Вредоносное ПО в каталоге Gnome-Look (избегайте сторонних пакетов)

[Bluetooth]

А я вот сегодня еду в москву, где я возьму за 2000р клавиатуру из 20 века. А "клавиатуру 21 века" отдам кому-нибудь. Мне такое барахло не нужно. Как и не нужны "умные фаерволы" на десктопах.

А ядро Вы тоже из 20 века используете? Какой версии? 1.0?
Шучу, шучу.
Хозяин - барин. Пользуйтесь чем хотите. Только не надо говорить, что это единственный кошерный вариант.

Почему? Вы ведь говорите, что аутпост - кошерно

Да блин... В реальном времени им нужно тыкать "разрешить"/"заблокировать"... А не задолбаетесь на каждый писк кнопку нажимать?

Вы не поверите, но если говорить за персональные фаерволлы а-ля Аутпост, то там об этой проблеме уже давно подумали. В Аутпосте с самого начала. В остальных - не знаю, но в современных версиях ЗонАлярмов и прочих КИСов всё есть.
Во-первых, имеется несколько режимов. Вопросы задаются только в одном из них. Включите другой - вопросов не будет. Будете привычно смотреть в лог.
Во-вторых, никто не запрещает создавать правила. Типа "программе ICQ разрешаю ломиться по 5190 порту завсегда в любом направлении". Или "программе putty разрешается ходить только по вот этим адресам". Для любителей поковырять пакеты - можно и пакетами рулить.
Совершенно неясно, чего так все на эти фаерволлы бурно реагируют.

Сами посудите. Вы ничего не делаете, ковыряете в носу, тут хоп "программа абракадабра лезет с порта 51903 на хост 12.43.242.4 на порт 56212, разрешить/запретить?", жмете что-то, и чувствуете себя спецом по безопасности. Какие там пакеты, какие правила? Это каменный век. Да/нет - вот настоящая безопасность.

Простите, а Вы вообще Аутпост-то хотя бы видели?

Видел. У меня брат(виндовс админ ) его юзает. Такой концентрации идиотских вопросов я нигде больше не видел. Если Вы считаете, что постоянное насилование юзерского мозга повышает безопасность, то тогда аутпост целесообразен
(и вот на этом месте мне попробуют открыть америку, что в аутпосте есть не только режим обучения )

[DSS]

"хакер вася петров паспортные данные ак 4088 456209, проживает СПБ Измайловский 66/3-7 имеет квартиру, жену и кошку, хочет скачать секретный файл ***. Разрешить?
разрешить всегда?
разрешить завтра?"

К сожалению, создатели Аутпоста живут, видимо, не так богато и до сих пор не приобрели базу ФМС.
Поэтому паспортные данные не показывает, нет.
А в остальном почти угадали.
Разрешить, запретить, создать правило.

Почему? Вы ведь говорите, что аутпост - кошерно

Я же не говорю, что аутпост - единственный кошерный вариант на все случаи жизни.

(и вот на этом месте мне попробуют открыть америку, что в аутпосте есть не только режим обучения )

И чем Вам этот самый "режим обучения" не угодил?
Тем что "ниасилили" переключение из него в другие режимы?

[mvt]

Тем что "ниасилили" переключение из него в другие режимы?

Ну я "ниасилил". А оно надо? В вендах не работаю, аутпостом не пользуюсь. Тема о чем? О вредоносном ПО в пакетике на gnome-look. Выводы:
- лучше пользоваться репами своего дистрибутива
- если скачал сторонний пакет, не поленись открыть его в архиваторе и посмотреть на предмет посторонних подозрительных скриптов.
Остальное - беспредметный разговор на тему "а вот если бы у бабушки..."

[Grenka]

Остальное - беспредметный разговор на тему "а вот если бы у бабушки..."

Ну по чему же безпредметный. Тема о вредоносном ПО в пакетике на gnome-look. Вот тут и обсуждается, можно ли это вредоносное ПО было обезвредить используя фаервол. Для меня тема очень даже актуальна, т.к. использовать форточки больше не собираюсь. А с фаерволом под Linux (Ubuntu) разобраться хочется. И для меня желательно найти что то типа аутпоста или kireo.

Я аутпостом пользовался, когда XP использовал. Сам виндовс он конечно не смог блокировать (как и любой другой фаервол под виндами), а вот другой софт запроста. Причём там не выводились сообщения постоянно разрешить или нет. Просто после установки я ставил режим "запретить всё кроме" и в список добавлял программы, которым можно в интернет (Opera, Skype, ICQ, uTorrent). А в Ubutu поставил gufw, активировал им фаервол и добавил в разрешённые transmission. Однако Skype и ICQ работает и без добавления в список разрешённого ПО. Вот это мне не нравится, т.к. на мой взгляд фаервол должен был блокировать.

[Bizdelnick]

А с фаерволом под Linux (Ubuntu) разобраться хочется. И для меня желательно найти что то типа аутпоста или kireo.

Читайте выше. Оно если бы и было, то не помогло бы.

[Boboms]

Ну по чему же безпредметный. Тема о вредоносном ПО в пакетике на gnome-look. Вот тут и обсуждается, можно ли это вредоносное ПО было обезвредить используя фаервол. Для меня тема очень даже актуальна, т.к. использовать форточки больше не собираюсь. А с фаерволом под Linux (Ubuntu) разобраться хочется. И для меня желательно найти что то типа аутпоста или kireo.

Есть и другой путь. Наиболее простой и надежный, коли данные - важнЫ. Включить мозг и разобраться что такое TCP,UDP,ICMP, порты 21,22 и т.п., прочитав однажды:
http://www.opennet.ru/docs/RUS/iptables/
Далее включить то, что надо в iptables (там всё с примерами).

[Bizdelnick]

Далее включить то, что надо в iptables (там всё с примерами).

Так ведь тоже не помогло бы.

[Boboms]

Ну 100% гарантии никто не дает , но подстраховаться чуток можно.

[Davinel]

Вообще для безопасности можно сделать весьма простую вещь.
Запретить для всех пользователей, кроме одного(ну и рута еще, да), доступ в сеть. И все. Все программы, которым такой доступ необходим, запускать от этого пользователя.

(Вариант для убунты ^^ - когда нечто лезет в сеть вылазит окошко gksu с надписью, что такому то приложению не хватает привилегий, введите пароль для юзера net, хотя конечно это жестоко, большинство будут тупо вводить, даже для явных вирусов)

Жесть... кем вы себе представляете среднестатистического пользователя бубунты?
Не вздумайте говорить такое всерьез, иначе уже сегодня в разделе убунту будут созданы темы: "Как мне сделать доступ в сеть для 1 пользователя", "Надоело постоянно вводить пароль", "Я ввожу пароль, а у меня вылазит порно-баннер на пол-экрана", "Памагите я навичок".

Да ну. Аутпостом же пользуются - тут тоже самое.
Можно точно так же интерфейс сделать, создавать правила в каких случаях какому приложению можно, а какому нельзя. + естественно в убунте поставлять базовый набор правил с готовыми разрешениями и запретами т.е. о синаптике и файрфоксе оно спрашивать ничего не будет, никаких паролей, просто запустит от нужного пользователя и все.

Мазохизм от безопасности (:

Ага, но если линух когда нибудь такие станет популярен, то сие будет вполне востребовано..

[Bizdelnick]

Господа теоретики, приведите наконец уже 1) правило для iptables, которое не дало бы данному трояну нормально функционировать или 2) такое правило для гипотетического "аутпоста для линукс". Чтобы при этом все браузеры и качалки работали без проблем.
Или перестаньте трепаться.

[mvt]

Ну по чему же безпредметный. Тема о вредоносном ПО в пакетике на gnome-look. Вот тут и обсуждается, можно ли это вредоносное ПО было обезвредить используя фаервол.

Причем здесь фаервол, если пользователь сам скачал файл из стороннего источника, не проверил, сам запустил его от root на установку
То есть Вам нужна программа, которая будет говорить типа "не качай пакеты откуда не попадя!" "Проверь, что скачал!" "Не запускай от root непонятные скрипты!" ? IMHO проще написать это на бумажке и приклеить к монитору.

[Bluetooth]

Ну по чему же безпредметный. Тема о вредоносном ПО в пакетике на gnome-look. Вот тут и обсуждается, можно ли это вредоносное ПО было обезвредить используя фаервол.

Фаер против вредоносного ПО, которое пользователь установил сам? Жесть

[Ali1]

В целях повышения моего образования, объясните мне, пожалуйста, как программа аля аутпост отслеживает сетевую активность?
Уточняю. Аутпост я видел давно, авиру сегодня. Про кнопочки, настройки и т.д. знаю. Как программа аля аутпост отслеживает сетевую активность? Как программа аля аутпост отслеживает активность процессов?

[Boboms]

Господа теоретики, приведите наконец уже 1) правило для iptables, которое не дало бы данному трояну нормально функционировать или 2) такое правило для гипотетического "аутпоста для линукс". Чтобы при этом все браузеры и качалки работали без проблем.
Или перестаньте трепаться.

А никто про качалки и браузеры и не говорил А зачем они рядовому пользователю, то?

[Bluetooth]

Господа теоретики, приведите наконец уже 1) правило для iptables, которое не дало бы данному трояну нормально функционировать или 2) такое правило для гипотетического "аутпоста для линукс". Чтобы при этом все браузеры и качалки работали без проблем.
Или перестаньте трепаться.

А никто про качалки и браузеры и не говорил А зачем они рядовому пользователю, то?

Зачем рядовому пользователь на компе вообще что-то помимо аутпоста и касперского?

[Grenka]

Есть и другой путь. Наиболее простой и надежный, коли данные - важнЫ. Включить мозг и разобраться что такое TCP,UDP,ICMP, порты 21,22 и т.п., прочитав однажды:
http://www.opennet.ru/docs/RUS/iptables/
Далее включить то, что надо в iptables (там всё с примерами).

Спасибо за информацию. Наверное, разобраться самому с iptables - это единственный путь на сегодня.

IMHO проще написать это на бумажке и приклеить к монитору.

Всё гениальное просто

Фаер против вредоносного ПО, которое пользователь установил сам?

Не против вредоносного ПО, а против его выхода в интернет. Я не спорю, что невозможно защитить комп, если пользователь идиот и ставит всё без разбора.
Но я считаю, что если есть возможность запретить всем приложениям, кроме некоторых (браузер, торрент клиент, скайп) лазить в интернет, то это увеличит безопасность системы. Или это не так?
Тем более, что Linux используют не только такие продвинутые пользователи как вы. Я за популяризацию Linux, за то чтобы её ставили обычные пользователи, а не только сисадмины хакеры. Посоветовал Ubuntu друзьям. Те из них, кто её ставил одним из первых вопросов задавали именно о ток какие украшательства как поставить. Поэтому, я считаю, что если бы был нормальный GUI для фаервола, который бы просто ставился и популюрно написанные статьи о нём в интернете, то это бы сильно помогло новичкам в Linux повысить безопасность.

Всех с наступающим рождеством и новым годом.

[Bluetooth]

Но я считаю, что если есть возможность запретить всем приложениям, кроме некоторых (браузер, торрент клиент, скайп) лазить в интернет, то это увеличит безопасность системы. Или это не так?

А еще лазить в инет от отдельного пользователя и тд. Но как это относится к троянам, которые уже попали и работают?

[Bizdelnick]

Но я считаю, что если есть возможность запретить всем приложениям, кроме некоторых (браузер, торрент клиент, скайп) лазить в интернет, то это увеличит безопасность системы. Или это не так?

Это не так.

[Grenka]

Но как это относится к троянам, которые уже попали и работают?

А так, что этот троян должен лазить в инет, что бы гадить. Если он не относится к списку ПО, которому разрешён выход в интернет, то и проявить себя не сможет. Т.е. комп с таким трояном не будет участвовать в DDoS атаках.

[Bizdelnick]

А так, что этот троян должен лазить в инет, что бы гадить. Если он не относится к списку ПО, которому разрешён выход в интернет, то и проявить себя не сможет. Т.е. комп с таким трояном не будет участвовать в DDoS атаках.

Да прочитайте Вы наконец всю ветку, сходите по ссылкам, посмотрите, что это за троян, а потом уже объясняйте, как его обезвредить. А если делать это лень или уровень знаний не позволяет, то не пишите глупостей.

[DSS]

- лучше пользоваться репами своего дистрибутива

Пользуйтесь. Выше уже были ссылки на взломы всего подряд.
Или Вы считаете, что "репы своего дистрибутива" обладают встроенной астральной защитой от всего?

Читайте выше. Оно если бы и было, то не помогло бы.

Почему же?
wget'у от пользователя root доступ был бы неразрешён.
Соответственно, автору бяки пришлось бы писать скрипты, чтобы фаерволл его таки пропустил.
То, что от рута можно запустить и изменить всё подряд - тоже решаемо.
От банальных симметричных шифрований, до SELinux сотоварищи.

В целях повышения моего образования, объясните мне, пожалуйста, как программа аля аутпост отслеживает сетевую активность?
Уточняю. Аутпост я видел давно, авиру сегодня. Про кнопочки, настройки и т.д. знаю. Как программа аля аутпост отслеживает сетевую активность? Как программа аля аутпост отслеживает активность процессов?

Сеть - точно также, как libpcap - на сетевуху вешается дополнительный драйвер.
Как процессы - не знаю. Спросите у создателей.

[Bizdelnick]

Читайте выше. Оно если бы и было, то не помогло бы.

Почему же?
wget'у от пользователя root доступ был бы неразрешён.

А также curl, aria2c и прочим качалкам? А как тогда, например, пакеты из репов или инфа об обновлениях должна загружаться?

[/dev/random]

Почему же?
wget'у от пользователя root доступ был бы неразрешён.

А зачем нам вообще что-то качать? Что там у нас в пакете было? Темы для гнома? В них были изображения? Так вот, формат png допускает наличие в файле дополнительных секций, которые будут обрабатываться только теми программами, которые знают, для чего они, а остальными - игнорироваться. И почему бы не запихнуть этот троян в дополнительные секции png'шки? А скрипт бы просто "распаковывал" его. И что изменил бы фаерволл?

Ещё раз повторяю, запустил вредоносное ПО от рута - ты труп. Сноси систему, форматируй винт, перепрошивай биос.

[agentprog]

Сноси систему, форматируй винт, перепрошивай биос.

...выброси комп в окно, закройся в комнате в шкафе и жди дяденек в белых халатах

[Fkabir]

если есть возможность запретить всем приложениям, кроме некоторых (браузер, торрент клиент, скайп) лазить в интернет, то это увеличит безопасность системы. Или это не так?

Насколько я понимаю, appliсation level в линуксе не работает, это работает в Виндах. В линуксе блочат порты и протоколы, свято веруя, что если напишут какой-то троян, он не сможет вылезти наружу по открытому http ftp или благодаря работающей аське. Про wget - случай весьма показательный. Все эти рекомендации с http://www.opennet.ru/docs/RUS/iptables/ работать не будут, линукс против таких простых атак по сути бессилен, т.к. нет средств это выявлять. И блочить в реальном времени, программно.

Советы - читать самому код или сидеть только в своем репозитории - аналогичны советам чтоб подольше прожить - стать врачом, юристом, поваром, механиком и еще освоить кучу специальностей, сделать самому себе авто, каску , бронежилет и еще кучу милых вещей, а потом, обложившись всем этим, сидеть в бункере глубоко под землей...

Все надежды - на профилактику, т.е. что юзер не должен, не может, не запускает, а

Сноси систему, форматируй винт, перепрошивай биос.

...выброси комп в окно, закройся в комнате в шкафе и жди дяденек в белых халатах

[Davinel]

Но я считаю, что если есть возможность запретить всем приложениям, кроме некоторых (браузер, торрент клиент, скайп) лазить в интернет, то это увеличит безопасность системы. Или это не так?

Ну скажем под виндой это точно не так. Т.к. любой вирус, если он не совсем убогий, замечательно умеет притворяться различными системными утилитами.

А также curl, aria2c и прочим качалкам? А как тогда, например, пакеты из репов или инфа об обновлениях должна загружаться?

Вообще говоря по нормальному не должно оно от рута работать. Должно качать в доступный для пользователя каталог, а от рута выполнять только перемещение файлов.
Просто мало кто серьезно задумывается о безопасности, пока что.

[Davinel]

Насколько я понимаю, appliсation level в линуксе не работает, это работает в Виндах.

Вы не правильно понимаете. С чего бы в линуксе небыло апликайшн левел? Он есть. Смотрите в сторону, к примеру, SELinux или AppArmor. Или Systrace(оо тут даже есть ваши любимые всплывающие окошки!). Или iptables(да да оно тоже умеет отслеживать слой приложений)

В линуксе блочат порты и протоколы, свято веруя, что если напишут какой-то троян, он не сможет вылезти наружу по открытому http ftp или благодаря работающей аське. Про wget - случай весьма показательный.

Вы что, серьезно не понимаете, что если пользователь запустил вредоносную программу с администраторскими правами то ему никакой аутпост или даже 10 аутпостов уже не помогут? Да в целом при следующем запуске компьютера аутпост может просто взять и не загрузиться. Это грубая работа конечно, но почему нет? Или самое банальное - вирус маскируется под системный процесс. И? Что дальше, чем поможет в этом случае аутпост? А ведь именно так и делает подавляющее большинство вирусов, как то редко бывает, что процесс вируса называется tojan.exe..

Если вам нужна безопасность все делается совсем не так. Вы запрещаете ВСЕ. Потом разрешаете только необходимое.
А единственное что делает аутпост - это задалбывает своими бессмысленными окошками. Ах да и еще создает дополнительные уязвимости, которых в нем не так уж и мало было найдено за время существования ^^

[DSS]

А также curl, aria2c и прочим качалкам? А как тогда, например, пакеты из репов или инфа об обновлениях должна загружаться?

wget'ом, запущенным от пользователя.

А зачем нам вообще что-то качать? Что там у нас в пакете было? Темы для гнома? В них были изображения? Так вот, формат png допускает наличие в файле дополнительных секций, которые будут обрабатываться только теми программами, которые знают, для чего они, а остальными - игнорироваться. И почему бы не запихнуть этот троян в дополнительные секции png'шки? А скрипт бы просто "распаковывал" его. И что изменил бы фаерволл?

Фаерволл изменил бы следующее: скрипту выход в сеть запрещён.
Если скрипт распаковывает троян и кладёт в виде executable файла на диск - ему тоже никакого доступа.
Распаковывает в память и передаёт на него управление - туда же.
Распаковывает и подменяет какой-либо правильный файл - от этого в современных ПЕРСОНАЛЬНЫХ фаерволлах прикладного уровня тоже есть защита. Типа встроенного tripwire - для каждого разрешённого приложения хранится контрольная сумма (может быть хэш - подробностей не знаю). Если приложение изменилось - доступ в сеть оно опять не имеет,пока пользователь явно не разрешит.
Как в applicatiion level firewall корпоративного уровня - не знаю.

Ещё раз повторяю, запустил вредоносное ПО от рута - ты труп. Сноси систему, форматируй винт, перепрошивай биос.

SELinux готов с Вами поспорить

...выброси комп в окно, закройся в комнате в шкафе и жди дяденек в белых халатах

Опечатались. Надо так: выбросиСЬ в окно....

Или самое банальное - вирус маскируется под системный процесс. И? Что дальше, чем поможет в этом случае аутпост? А ведь именно так и делает подавляющее большинство вирусов, как то редко бывает, что процесс вируса называется tojan.exe..

Читайте выше - маскировка под системный процесс не сработает.

Если вам нужна безопасность все делается совсем не так. Вы запрещаете ВСЕ. Потом разрешаете только необходимое.
А единственное что делает аутпост - это задалбывает своими бессмысленными окошками.

"Задалбывает своими бессмысленными окошками" это и есть реализация принципа "запрещаете ВСЕ. Потом разрешаете только необходимое".
Только реализовано иначе. Как уже отмечалось - можете осилить переключение в режимы, отличные от режима обучения, и "задалбывание окошками" прекратится.

[malex]

если пользователь запустил вредоносную программу с администраторскими правами

ну там не пользователь от рута запускал - а как, позвольте спросить, поставить прогу, (пока забудем, откуда она, прога, взялась). Правильно apt-get, а попробуйте поставить прогу апт-гетом не от рута. Поэтому, так уж сильно на пользователя не нужно бочку катить.
зы. положа руку на сердце - многие ли из Вас, уважаемые саксаулы, просматривают устанавливаемый пакет перед установкой?

[Bluetooth]

зы. положа руку на сердце - многие ли из Вас, уважаемые саксаулы, просматривают устанавливаемый пакет перед установкой?

никто. Мы просто ставим из доверенных источников, вероятность нахождения вредоносного ПО там - очень низкая

Распаковывает и подменяет какой-либо правильный файл - от этого в современных ПЕРСОНАЛЬНЫХ фаерволлах

О госспади. А кофе он, случаем, не готовит?