является лицензируемой — значит обязать не сложно, достаточно поменять положение о лицензировании.
Кстати, разговоры о том, что провайдеров заставят обеспечивать безопасность ведутся давно (минимум 5 лет назад я это слыхал), так что может когда-нибудь родят.
Прямая ответственность пользователя, ИМХО, лишнее, но провайдеру можно дать возможность штрафовать юзеров на беспечность...
Опять же вариант с сертифицированным ящиком тоже неплох — воткнуть домой юзеру тонкого клиента, а сервер будет в зоне ответственности провайдера.
Здравствуйте, Mr.Cat, Вы писали:
MC>Товарищи апологеты драконовских мер. Подумайте головой: в любом сетевом ПО есть уязвимости. Та же MS ежемесячно закрывает дырки с remote code execution. А что это значит? Что теоретически в течение энного времени практически любая машина с виндой может быть орудием в руках злоумышленника.
Минимальные настройки в плане обеспечения безопасности тебя спасут — кто светит во враждебную среду 139-й порт или RPC интерфейсы? Почти все remote code execution связаны именно с багами в RPC.
Если у тебя нет реального IP, то атака извне вообще становится маловероятной.
Здравствуйте, Eugeny__, Вы писали:
E__>А то, что вы предлагаете — классический русский метод решения проблем через жопу.
Да нет... Говорят ведь, что решить проблему наркомании можно только истребив спрос на наркотики...
Здесь также — введение небольшого количества обязательных мер защиты отсеет до 90% "вирусописателей".
EK>"Обычный управляемый свитч" по швам не треснет? Анализировать там нечего, там надо тупо складывать на диск. Объем трафика современного крупного провайдера хорошо представляем, да?
[offtop]
Ну... Провайдеры разоряются на железки, чтобы мешать юзерам использовать p2p или Skype (можешь себе представить сколько стоит такое удовольствие). Дак пусть уж на благое дело бросят свои финансовые возможности
[/offtop]
DOOM wrote:
> Здравствуйте, Eugene Kilachkoff, Вы писали: > > > EK>"Обычный управляемый свитч" по швам не треснет? Анализировать там > нечего, там надо тупо складывать на диск. Объем трафика современного > крупного провайдера хорошо представляем, да? > > [offtop] > Ну... Провайдеры разоряются на железки, чтобы мешать юзерам использовать > p2p или Skype (можешь себе представить сколько стоит такое удовольствие). > Дак пусть уж на благое дело бросят свои финансовые возможности > [/offtop]
это где такое зверство? у нас п2п процветает и всячески поддерживается
провайдером, как и скайп. ибо это траф, а за траф они имеют деньги
Здравствуйте, yeti, Вы писали:
Y>человеческим жизням DDOS не угрожает.
А про эксперимент американцев не слыхал? Когда они решили прикинуть, что можно сделать с ними при помощи компьютерной атаки — тогда был временно выведен из строя какой-то генератор. К чему приведет даже несколько часов без электричества в крупном городе понять просто — будут и человеческие жертвы.
DOOM wrote:
> Здравствуйте, yeti, Вы писали: > > Y>человеческим жизням DDOS не угрожает. > > А про эксперимент американцев не слыхал? Когда они решили прикинуть, что > можно сделать с ними при помощи компьютерной атаки — тогда был временно > выведен из строя какой-то генератор. К чему приведет даже несколько часов > без электричества в крупном городе понять просто — будут и человеческие > жертвы.
в крупном американском городе в россии это гораздо привычнее и проще
Здравствуйте, DOOM, Вы писали:
Y>>человеческим жизням DDOS не угрожает. DOO>А про эксперимент американцев не слыхал? Когда они решили прикинуть, что можно сделать с ними при помощи компьютерной атаки — тогда был временно выведен из строя какой-то генератор. К чему приведет даже несколько часов без электричества в крупном городе понять просто — будут и человеческие жертвы.
Насколько я понимаю, это все равно примерно из раздела фантастики. Электросети и у нас, и в США используют свои абсолютно автономные каналы связи.
Ну и вообще, тех кто планирует электрические сети так, что они выходят из строя от отказа одного генератора (привет Чубайсу) — надо по голове бить молотком.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
