LINUX.ORG.RU
ФорумTalks

Пока гром не грянет — мужик не перекрестится

 , ,


0

3

Пока у $username не грохнут его личные данные — он не будет серьёзно относится к паролям и безопасности в интернете.

А ведь Интернет — давно уже не закрытый клуб джентельменов.

Это агрессивная враждебная среда, где армия скрипт-киддисов оттачивает свои навыки на неумелых админах, где миллионная орда ботов в режиме нон-стоп сканирует устройства беспечных пользователей, где допущенный растиражированный косяк производителей компрометирует личную информацию пользователей и компаний.

Да-да, речь идет о драме с удалением данных на сервере.

Почему я создал эту тему? Почему я не отписался там же или в отдельной теме https://www.linux.org.ru/forum/linux-org-ru/10146768?

Потому что, на мой взгляд, случай более глубокий, чем просто несанкционированное удаление данных. Позвольте привести пример (я не люблю аналогии, но ведь... всё наше обучение — это сплошные аналогии и сравнения).

Автомобили, права и правила дорожного движения. Кто готов спорить с тем, что правила дорожного движения не написаны кровью? Как бы Вы себя чувствовали на дороге, когда бы могли водить все и в любом состоянии? Когда не известно, кто за рулем встречной машины — опытный водитель, малолетний стрит-рейсер или нажравшийся алкаш? На самом деле, в реальности действительно нельзя быть ни в чём уверенным, но, благодаря законам, выезжать на дорогу в нетрезвом виде чревато лишением прав и отправкой машины на штрафплощадку, а потому количество неадекватных водил всё же намного меньше, чем было бы в случае отсутствия правил.

Позвольте задать вопрос...Кто виноват в милионных ботнетах? В массовой рассылке спама? В DDoS атаках мощностью в сотни гигабайт? Прочитайте пункты:

  • Вы беспечно относитесь к паролям, на своём компе, на публичных сервисах, на компах предприятия.
  • Вы создаете «одноразовые» учётки где-либо с паролями сродни qwerty или 123456.
  • Вы игнорируете степень защищенности компов ваших знакомых, если они просят вас настроить или же просто дают доступ. Какое вам дело до них?
  • Вы считаете, что персонально Вы или ваш компьютер никому не нужен, и на нём нет важной информации.
  • Вы полезли админить, не ознакомившись с элементарщиной в плане кибербезопасности.

Если хотя бы один пункт про Вас — то в вышеперечисленных бедах виноваты конкретно Вы.

Почему же все ринулись защищать пострадавшего? Почему защищающие не удосужились в первую очередь отчитать наивного админа локалхоста за вопиюще глупый поступок?

В моих глазах пострадавший — это ребенок, который взял машину и выехал на ней на автобан без навыков вождения. Мало того, что он предсказуемо пострадал, он ещё и поставил под угрозу других участников движения.

На его комп могли установить троян, прокси, vpn, заюзать локальный сплойт, использовать для рассылки спама, или оставить бэкдор. И это могло задеть каждого из нас, как участников глобальной сети.

Поэтому я всё же за:

  • Введение каких-то экзаменов на знание элементарных правил работы Интернета. Тем, кто ратует за статус компа как обычного бытового устройства, я хочу напомнить, что любое сложное бытовое устройство снабжается инструкциями по пользованию, и там есть раздел «Запрещается», который тоже пишется кровью.
  • Применение санкций со стороны провайдера при обнаружении легкополучаемого административного доступа к устройству или сервису (в ряде случаев даже прав пользователя хватает на запуск зловредов). Пусть санкции будут хотя бы в виде блокировки порта, пока беспечный юзер не пофиксит проблему. Потому что дыра на компе юзера чревата (помимо вышеперечисленного) ещё и баном целой подсети провайдера или занесенем в блэк/спам-листы.
  • Прекращения соболезнованию дятлу, не поставившему пароль. Сегодня он положился на авось, и выставил на всеобщее обозрение свой сервер с личными данными. Кто знает, если бы ему не грохнули данные сегодня, то завтра потенциально он мог бы открыть всем личные архивы семейного досуга, профиль браузера, логины/пароли к платежным сервисам. А послезавтра он в компании на авось оставит открытый доступ к серваку с бухгалтерией (не, ну а чо случится за пару часов или дней?).

Что ж до удаления всех данных... Независимо от того, как Вы относитесь к поступку vinnni, но он сделал меньшее зло из возможных. Как на счёт установки бэкдора, слива инфы, прошаривания в бэкапах, поиск конфиденциальной инфы, которая могла бы потом тайно использоваться в личных корыстных целях, или, напротив, быть безжалостно анонимно опубликована?

vinnni наказал глупость. Жестко, бескомпромиссно и публично. Я не хочу сказать, что я оправдываю или поощряю поступок vinnni. Я хочу сказать, что безалаберное и беспечное отношение vampir1510 — это бомба замедленного действия. Которая сегодня взорвалась, громко и с пердежем, облив случайно оказавшихся рядом жиром и говном.

/me выдохнул

★★★★★

Последнее исправление: Chaser_Andrey (всего исправлений: 1)
Ответ на: комментарий от Chaser_Andrey

Или мы (не Винни один, но также ты и я) как флуктуации на дороге, которые выбросили несчастного пользователя в кювет?

Если по такой аналогии идти, то это как если увидев на дороге машину со знаком чайника специально ее подрезать чтобы она в кювет вылетела. Я бы таким по морде бил(это еще мягко будет).

Loki13 ★★★★★
()

Введение каких-то экзаменов на знание элементарных правил работы Интернета.

Кто будет экзаменовать? Нужно ли будет это делать IRL? Криптоанархисты не поймут.

vurdalak ★★★★★
()

tl;dr

Виння — санитар интернета. Как фуры — санитары дорог. Пусть лучше он снесёт /home, чем этот сервак завтра начнёт рассылать спам, сниффать и сливать траффик и т.д.
Но из-за ст.272 УК РФ выписать медаль не получится, только расстрел.

shahid ★★★★★
()
Ответ на: комментарий от Eddy_Em

Я вообще не понимаю, нафига «жертва» подняла у себя VNC! Напрашивается такое объяснение: «жертва» — вантузятник. Поставил линукс себе и решил, что можно так же, как в вантузе, наплевательски относиться.

Напрашивается такое объяснение — ты балабол. При наплевательском отношении к чему угодно случилось бы подобное. Проблема не в ОС, с роутером и дефолтным паролем от админки или там root:123456 от ssh было бы точно так же.

wintrolls ☆☆
()
Ответ на: комментарий от varchar

Да просто запретить все виндовсы и дружественные до кухарок линуксы. За упростительство сложного, ибо чревато.

Только перфокарты, только хардкор!

wintrolls ☆☆
()
Ответ на: комментарий от ioway

из-за доступности информации и скорости ответов на популярных сайтах

Зависит от вопросов. В ситуациях, отличных от описания ключиков из мана/справки какого-либо адекватного ответа от „всезнающего сообщества” можно и не дождаться.

Или когда будешь оплачивать счета за интернет, который сожрали сомнительной надобности софтинки с хреново спроектированным протоколом.

Разве у кого-то в 2014 году есть лимитный интернет? Или ты про говнобезлим* от мобильных операторов?

Ну и удешевление труда в IT из-за наличия говнотруда, напрямую бьет по карманам тех кто этим кормится. С чего их жалеть?

Тут согласен, но пострадавший вроде бабло на своём домашнем локалхосте пока ещё не загребал. С другой стороны да, ССЗБ, поставил сервис и не покрутил настройки, ибо вместо атакующего запросто мог бы оказаться какой-то бот.

wintrolls ☆☆
()
Ответ на: комментарий от wintrolls

поставил сервис и не покрутил настройки

Но если покрутил по заметке в блоге какого-то эникейщика, не разобравшись за что каждая опция отвечает (т.е. скопипастил не глядя) — то он ССЗБ вдвойне.

wintrolls ☆☆
()
Ответ на: комментарий от multihead

Ты ничерта не понимаешь. Если ошибка в логике работы программы — оно не поможет. Таких ошибок за этот год с десяток всплыло в более-менее популярном софте. К счастью, не всегда они дают удалённый доступ.

Твой набор костылей — всего лишь защита от сегфолт-ориентированного программирования, да и то неполная.

x3al ★★★★★
()
Ответ на: tl;dr от shahid

тупняк;dr

У виннни было 100500 способов как сделать тоже самое нормально.

qnikst ★★★★★
()

Бред концентрированный. Когда по затылку арматуриной получишь и очнешься без мобильника и кошелька, такой же пост накатай. Потому что жизнь это агрессивная враждебная среда, а ты вышел из подъезда неподготовленным.

Worron ★★★
()
Ответ на: комментарий от wintrolls

Тут согласен, но пострадавший вроде бабло на своём домашнем локалхосте пока ещё не загребал.

Не отгребал, да и вроде уже разобрались, что не все звиздюли одинаково полезны. Просто, может быть я узко мыслю, но за всю историю моей карьеры где-то 20% времени мне портили жизнь мои недостатки (все были молодые/глупые), все остальное время «юные гении», покрутившие дома <нужное подставить> по туториалам юношей совсем другого «калибра» и смело (безумиеиотвага.жпг) лезущие в отрасль, демонстрирующие недоработанные решения за мегакороткие сроки, дающие мегаобещания и в последствии сливающие все к чертям.

ioway
()
Ответ на: комментарий от qnikst

У виннни было 100500 способов как сделать тоже самое нормально.

Судя по сильному кипению говна на лоре, винни всё сделал нормально. Посмотри какая польза: сразу сотня небесных админов спустилась на землю и побежала читать и цитировать man selinux, man iptables, ук рф, правила лора. Даже макскому такая власть над толпой не снилась.

shahid ★★★★★
()
Последнее исправление: shahid (всего исправлений: 1)
Ответ на: комментарий от Worron

Плюсую. Многие местные из-за сильного ЧСВ потеряли связь с реальностью. И тут всех резко спустили на землю.

shahid ★★★★★
()
Ответ на: комментарий от shahid

кроме ук рф и правил лора интересных сообщений я не заметил.

qnikst ★★★★★
()
Ответ на: комментарий от x3al

Если ошибка в логике работы программы — оно не поможет. Таких ошибок за этот год с десяток всплыло в более-менее популярном софте. К счастью, не всегда они дают удалённый доступ.

Да, изначально Линукс не спроектирован как безопасная система. И софт для него тем паче. Но gradm и chroot подобно селинукс позволяет минимизировать ущерб.

OpenBSD?!

Твой набор костылей — всего лишь защита от сегфолт-ориентированного программирования, да и то неполная.

1. Мониторил много лет ~10, все дыры в ядре линукса закрывало, эксплоиты отлавливало на ура.

2. Посмотри сколько патчей безопасности Gentoo Hardened продвигает в апстрим проектов обучая приетом как писать безопасный код.

multihead
()
Ответ на: комментарий от greenman

Интернет ... Это агрессивная враждебная среда,

ЛОР будет равняться на разные интернет-помойки?

ЛОР здесь совершенно не при чём, потому-что порт VNC-сервера был открыт не только для ЛОРа.

Это чистая случайность что к нему зашел именно vinnni, а не какой-нибудь read-only аноним или бот, сканирующий /0.

edigaryev ★★★★★
()
Ответ на: комментарий от multihead

обучая приетом как писать безопасный код.

обучая приетом как писать

J ★★★★★
()

Почему же все ринулись защищать пострадавшего?

Так никто его не защищал. Все ругали и наезжали на хакера, пострадавший даже не возмущался. Если подумать, то с детским вандализмом пострадавшему даже повезло - всего-то потерял уязвимый сервер и файлопомойку, кто-бы другой оставил бэкдор и юзал по своему усмотрению.

KillTheCat ★★★★★
()
Ответ на: комментарий от multihead

помогает от всего

Серебряной пули нет. Доказано.

Но gradm и chroot подобно селинукс позволяет минимизировать ущерб.

Сравнивать чрут с selinux? Сильно.

RBAC не входил в изначальный набор ссылок.

x3al ★★★★★
()
Ответ на: комментарий от sin_a

Это проблемы воспитания.

Извини не согласен. Чтобы нарисовать картину - надо оооочень много рисовать. Чтобы завоевывать спортивные медали - надо оочень много тренироваться. Чтобы выдать идеальное технологическое решение на уровне Доктора Наук CS, достаточно просто прочитать книжку. И на простых типовых решениях результаты деятельности зеленого ботана и бородатого спеца не отличить, точнее наоборот, бородатый потратит больше времени и задаст больше вопросов и стоить будет дороже. Вот только в дальнейшей перспективе окажется, что в первом случае получили замок из песка, во втором обычную, но сцуко, устойчивую «хрущевку». Да скупой платит дважды, но вот скажи мне, что лучше, разрабатывать проект с нуля или разгребать завалы за вот такими «дарованиями»? По-моему лучше с нуля и дело не в деньгах, для нервов полезнее.

А еще ситуация осложняется тем, что в информационное время возраст вообще не показатель. Встречаются как и молодые ребята у корых первой игрушкой был паяльник, так переростки, когда-то что-то сделавшие, но забывшие, что развиваться надо постоянно.

ioway
()
Ответ на: комментарий от ioway

Мы говорим о разных вещах

за вот такими «дарованиями»?

Да, и на самом деле ты согласен что дело в воспитании. Просто говоришь о другом.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

Чтобы в следующий раз не жаловаться, что не дождался ответа, не?

А что с ней не так?

wintrolls ☆☆
()
Ответ на: комментарий от Deleted

ты типичный айтишнег который сравнивает свой несчастный компьютер то с богом, то с железным ящиком несущим смерть, будь реалистом - то с чем ты всю жизнь учился обращаться простая кофеварка

Прикинь, нейрохирург вообще с заточенной железкой и дрелью в мозгах ковыряется, и за что им почет и уважуха? А фотографы вообще обезьяны, на кнопку нажал — получи банан.

sdio ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Но как такой экзамен избавит пользователей от лени или наглядно продемонстрирует необходимость защиты своей собственности?

HiddenComplexity
()
Ответ на: Свободу попугаю! от Eddy_Em

Как Максу не стыдно? Зачем банить на форуме людей, которые правил форума не нарушали → бана совершенно не заслуживают?

Здесь правила вторичны — имидж важнее. Но добавить пункт в правила не помешало бы.

HiddenComplexity
()
Ответ на: комментарий от Worron

Бред концентрированный. Когда по затылку арматуриной получишь и очнешься без мобильника и кошелька, такой же пост накатай. Потому что жизнь это агрессивная враждебная среда, а ты вышел из подъезда неподготовленным.

Уже было такое со мной. После этого я считаю, что был не подготовлен. Был не в очень удобной одежде, выбрал не правильный вариант — не убежал, да и зря забивал на физкультуру, а ещё из-за наушников я вовремя не услышал.

В подворотне или на пустынной дороге меня не защитят буковки, напечатанные в Криминальном Кодексе, меня не защитят менты или адвокаты. Они будут разбираться уже с последствиями.

В подворотне я могу рассчитывать только на себя и на свои навыки.

Chaser_Andrey ★★★★★
() автор топика

Автомобили, права и правила дорожного движения

лол тут каждый второй сравнивает удаление сраного кинца и бакапов с нападением гопников в подворотне.
только вот правильнее было бы сравнить с нубом, решившим показать себя с боксерском турнире. кто виноват — может быть партнер, который должен был пожалеть новичка?
или дурак, вылезший в -30 в легкой курточке и схвативший пневмонию. мороз виноват?

здесь «пострадавший» тоже сам себя наказал, когда выставил свой сервер жопой в интернет, без каких-либо знаний по администрированию. интернет — аггрессивная среда. по-умолчанию.
то что в городе нельзя выйти ночью без оружия — ненормально. то что в интернете нужно тщательно следить за безопасностью своих серверов — уже стало нормой, с этим ничего не сделаешь, это как волки в лесу, или мороз зимой, или космический мусор на орбите. не принявший необходимых мер предосторожности — ССЗБ.

crowbar
()
Ответ на: комментарий от naszar

Это как кто-то возмущен тем что бомж едет в одном с ним автобусе, а кто-то готов бомжа терпеть.

Ну вот Винни и выкинул этого бомжа.

Винни проявил низкие моральные качества, которые часть пользователей считают неприемлимыми

Ну это как вежливо попросить бомжа удалиться из помещения перед тем, как гнать пинками. Вы много видели, чтобы к бомжам вежливо обращались? :D
А ментов, которые выгоняют их из поездов метро, вы тоже наградите «низкими моральными качествами» за то, что они выполняют свою работу и вежливо просить бомжей в их обязанности не входит?

Т.е. человек пришел за помощью и знаниями а в ответ подвергся осквернению и осмеянию

Батюшка, успокойтесь, у вас клобук съехал.

Deleted
()
Ответ на: комментарий от undertaker

Продолжая вашу аналогию, vinni подрезал этого ребёнка

…у которого во весь борт была написана просьба о том, чтобы его подрезали и что прочтение этой просьбы является свидетельством заключения публичной оферты.

Deleted
()
Ответ на: tl;dr от shahid

Состав по ст.272 УК РФ ещё надо будет доказать.

Deleted
()
Ответ на: комментарий от Deleted

Ну вот Винни и выкинул этого бомжа.

Батенька, вы ведь прекрасно поняли, что под божом я подразумевал винни. Но согласен, свойство вонять в троллейбусе некорректно сравнивать с подлостью. Прошу прощения у бомжа. Все темы о поступке винни пропитаны эмоциями. Бессмысленность и тривиальность поступка вкупе с бахвальством и гордостью от свершения данного действа, реакция на справедливые замечания: «А чо?». Все это немного не укладывается в внутреннюю систему ценностей некоторых пользователей данного ресурса. Мне кажется самое подходящее сравнение это взрослый человек надувший соломинкой несколько лягушек, взрывающий их об стенку в общественном месте и на замечания прохожих возражающий: «они тут сами прыгали! Правда, я крут?». Можно отбросить эмоции и поговорить о философии, морали и этике. Кстати в тредах порожденных событием нарисовались интересные личности, принимающие беспредел за анархию и еще более интересные, не воспринимающие собеседника как личность, но лишь как машину на другом конце Сети. Но слова это слова, но что-то ни один из говорунов не затеял еще поход против уязвимых серверов в сети и или покрайней мере не отписался тут об этом своем походе.

Вообще есть интересное мнение, что не каждый пользователь хорош для открытого проекта. Вот тут например, автор вставляет несколько подлянок, ибо считает что не каждый пользователь достаточно хорош для его прошивки. Где грань? Как можно поступать с новичками, чтобы преподать им урок, а как нет?

naszar
()
Ответ на: комментарий от x3al

Серебряной пули нет. Доказано.

Давай пример атаки, а я покажу какими технологиями Gentoo Hardened от него защитится.

Сравнивать чрут с selinux? Сильно.

В Gentoo Hardened особый chrootc с очень сильной изоляцией.

RBAC не входил в изначальный набор ссылок.

hardened технологии включают много больше изначального списка.

multihead
()
Ответ на: комментарий от multihead

Давай пример атаки, а я покажу какими технологиями Gentoo Hardened от него защитится.

XSS.

В Gentoo Hardened особый chrootc с очень сильной изоляцией.

Чрут с сильной изоляцией — это виртуальная машина. А в генте — всего лишь чрут.

hardened технологии включают много больше изначального списка.

включая админа, который всё это настроит и пропатчит не слишком прямо написанный софт. Стоп, это уже 2 человека.

x3al ★★★★★
()
Ответ на: комментарий от sdio

4.2 я жмакаю кнопки клавиатуры и фотокамеры

Deleted
()
Ответ на: комментарий от x3al

XSS.

Гарантирует целостность системы и данных на клиентском компе в случае успешной атаки и уязвимого бровзера. То есть не даст проэксплуатировать уязвимость бровзера для захвата клиентского компа.

Да, сесии и пароли утекут... Здесь надо другие технологии защиты сайтов, качественный код с проверкой входных данных и https.

Чрут с сильной изоляцией — это виртуальная машина. А в генте — всего лишь чрут.

:) вопрос очень спорный, 90% админов с тобой согласятся, 10% скажут chroot в Hardened Gentoo даст большую изоляцию чем системы виртуализации. И я тоже принадлежу к этому меньшинству..

включая админа, который всё это настроит и пропатчит не слишком прямо написанный софт. Стоп, это уже 2 человека.

Все необходимые патчи включены в portage и устанавливаются автоматом при выборе соответствующих hardened профилей и USE флагов.

Да, предполагается наличие админа который затратит некоторое время на сборку безопасной системы. Если без написания руками всех правил RSBAC, то настройка безопасной системы не будет сильно дольше обычной.

multihead
()
Ответ на: комментарий от multihead

Если без написания руками всех правил RSBAC

А что, они уже предустанавливаются?

Без правил RSBAC бесполезна.

10% скажут chroot в Hardened Gentoo даст большую изоляцию чем системы виртуализации

Можно ссылку на это?

x3al ★★★★★
()

мне все равно.

" Вы создаете «одноразовые» учётки где-либо с паролями сродни qwerty или 123456. " - делал и буду делать. пусть сайт разгребает свое грабли сам. нечего регистрацию было делать когда она не нужна.

bernd ★★★★★
()

Оригинальный тред не читал, но думаю, что Винни после того, как успокоится, ещё и поблагодарит Вампира на этом самом ЛОРе.

ephecaff
()
Ответ на: комментарий от x3al

А что, они уже предустанавливаются?

gradm может самообучатся.

Без правил RSBAC бесполезна.

grsecurity с PAX чень полезна сама по себе. И готов показать что справится с любой атакой без RSBAC! Единственное ограничение, в силу методов защиты, не возможность использования в системах жизнеобеспечения и в критических производствах, здесь только более мягкими RSBAC технологиями можно защитится.

Можно ссылку на это?

Гипервизоры в Линукс не проектируются с учётом безопасности!

Мнение Тео о виртуализации и безопасности: Виртуализация и безопасность. Мнение создателя OpenBSD

Гипервизоры - дырявое решето с кучей закладок: http://www.xakep.ru/post/58104/?print=true

Статистику мнений админов по повуду безопасности и виртуализации (9:1) видел или на лоре, или на хабре или на xbt но найти быстро не смог. ;)

multihead
()

наказывать надо не глупость, а отсутствие воли, или намерения её проявлять. Например «не тереть чужой сервер, даже если очень хочется»































v Например2 «не искушать насильников открытым портом/адресом, мини-юбкой»

darkenshvein ★★★★★
()
Последнее исправление: darkenshvein (всего исправлений: 1)
Ответ на: комментарий от multihead

Ожидаемо, свёл тему в волшебную серебряную пулю grsec, приплёл мнение Тео семилетней давности и ссылку на ксакеп не в тему (внезапно, там байки про железные закладки от неспециалиста). И да, статистика мнений админов (тем более русских) забавляет.

x3al ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.