Антивирусный ботнет

А можно подробнее? Что именно так продуманно?

А можно ты сам погуглишь? Марк - высококлассный специалист по информационной безопасности, его решения годные и правильные. Зачем мне об этом рассказывать, если в инетах и так полно информации?

И да, лично я предпочитаю «свои» велосипеды. Старые, Ъшные, и олдовые. Могу про них рассказать.

Каким данным и зачем? Зачем браузеру и IM-клиенту доступ к пользовательским данным?

Например для передачи этих данных в интернет и обратно между собой.

Это не ответ. Впрочем, никто не мешает тебе смонтировать свой хомяк в чрут (в режиме readonly).

мой обычный софт - фф, копыта, влц, eiskaltdcpp, kvirc, вайновские игры, дельфин. И все лезут в интернет рано или поздно. И между всеми приходится передавать данные.

Если _весь_ твой софт хочет жить в инете, а ты хочешь ему это позволить, то задача очевидно неразрешима. Но это твоя личная проблема.

Это не ответ. Впрочем, никто не мешает тебе смонтировать свой хомяк в чрут (в режиме readonly).

А записывать как?

Если _весь_ твой софт хочет жить в инете, а ты хочешь ему это позволить, то задача очевидно неразрешима. Но это твоя личная проблема.

Тобишь если у тебя проблемы нет, то ее нет ни у кого. Я тебя понял.

Сестра, 2 кубика галаперидола этому товарищу внутримышечно.

смысл?

Вот я и интересуюсь как именно это все разделить так, чтобы не было потери функциональности.

откуда я знаю, ЧТО ты хочешь разделять?

А можно ты сам погуглишь? Марк - высококлассный специалист по информационной безопасности, его решения годные и правильные. Зачем мне об этом рассказывать, если в инетах и так полно информации?

Я просто спросил что именно защитит юзера убунты от rm -rf ~/* или подобного. Или как там ее правильно набрать? Я не программист, не тролль и мне не интересны мифические «может быть вот это безопасно». Я столяр, мне интересно что сейчас есть на практике. Конкретно название продукта скажите и почему я не могу заюзать его в своей генте.

никто не мешает тебе смонтировать свой хомяк в чрут (в режиме readonly).

А записывать как?

А записывать в специально выделенные каталоги.

Тобишь если у тебя проблемы нет, то ее нет ни у кого.

То бишь если проблема есть, ради ее решения придется чем-то поступиться.

Я тебя понял.

Нет.

хочешь безопасности? Вот тебе рецепт, годный:

• ставь убунту, делай там учётку «админ»
• там делай учётку LightDiver, от которой и работай
• в учётке «админ» ТОЛЬКО настраивай и НЕ СТАВЬ ВСЯКОЕ ГОВНО (в другой учётке можешь делать что угодно).

То бишь если проблема есть, ради ее решения придется чем-то поступиться.

selinux, apparmor в этом помогут? Я знаю есть возможность запретить флаг исполняемости для бинарников на разделе. На таком разделе скрипты запускаться будут (баш, питон, перл, и т.д)?

в учётке «админ» ТОЛЬКО настраивай и НЕ СТАВЬ ВСЯКОЕ ГОВНО (в другой учётке можешь делать что угодно).

Административные данные едины для всех убунт и восстанавливаются за минуту. В них нет ценности никакой в принципе. Единственная ценность для пользователя - в пользовательских данных. Что в убунту их защитит то? Например настрою я девушке 12-14 лет убунту. Она скачает скрипт, который удалит все каталоги в ~/ какие сможет. Что ее в убунту от этого защитит? На винде 90% «вирусов» так и действуют.

То бишь если проблема есть, ради ее решения придется чем-то поступиться.

selinux, apparmor в этом помогут?

Возможно. Я мало о них знаю, но одно можно сказать точно - их использование тоже наложит ограничения на _пользователя_.

Я просто спросил что именно защитит юзера убунты от rm -rf ~/*

ты ещё спроси, что тебя защитит от падения с пятого этажа.

У меня нет ответа, извини. Если ты всё-же упадёшь, то молодец, избавил генофонд от ненужных ДНК.

Или как там ее правильно набрать? Я не программист, не тролль и мне не интересны мифические «может быть вот это безопасно». Я столяр, мне интересно что сейчас есть на практике. Конкретно название продукта скажите и почему я не могу заюзать его в своей генте.

ну если в gentoo, то для начала настрой запуск потенциально опасного ПО от каких-то левых юзеров. Конечно будет лучше, если ты это ПО просто тупо удалишь. Рекомендую к прочтению man xhost, ибо ты наверное хочешь, что-бы был доступ для других приложений к иксам. Решето, но что поделать?

Ну и да, поставь права на хомяк (свой) 0700. Проверь также другие права (если ты не хочешь, что-бы кто-то это _мог_ увидеть, ставь 0600)

Возможно. Я мало о них знаю, но одно можно сказать точно - их использование тоже наложит ограничения на _пользователя_.

Если в целом: в чем «популярные дистрибутивы» безопаснее в плане «вирусов» для юзеров, чем винда? И безопаснее ли?

То бишь если проблема есть, ради ее решения придется чем-то поступиться.

да. На моей крыше есть оградка. Думаешь — зачем?

Я знаю есть возможность запретить флаг исполняемости для бинарников на разделе. На таком разделе скрипты запускаться будут (баш, питон, перл, и т.д)?

будут. Запускается НЕ скрипт, а его интерпретатор.

ну если в gentoo, то для начала настрой запуск потенциально опасного ПО от каких-то левых юзеров. Конечно будет лучше, если ты это ПО просто тупо удалишь. Рекомендую к прочтению man xhost, ибо ты наверное хочешь, что-бы был доступ для других приложений к иксам. Решето, но что поделать?

Ты так и не понял проблемы. На компе всего одна учетная запись (кроме рута). Пользователь работает от нее. Защита нужна от уязвимостей софта, с которым работает пользователь (как пример) или от «вирусов как на винде»: скачал скрипт, запустил - вот тебе вирус.

На винде от этого есть антивирусы.

в чем «популярные дистрибутивы» безопаснее в плане «вирусов» для юзеров, чем винда?

Из коробки - в том, что это не винда и вендоспецифичные эксплойты на ней не работают. При желании работать руками - в том, что есть средства улучшения безопасности (от чрута до SMACK).

будут. Запускается НЕ скрипт, а его интерпретатор.

Значит защиты от вредоносных скриптов на линуксе нет в принципе?

Административные данные едины для всех убунт и восстанавливаются за минуту

ты заблуждаешься.

В них нет ценности никакой в принципе. Единственная ценность для пользователя - в пользовательских данных

это не так.

Что в убунту их защитит то? Например настрою я девушке 12-14 лет убунту. Она скачает скрипт, который удалит все каталоги в ~/ какие сможет. Что ее в убунту от этого защитит?

скачает. А сможет его ЗАПУСТИТЬ? Если сможет - она ССЗБ. Как она его запустит-то, ты подумал? Ну запустит из ФМ, который запущен браузером, что дальше? Сохранённые паролики для фконтакта только прибьёт, при всём желании.

Если в целом: в чем «популярные дистрибутивы» безопаснее в плане «вирусов» для юзеров, чем винда? И безопаснее ли?

и да и нет. Это очень сложный вопрос.

Ты так и не понял проблемы. На компе всего одна учетная запись (кроме рута). Пользователь работает от нее. Защита нужна от уязвимостей софта, с которым работает пользователь (как пример) или от «вирусов как на винде»: скачал скрипт, запустил - вот тебе вирус.

На винде от этого есть антивирусы.

а в линуксе ты можешь создать кучу других юзеров, и забыть об этой проблеме. И все так уже давно сделали, один ты тормозишь.

Из коробки - в том, что это не винда и вендоспецифичные эксплойты на ней не работают. При желании работать руками - в том, что есть средства улучшения безопасности (от чрута до SMACK).

Я понял. Общая суть: для простейших вредоносных скриптов никакие уязвимости не нужны - пользователь скачает их сам и запустит. Ничто в линуксе ему не помешает это сделать (антивирусов на линуксе не ставят, да и не поймают они такую банальщину). Средствами улучшения безопасности врядли большинство пользуется.

Тогда проблема и правда есть у пользователей линукса с безопасностью, причем серьезная. И тогда правда, что количество «вирусов» под линукс - это просто вопрос популярности линукса.

Или так, или я опять где-то туплю.

скачает. А сможет его ЗАПУСТИТЬ? Если сможет - она ССЗБ. Как она его запустит-то, ты подумал? Ну запустит из ФМ, который запущен браузером, что дальше? Сохранённые паролики для фконтакта только прибьёт, при всём желании.

Скачает, кликнет правой клавишей по файлу: свойства - права - разрешить исполнение. Ну, так же как и в винде работает 90% вирусов. А дальше у скрипта будет полный доступ к данным в каталоге юзера. Там может быть что угодно и слить он сможет их куда угодно. Ему ведь будет доступно все то, что доступно юзеру.

Значит защиты от вредоносных скриптов на линуксе нет в принципе?

есть. Если только система может отличить тебя от врага. Т.к. для этого не нужно никаких костылей, то это не проблема. В венде — проблема, потому там приходится применять антивирус, который на лету контролирует ситуацию. В Linux у каждого процесса есть хозяин, и система САМА может послать на* зарвавшийся процесс, который слишком много хочет. От пользователя(администратора) требуется лишь указать, что ЭТОТ процесс может что-то плохое сделать. Как например мой браузер, который в принципе может запускать говнокод от адобы, которой я не доверяю.

а в линуксе ты можешь создать кучу других юзеров, и забыть об этой проблеме. И все так уже давно сделали, один ты тормозишь.

Любой пользователь винды тоже может создать второго юзера и там хранить свои данные. И они будут «в безопасности». Тем не менее никто этого не делает. Почему ты думаешь, что в линуксе кто-то станет так делать?

В Linux у каждого процесса есть хозяин, и система САМА может послать на* зарвавшийся процесс

Чтобы навредить или получить нужные данные, достаточно обладать правами пользователя. Не нужны особые права и зарываться не нужно. Достаточно уязвимости или _невнимательности пользователя_. Например архивирование всех данных в каталоге пользователя (или части) и закачка их на удаленный сервер - вредоносное действие?

Скачает, кликнет правой клавишей по файлу: свойства - права - разрешить исполнение. Ну, так же как и в винде работает 90% вирусов. А дальше у скрипта будет полный доступ к данным в каталоге юзера. Там может быть что угодно и слить он сможет их куда угодно. Ему ведь будет доступно все то, что доступно юзеру.

принципиально КАКОМУ юзеру. Как видишь: у меня два, drb&web. Предположим, я запущу скрипт от web, самое СТРАШНОЕ, что может сделать этот скрипт - выложить мой пароль на ЛОР. Да и то - вряд-ли(он вообще-то зашифрован, и просто так его из sqlite СУБД не выдрать. Но можно конечно при желании). Если я его запущу от drb, оно меня на* пошлёт, ибо хозяин web, я не могу права менять (права менять может только хозяин). Т.е. мне придётся сделать копию скрипта в свой каталог, и там запустить. Думаешь, я СЛУЧАЙНО это сделаю? Да. Сложно. Точно также сложно свалится с моей крыши - надо через решёточку переступать. Неудобно.

для простейших вредоносных скриптов никакие уязвимости не нужны - пользователь скачает их сам и запустит

Они могут тупо не заработать в другой ОС.

Тогда проблема и правда есть у пользователей линукса с безопасностью, причем серьезная.

Как везде - люди есть люди.

И тогда правда, что количество «вирусов» под линукс - это просто вопрос популярности линукса.

Да.

Или так, или я опять где-то туплю.

Ты упускаешь то, что в Linux уже есть все необходимые инструменты, чтобы сделать его намного безопаснее. Даже если дистростроители не используют их сейчас (я просто не знаю точно), они смогут использовать их, когда угроза станет реальной.

Я понял. Общая суть: для простейших вредоносных скриптов никакие уязвимости не нужны - пользователь скачает их сам и запустит. Ничто в линуксе ему не помешает это сделать (антивирусов на линуксе не ставят, да и не поймают они такую банальщину). Средствами улучшения безопасности врядли большинство пользуется.

можно подумать, что в венде есть какая-то защита от FORMAT C: \q. Нету. Смирись.

Тогда проблема и правда есть у пользователей линукса с безопасностью, причем серьезная. И тогда правда, что количество «вирусов» под линукс - это просто вопрос популярности линукса.

Или так, или я опять где-то туплю.

где-то тупишь. Проблема только у тех, которые никому не нужны. Они в принципе уязвимы, но никому не нужны. Те, кто нужны — уязвимы меньше, причём ПО РАЗНОМУ. Целевая атака возможна, но дорого стоит. Не целевая хоть и возможна, но бесполезна(её сложность слишком высока, что-бы окупить профит взлома).

Любой пользователь винды тоже может создать второго юзера и там хранить свои данные. И они будут «в безопасности». Тем не менее никто этого не делает.

никто так не делает потому, что там это сделать очень сложно, и например я не осилил запускать процесс одним юзером от имени другого юзера. В Linux для этого есть утилита sudo (ага, она вовсе не для запуска от имени рута нужна!). Что есть в венде — я не знаю. Может и можно осилить win-sudo, и мощь winACL, но я — не осилил. А постоянно перелогиниваться или там винчестеры менять, лично мне лениво.

Почему ты думаешь, что в линуксе кто-то станет так делать?

в линуксе так все и делают, например я. Почему вы, маздайщики, так не делаете? Вопрос точно ко мне?

Они могут тупо не заработать в другой ОС.

Где-то нет баша? Перла? Что значит «могут»? Это очень плохо, что все сейчас забили на безопасность и думают, что если нет проблемы сейчас, то не будет ее никогда. Когда придет опасность, будет поздно думать. Нужно решать проблему до ее возникновения.

Чтобы навредить или получить нужные данные, достаточно обладать правами пользователя.

ты точно тупишь: КАКОГО пользователя? Не просто «какого-то», а конкретно ХОЗЯИНА.

Например архивирование всех данных в каталоге пользователя (или части) и закачка их на удаленный сервер - вредоносное действие?

да, конечно. Потому оно запрещено по умолчанию(у меня).

толсто. слишком

Ты упускаешь то, что в Linux уже есть все необходимые инструменты, чтобы сделать его намного безопаснее. Даже если дистростроители не используют их сейчас

Я не упускаю. Я потому и спрашиваю, что изучаю потихоньку пути отхода. Стандартные советы - эппармор или selinux, но по тем же советам работать с ними нереально.

ты точно тупишь: КАКОГО пользователя? Не просто «какого-то», а конкретно ХОЗЯИНА.

Про безопасность хозяина и идет речь.

да, конечно. Потому оно запрещено по умолчанию(у меня).

Как именно запрещено? Ты запретил юзеру тар?

Где-то нет баша? Перла? Что значит «могут»?

речь про уязвимости. Для их работы нужна БИНАРНАЯ совместимость. Даже, если у тебя есть уязвимая версия библиотеки №6.6.666, она всё равно будет неуязвима для эксплоита, если ты её собирал с какими-то другими опциями компиляции(или ещё с чем-нибудь). Т.е. эксплоит будет работать исключительно в определённой ОС, например в бубунте 12, с обновлениями за 22е сентября. С обновлениями за 10 октября - уже нет. Я уж не говорю про апрель сего года.

Когда придет опасность, будет поздно думать. Нужно решать проблему до ее возникновения.

она УЖЕ решена.

quote]речь про уязвимости. Для их работы нужна БИНАРНАЯ совместимость. Даже, если у тебя есть уязвимая версия библиотеки №6.6.666, она всё равно будет неуязвима для эксплоита, если ты её собирал с какими-то другими опциями компиляции(или ещё с чем-нибудь). Т.е. эксплоит будет работать исключительно в определённой ОС, например в бубунте 12, с обновлениями за 22е сентября. С обновлениями за 10 октября - уже нет. Я уж не говорю про апрель сего года.[

С каких пор скрипту нужна бинарная совместимость? С каких пор баш-скрипт написанный для убунту не заработает на генту? Или перл?

Они могут тупо не заработать в другой ОС.

Где-то нет баша? Перла? Что значит «могут»?

Ну вот недавно вице-президента какой-то корпы хакнули через *.SCR - без Wine он точно не заработает; недавнее похищение bitcoin было сделано через PE - тоже нужен Wine; вендоспецифичный скрипт на PowerShell тоже не заработает. А писать эксплойт на портабельном perl или python никто не станет, потому что он не заработает на венде.

Про безопасность хозяина и идет речь.

зафейхуя этот хозяин запускает вредоносный код от своего имени?

Как именно запрещено? Ты запретил юзеру тар?

я поставил права 0700 на свой домашний каталог.

вот смотри:

# sudo -u web tar -cvvf /tmp/t.tar /home/drb/
tar: Удаляется начальный `/' из имен объектов
tar: /home/drb: Функция open завершилась с ошибкой: Отказано в доступе
tar: Завершение работы с состоянием неисправности с из-за возникших ошибок

А писать эксплойт на портабельном perl или python никто не станет, потому что он не заработает на венде.

Честно говоря мне пофигу на винду, я ей не пользуюсь. Меня больше интересует линукс. Судя по тексту выше, линукс безопасен в изначальном виде (как его чаще всего и используют) не больше чем винда, а может даже меньше, потому что в винде все это давно пройдено и все знаю как и чем бороться с всякой фигней. Вот это реально проблема.

зафейхуя этот хозяин запускает вредоносный код от своего имени?

Сейчас будет сюрпрайз. Не все пользователи компьютера - бородатые сисадмины, с 40-летним стажем работы за компом. Иногда (понимаю конечно что предположение бредовое) могут встречаться юзеры с меньшим опытом. Например 12-летние блондинки. Они могут найти в интернете «скрипт, который поможет взломать мир твоего врага», скачать и запустить его. Зачем? Чтобы взломать страницу своего врага конечно. Или скачать «Новую песню звезды ххх», которая будет на самом деле баш-скриптом и тоже запустить. Зачем? Конечно же чтобы послушать песню. Или скачать «новую игру» с торрента и установить ее. Думаю понятно зачем «хозяин» может запустить вредоносный код?

я поставил права 0700 на свой домашний каталог.

Я не совсем понял. То есть ты теперь сам не можешь архивировать в своем домашнем каталоге? Или для этого нужно сначала дать на это права от рута?

С каких пор скрипту нужна бинарная совместимость?

скрипту не нужна. Скрипту нужны права доступа, а без прав доступа скрипт будет сосать ***, либо юзать уязвимости. А вот уязвимостям нужна бинарная совместимость, которая есть в Windows™, но нет в Linux.

писать эксплойт на портабельном perl или python никто не станет, потому что он не заработает на венде.

Честно говоря мне пофигу на винду

В данном случае имеет значение мнение вирусописателей, а твое мнение пофигу.

Судя по тексту выше, линукс безопасен в изначальном виде (как его чаще всего и используют) не больше чем винда

Даже не догадываюсь, из чего ты сделал такой вывод.

тоже нужен Wine

можно запускать wine от юзера wine, а браузер и биткоинклиент — от другого юзера. В чём проблема? В бубунте так, AFAIK, сделано по дефолту.

Судя по тексту выше, линукс безопасен в изначальном виде

убунту — да.

Моя слака — более-менее тоже.

Твоя гента — извини.

Сейчас будет сюрпрайз.

ох, жду с нетерпением…

Не все пользователи компьютера - бородатые сисадмины, с 40-летним стажем работы за компом. Иногда (понимаю конечно что предположение бредовое) могут встречаться юзеры с меньшим опытом. Например 12-летние блондинки.

ага. Которые ставят Gentoo? Ну…

Думаю понятно зачем «хозяин» может запустить вредоносный код?

непонятно. У меня вот тоже есть жена, я не понимаю, КАК и ЗАЧЕМ она будет запускать этот код. Может расскажешь? Моей жене не 12 лет, она брюнетка, но в компах ВООБЩЕ не разбирается. Жду с нетерпением историю успеха.

Я не совсем понял. То есть ты теперь сам не можешь архивировать в своем домашнем каталоге? Или для этого нужно сначала дать на это права от рута?

ага. Я — могу. Без всякого рута. А вот FireFox - не может. Теперь понятно?

у меня больше 5 лет винда жила без антивируса. XP, потом 7. Раз в пару месяцев проверял CureIt'ом, все чисто. Подтвердить не могу, но и врать мне незачем. Интернетом пользовался, порно смотрел, флешки в универские компы втыкал. Единственное - винду всегда ставил с чистых MSDN образов, никаких зверь-сиди

Не все пользователи компьютера - бородатые сисадмины, с 40-летним стажем работы за компом. Иногда (понимаю конечно что предположение бредовое) могут встречаться юзеры с меньшим опытом. Например 12-летние блондинки.

Юзеры не ставят себе систему. Систему им ставят админы. Как винду, так и убунту и генту. Я говорю про вполне конкретные случаи. У меня такие блондинки по 1,5-3 года сидят на генте.

непонятно. У меня вот тоже есть жена, я не понимаю, КАК и ЗАЧЕМ она будет запускать этот код. Может расскажешь? Моей жене не 12 лет, она брюнетка, но в компах ВООБЩЕ не разбирается. Жду с нетерпением историю успеха.

Писал уже выше - скачает под видом полезного файла (например игры).

ага. Я — могу. Без всякого рута. А вот FireFox - не может. Теперь понятно?

И жена твоя может файл запустить, который сможет. И миллионы других пользователей могут.

А вот про фаерфокс интереснее. Тобишь программы запущенные пользователем, как бы работают не от имени этого пользователя? У них нет прав пользователя?

Юзеры не ставят себе систему. Систему им ставят админы. Как винду, так и убунту и генту. Я говорю про вполне конкретные случаи. У меня такие блондинки по 1,5-3 года сидят на генте.

ну сейчас таких блондинок 3.5 штуки, и они никому не интересны. Потому систему можно ставить как угодно, самая большая беда - падение компьютера на пол, остальными угрозами можно пренебречь.

Писал уже выше - скачает под видом полезного файла (например игры).

да. И что дальше? Будет копировать к себе, а потом запускать? Ну пусть запускает, мне-то что? Для неё я уже давно освоил магию «янтарных каталогов», это которые append only, man 1 chattr, удобно для фоточек, которые никто не может удалять. Остальное её добро меня мало волнует, если честно. ИЧСХ её тоже.

И жена твоя может файл запустить, который сможет.

СПЕЦИАЛЬНО сможет конечно. Но ты так и не сказал ЗАЧЕМ? Если ей будет нужна какая-то софтина, она мне скажет. Если ей нужно будет вбить гвоздь, она тоже не возьмётся за молоток, она даже не знает, где он лежит. Что в этом странного? У тебя как-то иначе?

А вот про фаерфокс интереснее. Тобишь программы запущенные пользователем, как бы работают не от имени этого пользователя? У них нет прав пользователя?

именно так.

# grep 'firefox' /etc/sudoers
92:drb ksu=(web) NOPASSWD: /home/web/bin/firefox/firefox

И на рабочем столе ярлычок, тыкая на которой я выполняю код

sudo -u web /home/web/bin/firefox/firefox

Если ей будет нужна какая-то софтина, она мне скажет. Если ей нужно будет вбить гвоздь, она тоже не возьмётся за молоток, она даже не знает, где он лежит. Что в этом странного? У тебя как-то иначе?

При чем тут софтины? Просто открыть банальную игрушку с интерната - она попросит скачать ее и запустить. Мало ли как можно заставить юзера запустить файл. Или кто-нибудь скинет «архив с фотками» итд. Вариантов много. Я говорю про реальный мир, а не про сферических юзеров в вакууме.

И да, моя жена может даже генту поставить и гвоздь вбить, если захочет. Нужно правильно выбирать жен.

Про фаерфокс спасибо, посмотрю.