В этом небольшом эссе я попытаюсь на простом языке объяснить, как вас могут теоретически взломать. Я обойдусь без сложных терминов, для обычных пользователей статья даст красочное представление о взломе ОС, а более продвинутые пользователи между строк будут читать техническую информацию. Считаю, что пользователю любой ОС, а тем более тем, кто связан с этим по работе, необходимо понимать, что профессиональные вирусы – это не исполняемый файл, который переименовали в документ и просят вас запустить. И не всегда блокировка макросов не даст злоумышленнику выполнить код на вашей системе.
Знаете, последний раз участником подобных дискуссий я становился еще в школе в далеком 9-10 классе. Тогда я был ярым фанатом Windows, а мой друг использовал Linux, потом через некоторое время я начал разрабатывать под Linux – и все поменялось, я стал фанатом Linux и публично всех агитировал перейти на него. Я это веду к тому, если ваш оппонент страждет подискутировать на подобную тему в таком ключе, сразу вспоминайте тех двух школьников. Сам пользуюсь обеими операционками, и давно уже не сторонник таких холиваров, у меня работают сервера на Linux Debian, а сам пишу этот текст на ПК с Windows 8. Далее будет много негатива про Linux, но он не связан с какими-либо фанатическим убеждениями, просто я хочу объективно рассказать и убедить, что не важно, какой ОС вы пользуетесь – взломать вас могут везде.
Насколько дырява ОС Windows...
… насколько дырява ОС Windows можно рассуждать годами, но интересно насколько безопасен Linux? Если спросить у любителей Linux, а если ли у вас антивирус, то в ответ будет только смех. Аргумент такой – Linux создан профессионалами, и все там by default защищено. Вот сажаем свою любимую собаку за Ubuntu и можно за ее данные не волноваться. Можно… пока.
Вообще есть две вещи, которые бесконечны, вселенная и дураки. С вселенной все понятно, но как быть с последними? Вот как объяснить различным пользователям Windows, что нельзя работать без антивирусной защиты? А как объяснить создателям отечественных мега-СЗИ, что нельзя защититься от взлома матрицей доступа и что взлом это не всегда: «Вдруг процесс А пишет файл autorun.exe, а вот матрицей доступа такой поток блокируется на запись и значит система защищена».
Ваша защищенность выглядит хорошей только в теории. Допустим, вы тот самый пользователь Ubuntu (один из любимых моих дистрибутивов), вы устанавливаете на ПК своей любимой собаки Боб эту ОС. Тогда многие утверждают следующее – если Бобу на почту придет сообщение myDocument.docx, то даже если это окажется исполняемый файл, и он его по инструкции запустит, то ничего не произойдет – ведь для большинства действий необходим пароль root. Вы серьезно? Вы от нашествия представителей младших классов школы защищаетесь? Или все-таки от злоумышленников, которые являются членами преступных группировок, контролируют большие финансовые потоки и просто косят на своих собратьях бабло?
Уважаемые представители отечественных неназываемых СЗИ и авторы многих учебников по ИБ, вы, когда говорите, что если дословно цитирую: «Программе Word запретить выполнение макросов, а ее процессу запретить запись на диск и работу с реестром, то система 100% защищена», вы правда так считаете?
Давайте все порядку
Давным-давно, когда Linux только зарождался, его пользователи в большинстве, были профессионалы. Но со временем появились удобные для простого пользователя в работе дистрибутивы и начался рост числа пользователей-домохозяек. А что делает любая домохозяйка? Правильно, совершает интернет-платежи, а там где деньги, туда слетаются как пчелы на мед рой различного отребья, которое хочет на этом безвозмездно поправить свои финансы. 90% домохозяек пользуются Windows – и вирусы разрабатываются под эту ОС, и только хотя бы 20-30% домохозяек перейдут на Linux, то туда сразу будут вливаться большие финансы под разработку вредоносного ПО. И отчеты антивирусных компаний показывают о медленном, но увеличивающемся количестве таких программ.
Ок, вернемся к Бобу, единственная причина не беспокоится о своей безопасности одна – разработка троянца под его ОС нерентабельна. А вот так – экономически невыгодна, возможный доход злоумышленников будет меньше расходов. Долго ли так будет продолжаться — большой вопрос.
Но все же, технически, насколько возможно, что Боба взломают и данные уведут? Если конек безопасности Боба в том, что он никому не нужен и вирусы под его ОС пока еще не пишут – то это игра в русскую рулетку.
Алиса
Алиса, подруга Боба, знает, что на счету Боба лежит кругленькая сумма монет, ключ лежит на ПК Буратино, и они вместе с Буратино решили сообразить на двоих. Что им для этого требуется: небольшой стартовый капитал, прямые руки Буратино и немного отваги.
Алиса знает, что Боб пользуется Ubuntu 14 LTS. Как себе представляет процесс взлома Боб? Он, как и большинство пользователей, считает, что Алиса отправит ему на почту файл с вложением, которое его попросят запустить и так как он считает себя спецом в области ПК и файл он не запустит, то конечно его данные в безопасности!
Многоходовочка от Педро
Тогда Алиса идет на некоторый безымянный и распространенный ресурс и покупает у Педро уязвимость в любимом браузере Боба за N-ое количество зеленых. Педро не только снабжает Алису технической информации об уязвимости, но и высылает для Буратино (подельника Алисы) пример как запустить.
Уязвимость, которую получает Алиса – уязвимость нулевого дня в браузере Google Chrome. Например, недавно открытые дыры CVE-2015-1233 или CVE-2014-3177, CVE-2014-3176, CVE-2013-6658 и сколько их еще не закрыто и о них известно только в ограниченных кругах — большой вопрос.
Как видно из описания уязвимостей Алиса может выполнить код в контексте процесса и работать это будет не только в ОС Windows, но и в Linux и Mac OS. Уязвимости взяты для примера случайным образом.
Action
Буратино составляет скрипт и записывает туда shell-код, который должен выполнится на целевой системе – ПК Боба. Для этого ему необходимо как-то передать ссылку. Первый вариант с почтой Алиса и Буратино сразу отмели – Боб осторожный пользователь и ссылки из почты не открывает. Тогда они решили немного сымпровизировать. Им известно, что Боб обычный человек и паранойей не страдает… ладно короче не суть, для простоты Боб, просто перешел по ссылке — Алиса уговорила.
После посещения Бобом ссылки в контексте процесса его браузера выполнился небольшой код, который написал Буратино – буквально несколько команд, которые в дальнейшем загрузили тело вируса и перешли в его выполнение. Но как же. Боб уверен, что Алиса просто показывает ему свои фотографии, никакие файлы на диск не загружаются, предупреждений нет, паролей от root никто не спрашивает.
Повышаем привилегии
После того как разработка Буратино начала выполнять свои первые инструкции на процессоре Боба, стал вопрос, а что делать дальше? В теории Боба даже если и произойдет заражение, то ему ничего не будет, Боб поставил сложный пароль для root, да и вводить его вдруг во что бы то ни стало он не будет.
Буратино с Алисой предусмотрели такой вопрос и заранее его решили. Тот же самый Педро подсказал им, что у него есть парочка уязвимости нулевого дня в ядре Linux, наподобие свежих уязвимостей в ядре версии 3.17 и 3.14 — CVE-2014-9322, CVE-2014-3153.
Прочитав описание уязвимостей Буратино понял, что они позволят ему выполнить код в контексте ядра ОС Боба. И все что ему необходимо это чтобы его вредоносное приложение, воспользовавшись этими свежими дырами и выполнила код в ring-0.
Пока ни о чем не подозревающий Боб рассматривает фотографии Алисы, код Буратины уже серьезно вторгся в просторы его системы и ни антивирус (его просто нет), ни чего-либо еще не могут даже отобразить сообщение об вторжении. Так как Буратино решил не останавливаться на достигнутом, то он пошел дальше. Попав на самый нижний уровень ОС Боба в котором предполагается выполнение только доверенного кода, Буратино начал поиск файла, который ответственен за запуск ОС. Как только ПО от Буратины нашло этот файл, оно модифицирует его таким образом, чтобы при перезагрузке ПК Боба продолжался выполняться код Буратины.
Rootkit
И так Буратино и Алиса получили доступ к ПК Боба под управление ОС Linux, но как им скрыть свое присутствие? Боб не дурак и каждые 5 минут проверят целостность системных файлов ОС. Для этого Буратино решили, что перезапишут код самой операционной системы, который загружен в память ПК Боба, но как? Ведь если те же действия провести на ОС Windows, то один небольшой системный компонент обнаружит это и принудительно перезагрузит ПК.
Боб за свою безопасность не беспокоится – ведь даже если код злоумышленника и выполнится в ядре, то ведь в последних версиях ядра Linux системные области памяти защищены от записи. Даже если Буратино и попытается перезаписать код ОС в ОЗУ, то процессор выдаст ошибку и произойдет перезагрузка ПК.
Тогда Буратино открыл документацию на процессор, который стоит на ПК Боба и стал изучать… Ему известно, что архитектура процессора Боба x86, но что это дает? Ведь на необходимые ему страницы в ядре стоит защита от записи. Тогда Буратино обратил внимание на регистр cr0 – небольшой блок памяти в котором хранятся данные с которыми работает процессор. А что будет если я 16-ый бит установлю в ноль, быстро перезапишу необходимые методы ядра и сразу же восстановлю регистр – подумал Буратино. И так и сделал, как оказалось если сбросить этот бит в ноль, то защиту от записи можно временно отключить.
Таким образом Буратино получил полный контроль над ОС Боба, да уязвимость потом нашли и исправили, но программный код, который засел таким образом в ОС Боба уже никак не обнаружить. Ежеминутный контроль целостности показывает, что ни один файл в системе не изменен – программа Буратины просто подменяет его при чтении. Процессов новых нет – вредоносный процесс просто скрыт и если на другой ОС существуют решения, которые давно уже обнаруживают такие техники, то под ОС Боба такого нет.
Вообщем, заключение, Алиса и Буратино сжалились над Бобом… и удалили все его файлы. Ах ладно, если серьезно, то никогда не будьте на столько фанатично уверенным в чем-либо. Я попробовал в легкой форме и без технических терминов изложить суть проблемы. Таким как Буратино совет не писать больше вирусов, всем Педрам сделать come out и сдать все неопубликованные уязвимости в публичный доступ для их исправления, а Бобу меньше верить бородатым гномам, не жмякать по левым ссылкам и думать своей головою. И используйте ту ОС, которая вам по душе! Абсолютно безопасного нет ничего. Надеюсь всем немного поднял настроение)
P.S. Если интересно, то могу ближе к лету написать с примерами на C небольшую статью о перехвате функций ядра в последней версии Linux Kernel.
Комментарии (99)
Ivan_83
28.04.2015 00:00-27Где вы только такую траву достаёте. :)
Слабо описать тоже самое для OpenBSD? :)
stack_trace
28.04.2015 00:07+40Про траву писать много ума не надо. По-моему, автор вполне внятно и аргументированно изложил свою позицию, в отличие от вас. Что-нибудь конструктивно ответить вы можете?
Ivan_83
28.04.2015 01:13+13Это было в основном про художественную часть повествования.
А кроме художественной части тут практически ничего и нет.
Автор только рассуждает на словах, ни одной лабы по взлому дома не собрал.
Вот взял бы тот самый убунту, накатил на реальное железо, обновил и попробовал сломать, потом бы рассказывал.
Даже если бы он его поставил на fat32 и версию для х32 — уже был бы повод общаться по техническим аспектам.
В линуксах я не слышал чтобы употребляли термины ring для описания уровня выполнения кода, обычно юзерспейс и ядреный, в винде библиотеки в отдельном кольце висят.
Насколько я понял, то ring ввел интел, а поскольку винда работает только на х86 (до совсем недавнего времени) то в винде этот термин и эти разграничения активно использовались, а линукс и другие операционки в виду портабельности терминологию не приняли.
И особого смысла в ядро лезть на линуксе нет, достаточно получить рута.
ASLR значительно затрудняет использование эксплоитов, без относительно системы в которой он есть.
Поэтому можно и с экплоитами долго курить бамбук, пока у юзера процес/ядро в корку уходит но не выполняет код.
По художественной:
— что мешает параноику-миллиардеру Бобу использовать для финансовых операций отдельный ноутбук с OpenBSD, хранимый в сейфе банка и зашифрованный паролями?
— почему у Боба оказался бракованный процессор? Может у него и память плохая?) (DDR3)
— может у Боба вообще wine и можно было не заморачиватся — травы не хватило на такую версию?)
— есть ещё сотни способов получить тоже самое оффлайн, дедовскими методами — это к узкому взгляду на ИБ как на процесс запрещения выполнения чего то там.stack_trace
28.04.2015 07:45+4Это было в основном про художественную часть повествования.
Вроде же стандартные для рассуждений о информационной безопасности Бобы-Алисы (ну и нестандартный Буратино, конечно).
В линуксах я не слышал чтобы употребляли термины ring для описания уровня выполнения кода
А причём здесь ОС? Речь, вроде, идёт о процессоре.
что мешает параноику-миллиардеру Бобу использовать для финансовых операций отдельный ноутбук с OpenBSD, хранимый в сейфе банка и зашифрованный паролями?
А почему именно OpenBSD? Она по определению не взламываема?
почему у Боба оказался бракованный процессор?
А почему вы решили, что процессор бракованный? Буратино, вроде как, в документации про эту фичу прочитал.
есть ещё сотни способов получить тоже самое оффлайн, дедовскими методами — это к узкому взгляду на ИБ как на процесс запрещения выполнения чего то там.
Так посыл статьи, на мой взгляд, в том и заключается, что какую бы ОС вы не выбрали, это само по себе ничего не гарантирует вам в плане безопасности.Qbit
28.04.2015 09:40+1> Вроде же стандартные для рассуждений о информационной безопасности Бобы-Алисы (ну и нестандартный Буратино, конечно).
Нестандартные. Активные злоумышленники обычно Мэллори (malicious) или Труди (intruder), но никак не Алиса.
Ivan_83
28.04.2015 09:40+2Когда теоретизируют то не упоминают конкретных названий ОС, их версий и всяких CVE.
Притом, что я вообще не до конца уверен что в линуксах используются ring для разделения, и что номера колец совпадают.
OpenBSD — вроде до сих пор награда висит за то, чтобы нашли дырку в дефолтной конфигурации.
А вообще у них там полный концлагерь для приложений, хрен там чего поэксплуатируешь.
Такие фичи обычно закрывают, на практике. Слишком большая натяжка.
Тогда и не надо было ничего конкретного упоминать.MacIn
28.04.2015 20:06Притом, что я вообще не до конца уверен что в линуксах используются ring для разделения, и что номера колец совпадают.
А как иначе? Или только защита страниц используется? Номера колец скорее всего те же, как минимум, кольцо 0 рекомендуется Intelом для системы. (Сейчас они используют Privilege level терминологию).
svd71
28.04.2015 08:00+1Ерничать не стоит. У автора не стоИт такой приоритетной задачи, как взлом своей Ubuntu. Вероятно, что на бутерброд с икрой он зарабатывает другими методами.
Дыры в системе были есть и будут. Доказательством этого может служить хотябы то, что на той же Ubuntu обновления приходят каждый день. Кто-то использует люки при разработке, повышение привелегий в системе при специальном совпадении параметров и прочие прелести, облегчающие разработку и тестирование и успешно остаются в релизе до обнаружения. Но именно этот человеческий фактор дает повод для взлома. Не важно какая операционка, вы просто плохо искали.
shanker
28.04.2015 11:18+1ни одной лабы по взлому дома не собрал.
Можете похвастаться перед нами своими лабами по взлому? Или как-то ещё доказать, что Ваша квалификация выше квалификации автора статьи?
ASLR значительно затрудняет использование эксплоитов, без относительно системы в которой он есть.
Выражение не очень корректное. ASLR (Вы же помните, что эта технология есть в различных ОС, в т. ч. и Windows like, правда?) усложняет жизнь не всех эксплоитов. В основном классических: переполнение буфера\кучи. Но кроме этих эксплоитов есть и инженерные уязвимости, которым абсолютно побоку рандомизация адресного пространства. В Windows таким эксплоитом может считаться CVE-2010-2568. В Linux like CVE-2014-0160. В обычном случае CVE-2014-0160 не приводит к заражению системы. Но в некоторых случаях может и привести: есть системы с webmin, которые подвержены этой уязвимости. Или, например, VMWare Esxi (на которой могут работать различные виртуалки, в т.ч. Linux\OpenBSD и т.д.).
Да, можно говорить о том, что описанная ситуация — некомпетентность пользователей. Что «тру пользователь» не станет держать открытым для всего в интернете webmin и прочие сервисы. Но во-первых, автор в статье и пишет:
и начался рост числа пользователей-домохозяек
А во-вторых, как говорится: «в семье не без урода». А Вы, наверное, не представляете сколько таких «некрасивых людей» существует в мире. Вот вырезка из статьи: Всплеск brute-force атак направленный на легко подбираемые доступные для записи snmp community:
Хотелось бы так же подчеркнуть что совершенно не стоит негодовать и писать о том что держать открытой наружу snmp community может только дилетант, автор и сам в курсе. Но, уважаемые друзья, вы бы были удивлены насколько большие, важные и профессиональные люди пострадали, продалжают страдать и как их много оказалось.
И мой опыт (я расскажу о нём на PHDays2015) в очередной раз подтверждает: такие случаи далеко не единичны. Возможно, конкретно, Вы — тот самый идеальный пользователь\администратор. Но большинство, которое думает о своей неуязвимости — просто забыли о таком грехе, как гордыня.
Резюмирую: респект автору за то, что отважился написать статью. Возможно, несколько притянуто за уши. Но однозначно рациональное зерно в статье присутствует. Я бы сказал, что в каком-то виде может лечь в основу модели угроз.Ivan_83
28.04.2015 22:26-3Причём тут моя квалификация?
Не я утверждал что линукс можно обойти, внедрить и украсть, не мне и доказывать.
Притом я не отрицаю что в линуксе где то что то бывает, но ведь речь шла про убунту конкретной версии, никто автора за язык не тянул.
Корявые конфигурации в дистрибутивах линуксов и прочих (кроме винды) долго не держатся, а если юзер — домохозяйка то и трогать дефолты будет только касающиеся внешнего вида рабочего окружения.shanker
29.04.2015 12:36Но Вы же вступили в диспут с автором, сомневаетесь в его квалификации. Т.е. всё же что-то утверждаете. Или нет? Вы спорите пытаясь отстаивать какую-то позицию? Или спорите просто чтобы спорить? Почему я не могу поинтересоваться Вашей квалификацией чтобы сопоставить Ваши слова с Вашим уровнем? Я вот имею свою точку зрения. Квалификацию свою не скрываю — можно в профиле посмотреть ссылки, по ним можно составить понимание обо мне (статьи, участие в качестве докладчика на тематических конференциях и т.д.). А Вы чего стесняетесь?
Ivan_83
29.04.2015 16:38Грузчик первого класса. В смысле всего один класс средней школы осилил.
Чё, со мной можно не разговаривать и я должен всему верить на слово?
В приличных обществах человек который взялся что либо утверждать и должен чем либо подтверждать свои утверждения, а не писькомерством заниматься.
waleks Автор
28.04.2015 14:29+1Сожалею, что у вас сложились подобные стереотипы. Я работал на ОС Windows, потом несколько лет разрабатывал ПО под Ubuntu, и считаю, что у меня нет каких-либо фанатичных заблуждений по поводу безопасности той или иной ОС. Недостатки безопасности ОС Windows — это не тема моей статьи, я пытаюсь донести до читателей, что не стоит фанатично утверждать, что проблемы с безопасностью есть только в ОС Windows. Что и под Linux будут появляться и уже появляются вредоносные программы, что если об этом не задумываться, слепо стоять на своих убеждениях, то могут быть и финансовые потери.
Художественный же стиль изложения помогает объяснять сложные вещи простыми словами. Боб и Алиса известные персонажи в области ИБ, обычно они передают информацию и злоумышленниками не являются, но вот это так важно зацепляться за это? Суть статьи же не в этом.
И вот опять, «отдельный ноутбук с OpenBSD» — говорите Вы. Почему OpenBSD, а не какая-либо другая ОС? В процессе ее эксплуатации не было обнаружено ни одной уязвимости, которая позволяет выполнять код в kernel mode?
В ядро лезть смысл есть всегда — обнаружить вредоносный код, который засел у вас в ПК будет очень сложно. Курить бамбук можно конечно долго, но вирусы уже давно не пишут группами по 2-3 человека.
Что значит бракованный процессор? Возможность обойти запрет на запись в закрытых на это страницах — это документированная возможность всех процессоров x86 и это известно всем. Это и не баг, так должно быть, этим я показал, что нужно осторожно вести аргументацию в области ИБ, иногда вещи в которых вы уверены, оборачиваются наизнанку.
А вы уверены, что технология ASLR хоть как-то затрудняет выполнение shell-кода в ядре? Я конечно могут ошибаться, но ASLR разве не затрудняет реализацию уязвимости только в user mode? Разве не так? Да и не про ядро Linux или Windows тема, при чему тут ядро.
mickvav
28.04.2015 18:59+1Слушайте, а зачем рут, чтобы спереть данные конкретного юзера, если он не применяет экзотических инструментов защиты своего окружения? Подсовываем левую либу через переменные окружения перед запуском интересного процесса — и видим всю его память, как на ладони.
MacIn
28.04.2015 20:09Для того, чтобы спИрать и быть незамеченным, а не спЕреть раз и быть отловленным на «левой либе».
Ivan_83
29.04.2015 01:54«Сожалею, что у вас сложились подобные стереотипы.»
«Недостатки безопасности ОС Windows — это не тема моей статьи»
Это о чём?
Я винду упомянул вскользь, в комментарии касательно колец.
Ну появляются, уже лет 30 как, начиная с юникса, особого прогресса нет :)
Те кое что конечно есть и вполне работает, но это больше серверное, с десктопами полный капец: хз какие либы и каких версий у юзера есть, можно легко пролететь на несовместимости ABI.
Я бы даже сказал что проблемы с ABI до сих пор кое как решены для вполне нужного софта: время от времени при обновлениях что то вылазит.
Остаются всякие вирусы на питонах и прочем интерпретируемом, которое тоже не факт что есть в системе.
Я наоборот, цепляюсь к тому, что в художественном изложении слишком много не художественных деталей :)))
OpenBSD — самая суровая ОС, Тео постарался. Правда он рассказывал что пришлось умерить суровость ASLR, ибо память слишком уж фрагментировалась и непомерно потреблялась.
Видео с лекцией где он всё рассказывает есть у яндекса, с ruBSD 2013, если интересно.
Тут вот какая штука.
В ядре свой набор API, работать с ним не очень то удобно, а ещё в линухе ABI внутри ядра изменчив от версии к версии.
С другой стороны, линукс это не венда — всегда можно взять и просто накатить поверх проверенные бинарники / провести аудит, дело 5 минут на SSD и 10 на обычных дисках, и вся ядерность похерится, как и все хитрые либы и пр.
ИМХО, сложнее заметить то что к дистрибутиву не относится, какой нибудь acpi_power демон вызовет куда меньше подозрений.
VBKesha
28.04.2015 00:28+13Вот как объяснить различным пользователям Windows, что нельзя работать без антивирусной защиты?
Вот как объяснить что::
1. Антивирус вас не спасёт ибо не даёт никаких гарантий(ссылка на авторитетный источник)
2. Без антивируса можно спокойно жить и работать пользователям Windows/Linux/MacOS, есть набор правил которые можно соблюдать чтобы свести вероятность заражения к минимуму, и да это можно объяснить даже мамам и папам у меня по крайней мере получилось, есть даже методы для место общественного пользования ПК, и есть пример 3 летней работы WinXP без переустановок и вирусов.
3. Как не странно Linux и MacOS гораздо безопасней, как минимум по той причине что они менее распространены в бытовом секторе, значит они меньше волнуют тех кто занимается массовым заражением, что и составляет подавляющий процент заражение пользователей, грубо говоря на данный момент неуловимый Джо никому нафиг не нужен.
crea7or
28.04.2015 02:2110 лет назад — да. Mac OS X is the most vulnerable OS, claims security firm; Debate ensues.
sebres
28.04.2015 04:26+11Кстати, да — я вот задолбался объяснять, что антивирус не панацея.
Особенно в корпоративном секторе с этим бяда — сказал CIO, что антивирь должен быть — и все вопросы побоку. А то, что разрабам приходится под админом работать (aka MakeMeAdmin), потому что создать админский аккаунт (тех-юзера), тупо для скриптов, перестартовки и дебага серивисов, ну никак низя, это никого не волнует. И то, что полиси через одно место настроены, тоже.
Зато антивирь блин на серверах, со всеми вытекающими.
Вот недавно бились с одним известным антивирусом (доказуемо бажным, вероятно где-то в районе аналитики и очередях real time scanning) — при очень большой загруженности сервера (32 ядра >= 50% cpu load):
— эта скотина блокирует (от нескольких миллисекунд до 30 секунд!) доступ к файлам, после их переименования — в результате многопоточный pipeline (очередь заданий) периодически вылетает с «access denied» при доступе например к временным, только что созданным и затем переименованным файлам;
— или того хуже, кладет дочерние процессы спать (suspended) и забывает их «разбудить», а поток в предке бесконечно ждет окончания работы уснувшего дитя.
И ведь отключить его в продакшн на серверах никак не можно (даже временно в качестве доказательства, т.к. таким антивирусом как правило они себе одно место прикрывают).
И растет — растет число велосипедов типа «safe_rename», «real_delete» или «start_process_with_observe» вокруг проекта. Я уже молчу о времени исполнения — тот же CIO быстро пересмотрел бы свою позицию, если бы ему (его подразделению) коллективный счет выставить за суммарное время «простоя» (ожидания) всех сотрудников.
Эх, поувольнял бы всех к чертям… будь моя воля.lubezniy
28.04.2015 17:20У CIO своя работа есть. Не все требования к средствам защиты информации являются техническими. Пример — habrahabr.ru/post/256735.
sebres
29.04.2015 19:09Я совершенно четко представляю откуда у таких требований ноги растут. И частно это действительно условия клиентов-заказчиков, требования материнской или партнерской компании или де-факто стандарты индустрии, которым нужно соответствовать.
Но, дело в том что технически как раз некоторые вещи, что касается безопасности, совершенно не оправданы, мало того совсем «не секьюрны», мало того мешают как разработке, так и продуктивной работе того же клиента.
И если прикрывая свою пятую точку, решаешь соответствовать требованию безопасности от лукавого (прикрываясь фальшивыми «стандартами»), то сделай это хотя бы включая голову, так чтобы это не влияло (ну или минимально влияло) на продуктивность.
Вобщем, коротко ответить не удалось — ответил постом здесь.
Kitsok
28.04.2015 00:58+9With all respect, после «Давным-давно, когда Linux только зарождался, его пользователи в большинстве, были профессионалы. Но со временем появились удобные для простого пользователя в работе дистрибутивы, и начался рост числа пользователей-домохозяек.»
Вру. Мой личный ахтунг начался с «Давайте все порядку».
И, да:
1. Антивирус от деменции не спасает
2. Linux много безопаснее хотя бы в силу отсутствия дефолтных шар
3. По факту, чтобы реализовать описанную атаку, необходимо схождение такого количества звёзд на небе, что я прямо не знаю, есть ли их столько.
drakmail
28.04.2015 09:15+2Кстати говоря, рут доступ не обязателен, все личные данные, как правило, хранятся в домашней директории пользователя. Поэтому просто использовать очередную уязвимость в браузере никто не мешает.
inkvizitor68sl
28.04.2015 15:31+1Кстати говоря, на этот случай давно придумали selinux и systemd
Надеюсь, дистры дойдут до понимания полезности этой фичи.
Да и qubes-os есть, можно его себе на коленке организовать =)
Biochemist
28.04.2015 11:19А вот интересно, кстати, увидеть срез по видам Линуксовых дистрибутивов с точки зрения удачных атак. Получается, что у Гентушников должны быть самые неприступные системы? А как обстоят дела на самом деле?
3vi1_0n3
28.04.2015 13:37Мне кажется наоборот. Начинающие гентушники слабо представляют, как грамотно тюнить и харденить софт. Им принцип важнее, мол, я кросавчег, собрал себе генту.
Biochemist
28.04.2015 13:44А смысл? Какой-то странный способ самоутверждения. И мне кажется, что все-таки даже начинающий гентушник, по идее, всяко опытнее чем устанавливающий убунту новичек. Ну во всяком случае, по логике должно так быть. Как оно на самом деле — сложно сказать… По моему опыту общения, паранойя, судя по всему, оправданная, в этой категории линуксоидов была максимальной.
3vi1_0n3
28.04.2015 13:54Ну во всяком случае, по логике должно так быть. Как оно на самом деле — сложно сказать…
Должно быть, но, к сожалению, это не так. Многие генту ставят для обучения, по советам друзей, без знания, как эта система вообще работать должна.
По моему опыту общения, паранойя, судя по всему, оправданная, в этой категории линуксоидов была максимальной.
Это тоже субъективно. Там есть некоторая часть людей, которые систему знают и имеют определенную паранойю по поводу безопасности, но таких мало. Не знаю, хорошо это или плохо.
Ayahuaska
28.04.2015 15:08+1Нормальный такой способ самоутверждения — поставил себе задачу, достиг цели, рад за себя (:
На счёт «опытнее» — это только кажется что как-нибудь собрать генту — сложно. Очень многое там можно сделать тупо перепечатав из хэндбука команды, при чём то, что между ними — можно вообще пропускать до первого факапа (%3vi1_0n3
28.04.2015 16:18Вообще да, легко собрать, но чаще поставить бинарный пакет от опытного мэйнтейнера в том же Дебиане и быстрее, и качественнее получится.
waleks Автор
28.04.2015 16:33+2Пожалуйста, не приписывайте мне, что я утверждал, что антивирус может спасти от взлома. Речь шла о минимальном уровне защиты обычного пользователя windows. Поверьте, на небе звезд столько, что хватит и не на это)
xpancy
30.04.2015 02:33Однако, статья создала впечатление примерно следующее: Винда и Линукс дырявы, но на винде у людей есть антивирус, а вот под линуксом…
Далее идет описание теоретической атаки к которой антивирус никаким боком. Странный риторический приём, непонятно на кого рассчитанный.
PerlPower
28.04.2015 02:43А есть где-то статистика как под Windows происходит распространение вирусов сейчас? В смысле какой процент вирусов ловится через такие уязвимости, а какой через старый добрый запуск подозрительных файлов? И были ли какие-то попытки анализировать рынок уязвимостей 0-day? Все же думаю большая часть идет на продажу, а не на самостоятельное использование.
AmdY
28.04.2015 02:50+2Самое важное — понимать, что вас всё равно взломают, а то и сами сломаете. Потому нужно заботиться о безопасности информации хранящейся в электронном виде, шифровать и бэкапить, тем самым миниминизируя потери.
immaculate
28.04.2015 05:35-1Windows и Linux разрабатывались изначально с разными приоритетами.
Windows: давайте дадим пользователю делать все, что угодно, если давить на пользователя ограничениями из соображений безопасности, то система будет не такой удобной. Зачем заморачивать пользователя какими-то непонятными ему правами и пользователями. В нашей системе все пользователи — суперпользователи, а разграничение прав вообще не нужно.
Linux: необходимо разделять привилегии и следить за правами, чтобы система была безопасной и надежной.
Сейчас все меняется и в Linux, и в Windows, но у Windows остается тяжкое наследие. Но в Linux еще появляются такие вещи как SELinux, AppArmor, контейнеры и т. п. Правда это уже за пределами понимания домохозяек.
barker
28.04.2015 09:26+2Зачем заморачивать пользователя какими-то непонятными ему правами и пользователями. В нашей системе все пользователи — суперпользователи, а разграничение прав вообще не нужно.
Ну это… как бы не надо смешивать в таких вопросах 9x и NT. Про первую и так всё понятно. Но когда в NT уже были нормальные ACL даже сам линукс ещё только в зачатке был, не говоря уж про нормальные «разделять привилегии» в нём, которые гораздо позже начали со всех сторон туда впиливать.
Linux: необходимо разделять привилегии и следить за правами, чтобы система была безопасной и надежной.immaculate
28.04.2015 09:31Они были реализованы, но практически не использовались. В Linux разделение прав использовалось сполна. Я могу ошибаться, но по умолчанию в NT практически никакие разграничения не были настроены, надо было самому настраивать, если вдруг захотелось использовать все возможности защиты.
barker
28.04.2015 13:17+2Они были реализованы, но практически не использовались.
Вы про windows сейчас? Т.к. из контекста не очень понятно, а всё на самом деле частично наоборот.
В Linux разделение прав использовалось сполна.
Какое такое в линуксе «разделение прав» сполна использовались в то время? Которые только файловые? Которые кучкой битов? Ну смешно же даже сравнивать)
Вы образно знакомы с ACL в винде? С их reference monitor итд?
Вы же не про posix acl которого как бы нет? Сколько попыток было что-то похожее сделать и сколько живых на данный момент?)immaculate
28.04.2015 20:06ACL были, но не использовались. Не знаю как сейчас, а в NT и более поздних системах (не помню до какого года), установленная система позволяла писать куда угодно. Что толку было от ACL, если:
— установка по умолчанию их не использовала
— настройка разграничения, чтобы обычный пользователь не мог лезть куда не следует, была сложной и чреватой проблемами (большинство ПО просто не ожидало, что ему нельзя будет писать в системные каталоги и файлы).
Как сейчас не знаю, этот разговор вообще опасно продолжать для кармы, так как любая критика приводит к минусам.
teecat
28.04.2015 07:13+2megamozg.ru/company/pomodoro/blog/14716
Говорю, пишу, аргументирую, предостерегаю, советую… а выглядит это будто я — трус, скептик пессимист, скряга и вообще ничего не понимаю в гениальных идеях.
Итого, вывод простой: готовые советы в чистом виде без личного опыта бесполезны.
так и с безопасностью линукса. сколько ни говори о том, что абсолютной безопасности не бывает — пока не столкнутся — не верят. типичное поведение клиентов, уверенных в своих «знаниях». увы
valplo
28.04.2015 07:52-1>>> разработка троянца под его ОС нерентабельна. А вот так – экономически не выгодна, возможный доход злоумышленников будет меньше расходов
Точка. Усилия обеспечения безопасности должны быть соразмерны угрозам. Линукс — не цель для «ковровой» атаки, а таргетированая моей собаке не грозит.
navion
28.04.2015 14:17+4Ковровой атаки на пользователей — да, а ботнеты из веб-серверов насчитывают тысячи машин.
valplo
29.04.2015 13:59Речь изначально шла о пользователях, сервера — это уже совершенно другой мир. Там основная угроза — уязвимость сервисов, а на десктопе основная угроза — тупость пользователя.
faiwer
28.04.2015 08:21+15Честно говоря, меня больше пугает другой вектор атаки. Репозитории переполнены различными приложениями. Многие из них периодически обновляются. Никто не мешает разработчику внести в свой собственный код замаскированную уязвимость, или даже не замаскированную. Таким образом после обновления приложения часть пользователей окажутся уязвимыми. Встаём перед фактом отсутствия root-доступа. Но вот вопрос, а зачем он нужен? Вспомнить эти недавно расплодившиеся крипто-вирусы, которые шифруют ваши личные файлы, а затем требуют перевода денег для расшифровки. И зачем им root-доступ? Мне всегда казалось, что самое ценное, это как раз ваши личные файлы, а уж они то, в подавляющем большинстве случаев, вам доступны. Про нестандартные репозитории молчу… Там вообще возможен полнейший мрак.
P.S. сильно не «пинайте», мало что понимаю в области безопасности…
kovalevsky
28.04.2015 09:33+1Было же популярное приложение (если не ошибаюсь — Яндекс.Диск), в котором авторы случайно переборщили с rm -rf и накатили это обновление пользователям. Так что описанный Вами кейс вполне реален, учитывая, что для доверенных приложений просьба рута выглядит не так пугающе (по-крайней мере для меня) :)
tangro
28.04.2015 09:37Почти нет ПО, которое разрабатывается одним человеком — большинство коммитов ревьювится несколькими людьми, т.е. им как-минимум им нужно договориться между собой. Кроме того, разработчики, как правило, не анонимны, т.е. от своего имени коммитить вирус — странновато. Идём дальше — в «стабильные» ветки дистрибутивов ПО включается тоже не просто так — кто-то решает (например, для Убунты — Canonical), что войдёт в тот или иной дистрибутив. Ну и последняя линия обороны — админы компаний, которые решают какие патчи накатывать, а какие нет. Весьма сложно пройти весь этот путь незамеченным.
faiwer
28.04.2015 10:09+2Почти нет ПО, которое разрабатывается одним человеком
Если ПО мелкое, то чаще всего активных разработчиков мало или он вовсе 1. Вам не приходилось отказываться от любимой программы ввиду того, что автор на неё забил по личным обстоятельствам?
т.е. от своего имени коммитить вирус — странновато
Если я не ошибаюсь, то те же бэкдоры, обычно замаскированы под опечатки или типовые ошибки работы с памятью. На самом деле не сложно организовать неявную, но опасную, дыру. Другое дело, что если ПО не торчит каким-нибудь портом наружу, а должно само загрузить тело вируса из сети, то тут всё сложнее. Но, я думаю, не стоит недооценивать людей и их фантазию.
«стабильные» ветки дистрибутивов ПО включается тоже не просто так — кто-то решает (например, для Убунты — Canonical), что войдёт в тот или иной дистрибутив.
У меня есть серьёзные сомнения в том, что ребята из Canonical с лупой разглядывают каждый commit каждого приложения… Это же попросту нереально.
deniskreshikhin
28.04.2015 10:35Поддерживаю.
В open source проектах действительно много legacy кода с явными ошибками, которые кочуют из версии в версию.
Можно скачать любое более-менее популярное клиентское ПО и найти парочку багов за пять минут.
А если уж просачиваются явные баги, то и внедрение back door не представляет сложности.
Disasm
28.04.2015 11:39Вы пропустили переход между скачиванием исходных файлов и сборкой бинарного пакета. Там может произойти что угодно. В некоторых дистрибутивах на этом этапе даже какие-то патчи автоматически накладываются, так что ничто не мешает и автоматически бэкдор добавлять в каждую сборку.
KiLEX
28.04.2015 09:58+4Вообще суть посыла верная. вирусне под линукс/макось быть — пока это просто экономически нецелесообразно.
А вот аргументация — сильно неверная и устаревшая. Слишком много НО или ЕСЛИ.
xiWera
28.04.2015 10:23-3Поразительной узости пример.
Боб вполне может быть параноиком и иметь дома две машины в разных подсетях за маршрутизатором без каких либо открытых портов. С одной машины Боб «ходит в браузер», с другой — занимается своими финансами и больше ничего.
Вобщем можно сделать столько всего интересного, что заголовк попахивает группой вконтактига для 13летних «как вычислить соседа по айпи»
Ogra
28.04.2015 10:51+1Тогда ОС практически не имеет значения, не так ли?
StrangerInRed
28.04.2015 21:39Да. Только вот проблема — имеет значение ОС роутера.
xiWera
29.04.2015 10:09Ага, имеет, если используете dlink сами себе злобный буратино. А вообще, даже роутер может быть кастомным, с доступом только через аппаратную консоль и логгированием на принтер. Параноик много что может придумать, статья от этого не теряет свою узость и желтизну заголовка.
BEERsk
28.04.2015 10:47+1Компьютерные вирусы, так же как и обычные вирусы могут распространяться только в более-менее однородной среде — тут можно упомянуть тот-же android, который по сути тот-же linux. Как правильно отметил автор статьи сейчас вирусописание — это бизнес, а значит имеет свою экономику. Так вот, если рассматривать вопрос с точки зрения экономики то написание вирусов под linux не имеет большого смысла, и тому есть несколько причин — 1) кол-во «популярных» дистрибутивов: надо либо затачивать код под разные дистры и их версии, либо выбирать только один «самый популярный», что на самом деле не так уж и много 2) время реакции на новые уязвимости у популярных дистров (и не очень популярных) очень мало, а за этот срок надо написать код вируса, оттестировать его и распространить. 3) надо учитывать что дистрибутив линукса и версия Windows — это далеко не одно и тоже самое. Дистр линукса — это ядро линукса (у каждого дистра своё) и набор программ (браузеры, среда раб.стола, всякие клиенты и т.п) и ИХ ЗАВИСИМОСТЕЙ (библиотеки, утилиты, компиляторы, интерпретаторы и т.п.), которые очень сильно отличаются у разных пользователей. 4) Архитектурная особенность линукса (которая напрямую связана с лицензией на ядра и других его частей) — «модульность» системы. Этот пункт частично перекликается с предыдущем. Подавляющая часть программ в линуксе не монолитна, а имеет зависимости в виде библиотек, утилит и т.п. как-бы «вспомогательного» ПО. Дистрибутив линукса — это и есть некий набор пользовательского софта определенных версий и необходимых для его работы зависимостей также определенных версий и спец. системного ПО, которое следит за целостностью всего этого набора («пакетные менеджеры», «репозитарии», ..). Так вот эта «модульность» гарантирует что очень сложно найти две похожие системы. И если вы вдруг обнаружится дыра в каком-то ПО, не факт что это ПО, да и еще часто определенной версии будет присутствовать везде — а это необходимое условие для распространения вирусов.
Все это разнообразие линукса имеет как свои преимущества, так и свои недостатки. Это не хорошо и не плохо, это вот так есть. Но в данном конкретном случае это архитектурная особенность линукса передает ему по-наследству некий встроенный имуннитет, так как делает экономику вирусов нерентабельной или очень низко рентабельной.
З.Ы. Этот коммент рассчитан не на спецов в области СПО
З.Ы.Ы. С некоторыми поправками этот текст можно отнести и к другим популярным открытым системам — например FreeBSDOgra
28.04.2015 11:00Линукс хоть и неоднороден, но это не такая великая проблема. +N $ к разработке, только и всего. Например, Nvidia распространяет драйвера под линукс тремя .run файлами (x86, x64, ARM) на все дистрибутивы и все ядра. Никто не мешает вирусописателям воспользоваться их опытом.
Требуются разные версии софта? Тоже не проблема — современные вирусы используют не одну уязвимость, а десятки, в надежде на то, что хоть какая-то «пробьет». Как обычно +N$ к разработке. Время реакции на опубликованную уязвимость маленькое, время реакции на неопубликованную может измеряться годами. Heartbleed существовал 2.5 года.
Все упирается только в нерентабельность. Неуловимый Джо такой неуловимый.BEERsk
28.04.2015 11:20+1Согласен. Но собственно, я как-бы к этому и подводил. Технически можно написать некий мега-вирус, который будет учитывать все эти аспекты, но каждый такой аспект это иногда даже не *N к затратам на разработку, а ^N. Так что финансовый смысл всего этого остаётся под вопросом.
maledog
28.04.2015 11:25+1Android != GNU linux. От линукса в нем только ядро, busybox и libc. Да и ядро модифицировано, а busybox обрезан. Плюс большинство новостей об уязвимостей Андроид начинаются с «пользователь устанавливает взломанную программу из стороннего репозитария», или «если у пользователя есть root».
В последнее время больше неприятностей пользователям в Windows доставляют как раз Not-a-Virus и всякие AdWare (и продукты mail.ru/yandex) против которых антивирусы бессильны.BEERsk
28.04.2015 11:57Опять согласен. Я поэтому и сказал, что можно только «упомянуть», что «по сути тот-же linux». Подразумевалось, что хоть и тот-же линукс, но не совсем линукс (а скорее — совсем не линукс). также см. З.Ы. моего коммента.
OvO
28.04.2015 10:49+2Эка вы свой комментарий раздули, только с эмоциями переборщили.
1. Для атаки надо знать тип и версии системы, ядра и браузера. Может проще клиента усыпить, соблазнить, наконец с трупа.
2. А стоимость эксплоитов соответствует стоимости полученных данных, не дешевле подкупить их хранителя?
3. В случаях неизвестных уязвимостей антивирус не спасет.
4. Если данные действительно ценны, то они будут зашифрованы.
5. Параноики могут использовать доверенным загрузку, блокировку записи системного раздела и браузер в эмуляторе или даже написать поток, который отслеживает cr0.
Сценарий из 2 части к/ф матрица мне кажется более реалистичным.teecat
30.04.2015 09:55-11. достаточно браузера даже без версии. И запуститься только на джаваскрипте. Скажем для переопределения настроек сетевых устройств
2. увод всех денег компании через комп главбуха
3. вы не поверите, но может спасти, ибо антивирус — защищает от вирусов, а через что они ползут — без разницы (ну почти)OvO
30.04.2015 13:14+11. А давайте, чтобы не быть голословными, проведем эксперимент. Браузер firefox. С вас ссылка. Если согласны на условия, то можно обговорить призовой фонд.
3. Антивирус удаляет уже «скаченные» вирусы, а защиту от них обеспечивают мозги, песочницы, файрваллы, обновления и т.д. и т.п.teecat
30.04.2015 13:301. ссылка на вирус? не распространяем :-)
А так — первое, что нашлось в инете tjournal.ru/paper/router-hijacking-dns-malware
3. Нет. Модуль проверки трафика. В принципе есть также антивирусы, интегрированные во всякие файрволы
А вот за несогласие со своим мнением минусовать…OvO
30.04.2015 14:43+11. Это не распространение, а научный эксперимент. Смелее, это не будет попадать под УК, потому как я разрешаю вам получить доступ к моим данным.
жертва заходила на сайт с Google Analytics через сеть с заражённым роутером, скрипт статистики вставлял на страницу код JavaScript
Здесь роутер предварительно заразить надо, а как это сделать инструкции нет.
3. Это вопрос исключительно формулировок.
А вот за несогласие со своим мнением минусовать...
Это не ко мне, я использую этот инструмент только в особо вопиющих случаях. И скорее всего это за орфографию и пунктуацию.teecat
30.04.2015 15:16Не могу. По двум причинам. 1. Распространять запрещено безоговорочно. 2. Я не исследователь. Как раз ломать не обучен
К сожалению сходу еще одну новость не нашел, но там было примерно так:
— вирус запускался в браузере
— если использовались дефолтные пароли для роутера — менял настройки
Использовалось это для перенаправления сайтов.
За обвинение в минусовании — извиняюсь.
teecat
30.04.2015 20:28Не совсем обещанное (нет описания внедрения), но тоже пример того, как встраивается в браузер — habrahabr.ru/post/255333
sebres
30.04.2015 13:54+1ибо антивирус — защищает от вирусов...
Я бы поправил тут, все-таки — защищает от вирусов, либо известных вашему антивирусу, либо найденых через эвристику и иже с ней. Смысл в том, что сегодня любой ребёнок (ну одаренный) может на коленке написать зловред, не детектящийся ничем (до поры — до времени, но все же). Иии?
Защита построеная на антивирусе (или только на нем) — не защита, а пшик.
Кстати, косвенно это подтверждает и тот факт, что везде где я «лечил» компьютеры от вирусов, стоял современный антивир и базы были актуальны… (отвечал как-то раз тут).
Я вам открою страшную тайну — заберите у юзера права, запретите политиками исполнять файлы из временных и юзерских каталогов (в идеале отовсюду куда он может писать) — и на 99% на компьютер не пролезет никакая дрянь — без всяких антивирусов.
Второй момент конечно — повышение привилегий, но и от этого можно защититься (запатентую — расскажу обязательно;)
А вообще я вот до сих пор не понимаю, почему например разрабы браузеров и тех же мыльных клиентов не сделают запуск себя в «песочнице», т.е. совсем без прав (дарю идею). Т.е. до плагинов худо-бедно добрались (хотя права я бы совсем отобрал), а вот с самим браузером — как-то не доходит.
В юнуксовых, это уже издавна практикуется, вот вам например как выглядит тот же nginx:
Т.е. все воркеры тупо «без» прав (ну не совсем, но могут только то, что им разрешено). Хотя я и мастера из под рута редко пускаю…s-root nginx: master process /usr/sbin/nginx usr-wo-rights \_ nginx: worker process usr-wo-rights \_ nginx: worker process ...
И совсе уж по секрету, у меня дома зоопарк компьютеров, ни на одном сроду не было ни одного антивиря, но и не одного вируса. Хотя домашние — чайники поголовно. Но безправные чайники…teecat
30.04.2015 14:04все именно так.
Только вот песочницы не панацеи:
— вирусы на время проверки их в песочнице затаиваются и ничего вредоносного не делают
— песочницы тоже ломают. Пример Лаборатории Касперского удалившего ранее сильно хвалимую песочницу из компонент и оставившую ее только для внутренних нуждsebres
30.04.2015 14:25Вы не путайте «песочницу» с песочницей (я вам совсем про другое рассказывал)…
И к «затаиваться» это не имеет ни малейшего отношения.
Для примера, просто представьте, что запуск любого процесса из воркера браузера в принципе запрещен.
Хотя в теории достаточно просто запретить исполнение из каталога, куда может писать воркер (юзер) браузера (temporary files etc.), всех процессов поголовно.
И да, я знаю про всякие болячки типа загрузки dll в проводнике и т.д. И про инъекции и переполнение буфера тоже. Но это все же болячки, и в идеале — лечится тоже довольно просто.
И главное, что в этих случаях ваш антивирус вас тоже вряд ли спасет.teecat
30.04.2015 14:39Все вами полностью правильно написано. Сорри, что написал так, что непонятно.
Собственно проблема с запретом всего и вся только одна — мы не знаем что нужно запретить. Иногда читая описания концептов вредоносного просто поражаешься фантазии — куда пытаются залезть.
не в укор и не в противоречие вам — был на моей памяти продукт, который запрещал все — итог синие экраны. Хотя админы за него были обоими руками. То есть легитимные программы куда только не лезут. А даже админ не знает куда и какой запрет будет критичен. Нужно ставить такую систему на обучение на долгое время. потом вручную разрешать для программ нужные им места. Долго, муторно и без гарантии, что при очередном обновлении не переиграется все. Ну и плюс под правами обычной программы может полезть вредоносная :-(
Нету счастья в жизни. А так да. Антивирус не всесилен и в ряде случаем можно (и иногда даже нужно) без него
dcc0
28.04.2015 11:23+1Про взлом писать трудно, наверное, так как всегда трудно оценить количество людей на него способных.
Но можно оценить количество исходных кодов, необходимых для развертывания стандартной системы Linux. Под стандартной системой понимается система с графической средой и 20-30 прикладными программами…
В среднем люди тратят иногда несколько дней на то, чтобы прочитать руководство по установке системы и ввести в терминал 30-40 команд. За примерами ходить не надо — установка Gentoo.
Сколько уходит на установку Linux from scratch, я думаю, тут некоторые знают.
К чему я все это? Никаких конкретных выводов делать не буду. Однако, в настоящий момент ситуация представляется такой: если один человек способен собрать сервер с Linux From Scratch, а другой человек, который неделю тратит на установку Gentoo и поиск проприетарного драйвера, вероятнее всего, взломать сервер не сможет.
(Речь не идет об инженерах Berkley, DARPA, Массачусетского технологического института).
Еще пища для размышлений, количество программ за последние 10 лет увеличилось в разы (вместе с этим увеличилось количество ошибок и уязвимостей — opennet.net не даст соврать), отследить, что попадает на собственный рабочий компьютер, порой, не представляется возможным. В связи с этим приходится логику защиты выстраивать иначе. В задачах защиты данных иногда применяются решения, при которых взлом возможен только теоретически, так как объект для взлома отсутствует.
WraithOW
28.04.2015 12:04В среднем люди тратят иногда несколько дней на то, чтобы прочитать руководство по установке системы и ввести в терминал 30-40 команд. За примерами ходить не надо — установка Gentoo.
Вы бы еще слакварь образца 2000 года вспомнили. Не буду говорить за генту, ибо не держал, но все эти распространенные убунты/дебианы/центосы/рхелы/минты при установке требуют не больше извилин, чем винда: скачал, нарезал, жмяк-жмяк-далее-далее, готово.
Areso
28.04.2015 13:18Само веселье, обычно, начинается сразу после установки: то драйвера на видеокарту не работают (или работают, но не целиком — в играх, к примеру), то переключение видеокарт между встройкой и дискретной не работает, то еще какая фигня приключится с драйверами приключится. Притчей во всех языках уже стала проблема с раскладками, которую встречали, хотя бы единожды, примерно половина пользователей GNU\Linux, далее проблема, что компьютер или не засыпает или не просыпается из сна (последнее даже смешнее), установка ПО из репозитариев (особенно сторонних) также может доставлять, особенно если реп расчитан на 2 активных LTS'a, а человек пытается его подключить с не-LTS дистрибутива.
В общем, необходимость думать головой никто не отменял, несмотря на то, что установка самого дистриба действительно проходит по сценарию «скачал, нарезал, жмяк-жмяк-далее-далее, готово».dcc0
28.04.2015 13:45Вы правду сказали, но изначальноес спокойное чтение документации и рекомендаций сокращает время на поиск решения потом, а также часто объясняется, чего стоит делать под Linux, а чего не стоит. Все это очень субъективно, так как и набор задач у всех разный.
За себя лично под Win монтаж видео, работа с графикой.
Разработка, скрипты, программирование и т.д. — лучше переключиться в Linux.
dcc0
28.04.2015 12:44А чего тут держать: идея простая — есть репозитарий, в нем пакеты, некоторые из них особенно тщательно проверяются сообществом, но все равно не все. Есть контрольные суммы этих пакетов. Если собираете сервер, то обычно — это набор минимум, т.е. с учетом постоянного рефакторинга пакетов, наличия контрольных сумм, риск получения уязвимости сильно снижен, но, вероятно, все равно не исключен. Но речь именно о снижении риска, это и есть задача и речь именно о серверных решениях.
На рабочем пользовательском компьютере невозможно
проконтролировать ни под какой системой все возможные уязвимости.
Ну и ввиду увеличения объема программ и снижения количества людей, способных на взлом, сильно снижена его вероятность, а даже если они есть эти люди, то ради спортивного интереса сейчас уже никто не будет ломать ваш домашний компьютер — тратить на это драгоценное время.
В современных условиях взлом пользовательского компьютера не имеет никакого смысла еще и с учетом того, что большую часть информации этого пользоветеля гуляет по сети, висит в почте, на всяких яндекс.дисках, дроп.боксах и т.д.
Мало того, даже она — эта информация — оказывается никому нафик не нужна, потому что и анализировать-то ее некому.
MrGobus
28.04.2015 13:50Я так и не понял чем закончилась история про собачку, школьников, Ubunt'у, myDocument.dox файл и MS Word. Последний участник драмы (MS Word) вызывает особые подозрения, так как Ubunta далеко не его экосистема, и есть подозрения что ваш компьютер попахивает алкоголем (Wine). Но блин, даже в этой хитрой схеме что-бы навредить, надо как минимум работать с IE и Outlook и тогда возникает вопрос о целесообразности установки Ubunta и предоставлении ему прав root. Похоже тут вина не пользователя (собачки) а администратора который допустил такой беспредел и за что он ненавидит собачку заставляя ее работать с программами от MS под Linux.
И да, не думаю что автору нравится убунта когда он приводит такие примеры.
forgotten
28.04.2015 15:51+1По-моему, спорить тут нечего. Linux-based ОС ломают давно и не менее успешно, чем винды. Подыми любой dedicated-сервер — и тебе немедленно начнут стучаться во все порты юные кулхацкеры. Что такое Shellshock, если не уязвимость Linux-а?
Что, это совсем другое? Это не «вирусы»? А какая эффективно разница?
Плюс я не очень понимаю рассуждений «злоумышленник не сможет повысить права до рута» или «злоумышленник не может скрыть присутствие». Если мы говорим об уводе каких-то ценных данных, то и не надо повышать права и скрывать присутствие — документы мало кто под рутом хранит, знаете ли.waleks Автор
28.04.2015 16:21Вирус — это не только одноразовые программы для увода данных кредитных карт. Из публичных источников информации известно, что небольшой процент вирусов пишутся и разрабатываются группами, интересы которых давно совпадают с интересами отдельных государств. Наверное, это не тема для обсуждения на хабре, но те кто связаны с ИБ, возможно, частично согласились, а может и нет, с моими посылами. В таком случае ценные данные — это не только документы в директории /home/user, и вирус может внедряться и существовать годами. Документы могут и не храниться под рутом, но доступ к ним, с помощью дополнительных механизмов защиты, может быть разрешен только определенным программам. Согласен, что немного перегрузил текст утрированными примерами.
Londoner
28.04.2015 15:51А почему нельзя сделать браузер для домохозяек, работающий из под отдельной ВМ и пишущий на её же виртуальный диск? 95% заразы отвалится, ещё 5%, атакующих и браузер и ВМ будет нерентабельна. Если домохозяйка скачала котиков — пусть сама копирует. Запустила екзешник — не беда, при следующем запуске ВМ проверяет целостность всего и перераспаковывает себя. Но надо сделать так чтоб всё было просто, а не пляски с бубном и инструкции на сто двадцать пунктов.
forgotten
28.04.2015 16:23+1Потому что браузер из-под VM работает как говно, например.
vanxant
28.04.2015 19:53-2По последней, технической, части со всякими там 16-ыми битами могу только процитировать по памяти слова товарища Касперского (который Евгений, а не Крис, разумеется), сказанные им лет так 25 назад и не потерявшие с тех пор свою актуальность.
Для построения надёжной системы безопасности компьютерную систему нужно анализировать в целом
Процессор мешает писать в память? Да и фиг с ним, воспользуемся другим устройством (дисковым контроллером, видеокартой и т.д.), которые умеет писать в память в обход процессора. Даже шаманить особо не придётся, драйвера все есть.
Blackside
28.04.2015 20:36Помню как заразился вирусом на Nokia N95 (Symbian), из за которого потерял приличную сумму денег (троян собрал личные данные и рассылал смс на дорогие номера).
Потом встретился с браузерной уязвимостью на MacOS — «полицейский» вирус требующий деньги за разблокировку.
За неофициальными APK в рутованных Android'ax не следил — а это потенциальный риск слива информации.
Поэтому никогда не был уверенным в безопасности какой либо системы.
pandas
03.05.2015 23:17Какое небо голубое… Покуда есть на свете дураки, обманом жить нам, стало быть, с руки.
(с) Лиса Алиса и Кот Базилио.
Это я к чему, от человеческой головы никакая защита не поможет. Иногда фатально. Вот летишь в самолёте, один пилот пописать вышел, а второй кабинку закрыл, потому что с головой беда. И всё. То же и взломы.
К слову, есть один медиахолдинг, довольно крупный. У них директор «по айти» скорее хорошо смотрелся бы на месте охранника или завхоза. Не смотря на его утверждения о полной защите всей информационной инфраструктуры секретарша всё равно смогла запустить вложенный экзешник и потом просрать все полимеры. Хорошо что бяку быстро устранили. Это я про вирус. А люди-то остались… А с другой стороны, зачем я это всё говорю: пока такие есть, я обеспечен работой :-)
ValdikSS
Встраивание в ядро Linux: перехват функций
Встраивание в ядро Linux: перехват системных вызовов
milabs
milabs
ValdikSS Спасибо за упоминание и да, статья редкостный бред.