Снова про безопасность - РЕАЛЬНЫЕ угрозы и способы защиты (а кто считает что угроз нет - просьба не соваться)

[InterChaynik]

Как то очень давно я уже хотел сварганить подобную тему, только всё забывал, а когда в другой, созданной мной теме Как вам Windows 7? (просьба к модератора: если вы там будете чего отрезать, ввиду отклонения отрезаемого от первоначально заданного курса, то пожалуйста - НЕ сюда) разговор завернул в русло - как там в браузере лучше пароли хранить, - вдруг вспомнил.
*******
Снова безопасность...Сколько слов уже было сказано по этому поводу в Интернете, сколько серьёзных тем, изначально создаваемых для здравой оценки, систематизации информации о РЕАЛЬНО существующем положении дел, а главное - изложения ПРАКТИЧЕСКОГО материала для РЕАЛЬНОЙ помощи пользователю (и ориентированных прежде всего на вдумчивое и углубленное изучение данного дела), в последствии сперва "разбавлялись", а затем и вовсе "растворялись" в пустом переливании из пустого в порожнее одних и тех же уже по 100 раз высказанных фактов, эффектного, но по сути своей бесполезного нагромождения "умных" слов и цветистых высказываний и откровенной болтовне из разряда "когда коту уже делать больше нечего", приправленных в добавок сверху лозунгом "это тебе не Винда, а Линукс!". Короче, в начале там всё вроде нормально, а потом - много слов и амбиций, а толку - хрен-да-ни-хрена...Были подобные темы и на этом форуме и создав ещё и ЭТУ тему в придачу, я возможно нарываюсь на гнев модераторов, но делаю это сознательно ибо предыдущие темы уже так засраны, что продолжать их считаю не только не целесообразно, а и вовсе лучше их даже не вспоминать и не касаться.

1) Прежде чем в очередной раз по привычке орать "в Линуксе вирусов нет, а кто думает иначе дурак, еретик и провокатор!", предлагаю подумать: ну хорошо - вирусов пусть нет, пусть. Но а шпионы, руткиты, кейлоггеры и т.п. что, в Линуксе не водятся? Никак нельзя скомуниздить из браузера все твои явки, пароли, историю посещений? Тебя никто в один прекрасный день не сможет просто напросто "взломать", ещё раз напомнив аксиому "неприступных крепостей нет"? Не может завестись у тебя какой-нибудь руткит, добросовестно собирающий о тебе статистику и отправляющий своему хозяину? Что, такого в Линуксе нет? Серьёзно? Опять я зря возбухаю супротив "священной коровы"? Ладно, хорошо, только одна просьба: ТЕ, КТО ДЕЙСТВИТЕЛЬНО ТАК СЧИТАЕТ, ОЧЕНЬ ПРОШУ, НИ СЛОВА НЕ ПИШИТЕ В ДАННОЙ ТЕМЕ. Ни слова! Не надо никого убеждать в чьей то/моей безграмотности, "виндузятских соплях", провокаторстве и т.п. (может так этот топик не постигнет судьба предыдущих ему подобных (о чём я - перечитай выше)) - эта тема исключительно для тех, кто так или иначе разделяет и поддерживает мою точку зрения, что УГРОЗЫ ТАКОГО РОДА В ЛИНУКСЕ ДЕЙСТВИТЕЛЬНО ЕСТЬ и они не так малы, чтобы от них отмахиваться.

2) Суть моей темы в том, что угрозы в Линуксе типа всяких червей, руткитов и им подобных, всё таки есть, а вот про защиту от них, кроме как "не ходи куда не надо", "не устанавливай что не из репозитария", я признаться не слышал. Ну а если поганец уже у тебя засел, а ты даже не знаешь об этом? Как тогда? Вот в Виндовс этого дерьма навалом, но вместе с тем, там тебе и антируткиты, и антишпионы (не путать с антивирусами), и файрволлы, позволяющие не пущать в инет то, чего ты не хочешь пущать, и анализаторы траффика или как они там по-умному называются, указующие что за приложения, где, что, когда, куда и сколько отсылающие у тебя на борту...В общем: в противовес и супротив дерьма и яда, там есть ассинизаторы и противоядия. А в линуксе то что, ну, кроме своей головы то (а если ты совсем новичок?) и умных слов "качай только с репов и не лазай где не надо"? Или опять скажете "а ничего этого и не надо - система и так защищена и не фиг в этом сомневаться"? Не верю!

3) П.С.
И ещё раз: я тут не про вирусы, новой темы Нужен ли антивирус на десктопе? не надо.

[ubuntuAndrew]

Хм... сам я иногда закрываю торрент, браузер, скайп и пр. и пр. и запускаю Wireshark - смотрю траффик... Пока ничего не выявлено. Единственное, сомневаюсь в скайпе, поэтому стараюсь не запускать его без нужды.
Еще проверяю списки процессов и запускаю утилиты rkhunter и чтото еще похожее. Пока все в порядке=) Хотя, уверен, что вполне реально взломать непосредственно браузер.

[watashiwa_daredeska]

УГРОЗЫ ТАКОГО РОДА В ЛИНУКСЕ ДЕЙСТВИТЕЛЬНО ЕСТЬ и они не так малы, чтобы от них отмахиваться

Источник не указан (datetime.date.today() - datetime.date(2011, 03, 28)).days() дней. © Wikipedia

Угрозы есть всегда. Вопрос лишь в оценке рисков.

[Bizdelnick]

Всё обсуждалось 100500 раз. Главное - не ставить пакеты из левых источников и не запускать от рута что попало.
С пользовательскими привилегиями тоже в принципе можно много чего натворить. Профилактика простая: AdBlock, FlashBlock, никакого wine, не запускать левые скрипты и бинарники Все пароли хранить только в зашифрованном контейнере (в браузере, почтовике и т. д. обязательно устанавливать мастер-пароль). Пароли использовать брутоустойчивые.
Вроде всё.

[azsx]

Суть моей темы в том, что угрозы в Линуксе типа всяких червей, руткитов и им подобных, всё таки есть, а вот про защиту от них, кроме как "не ходи куда не надо", "не устанавливай что не из репозитария", я признаться не слышал.

В линуксе есть механизм борьбы с этим - это прежде всего логи!!! Далее, в админских книгах (я уже одну прочитал) - эти вопросы рассматриваются более чем хорошо. И как могут программу запустить не от пользователя и как могут то, и как могут это, и чем следить за активностью системы...
зы
одна из основных причин, почему я ставлю на некоторые десктопы линукс - это именно защищенность компьютера от разных вирусов...

[sciko]

Профилактика простая: AdBlock, FlashBlock, никакого wine

Скажите, а что делает на серваке с ЭЦП или сертификатами вот это чудо?

Просто я не знаю других предназначений при которых

УГРОЗЫ ТАКОГО РОДА В ЛИНУКСЕ ДЕЙСТВИТЕЛЬНО ЕСТЬ и они не так малы, чтобы от них отмахиваться.

[taaroa]

традиционно: внеочередная сходка одептов известного журнала объявляется открытой.

[Bizdelnick]

Скажите, а что делает на серваке с ЭЦП или сертификатами вот это чудо?

Ну топикстартер явно не серваки админит. Или Вы о чём?

[jojahti]

InterChaynik

В общем: в противовес и супротив дерьма и яда, там есть ассинизаторы и противоядия. А в линуксе то что, ну, кроме своей головы то (а если ты совсем новичок?) и умных слов "качай только с репов и не лазай где не надо"? Или опять скажете "а ничего этого и не надо - система и так защищена и не фиг в этом сомневаться". Не верю!

Для антивирусного ПО нужны вирусы, как и для противоядия нужен яд. Антивирусное по пишется как средство борьбы с оборзевшими вирусами. Значит линуксу нужны зловреды для безопасности, так что ли, кому нужно противоядие ни от какого яда, наверно тому же, кто хавает плацебо?

[sciko]

Ну топикстартер явно не серваки админит. Или Вы о чём?

Я о том, что ТС утверждает что угрозы "не так малы, чтобы от них отмахиваться". Это возможно в трёх случаях: или угроза довольно вероятна, или урон от неё велик, или обо фактора вместе.
Статистика показывает нам, что вероятность взлома Линукса крайне мала, если ПО ставить из репов (это факт, можно сказать, медицинский). Тогда получается что урон нанесённый взломом и проникновение очень велик. Согласитесь что, если взломают мой домашний комп, то потери будут скорее всего ограничены проном. Единственное, что подходящее мне пришло в голову -- это серваки с ЭЦП или сертификатам.

[Bizdelnick]

Это возможно в трёх случаях: или угроза довольно вероятна, или урон от неё велик, или обо фактора вместе.

Четвёртый случай: если вы параноик и начитались страшилок на сайте Касперского. :-)

[BIgAndy]

то возможно в трёх случаях: или угроза довольно вероятна, или урон от неё велик, или обо фактора вместе.

Это воможно и в четвертом случае: если неправильно оценены угрозы, неправильно соотнесены стоимость дополнительных мер безопасности и стоимость традиционных мер безопасности и стоимость урона от простоя машины.
Говоря иными словами, когда очко играет от недопонимания ситуации.

[Ali1]

http://www.snort.org/
Система обнаружения вторжений
http://ru.wikipedia.org/wiki/PaX
http://ru.wikipedia.org/wiki/SELinux
http://ru.wikipedia.org/wiki/Grsecurity
и т.д. и т.п.

ЗЫ
А еще можно заменить BIOS, дабы не подменили чего в ем.

[taaroa]

А еще можно заменить BIOS, дабы не подменили чего в ем.

http://goo.gl/gtnJm

[sciko]

Вот только для того, чтобы вмонтировать PaX или Grsecurity в ядро, потребуется бубен. Да и проекты скорее мертвы, чем живы.
И раз уж упомянули SELinux надо упомянуть и http://ru.wikipedia.org/wiki/AppArmor

[romuil]

Автор темы, ваша беда в том, что вы "сферический теоретик в высоком вакууме". Во всей простыне первого поста не сформулировано ни одной реальной проблемы, только масло масляное про дыры, трояны, кейлогеры и всякие прочие страшилки из одного очень известного в узких кругах журнала для пубертатных подростков. Что вы хотите узнать такого, чего ещё не обсудили?
Пару месяцев назад я оставил на своем ноуте учетку с логин пасс test:test - мне топорно повесили в неё троянца на перле, которого я и пришиб через минут 10-15 после старта. Причем сделал это явно неумеха, он даже не озаботился мало-мальски замести следы. Случай конечно не показательный, но он как бы намекает нам о квалификации подавляющего большинства "какеров" нашего времени. Я оставил огромную дыру - через два месяца её нашли, что и требовалось доказать. Но! Во-первых: троян не прожил и часа, потому что кривой и жрал процессорное время, потому что я мониторю top и вообще смотрю регулярно что творится в системе. Мы что тут пытаемся обсудить: сферическую безопасность GNU/Linux как самоцель, или в сравнении с чем-то ещё? Если, как заметили раньше, от страшилок очко играет - кто мешает мне или вам в течение одного рабочего дня анально огородить систему на самом параноидальном уровне? Благо что весь инструментарий либо в коробке, либо рядышком - в репозитории. Так что, imho конечно, возбухаете вы против четкого методичного подхода к постановке задачи и её решения. А попросту - воду в ступе мелете.

[watashiwa_daredeska]

Причем сделал это явно неумеха, он даже не озаботился мало-мальски замести следы.

Это сделал автомат, уверяю. Меня так же «ломали».

Случай конечно не показательный, но он как бы намекает нам о квалификации

Да не намекает он на квалификацию. Скорее намекает на постоянный мониторинг ситуации заинтересованными лицами. Как только зараженных машин станет достаточно, добавят «боевую» начинку — раздавалку порнухи, рассылалку спама, управляемого бота для DDoS'ов или еще чего. Сейчас, видимо, зараженных машин относительно немного, поэтому никто не заморачивается реальным использованием, хватает виндовых зомби.

[taaroa]

Вот только для того, чтобы вмонтировать PaX или Grsecurity в ядро, потребуется бубен.

lolwhat?
http://kernelsec.cr0.org/

Да и проекты скорее мертвы, чем живы.

Changes in grsecurity-2.2.2-2.6.38.2-201103281752.patch
resync with PaX, port to 2.6.38.2
1187 files changed, 30795 insertions(+), 30803 deletions(-)

[Nazyvaemykh]

Реальные угрозы это: землетрясение, пожар, наводнение. Это может сопровождаться, например, выходом из строя системы охлаждения.
Неукоснительное следование инструкциям техники безопасности, противопожарным нормам и пр. поможет защитить систему от реальных угроз.

[taaroa]

Реальные угрозы это: землетрясение, пожар, наводнение. Это может сопровождаться, например, выходом из строя системы охлаждения.

матчасть бы подучили для начала. на предмет различий между непреодолимой силой (фр. force majeure) и понятием модель(и) угроз.

[BIgAndy]

матчасть бы подучили для начала. на предмет различий между непреодолимой силой (фр. force majeure) и понятием модель(и) угроз.

ТС всех техничо затроллил и свалил из обсуждения. ИМХО пока он не нриведет список выявленных для себя опасностей, весь тред - перемалывание воды в ступе.

[sciko]

lolwhat?

Hardened Gentoo -- это исключение которое подтверждает правило.

http://kernelsec.cr0.org/

Помилуйте! У них последний апдейт был 9 месяцев назад!

Changes in grsecurity-2.2.2-2.6.38.2-201103281752.patch

А вот здесь действительно ошибся.

Реальные угрозы это: землетрясение, пожар, наводнение.

Не менее реальные угрозы -- это пьяный админ. Но тут бессильна любая ОС.

[eddy]

Сомневаюсь, что кто-то в локалке захочет "взломать" мой домашний или рабочий компьютер, но файрвол на всякий случай настроил, запретил дома входящие из рабочей подсети (т.к. они платные), ssh разрешил лишь для определенных пользователей и определенных IP, ftp разрешил read-only, squid закрыл (чтобы никто моей проксей не воспользовался). Вроде, все защищено.
Это как жить в частном доме в небольшой деревне: вроде, все свои, но высокий бетонный забор с колючей проволокой, глубокий ров по периметру забора с острыми кольями на дне, сторожевые собаки и пулемет на крыше дома не помешают

[SinClaus]

До тех пор пока не попадётся на глаза серьёзным людям которые спросят у себя: "Что-то там такое интересное хранится, что такие меры безопасности?" И эти серьёзные люди собачек и кулемет спрут себе, а колья забъют хозяину в одно место, что бы не вводил в заблуждение

[taaroa]

lolwhat?

Hardened Gentoo -- это исключение которое подтверждает правило.

http://kernelsec.cr0.org/

Помилуйте! У них последний апдейт был 9 месяцев назад!

да, похоже что J.T. сейчас некогда, гуглохром пилит.
но

Changes in grsecurity-2.2.2-2.6.38.2-201103281752.patch

А вот здесь действительно ошибся.

бывает.

Реальные угрозы это: землетрясение, пожар, наводнение.

Не менее реальные угрозы -- это пьяный админ. Но тут бессильна любая ОС.

CVE-666666 локальный пользователь под действием психоактивных веществ и монтировки может вызвать отказ в обслуживании. детали уязвимости не известны, патч отсутствует.

[Bluetooth]

CVE-666666 локальный пользователь под действием психоактивных веществ и монтировки может вызвать отказ в обслуживании. детали уязвимости не известны, патч отсутствует.

А скуд на что?

[drBatty]

Прежде чем в очередной раз по привычке орать "в Линуксе вирусов нет, а кто думает иначе дурак, еретик и провокатор!", предлагаю подумать

не о том думаете. Как настоящий параноик, ответственно заявляю: ищите врагов!
Вирусов нет, а сл-но невозможно подцепить что-то случайно. Вас целенаправленно сломает "друг".
Подумайте, КАК он вас сломает.

1)там тебе и антируткиты, и антишпионы (не путать с антивирусами),
2)и файрволлы, позволяющие не пущающать в инет то, чего ты не хочешь пущать, и
3)анализаторы траффика или как они там по-умному называются, указующие что за приложения, где, что, когда, куда и сколько отсылающие у тебя на борту..

1) http://rkhunter.sourceforge.net/
http://www.chkrootkit.org/
man lsof
2) man iptables. костыли не нужны. Оно в ядре.
3) logwatch и ещё Over9000 приблуд.

Не верю!

проверяйте. начните со списка процессов: ps uax вам в помощь. Вы знаете зачем КАЖДЫЙ процесс вам нужен? А почему до сих пор ман не прочли?!

патч отсутствует.

есть лекарство: два презерватива. Один на голову, чтоб все видели какой г, второй на ***, чтоб больше таких не было.

[taaroa]

ТЕ, КТО ДЕЙСТВИТЕЛЬНО ТАК СЧИТАЕТ, ОЧЕНЬ ПРОШУ, НИ СЛОВА НЕ ПИШИТЕ В ДАННОЙ ТЕМЕ. Ни слова! Не надо никого убеждать в чьей то/моей безграмотности

всё-таки безграмотность. так как вы сравниваете:
# открытое/свободное с проприетарным/закрытым;
## принципиально разные системы (гибрид vs модульный монолит, как в случае nt vs linux).

в связи с этим у меня есть другое предложение: давайте сравнивать не-unix и unix-like с windows; давайте сравнивать closed-source системы.
готовы? поехали.
Microsoft Windows 7 | Unpatched 10% (6 of 59 Secunia advisories)
Microsoft Windows Server 2008 | Unpatched 3% (4 of 122 Secunia advisories)

Palm WebOS 1.x | Unpatched 14% (1 of 7 Secunia advisories)
OpenVMS 8.x | Unpatched 0% (0 of 10 Secunia advisories)

p.s. ждём мнений экспертов.

[Nazyvaemykh]

Реальные угрозы это: землетрясение, пожар, наводнение. Это может сопровождаться, например, выходом из строя системы охлаждения.

матчасть бы подучили для начала. на предмет различий между непреодолимой силой (фр. force majeure) и понятием модель(и) угроз.

Так топикстартер-то спрашивает не про моделируемые угрозы, а реальные. Так что все корректно.

[NickLion]

В случае заражения Windows всегда предпочитал форматнуть и поставить заново. Для уверенности. Так что не думаю, что под GNU/Linux поступлю по-другому. Но пока не сталкивался с проблемой.