LINUX.ORG.RU
ФорумTalks

Доклады специалистов кафедры 12 НИЯУ МИФИ. «Скрипт-вирусы Linux».


0

1

Ъ 

Серия семинаров "Проблемы информационной безопасности". Доклады специалистов кафедры 12 НИЯУ МИФИ. "Скрипт-вирусы Linux".

Отмечалась ошибочность точки зрения, согласно которой скрипт-вирусы не могут получить в системе привилегированных прав, а значит, не способны причинить существенный вред. Приведены результаты исследования механизмов функционирования скрипт-вирусов командных интерпретаторов ОС семейства UNIX.

Краткое изложение доклада

Ъ 

...Антивирусные продукты в большинстве своем ориентированы на отражение атак злоумышленников извне и не рассчитаны на то, что атака может последовать со стороны доверенного для системы пользователя...
...В настоящее время разработчиками антивирусных программ все большее внимание уделяется защите тех компонентов, атаки на которые фиксируются чаще. Компоненты систем, атаки на которые зафиксированы не были, не защищаются. Об уязвимостях некоторых компонентов принято умалчивать, чтобы создать в коммерческих целях псевдо защищенный образ программного продукта.
    Тема атак скрипт-вирусов для командных интерпретаторов на ОС семейства UNIX в настоящее время поднимается редко. Существование скрипт-вирусов рядом экспертов в области компьютерной вирусологии отрицается как факт. Существуют утверждения, что подобные вирусы являются гипотетической угрозой безопасности.
Скрипт-вирусы – это вирусы, создаваемые на интерпретируемых языках программирования. У современных создателей антивирусных систем накоплен богатый опыт борьбы с вирусами, написанными на исполняемых языках программирования. Опыт борьбы со скрипт-вирусами под ОС семейства UNIX отсутствует. Причиной этому можно назвать нежелание вкладывать усилия и финансы в исследование нового вида вирусов, которые не столь распространены....
...Скрипт-вирусы недооцениваются по причине ошибочного мнения, что эти вирусы не могут получить в системе привилегированных прав, а значит, не способны причинить существенный вред. Данное заблуждение связано с заявлениями антивирусных экспертов, которые большую часть времени работают с вирусами, написанными на языке Assembler...

[!]В диссертации рассматривается класс скрипт-вирусов – скрипт-вирусы на командном языке Shell...
Приводятся результаты исследования механизмов функционирования скрипт-вирусов командных интерпретаторов ОС семейства UNIX [!]

Почитать бы саму работу. И люди защищаются...

[ФМС][RMS] а всё же
[kde] бардак в новостях на главной
1 2
Ответ на: комментарий от CALLIKO

>там может быть народ, который кроме венды ничо не видел

Ты думаешь что если человек всёю жизнь занимался только безопасностью альтернативной ОС он не может быть профи ?
Ты сильно заблуждаешся :) Просто профи перед тем как лезть на чужую территорию хотя бы терминологию и общие принципы изучают.

Зачем ДИССЕР (судя по «В диссертации рассматривается класс скрипт-вирусов») нужно изучать домохозяйкам я вообще в непонятках.

А уж такие прелы как:

«Опыт борьбы со скрипт-вирусами под ОС семейства UNIX отсутствует»

Закапывают соискателя сразу на этапе отзыва на автореферат.

Пока опыта не наберётся :))

sS ★★★★★
()
Ответ на: комментарий от sS

Единственная возможность подсунуть «shell-вирус» пользователю - заставить пользователя скачать и запустить скрипт. Либо воспользоваться его чрезмерным доверием к окружающим (например, если какой-нибудь исполняемый файл открыт на запись всем), либо подсунуть с какой-нибудь программой.

Принципиальное говно этого подхода в том, что используются не системные уязвимости, а глупость конечного пользователя. Так что вирусами называть не очень правильно )

melkor217 ★★★★★
()
Ответ на: комментарий от Windos7

Иными словами данные сайты используют уязвимости браузеров а не ОС в которых их юзают?

Отчасти да, однако ж надо бы выкурить seLinux, чтобы уязвимости всяких программок не могли существенно наврелить ибо, как уже отмечалось выше, тяжесть от потери / может быть несравнимой с потерей /home/ /mnt/ или кражей паролей от банковских карт, почты и тд.

Кстати. appArmor таки rip ? В дебе его нет. Как лучше скайп поставить в условиях гиперпаранои ?

temporary ★★
() автор топика
Ответ на: комментарий от melkor217

>Единственная возможность подсунуть «shell-вирус» пользователю - заставить пользователя скачать и запустить скрипт

Была красивая уязвимость в man которая позволяла запускать сторонний код но закрыли :))

sS ★★★★★
()
Ответ на: комментарий от melkor217

>Специфика большинства уязвимостей такова, что эксплойты пишут ну никак не на шелле )

Пишут на всём подряд. Шелл не исключение

sS ★★★★★
()
Ответ на: комментарий от sS

В том-то и дело. С таким же успехом можно было писать на питоне или хаскеле.

melkor217 ★★★★★
()
Ответ на: комментарий от Windos7

Иными словами данные сайты используют уязвимости браузеров а не ОС в которых их юзают?

Превед! С разморозкой :)

Даже на последнем БлекХеде (сборище хакеров) говорилось, что уязвимости ОС сами по себе давно не актуальны - все рулится через браузер :)

И Венда не так уж беззащитна, как кажется.

Особенно хочу посмотреть на тех умников, которые смогут поломать Венду 7-ку х64, под которую и зловредов особо нет, а если есть, то как в Линуспсе - еще запустить нужно умудриться.

Так вот, все зло в браузерах!

Но в Венде у домохозяйки хоть антивирус есть, который скрипты в браузере проверяет (что, конечно, не гарантирует защиты, но все же), а луноход с Убунтой идет словно воин с открытым забралом и мантрой «Ляликс безопасен».

the_warlick
()
Ответ на: комментарий от the_warlick

>Особенно хочу посмотреть на тех умников, которые смогут поломать Венду 7-ку х64, под которую и зловредов особо нет, а если есть, то как в Линуспсе - еще запустить нужно умудриться

Реклама винды? Нет зловредов?... чтож стоит попробовать

Windos7
()
Ответ на: комментарий от Windos7

Реклама винды? Нет зловредов?... чтож стоит попробовать

Вот что пишут по этому поводу люди, работающие в антивирусных компаниях:

Для информации о безопасности систем 64-бит:

Windows 7 x64. Например, благодаря неспособности 64-разрядной версии Internet Explorer обращаться к 32-разрядному коду для платформы x86, возможности для атак с использованием существующих 32-разрядных вредоносных программ невелики. На практике, ни один из используемых ныне способов доставки вредоносных программ с помощью веб-страниц не действует, если не считать программ, загружаемых и запускаемых непосредственно пользователем.

К тому же руткиты режима ядра для 32-разрядной версии Windows не действуют в Windows x64. Про руткитов под x64 я пока не слышал, правда используют руткиты пользовательского режима, которые в Windows x64 эффективны по отношению к другим 32-разрядным приложениям, но не действуют по отношению к 64-разрядным приложениям.

В x64‑версиях системные файлы загружаются в случайные адреса памяти, что существенно осложняет написание работающего вируса. Т.е. продвинутому пользователю, с учетом грамотно настроенного UAC, антивирус в той же севен, практически не нужен (учитывая, что суперадмин в Windows 7 отключен по умолчанию). Лично я от него отказался.

Обращаю внимание - продвинутому пользователю, а не «домохозяйке». Хотя домохозяйке можно поставить пароль на UAC."

Т.е., если замарочаться установкой чисто 64-разрядного софта, то безопасность будет не хуже Линукса. Только в Венде еще и антивир подстарховывает.

the_warlick
()
Ответ на: комментарий от the_warlick

безопасность будет не хуже Линукса.

Спецы по безопасности в треде.

GotF ★★★★★
()
Ответ на: комментарий от temporary

Как лучше скайп поставить в условиях гиперпаранои ?

в условиях гиперпаранои

Virtualize it!

GotF ★★★★★
()
Ответ на: комментарий от the_warlick

>Особенно хочу посмотреть на тех умников, которые смогут поломать Венду 7-ку х64, под которую и зловредов особо нет, а если есть, то как в Линуспсе - еще запустить нужно умудриться.

Ну да, конечно. Вы хоть раз проводили (или видели результаты) пентест сетки с офф.топовыми тачками и линухами? Лично у меня после увиденного, появилась искренняя любовь к линуксам и ненависть к офф.топу. Или можно пойти более простым путем, соберите на VMWare хонепот под офф.топ ОС и Linux, сравните результаты:)

fang90 ★★★★★
()
Ответ на: комментарий от fang90

Ребята, есть что сказать по поводу х64 Венды или так, просто поболтать без аргументов пришли?

Еще раз говорю, х64 Винда не проигрывает Линуксу, о чем написано выше, причем от спецов антивирусных компаний, которым, казалось бы, было выгодно писать, что Венда дырява - покупайте наши антивирусы.

the_warlick
()
Ответ на: комментарий от the_warlick

Ребята, есть что сказать по поводу х64 Венды или так, просто поболтать без аргументов пришли?

Аргументы я тебе показать не могу,по причине незаконности такого деяния. А вот, ваши аргументы весьма сомнительны - погуглив по цитате не нашел ни одного достоверного источника, а именно, конторы которая производит антивирусное ПО.Это раз.
>благодаря неспособности 64-разрядной версии Internet Explorer обращаться к 32-разрядному коду И что?
Далее можем обратить внимание на сервисы и драйверы, тоже достаточно интересные вещи для взломщика, и что же мы видим, прямо на офф.сайте мелкомягких:http://www.microsoft.com/technet/security/advisory/2028859.mspx
Прошу обратить внимание на дату закрытия дыры.

fang90 ★★★★★
()
Ответ на: комментарий от the_warlick

>Т.е., если замарочаться установкой чисто 64-разрядного софта, то безопасность будет не хуже Линукса. Только в Венде еще и антивир подстарховывает.

Не ну PAE то нет в винде так? Т.е в скором времени все (в основном из-за прожорливости к оперативы) перейдет на 64?

Windos7
()
Ответ на: комментарий от fang90

погуглив по цитате не нашел ни одного достоверного источника

Это писал один из сотрудников антивирусного бренда на одном из форумов. Там тема была Винда х32 против х64.

the_warlick
()
Ответ на: комментарий от the_warlick

>Это писал один из сотрудников антивирусного бренда

пруф?

fang90 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
[ФМС][RMS] а всё же
Talks
[kde] бардак в новостях на главной