Антивирусный ботнет

А если я не сижу под рутом, и не ввожу куда попало пассворд у меня есть шанс схватить руткит?

Почему же нет ? Он пристроится под юзером и будет тихо ждать своего часа.

При чем тут софтины? Просто открыть банальную игрушку с интерната - она попросит скачать ее и запустить.

ну. Что дальше?

Мало ли как можно заставить юзера запустить файл. Или кто-нибудь скинет «архив с фотками» итд. Вариантов много. Я говорю про реальный мир, а не про сферических юзеров в вакууме.

вот только оскорблять мою жену не нужно, тем более заочно. Она совсем не толстая. Даже наоборот. Если ей кто архив скинет, она его откроет своим ark'ом(точнее системным), а если не откроется - то не архив и был, а какая-то НЁХ.

И да, моя жена может даже генту поставить и гвоздь вбить, если захочет. Нужно правильно выбирать жен.И да, моя жена может даже генту поставить и гвоздь вбить, если захочет. Нужно правильно выбирать жен.

Зачем мне такая жена? Гвоздь я и сам могу вбить. Или друга какого-нить попрошу. Жена для другого нужна.

Кстати, она как-то много лет назад подцепила какой-то вирус в интернетах, и ПОТРЕБОВАЛА «windows без вирусов». БЕЗ ВАРИАНТОВ. Теперь у неё Slackware, в которой она нажимает на что ей угодно. Я с женщинами не спорю, и тебе не советую.

И что он может из-под юзера?

ну. Что дальше?

И все - скрипт выполняет что и предполагалось создателем.

Зачем мне такая жена? Гвоздь я и сам могу вбить. Или друга какого-нить попрошу. Жена для другого нужна.

Это вполне обычные действия, в них нет ничего сложного для разумного человека. Если ты жену выбирал по неумению вбить гвоздь, то это уже странно.

Кстати, она как-то много лет назад подцепила какой-то вирус в интернетах, и ПОТРЕБОВАЛА «windows без вирусов». БЕЗ ВАРИАНТОВ. Теперь у неё Slackware, в которой она нажимает на что ей угодно. Я с женщинами не спорю, и тебе не советую.

Вот так же рано или поздно «подцепит вирус на линукс». Потому что линукс - не «виндоус без вирусов». Скрипт ведь может не только выполнить вредоносное действие. Он может например затаиться и в какой-нибудь подходящий момент выдать окно с запросом пароля юзера, к примеру. Тут главное пробраться в систему. Или если есть компилятор - скачать код и собрать его. Нужно сразу продумывать варианты защиты от элементарного.

У меня жена - полноценный человек, полностью равный разуму мне. Я не особо представляю как можно жить с человеком, с которым нужно «не спорить» или который не может сделать элементарных вещей.

ну. Что дальше?

И все - скрипт выполняет что и предполагалось создателем.

ты же вроде не ГСМ? Не? Ну предположим - слесарь. Вот приходишь ты на работу, лезешь в свой шкаф за своим молотком, а там замок висячий. Что ты будешь делать? Вот и я не знаю. Знаю, что программа в такой ситуации будет плакать, и родит число от 1 до 127. И ВСЁ. Ибо у программы кроме open(2) нихрена нет, а open(2) скажет EACCES, что значит The requested access to the file is not allowed. Перевести на русский? Хорошо: «пшёлна*», если кратко.

Это вполне обычные действия, в них нет ничего сложного для разумного человека. Если ты жену выбирал по неумению вбить гвоздь, то это уже странно.

если честно, то я не в курсе, умеет она гвозди забивать, или нет. За 10 лет не проверил. Если и умеет, то последние 10 лет ей это было не нужно.

Вот так же рано или поздно «подцепит вирус на линукс».

откуда такая уверенность?

Потому что линукс - не «виндоус без вирусов». Скрипт ведь может не только выполнить вредоносное действие. Он может например затаиться и в какой-нибудь подходящий момент выдать окно с запросом пароля юзера, к примеру. Тут главное пробраться в систему. Или если есть компилятор - скачать код и собрать его. Нужно сразу продумывать варианты защиты от элементарного.

вот расскажи мне, ГДЕ он затаится? В каталоге /home/web? ОК, хорошо. Вот только КТО и КОГДА туда ЗАЙДЁТ? И ЗАЧЕМ?

У меня жена - полноценный человек, полностью равный разуму мне. Я не особо представляю как можно жить с человеком, с которым нужно «не спорить» или который не может сделать элементарных вещей.

ох… Я не говорил «не может», я говорил «не делает». Я вот тоже борщ не варю, хоть и умею. Жена варит, причём без моих «полезных» советов, ибо сама неплохо умеет и ни в каких советах не нуждается. А я этот борщ кушаю.

Если я её начну учить, как правильно мыть свёклу, она меня пошлёт в пешее эротическое путешествие. А ты можешь попробовать поучить свою жену. Думаю — реакция будет такой же.

Ибо у программы кроме open(2) нихрена нет

Еще раз. То есть у тебя фф не может писать в домашний каталог?

откуда такая уверенность?

Потому что я вижу как реально работают на линуксе. В нем есть какие-то улучшения по сравнению с виндой, но только «какие-то». Его можно защитить, но это не делают. Я сам в шоке, но только сегодня я понял, что вирусы будут с ростом популярности. Даже не вирусы, а все те же «вредоносные приложения», которые уже долго популярны на винде и запускаются самими юзерами. А популярность уже растет (убунту к примеру).

Еще раз. То есть у тебя фф не может писать в домашний каталог?

блжад!

НЕ МОЖЕТ МОЙ ФФ ПИСАТЬ В МОЙ $HOME!!!

НЕ МОЖЕТ

так видно?

Потому что я вижу как реально работают на линуксе.

телепат что-ли?

В нем есть какие-то улучшения по сравнению с виндой, но только «какие-то».

У танка тоже есть какие-то улучшения по сравнению с велосипедом, какие-то гусеницы, какие-то пулемёты, какая-то башня с какой-то пушечкой. Фигня в общем. Тот же велосипед, ну почти.

Его можно защитить, но это не делают.

если потерять ключи от танка, его угонят прям как угоняют велосипед. Просто боятся, что танкисты наваляют неиллюзорных.

Я сам в шоке, но только сегодня я понял, что вирусы будут с ростом популярности.

сейчас я тебя удивлю: вирусы УЖЕ БЫЛИ.

только не падай.

вот, почитай: http://ru.wikipedia.org/wiki/Червь_Морриса

НЕ МОЖЕТ МОЙ ФФ ПИСАТЬ В МОЙ $HOME!!!

Для пользователя это неприемлемо. Постоянно нужно качать что-то и именно через стандартный фф-загрузчик. Я просто сначала не понял тебя.

телепат что-ли?

Просто столяр с многолетним опытом использования линукса и помощи в использовании другим.

если потерять ключи от танка, его угонят прям как угоняют велосипед. Просто боятся, что танкисты наваляют неиллюзорных.

Компьютер не танк и даже не велосипед. Это средство взаимодействия с внешним миром.

сейчас я тебя удивлю: вирусы УЖЕ БЫЛИ.

Я говорю про массовые эпидемии (как на винде). Особенно на убунту, где уже принято «качать пакет и уже скачанный запускать». Дальше будет хуже.

НЕ МОЖЕТ МОЙ ФФ ПИСАТЬ В МОЙ $HOME!!!

кеш, куки и букмарки тоже? лол

Для пользователя это неприемлемо. Постоянно нужно качать что-то и именно через стандартный фф-загрузчик. Я просто сначала не понял тебя.

ты и сейчас меня не понял. Вот скажи мне, ЧТО ты желаешь качать?

Торренты? transmission-qt у меня работает от того же юзера, что и FF. Удалять фильмы из /home/share/torrents/ я могу (и удаляю) той же qtшной мордочкой. Что ещё надо качать? Раньше у меня была проблема с pdf'ками, но сейчас наконец ФФ их научился.

Просто столяр с многолетним опытом использования линукса и помощи в использовании другим.

очевидно, что опыта у тебя недостаточно.

Компьютер не танк и даже не велосипед. Это средство взаимодействия с внешним миром.

танк - тоже средство взаимодействия с внешним миром.

Я говорю про массовые эпидемии (как на винде).

я понимаю, что столяру очень сложно представить Сеть. Я попытаюсь помочь: представь себе обычную рыболовную сеть. Она похожа на интернет, но это НЕ интернет. Что-бы сетка стала интернетом, надо к каждому узлу пририсовать бахрому из 100500 листьев. Вот эти листья - те самые компьютеры под вендой. И они на сеть НИКАК не влияют. Влияет тот самый 1% листьев, который под Linux, и в руках админов. Сами узлы тоже под Linux, обычно RHEL/CentOS, но есть и Debian. (в большинстве своём). То, что борода вендовых компьютеров по большей части заражена - проблема исключительно юзеров этих компьютеров, и на Сеть никак не влияет, ни прямо, ни косвенно. А написание вирусов - это давно уже обычное ремесло, бизнес. Никаких моральных принципов у вирусмейкеров нет, только один принцип: $. Ну или другое ¤. Заразить вирьём админский комп и/или сервер, это $$$$. Или ¤¤¤¤¤¤¤. Потому как такой комп/сервер разнесёт заразу всем своим тупым и наивным 100500 хомячкам, которые слепо верят в свой сервер, и в компьютер Администратора.

Вот только не получается.

Рассказать почему?

НЕ МОЖЕТ МОЙ ФФ ПИСАТЬ В МОЙ $HOME!!!

кеш, куки и букмарки тоже?

естественно.

вот это костылизм, браво

вот это костылизм

где ты видишь костыли? Зачем мне доступ к кешу браузера? Зачем браузеру доступ к моим файлам? Кроме как воровать пароли от ЛОРа и выполнять rm -rf $HOME не вижу юзкейсов.

Я сам в шоке, но только сегодня я понял, что вирусы будут с ростом популярности

Еще один всё понял.

«вредоносные приложения», которые уже долго популярны на винде и запускаются самими юзерами

И, что характерно, юзеры сами помогут этим приложениям обойти защиту.

а что такого? или вирусов под линем много
linlocker? lincih? worms? multidrop? и т.д - под линь где-то сотку backdoor и rootkit
но мне пофиг - я сижу за натом раз, два - мне нечего нежалко.
Мне не страшен вирус
Тем более никакие срипты я не запускаю
Из сторонего софта для бубна(ппа) - классикменю индикатор + несколько индикаторов

Прошу, ломайте!)
Удачи!
Может послушаете Drum & Bass и посмотрите мои фильмы, скачайте с меня халфу и думу - мне не жалко
ах да - берите мой пароль от google, yandex, rutracker, lor - мне не жалко
плюс стану частью ботнета)

ты и сейчас меня не понял. Вот скажи мне, ЧТО ты желаешь качать?

Тебе вон выше написали: «кеш, куки и букмарки тоже? лол»

Картинки, торренты, музыку, страницы. Любой контент. Причем не только загружать на комп, но и обратно.

И, что характерно, юзеры сами помогут этим приложениям обойти защиту.

Именно. Весь вопрос в том, как не дать им это сделать, не нарушив работоспособности. Или как найти компромисс.

Отобрать пароль рута и настроить жесткий профиль AppArmor или SELinux.

Отобрать пароль рута и настроить жесткий профиль AppArmor или SELinux.

На selinux сейчас даже админы жалуются. А если нужно отойти от стандартного ПО? Тут еще вопрос во времени. Никто не будет ждать пока ты часами будешь настраивать. Работать нужно уже сейчас.

Тебе вон выше написали: «кеш, куки и букмарки тоже? лол»

ну и что? я ответил. Что тебе непонятно?

Картинки, торренты, музыку, страницы. Любой контент. Причем не только загружать на комп, но и обратно.

иногда надо. Есть /home/share/ для этого.

На selinux сейчас даже админы жалуются.

правильно жалуются. Расстреливать клопов пулемётом тоже глупо и неэффективно.

Никто не будет ждать пока ты часами будешь настраивать. Работать нужно уже сейчас.

создать пользователя можно за 5 секунд. В чём проблема?

думаешь, кому-то нужны CAM-rip'ы? Мне — не нужны.

Попробуй в США (а и даже в РФ, но у нас может ограничатся тем, что морду охранники набьют) не таясь поснимать на камеру в кинотеатре свежевышедший блокбастер.

как вычислить релизеров торрента? Дурак чё-ле?

ты сам сказал «Даже если сайты во всяких i2p андеграундах, вычислить их в p2p не сложно. » Так вот я слушаю как несложно вычислить релизера в i2p и прочих андерграундах, вроде tor

Кроме того, при некоторой маскировке вычислить даже релизера торрента в открытой сети тоже может оказаться не очень просто. Банально кто-то может через открытый или взломанный Wi-Fi что-то раздать и ищи ветра в поле.

дык… с emulek'ом ващето сейчас ты разговариваешь. Самому не смешно?

Ты emulek? Мне уже смешно.

фильмы - единственное, что можно найти у _меня_. А у тебя? Есть у тебя какой-то НЕ уникальный контент, за который в принципе за жопу взять могут?

Почему обязательно за жопу-то? Допустим нет, но другие варианты не придумываются разве? Коммерческие секреты тоже никто не отменял как и продажность некоторых не лучших представителей. Или пример есть, как года три-четыре назад емнип в Мурманске прошлись по всем местным dc хабам и изъяли у всех кто скачал какую-то скандальную видеозапись про местных чинуш. А есть еще журналисты, которые могут что-то накопать кому-то неугодное. Да и с течением времени может многое меняться.

иногда надо. Есть /home/share/ для этого.

Ты предлагаешь сначала перекидывать контент туда, с ним работать, потом закачивать туда же его из интернета, затем вручную распределять куда нужно? Угадай как далеко тебя пошлют.

а и даже в РФ, но у нас может ограничатся тем, что морду охранники набьют

а если на бутылку им дать?

ты сам сказал «Даже если сайты во всяких i2p андеграундах, вычислить их в p2p не сложно. » Так вот я слушаю как несложно вычислить релизера в i2p и прочих андерграундах, вроде tor

если-бы они только в tor'е сидели - проблема. А они ещё и в торрентах релизят. Потому проблемы нет.

Кроме того, при некоторой маскировке вычислить даже релизера торрента в открытой сети тоже может оказаться не очень просто. Банально кто-то может через открытый или взломанный Wi-Fi что-то раздать и ищи ветра в поле.

ага. С необитаемого острова, через купленный с рук неавторизированный телефон и в шапочке из фольги.

Почему обязательно за жопу-то? Допустим нет, но другие варианты не придумываются разве? Коммерческие секреты тоже никто не отменял как и продажность некоторых не лучших представителей. Или пример есть, как года три-четыре назад емнип в Мурманске прошлись по всем местным dc хабам и изъяли у всех кто скачал какую-то скандальную видеозапись про местных чинуш.

ваши мурманские менты разве не в курсе, что запись можно хранить и в Австрии и в Австралии?

а если на бутылку им дать?

А если не дать? Факт есть, что за создание camrip преследуют. И от того, что они тебе не нужны ничего не меняется.

если-бы они только в tor'е сидели - проблема. А они ещё и в торрентах релизят. Потому проблемы нет.

Проблема есть. В группах обычно четко разделены роли. Кто-то добывает исходный материал, кто-то его обрабатывает, а кто-то релизит.

ага. С необитаемого острова, через купленный с рук неавторизированный телефон и в шапочке из фольги.

Причем тут телефон, ты вообще знаешь что такое Wi-Fi?

ваши мурманские менты разве не в курсе, что запись можно хранить и в Австрии и в Австралии?

Они не мои, и кстати, не мурманские, а я вспомнил, что муромские. Опять факт в том, что изначально запись выложили в местных локалках на хабе и ее изъяли. И вообще это был пример полезности для чиновников и не полезности для пользователей обсуждаемых предполагаемых фич антивирусов. Ты против этого usecase-а что-то имеешь?

Короче, разговор ты в сторону увел. Тема началась с того, что создатели антивирусов имеют интересные для копирастов и спецслужб технические возможности, которые потенциально угрожают приватности пользователей. Причем технически вполне осуществимые и без больших затруднений. Ты в ответ устроил флуд по поводу второстепенных деталей.

На selinux сейчас даже админы жалуются

Я думаю, что в SMACK это гораздо проще.

И что он может из-под юзера?

1. Брутфорсить.
2. Ждать чего-нибудь.

Если его не найти вовремя, вполне может дождаться чего-нибудь.

Вот только КТО и КОГДА туда ЗАЙДЁТ ?

cron ?

кеш, куки и букмарки тоже? лол

У его FF просто свой home, очевидно. В какой-то мере это может помочь, но не полностью.

ага, а для аплоада файлов браузером надо предварительно перемещать файлы туда-сюда.
юзабилити на высоте

То, что борода вендовых компьютеров по большей части заражена - проблема
исключительно юзеров этих компьютеров, и на Сеть никак не влияет,

Несовсем так...
http://www.opennet.ru/base/cisco/ts_codred_worm.txt.html

ага, а для аплоада файлов браузером надо предварительно
перемещать файлы туда-сюда.

Зачем ?

а, вы только про ограничение браузера на запись?

Как вариант, оба пользователя, так же, входят в группы друг друга. На home браузера rw для группы, на home пользователя - ro. Правда, тут есть угроза в плане утечки информации, если ro будет вообще на всё.

А если не дать? Факт есть, что за создание camrip преследуют. И от того, что они тебе не нужны ничего не меняется.

мне не нужны. Однако это сейчас, а раньше я сам был релизером, и сам эти твои камрипы раздавал. И твой «поиск md5» смешон для меня. Начнём с того, что что-бы найти md5, её нужно знать. А никто кроме рипера её не знает. А вот когда всем она будет известна, то концов уже не сыскать. Все файлы проверять никто не сможет, ибо не быстродействия, ни трафика ни хватит даже сейчас, а уж тем более лет 7 назад, когда был рассвет этих рипов. Кроме того, все релизеры, в обязательном порядке, отключали сканирование своей шары антивирусом. И совсем не из-за мифических угроз. Всё проще - тормозит. Файлы постоянно меняются, и глупый антивирус тупит, проверяя Over9000 сигнатур после каждого чанка. Про охранника - тоже смешно, он морду никому не бьёт, и бить не будет. Его функция прямо противоположная. Ему за это твоё «преследование» денег не доплачивают, а платят именно за то, что ты придёшь, посмотришь, и потом опять придёшь, причём с друзьями. И всем пофиг, чем ты там занимаешься, лишь бы никому не мешал (курить/пить/трахаться нельзя именно по этому). Да и делают камрипы вовсе не зритель, а сам киномеханик, и делает не за бабки ZOG'а, а просто так, лишь-бы какой-то козёл поменьше бабла нарубил. Ибо ему от этого камрипа никаких убытков нет (скорее даже наоборот, профит).

Проблема есть. В группах обычно четко разделены роли. Кто-то добывает исходный материал, кто-то его обрабатывает, а кто-то релизит.

в группах обычно нет чёткого разделения ролей. Хотя конечно камрипы делает именно киномеханик, либо охранник в кино. Какой-нить админ с хорошим аплоадом ессно релизит.

ага. С необитаемого острова, через купленный с рук неавторизированный телефон и в шапочке из фольги.

Причем тут телефон, ты вообще знаешь что такое Wi-Fi?

при том, что лично я wifi'ем исключительно на телефоне использую, ибо паранойя.

Опять факт в том, что изначально запись выложили в местных локалках на хабе и ее изъяли.

и никто в Австралии какой-нить не сохранил? Странно. Наверное запись была настолько унылой, что никого не волновала, кроме ГГ.

И вообще это был пример полезности для чиновников и не полезности для пользователей обсуждаемых предполагаемых фич антивирусов. Ты против этого usecase-а что-то имеешь?

ну чиновники ещё долго будут думать, как из этого извлечь профит. Смахивает больше на фантастику и ужастик. Причём низкопробную, ибо моск чиповать будут явно раньше ☺

Тема началась с того, что создатели антивирусов имеют интересные для копирастов и спецслужб технические возможности, которые потенциально угрожают приватности пользователей.

в принципе - да, имеют. Но IRL эти возможности практически бесполезны. Да и вычисляются довольно легко, как по коду, так и по поведению софтины (код и поведение нужны хотя-бы для тех, кто эти антивирусы ломает, и делает их бесплатными).

Особенно хочу подчеркнуть, что позиции копирастов сильны только среди журнализдов, всем остальным людям глубоко нас рать на них, мало того, среднестатистический «охранник» скорее всего будет поддерживать пиратов, нежели с ними бороться. Во всяком случае в Этой Стране. Могу спросить у своих знакомых охранников, если тебе это интересно.

cron ?

у этого юззера (для браузера) нет crontab. Зачем оно?

В какой-то мере это может помочь, но не полностью.

конечно не полностью. Сейф будет лучше. И закопать.

ага, а для аплоада файлов браузером надо предварительно перемещать файлы туда-сюда. юзабилити на высоте

я тоже так думал, но мне НАДО было иметь особый браузер за фаерволом. Iptables не понимает имя программы, и это правильно. За то понимает имя хозяина процесса. Потому и было так сделано. ВНЕЗАПНО оказалось, что ничего сложного в этом нет, и есть даже профиты (случайно невозможно выложить в Сеть то, что выкладывать не нужно). В итоге, я теперь постоянно так делаю.

Несовсем так... http://www.opennet.ru/base/cisco/ts_codred_worm.txt.html

ну были конечно некоторые проблемы с сиськами, но насколько я знаю, они давно в прошлом. Да и речь там о маршрутизаторах, а я говорил о серверах и клиентских компах, которые этими серверами управляют.

перемещать файлы туда-сюда.

Зачем ?

очевидно потому, что если выложить на рабочий стол скриншот, то браузер его с рабочего стола не прочитает. Ибо доступа нет. Потому скриншоты приходится делать в специальный каталог, доступный и мне, и браузеру. (ещё можно запускать скриншотилку от того же юзера, как и браузер. Но это не очень удобно. Но вот гуй для торрентов именно так и запускается).

Как вариант, оба пользователя, так же, входят в группы друг друга. На home браузера rw для группы, на home пользователя - ro. Правда, тут есть угроза в плане утечки информации, если ro будет вообще на всё.

всякие ~/.ssh часто даже не заработают, если им 0700 не поставить. Оно там по дефолту. Ну и самому юзеру ничего не мешает снять галку «читать/писать группе/всем». Если он не хочет расшаривания этой «папки».

Но, это ИМХО слишком мягкая защита.