что за ересь?

>На каждой рабочей станции должно быть настроено два почтовых клиента: >неиспользуемый Outlook со стандартными настройками, необходимый >только как инкубатор для вируса; >фактически используемый почтовый клиент с нестандартными настройками. бред, полный бред

Такую бы энергию, да в мирное русло...

объясните ламеру зачем это добро нужно, да еще так сложно устроенное? :) это для разработчиков антивирусов, да? :)

эта статья просто вредная. точка.

>Суть предлагаемого решения сводится к организации импровизированной ловушки (trap) внутри нашей собственной сети

а зачем? создать АВ-компанию у себя в собственной сети? чтобы его как админа ценили и не выгнали?

>Почтовые ловушки на базе Линукс-сервера как средство обнаружения неизвестных почтовых вирусов.

да ну... неизвестных? каким-то образом при помощи АВ-мониторов?

>Заражение через письмо происходит следующим образом:...

дальше не буду цитировать - надоело этот бред читать. автор страдает поверхностным и неполным знанием материала статьи, выдает свои собственные умозрительные заключения за советы эксперта антивирусной защиты. В целом статья содержит множество выдранных из контекста различных отрывков.

дальше цитируем...

>Фальшивый адрес в адресной книге

а почему сразу не фальшивая адресная книга? :-))

>Список адресов, по которым должна производиться рассылка, может быть составлен вирусом из самых разных источников: [...skipped...] заголовки писем в папках с почтой; [...skipped...] Поэтому имеет смысл поместить в локальную адресную книгу фальшивую контактную запись...

Нет уж, по логике, которой не следует автор, из приведенного выше текста следует, что нужно поместить в почтовую папку кучу писем с заголовками, содержащими фальшивые адреса.

дальше цитируем: >Редиректор для произвольного внешнего SMTP-сервера... >Для этого раздела в силу его малой актуальности решение не составлялось. По всей видимости, данная задача может быть решена только с использованием прокси-сервера SOCKS и клиентской утилиты SocksCapture. ... Поскольку на текущий момент у меня нет опыта их использования...

и ниже

>Естественно, последние два варианта требуют, чтобы заражённая рабочая станция имела выход во внешнюю сеть либо напрямую, либо через SOCKS, либо через NAT.

во-первых, не требуют; во вторых, если ничего не знаешь о чем то - то зачем на это что-то ниже ссылаться?

Заключение

>Во-первых, управление вычислительными сетями является запутанной технической дисциплиной...

Наверное, автор сам запутался и хочет запутать остальных

Просто человек честно, САМ, написал себе куровик :) Многие из вас так делали?

просто ЛОР из-за таких "новостей" в помойку превращается...

не знаю, почему она меня так взбесила... наверное, из-за псевдо-научного стиля повествования...

>Просто человек честно, САМ, написал себе куровик :) Многие из вас так делали?

Да это не курсовик, написано же:

> ...В завершение хочу поблагодарить своих бывших сослуживцев...

Человек давно в НИИ сидит наверное... Это тезисы к диссеру, не меньше...

> не знаю, почему она меня так взбесила... наверное, из-за
> псевдо-научного стиля повествования...
На самом деле господин "автор" уже задолбал.
Вот его предыдущий опус:
http://www.linuxshop.ru/linuxbegin/article723.html
а в конце мой комментарий (сорри, не сдержался:)
Что интересно, слово-в-слово совпадает с комментариями
hinote в данном топике:)

Статья похожа на бред, но мне понравилась идея спам-ловушки. Правда, если в локальной сети иметь некоторое количесво (или даже один) псевдо-аккаунт, который никому не принадлежит, но широко анонсирован и "используется с единственной целью собирать в себя весь циркулирующий в Интернете мусор". В этом случае ВСЕ письма, приходящие на этот аккаунт почтовый фильтр вправе считать спамом/вирусом/прочее, не нужное пользователям почтового сервера. На основании собранной информации можно было бы автоматически отфильтровывать аналогичный спам, сыплющийся в реальные почтовые ящики пользователей системы.

Ответ "автора"

>> На каждой рабочей станции должно быть настроено два почтовых клиента:
> бред, полный бред
Имеется в виду, что (как правило) установленный по дефолту Outlook не сносится, но пользуются вместо него TheBat'ом.

> объясните ламеру зачем это добро нужно,
> да еще так сложно устроенное?
Оно не сложно устроенное, просто рассмотрены (почти) все возможные варианты с обоснованиями. Каждый конкретный вариант - это максимум 3-4 настройки: строка в Постфиксе, цифирка в TheBat, пара файликов для xinetd.

> а зачем? создать АВ-компанию у себя в собственной сети?
Нет. В отличие от АВ-компании, здесь просто обнаруживается работающий вирус. Что это за вирус, как с ним бороться - вопрос другой.

> автор страдает поверхностным и неполным знанием материала статьи,
ok, продемонстрируйте нам полное и глубокое.
> выдает свои собственные умозрительные заключения
> за советы эксперта антивирусной защиты.
Я нигде не писал, что я эксперт антивирусной защиты.
Заключения не умозрительные, а проверенные на практике.

> В целом статья содержит множество выдранных
> из контекста различных отрывков.
Статья содержит решение одной задачи.
Никакие отрывки ниоткуда не выдирались.

>> Фальшивый адрес в адресной книге
> а почему сразу не фальшивая адресная книга? :-))
Если Outlook не используется - тогда WAB и будет отдельной книгой, в которую никто, крому вируса, не заглянет. Но если всё-таки приспичит использовать Outlook, то сделать отдельную книгу для вируса затруднительно, не так ли?

> Нет уж, по логике, которой не следует автор,
> из приведенного выше текста следует, что нужно поместить
> в почтовую папку кучу писем с заголовками,
> содержащими фальшивые адреса.
Это как-то избыточно. Нужен всего один адрес,
отправка письма на который послужит сигналом заражения.
Его проще всего воткнуть в начало WAB, а не в Inbox.

>> Естественно, последние два варианта требуют,
>> чтобы заражённая рабочая станция имела выход
>> во внешнюю сеть либо напрямую, либо через SOCKS, либо через NAT.
> во-первых, не требуют;
Вот это уже интересно.
Как ещё можно? Через прокси методом CONNECT?
И многие вирусы так поступают?

> во вторых, если ничего не знаешь о чем то -
> то зачем на это что-то ниже ссылаться?
как на отправные точки для самостоятельного изучения.

> не знаю, почему она меня так взбесила.
Климакс?

>> ...В завершение хочу поблагодарить своих бывших сослуживцев...
> Человек давно в НИИ сидит наверное
Не в НИИ. Заражение имело место в моей бывшей конторе.
Одна тетка получила письмо с вордовским файлом в аттаче
и открыла его. В результате вся из локальная сеть легла.
Вторая тетка рассказала мне эту историю, натолкнув меня на идею,
как с минимальными усилиями можно было этого не допустить.

> На самом деле господин "автор" уже задолбал.
На самом деле господин "читатель" задолбал уже вдвойне.
> Вот его предыдущий опус:
Дальше идёт ссылка на LinuxBegin,
но я никогда не просил их делать копии моих материалов,
и не получал от них уведомлений о копировании.
Идущий за ней анонимный обсерёж принципиальных замечаний не содержит.
Мелкие замечания в журнальной версии я учёл.

> нтерестно, увидим ли мы "издание пересмотренное и дополненное"
> по результатам прочтения данного треда? :)
Подразумевается, что вылитым вами дерьмом я должен разбавить что-то из того, что делаю? :-D

Бредом статья кажется потому, что за деталями реализации Вы спрятали вполне здравую на мой взгляд идею: провокацию заражения с последующей ее регистрацией и обнаружением таким образом вируса. Не совсем только ясно для чего это делать обычой, не производящей AV фирме.. Но сама идея о провоцировании заражения (рассылки спама) кажется весьма здравой для обеспечения почтовых фильтров необходимой информацией.

> На самом деле господин "читатель" задолбал уже вдвойне.
Согласен. Почему бы и нет.

> Идущий за ней анонимный обсерёж принципиальных замечаний не содержит.
А вот тут не согласен. Я по пунктам цитировал текст, указывал,
что не верно, и говорил, как на самом деле. Это называется
"анонимный обсерёж"? А вы можете уличить меня в том, что я
хоть в одном пункте этого "обсерёжа" сказал что-то не соответствующее
действительности? :)

> Мелкие замечания в журнальной версии я учёл.
Не знаю, где эта статья. Здесь
http://ilya-evseev.narod.ru/posix/dosbox/dosbox-intro.html
VDM по-прежнему изъят из ХР, dosemu по-прежнему эмулирует
только SoundBlaster на аппаратном уровне, не запускает fMSX
и работает под FreeBSD, ну и тд. Не надо говорить, что это
мелочи. Это приводится как факты, но фактами их назвать никак
нельзя.
Да фиг с ним, мне-то что. Только зачем было писать о том,
чего ни разу не видели даже скорее всего (dosemu)?

КГ\АМ
Аффтар убей сибя ударом паловника в лоб! №лять где ты видел чтобы таким ...ятсвом занимались в рабочих канторах, а не у тебя в воспалённом мозгу? Ты то хоть сам хоть раз данное "решение" апробовал хотя-бы на 15 машинах одновременно, а на 150? За переобучение персонала с аутглюка (не экспресс, которому равных нет среди пионерских поделок между прочим) на новый мылер + больше работы эникеям может тоже доплатишь? Собирая всякое ..вно с интернета можно засерать например дорогостоящий канал, не нравяться тебе вирь мониторы где ты видел чтобы вместо стандартной проверки монитором входящей почты на рабочем месте было-бы сее действо?
Короче очередной Krename.

Ну чего вы на статью набросились?

Например я, с идеей подобных вирусных ловушек, не согласен в принципе. Но не могу не отметить, что в рамках избранной парадигмы автор совершенно логичен и последователен.

Нормальный Request for Comments (RFC) в изначальном смысле.

ЗЫ Хорошо еще, что хоть у кого-то в нашей стране появляются новые идеи. Гениальные или бредовые - не суть важно.

мои пять копеек на гвоздь в крышку гроба автора :)

> для отправки почты на сервер по протоколу SMTP используется IP-порт 25

и ОНО еще чего-то там хочет нам рассказать?

> мне понравилась идея спам-ловушки.давно уже так делают многие.

фальшивый адрес добавляется в файл подписи (естественно, с пояснением что он фальшивый) и эта подпись используется для всяких мейллистов итп. или в скрытом виде помещается на главной странице сайта.

смотреть в гугле по словам honeypot, honeynet

Идея не гениальная, а генитальная, сори за словоблудие. Вопрос к автору, а что это за новое поколение злобнейших вирусов в *.doc файлах, аттачем, которые бы напроч убивали сеть (что то я таких не встречал, подкинь для коллекции!), или может у вас "сеть" такая ущербная?

представь себе реализацию TCP/IP на VBA

>мои пять копеек на гвоздь в крышку гроба автора :) > для отправки почты на сервер по протоколу SMTP используется IP-порт 25 >и ОНО еще чего-то там хочет нам рассказать? >tokza (*) (10.11.2004 2:42:04)

я плакал =) Зря вы так над статьей - это ж просто юмористический рассказ. Посмеялись и забыли. Там каждый для себя гениальных мыслей найдет на n минут релакса.

Я думаю вполне интересная идея... почему бы и нет, другое дело что никто не заставляет это дело внедрять у себя на предприятии, но это не повод накидываться на человека с мелочными придирками...

Кстати, одна из здравых идей, это научить подопечных юзверей пользоваться TheBat ;) глядишь и эпидемий поменьше будет...

PS: сначала и мне, это дело показалось глупостью, но вобщем... надо поддерживать отечественного производителя ;)

> Я думаю вполне интересная идея... почему бы и нет, другое дело что никто не заставляет это дело внедрять

honeypot - вот это интересная идея. Да, действительно. А то, о чем пишет ilya_evseev - это бред с мааааааленькой долей здравого смысла в самом начале этой идеи - о том, что honeypot это хорошо. Но не в таком исполнении. То, о чем написано в этой статье - это вообще просто профанация этой _здравой_ идеи.

Мне вообще понравилось - человек называет статью "что-то для corporate networks", а потом пишет, что для изготовления "использовалось то... что установлено на домашнем компьютере..." :-)

Хонепот это ловушка для атак из вне а в данном случае это от атак изнутри...

>Имеется в виду, что (как правило) установленный по дефолту Outlook не сносится, но пользуются вместо него TheBat'ом.

Уважаемый автор, Outlook по умолчанию не установлен, вы *здесь* (здесь - уже даже не в статье, где таких моментов полно) путаете наверное его с Outlook Express. Именно про такие ляпы, густо рассыпанные по всей статье и которые свидетельствуют о поверхностном знании материала, я и писал.

>Оно не сложно устроенное, просто рассмотрены (почти) все возможные варианты с обоснованиями. Каждый конкретный вариант - это максимум 3-4 настройки: строка в Постфиксе, цифирка в TheBat, пара файликов для xinetd.

Реализация, описанная в статье, даже очень может быть и работает - тут не спорю и это не говорил. Вопрос другой - сама идея бредовая и вредная.

>Нет. В отличие от АВ-компании, здесь просто обнаруживается работающий вирус. Что это за вирус, как с ним бороться - вопрос другой.

Хе. Поздно пить боржоми... когда клиент уже заражен. Не важно "фальшивый" ли это OE, или рабочий bat.

>Я нигде не писал, что я эксперт антивирусной защиты.

Это да, автор это не писал явно. Стиль же изложения этому не соответствует.

>Заключения не умозрительные, а проверенные на практике.

У меня создалось иное мнение. Просто очень часто дело не в том, что говориться, а как.

>Статья содержит решение одной задачи. Никакие отрывки ниоткуда не выдирались.

А зачем эти перечисления способов заражения, недостатков мониторов (кстати, автор кроме, не будь он упомянут к ночи, DrWeb'а из мониторов для Linux ничего и не видел, похоже)

>Если Outlook не используется - тогда WAB и будет отдельной книгой, в которую никто, крому вируса, не заглянет. Но если всё-таки приспичит использовать Outlook, то сделать отдельную книгу для вируса затруднительно, не так ли?

Это же была шутка. А смысл вот в чем - а зачем вообще это нужно? Смысл моих "наездов" вообще такой - описана реализация какой-то системы (умозрительные отступления автора от описания этой конкретной реализации к системам безопасности вообще и почтовым вирусам в частности опускаем, чтобы не повторять то, что описано выше). Окей. Вопрос то вот в чем - в статье утверждается, что эта конкретная реализация какой-то конкретной системы каким то образом либо представляет из себя систему безопасности организации, либо может составлять ее часть, либо хотя бы хоть как то может помочь безопасности организации. Вот это - не понятно. Более того - то, что описано (опять же опускаем про реализацию - работает, не работает - не важно) - вредно, т.к. создает (автор в своей статье своими умозрительными рассуждениями) иллюзию безопасности (хоть какой то), когда ее нет вообще.

>Это как-то избыточно. Нужен всего один адрес, отправка письма на который послужит сигналом заражения. Его проще всего воткнуть в начало WAB, а не в Inbox.

Уважаемый, а кто вам сказал, что *все* почтовые вирусы просматривают адресные книги? Кто сказал, что сначала до конца? (а именно этим в статье и оправдывалась вставка в начало - чтобы сначала заражение пошло туда. Во первых - даже если и так - то это само по себе глупо, ибо вирус не будет ждать таймаута в 5 мин и админ не успеет па-лю-бо-му добежать до зараженного клиента :-) Так что вначало, не в начало - смысла в этом вообще нет.) Вот такими "ляпами" и обилует текст и это - пример того, что я назвал "умозрительными заключениями".

>> Естественно, последние два варианта требуют, >> чтобы заражённая рабочая станция имела выход >> во внешнюю сеть либо напрямую, либо через SOCKS, либо через NAT. > во-первых, не требуют; Вот это уже интересно. Как ещё можно? Через прокси методом CONNECT? И многие вирусы так поступают?

Достаточно, например, чтобы можно было установить соединение с почтовой системой организации.

>как на отправные точки для самостоятельного изучения.

Опять "хехехе"... Так эта статья - "для себя"? :-)) Тогда все понятно, не понятно, как Дмитрий ее сюда пустил.

>Климакс?

Отнюдь, батенька, отнюдь.

>Заражение имело место в моей бывшей конторе. Одна тетка получила письмо с вордовским файлом в аттаче и открыла его. В результате вся из локальная сеть легла. Вторая тетка рассказала мне эту историю, натолкнув меня на идею, как с минимальными усилиями можно было этого не допустить.

Че та я, честно говоря, не понял, как то, что описано в статье, не даст одной тетке (пусть она пользуется не OE, а bat'ом), открыть пришедший снаружи самоходом вирус...

Ну как маленьки! Нах провоцировать? Посмотри сколько сыпется всякой дряни на ваш домен с адресом office, или другие несуществующие адреса. А еще классно дать свой контактный е-мыл в желтых страницах :) ЗЫ. С меня каждый год требуют дать такой адрес для ЖС. (Я его сразу зафильтровывааю) Очень хорошая ловушка для спама и вирусов. Чего только туда не валится! :)))

нахой хрен все это нужно?? regex'ami режутся все исполняемые файлы в эттачах, архивы проверяются каким-нить Кламавом (Вебером, Каспером). на местах тоже антивири и персональные экраны. и все. в чем проблема?

нужны ловушки? создай адресок и подпишись на куче порносайтов и чатах, и будет вам счастье :)

з.ы. в Оракле вообще прикололись, перестали принимать рары и зипы... весьма оригинально.