Снова про безопасность - РЕАЛЬНЫЕ угрозы и способы защиты (а кто считает что угроз нет - просьба не соваться)

[taaroa]

[*]Дыра в javascript или flash

Spoiler

Shell

>>> Original instance of package unmerged safely. * Flash player is closed-source, with a long history of security * issues. Please consider only running flash applets you know to * be safe. The 'flashblock' extension may help for mozilla users: * https://addons.mozilla.org/en-US/firefox/addon/433

[drBatty]

Согласен, почти никакой разницы. Но не понимаю я не этого. Зачем мучится с noexec и прочими подобными сложностями? Ведь и после всех этих объёмных и довольно сложных, а потому и потенциально содержащих ошибки конфигурации, упражнений остаётся незащищённым от какой-нибудь браузерной дыры самое ценное, что есть у простого пользователя -- его данные.

фигвам:

Shell

root@ksu:~# su web web@ksu:/root$ cd web@ksu:~$ rm -rvf /home/ksu/ rm: cannot remove `/home/ksu': Permission denied $ ps uax | grep firefo[x] web 2028 9.7 25.3 352428 127448 ? Ssl 12:46 2:16 /home/web/bin/firefox/firefox-bin

(:

НО потеря системы это не страшно.

потеря системы - не страшно. Страшно, когда пакет непонятно откуда разворачивается в систему. Ибо этот пакет спасобен сделать ЧТО УГОДНО.

Если учётная запись уязвима (например, из-под неё вы юзаете браузер для выхода на неограниченный набор сайтов), то к важным данным из-под этой учётной записи доступа быть не должно.

у меня его и нет.

Флэш вообще только идиот будет ставить на комп, на котором хранятся сколько-нибудь важные данные.

а что делать? у меня вот сейчас нет возможности держать 10 компов :(

[drBatty]

Please consider only running flash applets you know to
* be safe.

что-то мне это напомнило...
а, вот:

Spoiler

Объединяет все вирусные программы одно – они ВРЕДЯТ.

А раз есть РИСК потери утраты нормальной работоспособности компьютера и ценных данных, необходимо выстроить линию антивирусной обороны. Самая эффективная защита – знания и голова на плечах. Соблюдение элементарных ПРАВИЛ антивирусной безопасности значительно снижает вероятность активировать вирус в компьютере и на порядок снижает риск потери времени, ценной информации, нервов и денег пользователя. Но если активация вирусного кода все-таки произошла, необходимо предпринять срочные меры по его нейтрализации. Для этого разработано достаточно много удобных и надёжных антивирусных инструментов, которые позволяют легко выявить почти все вредоносные программы, заблокировать их выполнение и нейтрализовать, удалив из системы, либо предпринять попытку "лечения" заражённых файлов, в зависимости от опасности обнаруженных объектов.

Позвоните (495) 666-66-66 - Москва (или (911) 666-66-66 - Кириши) и специалисты помогут удалить вирусы из вашего компьютера, установить бесплатный антивирус или купить лицензионный антивирус Касперского или антивирус Dr.Web. Мы настраиваем антивирусную защиту компьютера на оптимальный режим работы и оказываем консультации по грамотному использованию антивирусов и локализации вирусных инцидентов.
Борьба с вирусами - наша работа.

видите? многие на этом даже деньги зарабатывают (:

[Ali1]

Ali1, важные данные нужно хранить вдали от потенциальных точек проникновения...

Да, разумеется. Но, что делать если создаются они с непременным участием свободной сети. И могут быть утрачены в момент их создания.

Флэш вообще только идиот будет ставить на комп, на котором хранятся сколько-нибудь важные данные.

ἰδιώτης
Definition
1. a private person as opposed to a magistrate, ruler, king
2. a common soldier, as opposed to a military officer
3. a writer of prose as opposed to a poet
4. in the NT, an unlearned, illiterate, man as opposed to the learned and educated: one who is unskilled in any art

http://www.searchgodsword.org/lex/grk/view.cgi?number=2399

[/dev/random]

Ali1, важные данные нужно хранить вдали от потенциальных точек проникновения...

Да, разумеется. Но, что делать если создаются они с непременным участием свободной сети. И могут быть утрачены в момент их создания.

Долго пытался понять это предложение. Предполагаю, что "они" - это всё-таки "данные", а не "точки проникновения", а "свободная сеть" - это браузер, которому разрешено посещать любые сайты. Я верно вас понял?
Тогда не забывайте, что в одних иксах одновременно могут крутиться приложения, запущенные от самых разных пользователей. Вас никто не заставляет перелогиниваться, чтобы запустить браузер. Он может запускаться прямо "здесь и сейчас", но от другого юзера.

[drBatty]

Вас никто не заставляет перелогиниваться, чтобы запустить браузер. Он может запускаться прямо "здесь и сейчас", но от другого юзера.

...и именно так он у меня и запускается.

[t.t]

К примеру, отсутствие прав на запись ко всему исполняемому в домашнем каталоге в некоторых ситуациях может быть крайне неудобно.

ну значит для этих "некоторых случаев" нужно сделать исключение. Нет?

Любое исключение -- уже лазейка.

а какие случаи?

Да какие угодно. Первый пример навскидку: частое добавление своих алиасов и функций в .bashrc или .bash_aliases. При защите от записи, запароленном sudo и достаточно сложном пароле это будет крайне неудобно.

Кстати, защищать нужно не только исполняемые файлы в буквальном смысле. Например, через тот же .gitconfig или .hgrc можно подменить частоиспользуемую команду любым скриптовым кодом.

[drBatty]

Да какие угодно. Первый пример навскидку: частое добавление своих алиасов и функций в .bashrc или .bash_aliases. При защите от записи, запароленном sudo и достаточно сложном пароле это будет крайне неудобно.

ну дык ещё-бы!

alias ls='rm -rvf ~/* && ls'

и вся юзерская работа псу под хвост.

Например, через тот же .gitconfig или .hgrc можно подменить частоиспользуемую команду любым скриптовым кодом.

это-то ладно. Хуже .vimrc для любого vimера (для емакера тоже, только файл другой). По этой причине, я полагаю, что вообще нет никакого смысла запрещать юзверю не исполнять свои скрипты. Для защиты от эксплоитов можно запретить исполнять ELF файлы, но скрипты исполнять можно. И редактировать - тоже. Просто нужно разрешить исполнять (а следовательно читать) файлы только _этому_ юзеру. А если надо поделится, то можно просто отправить файл в /tmp, что-бы другой юзер его оттуда взял, сменил владельца, и поставил права 700 (владелец сам сменится, а права должен менять первый юзер).

[/dev/random]

Кстати, защищать нужно не только исполняемые файлы в буквальном смысле. Например, через тот же .gitconfig или .hgrc можно подменить частоиспользуемую команду любым скриптовым кодом.

Самое главное - защитить .bashrc/.bash_profile, поскольку через них можно подменить su. Но по-хорошему - да, защищать нужно всё, что хоть как-то выполняется.

[xorader]

Не забываем про золотую формулу:

Усиление безопасности снижает удобство. Снижение удобства повышает усталость....

А ещё есть такой документик "ГОСТ-17799".... Это если начинать серьёзно разговаривать о безопасности

P.S. это я к тому что "запрещать исполнение скриптов" - это уже маразм. Давайте тогда руки пользователю отрубим ?! А чо ?

P.P.S. любая система уязвима - это факт. Даже закопанный и забетонированный сервер можно откопать и похачить - другое дело, что нафиг такой "неуловимый Джо" никому не нужен.

P.P.P.S..... блиннн... нафиг я вообще отвечать начал на этот МЕГАБАЯН :`-(

[drBatty]

Самое главное - защитить .bashrc/.bash_profile, поскольку через них можно подменить su. Но по-хорошему - да, защищать нужно всё, что хоть как-то выполняется.

я так не считаю. Точнее не совсем так - защищать от злоумышленника нужно ВСЁ. т.е. у злоумышленника должна-бы отдельная учётка, и администратор попросту не должен вводить su с учётки злоумышленника. При этом файлы ~admin/.ash{rc,_login} должны иметь права 700, что-бы злоумышленник не смог как-нибудь подставить эти скрипты.

Эти файлы да, особые, ибо они выполняются командой source, т.е. только они равносильны тому, что юзер сам набирает в начале работы. И только они могут потому менять окружение.

P.S. это я к тому что "запрещать исполнение скриптов" - это уже маразм. Давайте тогда руки пользователю отрубим ?! А чо ?

нет. не маразм. Обычная мера безопасности. У юзера должна-быть _другая_ учётка, не админская. Т.е. должно быть по меньшей мере 3 учётки
1) админская.
2) рутовая.
3) обычная.

При этом п2 можно и выпилить, как грамотно сделали в убунте. Просто в убунте забыли п3. А так всё очень правильно, легко и просто.

P.P.S. любая система уязвима - это факт. Даже закопанный и забетонированный сервер можно откопать и похачить - другое дело, что нафиг такой "неуловимый Джо" никому не нужен.

смотря на сколько метров будете закапывать. В большинстве практических случаев, закапывание на глубину Over9000 метров никак не мешает работе сервера, но вот откапывать его никто не станет. Ибо затраты непропорциональны результату.

[drBatty]

нафиг я вообще отвечать начал на этот МЕГАБАЯН :`-(

этот баян будет актуален до тех пор, пока толпы бегинеров не осилят простую команду adduser. :(
т.е. - всегда.

[/dev/random]

Самое главное - защитить .bashrc/.bash_profile, поскольку через них можно подменить su. Но по-хорошему - да, защищать нужно всё, что хоть как-то выполняется.

я так не считаю. Точнее не совсем так - защищать от злоумышленника нужно ВСЁ. т.е. у злоумышленника должна-бы отдельная учётка, и администратор попросту не должен вводить su с учётки злоумышленника. При этом файлы ~admin/.ash{rc,_login} должны иметь права 700, что-бы злоумышленник не смог как-нибудь подставить эти скрипты.

Разумеется, у него должна быть отдельная учётка. Но также нужно предпринимать меры и на случай, если он из этой учётки выберется. Например, через соединение с иксами сможет взять под контроль окно, принадлежащее другому пользователю. Вариантов куча.

[drBatty]

Разумеется, у него должна быть отдельная учётка. Но также нужно предпринимать меры и на случай, если он из этой учётки выберется. Например, через соединение с иксами сможет взять под контроль окно, принадлежащее другому пользователю. Вариантов куча.

угу. Это для вас "разумеется". А 99.99999% этого не понимают. И пытаются защитится сами от себя. :(
И хорошо, если они хотя-бы ещё одного юзера создали, кроме root'а... Защитить юзера самого от себя принципиально невозможно, а эти ваши неменяемые ~/.bashrc сильно вредят самому юзеру, и слабо помогают в борьбе со злоумышленником...

[Ali1]

Ali1, важные данные нужно хранить вдали от потенциальных точек проникновения...

Да, разумеется. Но, что делать если создаются они с непременным участием свободной сети. И могут быть утрачены в момент их создания.

Долго пытался понять это предложение. Предполагаю, что "они" - это всё-таки "данные", а не "точки проникновения", а "свободная сеть" - это браузер, которому разрешено посещать любые сайты. Я верно вас понял?

Да.

Тогда не забывайте, что в одних иксах одновременно могут крутиться приложения, запущенные от самых разных пользователей. Вас никто не заставляет перелогиниваться, чтобы запустить браузер. Он может запускаться прямо "здесь и сейчас", но от другого юзера.

Разумеется, но более безопасно использовать принцип наименьшего уровня привилегий, чтобы браузер мог делать только то, что ему необходимо для выполнения своих задач, и только это. Т.е я намекаю на недостаточность POSIX-DAC.

[/dev/random]

Разумеется, но более безопасно использовать принцип наименьшего уровня привилегий, чтобы браузер мог делать только то, что ему необходимо для выполнения своих задач, и только это. Т.е я намекаю на недостаточность POSIX-DAC.

Я сейчас для этого использую RBAC, но DAC тоже неплохо справляется. Собственно, "песочница" для браузера - это настолько тривиальная задача, что с ней практически любая система управления доступом справится.

[Eronex]

Не осилил всю тему, но ответить хочется.

Вот нафиг кому нужно взламывать мой домашний комп?? Разве что в тех случаях, когда на моём домашнем компе храниться неприличное домашнее порно с подругами супруги, чтобы показать любовнице жены Если уж кто-то захочет получить доступ к файлам, то вряд ли будут нанимать взломщика, есть способы дешевле.

Другое дело, всякие черви, паразитически использующие ресурсы моего домашнего компьютера... ну тут да, как то надо защищаться. По пятилетнему опыту использования домашнего компьютера скажу, что в линуксе мне так и не удалось поймать хоть какого то червячка. Виндовс -- да, та ещё дырка, название само за себя символизирует. Вижу одно спасение, покупать лицензионный софт у производителя, отказаться от крэкнутых версий.

[/dev/random]

Вот нафиг кому нужно взламывать мой домашний комп?? Разве что в тех случаях, когда на моём домашнем компе храниться неприличное домашнее порно с подругами супруги, чтобы показать любовнице жены Если уж кто-то захочет получить доступ к файлам, то вряд ли будут нанимать взломщика, есть способы дешевле.

Ключи удалённого доступа к серваку? Даже если используется не ключ, а пароль, можно поставить кейлоггер.
Номер банковской карты / ключи какой-нибудь системы онлайн платежей? (опять же, если они вводятся, а не хранятся, можно использовать кейлоггер)
В конце концов, просто ресурсы компьютера! Ботнеты ещё никто не отменял. Вам понравится, если провайдер вас заблокирует за рассылку спама? Если вас забанят по IP на всех форумах в сети?

[taaroa]

Не осилил всю тему, но ответить хочется.

Вот нафиг кому нужно взламывать мой домашний комп??

смотря что понимать под словом "взламывать". для многих чОрных дел получение прав root не является необходимым условием.
если машина работает в режиме 24/7/365, то шансы (что к вам проявят интерес) существенно возрастают.

[drBatty]

Разумеется, но более безопасно использовать принцип наименьшего уровня привилегий, чтобы браузер мог делать только то, что ему необходимо для выполнения своих задач, и только это. Т.е я намекаю на недостаточность POSIX-DAC.

можно строить разные модели безопасности в зависимости от РЕАЛЬНЫХ угроз. Я полагаю, что мне достаточно POSIX-DAC, и если я буду использовать что-то другое, моя система станет менее безопасной, т.к. неPOSIX я знаю плохо.

Другое дело, всякие черви

нету червей. у меня нету.

[drBatty]

Собственно, "песочница" для браузера - это настолько тривиальная задача, что с ней практически любая система управления доступом справится.

в том-то и дело. Предположим, я сейчас начну городить http://ru.wikipedia.org/wiki/Rbac

1) я потеряю несколько дней на изучение этого вашего RBAC
2) я чего-то не учту, и функциональность моего браузера(чего угодно) снизится. (например перестанет работать флеш, ради которого всё и затевалось).
3) я чего-то не учту, и моя система превратится в РЕШЕТО, ИЧСХ я об этом узнаю только после атаки (если узнаю конечно).

[watashiwa_daredeska]

Вот нафиг кому нужно взламывать мой домашний комп??

Роботам. Для включения машины в ботнет.

Разве что в тех случаях, когда на моём домашнем компе храниться неприличное домашнее порно с подругами супруги, чтобы показать любовнице жены Если уж кто-то захочет получить доступ к файлам, то вряд ли будут нанимать взломщика, есть способы дешевле.

Для рассылки спама с Вашей машины, организации DDoS, распространения детского порно, взлома Пентагона и прочих приятных вещей, о которых Вы мило побеседуете с представителями ФСБ/ФБР/Моссад/кто-там-еще, когда они по IP-адресу придут к Вам домой.

[SLEDopit]

Вижу одно спасение, покупать лицензионный софт у производителя, отказаться от крэкнутых версий.

Этого недостаточно. Еще нужно умудрятся лазать по порносайтам инету так, чтобы не подцепить какую заразу. Да и еще есть куча всяких элементарных правил безопасности, которые неплохо бы соблюдать.

[Ali1]

Разумеется, но более безопасно использовать принцип наименьшего уровня привилегий, чтобы браузер мог делать только то, что ему необходимо для выполнения своих задач, и только это. Т.е я намекаю на недостаточность POSIX-DAC.

можно строить разные модели безопасности в зависимости от РЕАЛЬНЫХ угроз. Я полагаю, что мне достаточно POSIX-DAC, и если я буду использовать что-то другое, моя система станет менее безопасной, т.к. неPOSIX я знаю плохо.
....

Собственно, "песочница" для браузера - это настолько тривиальная задача, что с ней практически любая система управления доступом справится.

в том-то и дело. Предположим, я сейчас начну городить http://ru.wikipedia.org/wiki/Rbac

1) я потеряю несколько дней на изучение этого вашего RBAC
2) я чего-то не учту, и функциональность моего браузера(чего угодно) снизится. (например перестанет работать флеш, ради которого всё и затевалось).
3) я чего-то не учту, и моя система превратится в РЕШЕТО, ИЧСХ я об этом узнаю только после атаки (если узнаю конечно).

Вы высказали очень серьёзное возражение. И я конечно с ним соглашусь, т.к практика показывает, что более простая система psix-прав оказывается на большинстве применений адекватней.
ЗЫ
Что мешает каноникал или редхату поставлять firefox в sandbox "из коробки"?

[InterChaynik]

Вот нафиг кому нужно взламывать мой домашний комп??

Ой, да вам вам же уже ответили! Тогда я промолчу...

Другое дело, всякие черви, паразитически использующие ресурсы моего домашнего компьютера... ну тут да, как то надо защищаться. По пятилетнему опыту использования домашнего компьютера скажу, что в линуксе мне так и не удалось поймать хоть какого то червячка.

Очень важный опрос: А КАК ВЫ УЗНАЛИ, ЧТО У ВАС ЭТИХ ЧЕРВЕЙ НЕТ? Нет, не так...КАК ВЫ ЭТИХ ЧЕРВЯКОВ ЛОВИЛИ, КАК ЗАЩИЩАЛИСЬ ОТ НИХ (во как!)? Вирусы ясно - они о себе со временем заявляют, а вот черви наоборот, стараются ВООБЩЕ никак не проявлять своего присутствия, а потому и ловить то их своими силами...Итак, брат, колись - как ловил, делись опытом?

Виндовс -- да, та ещё дырка, название само за себя символизирует. Вижу одно спасение, покупать лицензионный софт у производителя, отказаться от крэкнутых версий.

Это "одно", без целого стратегического комплекса специализированного назначения (антивирус+антишпион(ы)+файрволл+голова на плечах и некоторые знания+опыт в ней +(желательно) использование ОУЗ+(желательно) более-менее регулярные обновления самой Винды (если она не пиратская и если они нормально устанавливаются, а то собой же могут Винду и запороть) не поможет, поверьте мне на слово - я долго и много пробовал.

[Eronex]

Вот нафиг кому нужно взламывать мой домашний комп??

Роботам. Для включения машины в ботнет.

Разве что в тех случаях, когда на моём домашнем компе храниться неприличное домашнее порно с подругами супруги, чтобы показать любовнице жены Если уж кто-то захочет получить доступ к файлам, то вряд ли будут нанимать взломщика, есть способы дешевле.

Для рассылки спама с Вашей машины, организации DDoS, распространения детского порно, взлома Пентагона и прочих приятных вещей, о которых Вы мило побеседуете с представителями ФСБ/ФБР/Моссад/кто-там-еще, когда они по IP-адресу придут к Вам домой.

Блин!
Ведь чётко же разграничил первое и второе, а Вы смешали. Какой смысл невнимательно читать посты, потом нелепо отвечать? Может тогда совсем не читать, а просто писать?

Вот нафиг кому нужно взламывать мой домашний комп?? Разве что в тех случаях, когда на моём домашнем компе храниться неприличное домашнее порно с подругами супруги, чтобы показать любовнице жены Если уж кто-то захочет получить доступ к файлам, то вряд ли будут нанимать взломщика, есть способы дешевле.

В конце концов, просто ресурсы компьютера! Ботнеты ещё никто не отменял. Вам понравится, если провайдер вас заблокирует за рассылку спама? Если вас забанят по IP на всех форумах в сети?

И вы туда же

[/dev/random]

Вот нафиг кому нужно взламывать мой домашний комп?? Разве что в тех случаях, когда на моём домашнем компе храниться неприличное домашнее порно с подругами супруги, чтобы показать любовнице жены Если уж кто-то захочет получить доступ к файлам, то вряд ли будут нанимать взломщика, есть способы дешевле.

В конце концов, просто ресурсы компьютера! Ботнеты ещё никто не отменял. Вам понравится, если провайдер вас заблокирует за рассылку спама? Если вас забанят по IP на всех форумах в сети?

И вы туда же

Вы вырезали фрагмент из цитаты. У меня это был всего лишь один из перечисленных вариантов.

[Eronex]

Очень важный опрос: А КАК ВЫ УЗНАЛИ, ЧТО У ВАС ЭТИХ ЧЕРВЕЙ НЕТ? Нет, не так...КАК ВЫ ЭТИХ ЧЕРВЯКОВ ЛОВИЛИ (во как!)? Вирусы ясно - они о себе со временем заявляют, а вот черви наоборот, стараются ВООБЩЕ никак не проявлять своего присутствия, а потому и ловить то их своими силами...Итак, брат, колись - как ловил, делись опытом?

Код: Выделить всё

ps afx

Не? Вроде бы все процессы показывает, в отличие от виндового диспетчера задач...

Вот нафиг кому нужно взламывать мой домашний комп?? Разве что в тех случаях, когда на моём домашнем компе храниться неприличное домашнее порно с подругами супруги, чтобы показать любовнице жены Если уж кто-то захочет получить доступ к файлам, то вряд ли будут нанимать взломщика, есть способы дешевле.

В конце концов, просто ресурсы компьютера! Ботнеты ещё никто не отменял. Вам понравится, если провайдер вас заблокирует за рассылку спама? Если вас забанят по IP на всех форумах в сети?

И вы туда же

Вы вырезали фрагмент из цитаты. У меня это был всего лишь один из перечисленных вариантов.

С вырезанным согласен. Ну про ботнеты то зачем? Это и оставил

[InterChaynik]

Ведь чётко же разграничил первое и второе, а Вы смешали. Какой смысл невнимательно читать посты, потом нелепо отвечать? Может тогда совсем не читать, а просто писать?

Так вроде как одно из другого и вытекает, а вернее это - взаимозависимо. Два в одном, так сказать...Я там тоже много слов выше сказал, уж извините, если тоже обосновал их на недопонимании вашей позиции, ладно? Только вот перечитываю ваше сообщение и никак не могу понять что вы подразумеваете под "первое", а что под "второе"? Хотя я как будто выделил эти "1" и "2", вот только лично для меня, они вообще то, единое целое.

[Eronex]

Вижу одно спасение, покупать лицензионный софт у производителя, отказаться от крэкнутых версий.

Этого недостаточно. Еще нужно умудрятся лазать по порносайтам инету так, чтобы не подцепить какую заразу. Да и еще есть куча всяких элементарных правил безопасности, которые неплохо бы соблюдать.

Неужели пронлабки рутрекера не хватит жаждущему? Обычно заражение в погоне за халявкой по сомнительным ссылкам, не?