[вирусы] [Linux] [вещества] вариант реализации

Насчет первого пункта. Проще реализовать через pre-install script deb-пакета, он запускается с правами рута при установке пакета.

K.O.: гадость будет склеена joiner-ом с не-гадостью :) многие (по крайней мере знакомые) пользователи линукса тоже качают всякую фигню с левых источников.

Ну так пока пользователей мало, софт сильно различается, механизмы защиты лучше - поэтому писать вирусы и тратить время на их распространение невыгодно. Проще накатать троян для венды и за пару недель набрать ботнет.

> после того, как он уже сольёт из твоего хомяка всю интересную для злоумышленника информацию

Надо быть просто феерическим дятлом, чтобы важную информацию хранить в $HOME

Скрипты обычно. Их весьма просто проверить, достаточно уметь читать.

А где ты хранишь куки, пароли и историю посещений для твоего браузера? :)
Или результаты научной деятельности, которую хочет украсть твой коллега из лаборатрии напротив.

> А где ты хранишь куки, пароли и историю посещений для твоего браузера? :)

Или результаты научной деятельности, которую хочет украсть твой коллега из лаборатрии напротив.

В /media/c/Document\ and\ Settings/admin/Мои\ документы же наверняка.

Рут потому, что простой юзверь, заподозрив неладное, снесет хомяк и, таким образом, снесет и вирус. А при руте можно будет позаражать все бинарники в системе.

Ага, и можно еще одну штуку сделать - враппер для ssh, который бы подсовывал комманды для скачки и запуска вируса. То есть, вы коннектитесь к своему VPS по ssh, и ваш VPS заражается вирусом тоже.

>> после того, как он уже сольёт из твоего хомяка всю интересную для злоумышленника информацию

Надо быть просто феерическим дятлом, чтобы важную информацию хранить в $HOME

А где ее хранить, умник? Или для тебя важная информация ограничивается номером твоей кредитки и паролем к почте?

Можно и за пределы: ВНЕЗАПНО Linux тоже поддерживает автораны с флешки, а хомячки любят их запускать, даже не зная, что они делают.

Ну и упомянутый немного ранее метод с ssh. А еще можно поизвращаться с заражением Samba-шар, тыриньем FTP-паролей и т.д. и т.п.

>Рут потому, что простой юзверь, заподозрив неладное, снесет хомяк и, таким образом, снесет и вирус. А при руте можно будет позаражать все бинарники в системе.

Да вот как раз я скорее снесу все остальное, чем хомяк. Долго ли чтоли пакеты/систему переставить? У меня хомяк с 2002 года неприкосновенен )

Линукс не поддерживает автораны с флэшки.

Метод с ssh я уже привел. Можно искать незапароленные Samba шары, подменить curl и wget для тырения паролей ftp и еще много чего сделать.

> А где ты хранишь куки, пароли и историю посещений для твоего браузера? :)

Пароли никогда не сохраняю. В упор не вижу, как меня может скомпрометировать история посещений. С куки проблемы, пожалуй, могут быть. Но и это решаемо.

Или результаты научной деятельности, которую хочет украсть твой коллега из лаборатрии напротив

Всё, что относится к работе, храню на не рутовом разделе, но из других соображений.

О да, понимаю. У меня вчера после небольшого перекраивания диска в начале хомяка вылез кусок суперблока старой ext4. Пришлось всё утро hexeditor'ом искать какой же там теперь офсет, чтобы смонтировать :(

С первыми 2 пунктами согласен. 3-ий немного не понял. Хотя все равно среднему гику обычно ничего не грозит.

> А где ее хранить, умник?

Проблемы с хранением СВОИХ данных решай сам, ок?

Пишем вместо обычного варианта то же самое, только в скриптах, и идея снова работает.

Так и я хомяк отдельно монтирую. Просто смысл в том, чтобы в хомяк не пускать, а не наоборот.

> Так и я хомяк отдельно монтирую

А вот $HOME как раз на рутовом у меня. И там один хлам, которого ни капли не жалко.

И багов в ПО тоже не существует. И сервера в интернете никто не ломает. Да вообще, интернет — это фантастика.

Что за детский сад?

Баги - немного другое.

А при правильной параноидальной защите или адекватном пользователе моя идея обламывается.

Я всегда запускаю /bin/su, для этого можно сделать алиас?

>Насколько я знаю, в рра можно загрузить только исходники. Они собираются там.
Можно собрать пакет и из бинарников же.

>а)мс не работает над безопасностью, б)конструктивно дырявая архитектура.
Посмеялся.

Не понял.

какая-то выгода все же есть. когда линукс станет распространенным, если станет, то у тебя уже будут готовые решения.

у тебя в инит-скрипте майнкрафта явно стояло простое 'su' :3

derlafff

у тебя в инит-скрипте майнкрафта явно стояло простое 'su' :3

Его не я писал :3 E:

Во-первых, M$ выпускает достаточно security-релейтед апдейтов. В «конструктивно безопасном» линуксе их, впрочем, тоже немало.
Во-вторых, для нормального кейлоггера в венде нужны права рута (обычный кейлоггер не работает в той же сессии в софте, запущенном от другого пользователя). А в иксах любой процесс может слушать весь ввод. Включая ввод пароля для sudo/рута и весь ввод в окнах рутовых приложений. И это принципиальная фича «конструктивно безопасных» иксов (которым в ближайшее время альтернативы не намечается).

напугал, буду теперь /usr/bin/whereis sudo делать

Но ты его активно юзал. И почему не поправил когда правил?

есть такая вещь, как бОльшая часть вендоюзеров сидящих в венде без автоапдейтов под рутом

derlafff

И почему не поправил когда правил?

Я думаю, что они думают, что мы и правда думаем (ц)

Не поправил специально, чтобы было удобнее засылать вирус. Очевидно же.

а он разве сообщает о наличии алиасов?

> Во-первых, M$ выпускает достаточно security-релейтед апдейтов.

security апдейты никак не закроют принципиальные дыры архитектуры.

А в иксах любой процесс может слушать весь ввод. Включая ввод пароля для sudo/рута и весь ввод в окнах рутовых приложений. И это принципиальная фича «конструктивно безопасных» иксов (которым в ближайшее время альтернативы не намечается).

Видишь ли, в чем дело, в иксах _можно_ сделать расширение для потокола, которое закроет эту уязвимость. И если проблема станет актуальна, его сделают. А дыры в винде можно уничтожить только вместе с самой виндой и её пользователями.

>в иксах _можно_ сделать расширение для потокола, которое закроет эту уязвимость.
И убедить авторов _всех_ иксоприложений его заюзать.

дыры в винде

[Citation needed]

>есть такая вещь, как бОльшая часть вендоюзеров сидящих в венде без автоапдейтов под рутом
Это не делает венду в целом более уязвимой.

придется тогда все по полному пути пускать

> И убедить авторов _всех_ иксоприложений его заюзать.

Разумеется, нет. Достаточно передавать дочерним процессам токен безопасности, дающий право слушать события на определённых окнах, в некоторой переменной окружения, а в xlib внести код, который будет использовать этот токен безопасности для всех новых окон, если переменная окружения установлена.

Из клиентских приложений достаточно исправить только какой-нибудь gtk-su, и все дочерние от него процессы автоматом будут иметь окна, защищенные от прослушивания процессами, не являющимися дочерними от него.

ЕМНИП подобное уже делали. Это ломало все всплывающие меню, поэтому выкинули.

>право слушать события на определённых окнах
Есть ещё такая вещь как опрос состояния клавиатуры. Окна при этом не нужны.

> ЕМНИП подобное уже делали. Это ломало все всплывающие меню, поэтому выкинули.

Ссылку?

Не могу нагуглить. Делали емнип для противодействия этому: http://insecure.org/sploits/xsecurekeyboard_fequent_query.html
Примерно оно же: http://www.acm.vt.edu/~jmaxwell/programs/xspy/xspy-1.0c.tar.gz

зато это делает вендовые компьютеры в целом более уязвимыми.

> http://insecure.org/sploits/xsecurekeyboard_fequent_query.html

Что касается этого, то мне кажется, в рамках подхода с токенами ситация решаема. Достаточно не возвращать актуальное состояние клавиатуры по вызову XQueryKeymap, если данный клиент не имеет токена для окна, которое имеет фокус ввода. Аналогично, игнорировать граббинг ввода по хоткеям и полный граббинг клавиатуры, если соответствующий клиент не имеет токена для сфокусированного окна.

Что нужно предусмотреть, так это возможность передачи токена для приложений, которым граббинг _действительно_ нужен вне зависимости от активного окна — оконного менеджера, менеджера хоткеев и других приложений, которым пользователь 100% доверяет. Мне кажется, при правильно проектировании системы прав доступа и механизма для работы с ней, это вполне возможно.

облом.

вирус - это то, что распространяется (размножается, копируется) само, без участия пользователя.

>Достаточно не возвращать актуальное состояние клавиатуры по вызову XQueryKeymap, если данный клиент не имеет токена для окна, которое имеет фокус ввода.
Интересно, что это сломает.

менеджера хоткеев

Хочу такое приложение. Естественно, я не про xbindkeys.

>2) гадость пытается заразить найденные бинарники в хомяке пользователя

И много у тебя бинарников в хомяке?

> Хочу такое приложение. Естественно, я не про xbindkeys.

А чем не устраивает? Тем, что графической морды нет?

У меня - ни одного. Смотреть следующие пункты - для них наличие бинарников в хомяке не принципиально.