Вредоносное ПО в каталоге Gnome-Look (избегайте сторонних пакетов)

[malex]

Мы просто ставим из доверенных источников, вероятность нахождения вредоносного ПО там - очень низкая

Вот только вера в эти самые источники и добропорядочность людей, которые эти источники админят и согревает. Без смайлов.

[Bluetooth]

Вот только вера в эти самые источники и добропорядочность людей, которые эти источники админят и согревает.

Это точно

[Atolstoy]

согревает.

Меня согревает наличие ключа GPG

[malex]

Меня согревает наличие ключа GPG

что мешает НЕдопропорядочным людям подписать ключем GPG какую нибудь гадость?

[DSS]

О госспади. А кофе он, случаем, не готовит?

Не знаю. Я с NetBSD как-то незнаком совсем. Не знаете, портировали туда Outpost или что-то подобное?

Меня согревает наличие ключа GPG

Это хорошо.
Смотрите, только, успейте вовремя прекратить согревающие процедуры, чтобы ненароком не заработать ожог:
http://lists.gnupg.org/pipermail/gnupg-ann...6q1/000216.html

[Bizdelnick]

А также curl, aria2c и прочим качалкам? А как тогда, например, пакеты из репов или инфа об обновлениях должна загружаться?

Вообще говоря по нормальному не должно оно от рута работать. Должно качать в доступный для пользователя каталог, а от рута выполнять только перемещение файлов.
Просто мало кто серьезно задумывается о безопасности, пока что.

А также curl, aria2c и прочим качалкам? А как тогда, например, пакеты из репов или инфа об обновлениях должна загружаться?

wget'ом, запущенным от пользователя.

Ну так объясните это дистростроителям. А то вон у меня в Мандриве urpmi и rpmdrake только от рута запускаются, и от него же запускают качалки. В бубунте та же фигня. Да и вообще почти везде.

[malex]

Да и вообще почти везде.

интересно, а где не под рутом идет установка?

[Davinel]

Читайте выше - маскировка под системный процесс не сработает.

Работает. Так как 99% пользователей РАЗРЕШИТ системному процессу лезть куда угодно.
Но это, я говорил, самое банальное, что используется везде. В принципе при получении прав системы можно делать уже что угодно, в том числе и с самим аутпостом, нужно просто предусмотреть это в вирусе )

Как уже отмечалось - можете осилить переключение в режимы, отличные от режима обучения, и "задалбывание окошками" прекратится.

Зачем в таком случае использовать аутпост вместо нормального файрвала?

зы. положа руку на сердце - многие ли из Вас, уважаемые саксаулы, просматривают устанавливаемый пакет перед установкой?

Вот когда появиться новость, что в репозиториях арча/дебиана найдено вредоносное ПО тогда и начну. Ага.

интересно, а где не под рутом идет установка?

Если я не ошибаюсь то в генте, там от рута только копируются собранные файлы.
По крайней мере такое у меня осталось воспоминание.

[malex]

там от рута только копируются собранные файлы

ну так это и есть установка.

[Fkabir]

Насколько я понимаю, appliсation level в линуксе не работает, это работает в Виндах.

Вы не правильно понимаете. С чего бы в линуксе небыло апликайшн левел? Он есть. Смотрите в сторону, к примеру, SELinux или AppArmor. Или Systrace(оо тут даже есть ваши любимые всплывающие окошки!). Или iptables(да да оно тоже умеет отслеживать слой приложений)

Ну так приведите вот способ, как в данном, конкретном случае под линуксом можно было бы решить проблему? Учитывая, что
1. Пользователь ставит себе не вирус, не троян, а нужный ему софт, в который нехорошие люди трояны/вирусы запихнули, т.е. пользователь тут не виноват
2. Пользователь не будет и не должен читать код того, что он там ставит
3. Пользователь не обязан сидеть только в своей одной песочнице/репозитории

Вот скачал файл, а там троян, а юзер не в курсе, вся надежда - на систему, на дистрибутив. Чтоб отследил/заблочил/сообщил юзеру... Итак, вы пишете, что все есть? Так каково решение? Конкретика? По пунктам плиз.

[Bluetooth]

зы. положа руку на сердце - многие ли из Вас, уважаемые саксаулы, просматривают устанавливаемый пакет перед установкой?

Вот когда появиться новость, что в репозиториях арча/дебиана найдено вредоносное ПО тогда и начну. Ага.

Выше давали ссылку
Но также можно найти еще и инфу об эксплойтах для ссш. Но это не повод не доверять ссш и репу дебиана

[Ali1]

[xguest@aliCQ ~]$ cat /usr/local/bin/Auto.sh
#!/bin/bash
ping -s 1024 192.168.1.34
[xguest@aliCQ ~]$ /usr/local/bin/Auto.sh
ping: icmp open socket: Отказано в доступе
[xguest@aliCQ ~]$ id
uid=501(xguest) gid=501(xguest) группы=501(xguest) context=xguest_u:xguest_r:xguest_t:s0
[xguest@aliCQ ~]$

[xguest@aliCQ ~]$ wget http://alir4.narod.ru/test/Auto_ping.sh
--2009-12-24 23:17:48-- http://alir4.narod.ru/test/Auto_ping.sh
Распознаётся alir4.narod.ru... 213.180.199.27
Устанавливается соединение с alir4.narod.ru|213.180.199.27|:80... сбой: Отказано в доступе.
Повтор.
.....

--2009-12-24 23:17:54-- (попытка: 4) http://alir4.narod.ru/test/Auto_ping.sh
Устанавливается соединение с alir4.narod.ru|213.180.199.27|:80... сбой: Отказано в доступе.
Повтор.

^C
[xguest@aliCQ ~]$

Код:

$ sudo grep wget /var/log/audit/audit.log [sudo] password for ali: type=AVC msg=audit(1261685868.867:53): avc: denied { name_connect } for pid=3036 comm=\"wget\" dest=80 scontext=xguest_u:xguest_r:xguest_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket type=SYSCALL msg=audit(1261685868.867:53): arch=c000003e syscall=42 success=no exit=-13 a0=3 a1=7fffb6254750 a2=10 a3=72616e2e3472696c items=0 ppid=2997 pid=3036 auid=501 uid=501 gid=501 euid=501 suid=501 fsuid=501 egid=501 sgid=501 fsgid=501 tty=pts0 ses=2 comm=\"wget\" exe=\"/usr/bin/wget\" subj=xguest_u:xguest_r:xguest_t:s0 key=(null) ..... type=AVC msg=audit(1261685874.869:56): avc: denied { name_connect } for pid=3036 comm=\"wget\" dest=80 scontext=xguest_u:xguest_r:xguest_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket type=SYSCALL msg=audit(1261685874.869:56): arch=c000003e syscall=42 success=no exit=-13 a0=3 a1=7fffb6254750 a2=10 a3=72616e2e3472696c items=0 ppid=2997 pid=3036 auid=501 uid=501 gid=501 euid=501 suid=501 fsuid=501 egid=501 sgid=501 fsgid=501 tty=pts0 ses=2 comm=\"wget\" exe=\"/usr/bin/wget\" subj=xguest_u:xguest_r:xguest_t:s0 key=(null)

[Fkabir]

Круто. Пошел читать про AppArmor.

А в /var/log/audit/audit.log или еще где есть указание, что сбои были из-за скрипта /usr/local/bin/Auto.sh ? Т.е. прямая ссылка на скрипт, вызвавший это все, дабы скрипт удалить нафиг?

[Ali1]

Все гораздо проще. В политике xguest к 80 порту доступ имеет только браузер.

[Fkabir]

Не, я о другом. Вот в audit.log есть такая фигня, что, например, wget куда-то не туда лезет. Но я не знаю, почему, какой скрипт заставляет его туда лезть. Как я узнАю?

И еще вопрос. Там wget лезет на 80 порт? А если на другой любой? На каком порту он обычно работает, когда запускается от юзера? Вот если на нем же троян запустит wget, что тогда?

[Bluetooth]

Не, я о другом. Вот в audit.log есть такая фигня, что, например, wget куда-то не туда лезет. Но я не знаю, почему, какой скрипт заставляет его туда лезть. Как я узнАю?

Вы рассуждаете о бесполезном. Невозможно обеспечить безопасность, ничего в ней не понимая. Как нельзя водить машину, не умея водить

[Davinel]

Ну так приведите вот способ

Я уже приводил способ... запрещается ВСЕ. Потом разрешаются отдельные вещи..

[Ali1]

Не, я о другом. Вот в audit.log есть такая фигня, что, например, wget куда-то не туда лезет. Но я не знаю, почему, какой скрипт заставляет его туда лезть. Как я узнАю?

Вы рассуждаете о бесполезном. Невозможно обеспечить безопасность, ничего в ней не понимая. Как нельзя водить машину, не умея водить

Почти можно.

Xguest может зайти локально в X-Window и запустить браузер. Никакие другие сетевые коммуникации ему не разрешены.
Если SELinux включен, то мы можем разрешить пользователю xguest вход без пароля. Для обеспечения этого был написан специальный модуль PAM - /lib/security/pam_selinux_permit.so. В свою очередь /lib/security/pam_namespace.so создает (и удаляет при выходе из системы) временные домашнюю директорию и директорию /tmp для пользователя xguest. Таким образом, между двумя сеансами работы xguest на машине ничего не сохраняется. Да, и пока мы работаем из-под xguest, никаких setuid-бинарников.

никаких установок софта и рутового пароля.

[Bluetooth]

Почти можно.

Да, мне тоже очень понравились дефолтные политики для гвеста. Но комплексной защиты это, увы, не дает.

[Fkabir]

Не, я о другом. Вот в audit.log есть такая фигня, что, например, wget куда-то не туда лезет. Но я не знаю, почему, какой скрипт заставляет его туда лезть. Как я узнАю?

Вы рассуждаете о бесполезном. Невозможно обеспечить безопасность, ничего в ней не понимая. Как нельзя водить машину, не умея водить

Почти можно.

Xguest может зайти локально в X-Window и запустить браузер. Никакие другие сетевые коммуникации ему не разрешены.
Если SELinux включен, то мы можем разрешить пользователю xguest вход без пароля. Для обеспечения этого был написан специальный модуль PAM - /lib/security/pam_selinux_permit.so. В свою очередь /lib/security/pam_namespace.so создает (и удаляет при выходе из системы) временные домашнюю директорию и директорию /tmp для пользователя xguest. Таким образом, между двумя сеансами работы xguest на машине ничего не сохраняется. Да, и пока мы работаем из-под xguest, никаких setuid-бинарников.

никаких установок софта и рутового пароля.

Тогда я чет не понимаю.
1. Чтобы получить и запустить обсуждаемый троян, юзер ставил сторонний софт (не важно сейчас, откуда, важно, что ставил совсем другой софт, а это делается только из-под root)
2. Тогда причем тут Xguest и его политики?

Я так понял, что если вы скачаете специально троян и запустите его из-под Xguest, то ничего не выйдет. Но если в штатном режиме ставите софт, а там есть троян, то все получится. Так? Если так, то какой смысл в этом Xguest?

[Bluetooth]

Тогда я чет не понимаю.
1. Чтобы получить и запустить обсуждаемый троян, юзер ставил сторонний софт (не важно сейчас, откуда, важно, что ставил совсем другой софт, а это делается только из-под root)
2. Тогда причем тут Xguest и его политики?

Я так понял, что если вы скачаете специально троян и запустите его из-под Xguest, то ничего не выйдет. Но если в штатном режиме ставите софт, а там есть троян, то все получится. Так? Если так, то какой смысл в этом Xguest?

Нужно просто не ставить вредоносное ПО самостоятельно. А выше была продемонстрирована попытка неким "злоумышленником" скачать и выполнить скрипт из-под xguest.

[Ali1]

Тогда я чет не понимаю.
1. Чтобы получить и запустить обсуждаемый троян, юзер ставил сторонний софт (не важно сейчас, откуда, важно, что ставил совсем другой софт, а это делается только из-под root)
2. Тогда причем тут Xguest и его политики?

Если человек хочет убить систему, то никто ему не помешает.

Я так понял, что если вы скачаете специально троян и запустите его из-под Xguest, то ничего не выйдет. Но если в штатном режиме ставите софт, а там есть троян, то все получится. Так? Если так, то какой смысл в этом Xguest?

Да так. Идея этой политики безопасности в том и состоит, что пользователь неспособный оценить опасность не получает опасных инструментов, в т.ч. возможности в штатном режиме ставить софт.




Дабы предотвратить бессмысленное продолжение дискуссии про штатную установку программ.
Кен Томпсон лекция 1983 г. при вручении Тьюринга.
"Размышления о том. можно ли полагаться на доверие"

До какой степени можно полагаться на утверждение, что программа не содержит "троянских коней"? Возможно, более важно полагаться на людей, написавших эту программу.

Мораль ясна. Нельзя доверять программе, которую вы не написали полностью сами (особенно если эта программа пришла из компании, нанимающей таких людей, как я). Сколько бы вы не исследовали и не верифицировали исходный текст - это не защитит вас от троянской программы. Для демонстрации атаки такого рода я выбрал компилятор Си. Я мог бы выбрать любую программу, обрабатывающую другие программы — ассрмбЛер, ЗагпттЗЧКК ИЛИ даЖе МИКпоПпоГпаММУ ,Зашитую в аппаратуру. Чем ниже уровень программы, тем труднее и труднее обнаруживать подобные «жучки». Мастерски встроенный «ЖуЧОК» В мИКроПрОГрамМе оудеТ ПОЧТИ НеВОЗ МОЖ- но оонаружить.

PS Все антивирусы и т.п лишь снижают возможный риск.

[Fkabir]

Ясно, тогда SELinux и AppArmor проблему не решают. Итого снова вернулись к тому, с чего начали - в линуксе нет средств, могущих предотвратить активность троянов и заблочить их, т.е. нет аналогов Аутпост. Я не говорю, что софт под линукс должен быть похож на 100% на Аутпост, я говорю о принципе работы ПО - блокирование не протоколов и портов, а прог/скриптов, т.е. на уровне application level, даже если они запускаются из-под рута, а им запуск не был разрешен по политикам/правилам. Т.е. контролировать надо всю систему, всех юзеров, и root тоже. Контролировать, кто запускает wget, браузер и т.п., кому можно, кому нельзя. Контролировать, а куда лезет сама программа - известная (wget, browser) или неизвестная (т.е. порты, протоколы) и блочить, если правилами не разрешено. Т.е. это огромная работа, да. Но иначе система просто беззащитна. Даже с разделением прав.

Сейчас нет эпидемий под линукс, т.к. нет массового юзера, а есть суровые админы, читающие код и сидящие в своих репозиториях. Линукс имеет популярность на десктопах около 1%. Именно поэтому и нет эпидемий, а не потому, что линукс секурный. Как показывает даже данный пример, совсем не секурный. Под Винды такие трояны лезут каждый день и уже давно блочатся пачками. У линукса просто нет средств, которые можно противопоставить залезшему трояну (даже нельзя узнать, что что-то поселилось на компе и куда-то что-то шлет/принимает - не сис админу нельзя узнать, а сис админу надо будет очень попотеть, делая много ручной работы, это даже не пытались автоматизировать) и все еще у динукса с этими эпидемиями впереди, если он станет еще популярнее

[Bluetooth]

Ясно, тогда SELinux и AppArmor проблему не решают. Итого снова вернулись к тому, с чего начали - в линуксе нет средств, могущих предотвратить активность троянов и заблочить их, т.е. нет аналогов Аутпост.

Ну нет, нет. Если так охота юзать аутпост и чувствовать себя спецом по безопасности, тыкая мышкой да/нет, не понимая о чем, есть предложение: Поставьте виртуалбокс, запустите там винду, установите в ней аутпост, в линуксе запустите нмап, сканирующий порты на виртуальной машине, и наслаждайтесь диалоговыми окнами аутпост и сознанием собственной безопасности

Хотя, впрочем, можете продолжать дискуссию. Ибо смешно. А смех продлевает жизнь.

[Ali1]

Да не так же!

• В linux есть средства на уровне application level, даже если они запускаются из-под рута, а им запуск не был разрешен по политикам/правилам.
• В linux есть средства контролировать всю систему, всех юзеров, и root тоже.
• это огромная работа

Но дело не в этом.
Нельзя доверять программе.
Блокирование не протоколов и портов, а процессов, файлов, пользователей не защищает от правильно написанного вредоносного ПО, установленного легальным методом. Либо Вы хозяин системы и можете ея убить, либо Вы xguest и защищены.

UPD
Все антивирусы и т.п лишь снижают возможный риск.

Он не станет еще популярнее.

ЗЫ
Некоторые проблемы не имеют решения.

[DSS]

Ну так объясните это дистростроителям. А то вон у меня в Мандриве urpmi и rpmdrake только от рута запускаются, и от него же запускают качалки. В бубунте та же фигня. Да и вообще почти везде.

Зачем? Ведь на каждом углу можно встретить надписи о том, что в Linux существование вирусов невозможно принципиально.
Верьте в это и Вас больше не будет беспокоить вопрос об объяснении чего-либо дистростроителям.

Работает. Так как 99% пользователей РАЗРЕШИТ системному процессу лезть куда угодно.

Те же самые 99%, перейдя на Linux, сделают iptables -P OUTPUT ACCEPT.
Открывая дорогу чему угодно.

Зачем в таком случае использовать аутпост вместо нормального файрвала?

Что значит "нормального"? Который умеет только пакетики фильтровать?

Вот когда появиться новость, что в репозиториях арча/дебиана найдено вредоносное ПО тогда и начну. Ага.

Ага, клюв жареного петуха - самое эффективное средство от всего

Ну нет, нет. Если так охота юзать аутпост и чувствовать себя спецом по безопасности, тыкая мышкой да/нет, не понимая о чем, есть предложение: Поставьте виртуалбокс, запустите там винду, установите в ней аутпост, в линуксе запустите нмап, сканирующий порты на виртуальной машине, и наслаждайтесь диалоговыми окнами аутпост и сознанием собственной безопасности

А почему "не понимая о чем"? По Вашему все пользователи Аутпоста непроходимые дебилы?

Но дело не в этом.
Нельзя доверять программе.
Блокирование не протоколов и портов, а процессов, файлов, пользователей не защищает от правильно написанного вредоносного ПО, установленного легальным методом.

Блокирование ТОЛЬКО протоколов и портов защищает в разы меньше, нет?

[Ali1]

Цитата(Ali1 @ Dec 25 2009, в 22:51) *
Но дело не в этом.
Нельзя доверять программе.
Блокирование не протоколов и портов, а процессов, файлов, пользователей не защищает от правильно написанного вредоносного ПО, установленного легальным методом.

Блокирование ТОЛЬКО протоколов и портов защищает в разы меньше, нет?

Да. На то и мандатный доступ в SELinux, RBAS и т.д.
НО зачем Вам "в реальном времени"?
Во-первых, все эти UAC, OUTPOST, даже сложные пароли, кроме иллюзии не создают ничего. Ну ровно как макаров в женской сумочке.
Во-вторых, это противоречит значительному количеству основополагающих юних идей.

[Fkabir]

Цитата(Ali1 @ Dec 25 2009, в 22:51) *
Но дело не в этом.
Нельзя доверять программе.
Блокирование не протоколов и портов, а процессов, файлов, пользователей не защищает от правильно написанного вредоносного ПО, установленного легальным методом.

Блокирование ТОЛЬКО протоколов и портов защищает в разы меньше, нет?

Да. На то и мандатный доступ в SELinux, RBAS и т.д.
НО зачем Вам "в реальном времени"?

А когда же тогда? К вам на десктоп залезли, чтоб украсть у вас какие-то документы, файлы. И если вас программа сразу же, в реальном времени не предупредит, а вы увидите, что у вас украли документы пару суток назад, случайно читая логи, что это вам даст? Какой смысл в такой защите?

Если что-то пролезло, это надо блочить немедленно, немедленно ставя в известность того, кто сидит за компом. Иначе смысла в такой защите просто нет, это будет "для галочки" защита, не защита, а ее эмуляция

Либо Вы хозяин системы и можете ея убить, либо Вы xguest и защищены.

Непонятен смысл такой защиты.

1. Трояны устанавливаются обычно не при серфинге (в линуксе), а когда вы что-то ставите в системе, нет?
2. Ставите вы обычно из-под root

Т.е. не ставя программы, т.е. не работая из-под рута, вы скорее всего ничего и не подцепите. Но главный риск установки троянов и т.п. - когда ставите что-то из-под root.

Нафига тогда xguest? В чем его смысл? Логика подсказывает, что нужно отслеживать процесс установки софта из-под root, блокируя все подозрительное. И нужно отслеживать в первую очередь активность софта, запущенного от root. По политикам, правилам. А не строить сторонние аккаунты типа песочницы, в которые вирусы и так никогда не попадут Разве что вы сами их туда засунете, что выше и было продемонстрировано.

[Ali1]

Fkabir
Хорошо. Давайте так. Что означает сообщение системы обнаружения вторжений: "неизвестная программа запрашивает соединение"?

[DSS]

Да. На то и мандатный доступ в SELinux, RBAS и т.д.

ЧТД

НО зачем Вам "в реальном времени"?

Потому что удобно.
Например, под влиянием новогодних возлияний я таки решил сдать себя с потрохами Корпорации МегаЗла и поставил Хром.
А он ничего и не кажет. Сидеть и строчить что-то вроде apptables -A OUTPUT -j LOG, потом парсить лог, потом писать apptables -A OUTPUT -m application --application=chrome --dport 80 -j ACCEPT (это так, для примера, типа apptables - фаерволл, умеющий ловить application level), потом перезапускать, чтобы правила применились и -j LOG из конфига ушло - это несколько более трудоёмко и менее удобно, чем переключиться в режим обучения, запустить ЗлоБраузер и тыкнув в "создать правило" прописать нужное. После прописывания правила переключиться назад в рабочий режим и продолжить новогодние возлияния.

Во-вторых, это противоречит значительному количеству основополагающих юних идей.

Да, в консоли очень сложно сделать "задалбывающие всплывающие окна"
А про консольные всплывающие окна, связанные pipe'ами мне даже подумать страшно