Зомбированные Linux-машины как инструмент фишеров

>Опа, а что, в виндах уже аналог selinux появился?

Насчёт полноценного аналога незнаю, но там хотя бы можно задать права доступа отдельно для каждого пользователя. ;)

> Сам был в подобной ситуации,

А у меня другая ситуация была - позвонил мне дружбан - у него сайт на хостинге поломали. На винде, самописный. Он мне скинул описалово проблемы - оказалось, что сломали рядомстоящий в соседнем виртхосте phpbb, а тупой хостер не сделал в IIS изолирование виртхостов :)

> оказалось, что сломали рядомстоящий в соседнем виртхосте phpbb, а тупой хостер не сделал в IIS изолирование виртхостов :)

Как мне нравится читать эту тему! Давно так не обсирали windows в одностороннем порядке. :)

> здесь тусуются виндузятники, которые не пользуются антивирусами, файрволлами, не апдейтят систему и тоже уверены, что у них ничего нет (оторвали, наверное) :-)

Эти виндузойды либо врут, либо просто не знают что антивирь, фаервол и куча прочих затычек у них стоят.

> Вы представляете, сколько сил надо, чтобы для каждой из тысяч программ написать нормальную политику? Да люди скажут: лучше уж вирусы, чем такой геморрой. :)

Не вижу больших сложностей. На одном десктопе тысячи программ крутится одновременно не будут (значит проблем с ресурсами не будет). Каждый серьёзный производитель пишет свои политики. Не серьёзные производители либо отовариваются политикой в соответствующих конторах, либо запускаются в какой-нибудь песочнице. (на мой взгляд вполне приемлимый вариант)

>> каким путём?

> http://en.wikipedia.org/wiki/User_Account_Control

а каким образом они преодолели фишку с неразделимостью процессов?

> Отвечаю: ниоткуда. Только толку от этого никакого, ибо в том же ФФ дыры находят постоянно. ;)

и каким не "пассивным" образом можно заэксплойтить дырявый ффокс?

> модерируется. для записи в адресное пространство другого процесса нужно сначала получить его хендел с правом записи, а OpenProcess не даст его если нет прав. artmoney же пишет в процессы того же самого юзера - соответственно и права есть по умолчанию.

Я сам не слишком в теме, но знакомые товарищи подсказывают: getDebugPriv(); и всё разделение и модерация прав идут лесом.

>и каким не "пассивным" образом можно заэксплойтить дырявый ффокс?

А в чём сложность? о_О

права на сетевой порт, на устройство? то-то я думаю, зачем это наша госконторка еще и secret net на w2k ставит...

> то-то я думаю, зачем это наша госконторка еще и secret net на w2k ставит...

Потому что это идея-фикс российской государственной IT: превращение винды в безопасную ОС при помощи костылей.

> превращение винды в безопасную ОС при помощи костылей.

Костыль - это единая система стабилизации винды. Ждите Костыль.NET в windows server 2008!

> А в чём сложность? о_О

Видимо в логике.

Очередной касперский

>> А в чём сложность? о_О

>Видимо в логике.

Мда, с логикой у Вас определённо что-то не так.. ;)

> Я сам не слишком в теме

милый мальчик, тогда какого хера ты пишешь "Доступ к оперативке в винде не модерируется" ? если ты не в теме то ?

> но знакомые товарищи подсказывают: getDebugPriv(); и всё разделение и модерация прав идут лесом.

передайте товарищам что если в GNU/Linux сидеть под рутом то всё разделение и модерация прав тоже идут лесом. это я к тому что на получение прав отладчика нужно тоже иметь права.

> милый мальчик, тогда какого хера ты пишешь "Доступ к оперативке в винде не модерируется" ? если ты не в теме то ?

Милый дядя, а какого хера ты мне указываешь что писать, а что не писать? Ты сам всё на свете знаешь? Я пишу что я знаю, ты пишешь что ты знаешь.

> на получение прав отладчика нужно тоже иметь права.

На получение прав отладчика в винде привелегии по умолчанию не требуются.

> Мда, с логикой у Вас определённо что-то не так.. ;)

У меня всё так. А вот у анонимусов видимо не так. Тем более ответить на вопрос некоторые из них не в состоянии.

>> модерируется. для записи в адресное пространство другого процесса нужно сначала получить его хендел с правом записи, а OpenProcess не даст его если нет прав. artmoney же пишет в процессы того же самого юзера - соответственно и права есть по умолчанию. Я сам не слишком в теме, но знакомые товарищи подсказывают:

> getDebugPriv(); и всё разделение и модерация прав идут лесом.

DLL-ки замаплены на память всех процессов. Можно придумать разные способов заставить EXE-процесс подключить левую DLL. Вроде бы можно было как минимум через хук. Опцию фаервола и прочих секьюрити-тулов по контролю динамических библиотек почти всегда отключают, посколько она анноит до невозможного.

мдя лажа

> Re: Виндузятник вслед за другими виндузятниками что-то бездоказуемо вякает о безопасности GNU/Linux

"Абидели, абидели любимый линуксик" - захныкали анонимусы. Ничего не хотят слышать. Запретить, кричат, заткнуть надо злых вендузятников!

> Ну и что? Частичное улучшение качества новостей лучше, чем никакое.

Онанимус видимо не в курсе, что новости на ЛОРе премодерируются.

Содержание новости, конечно, весьма расплывчатое и невнятное. Но смотрите какое ценное обсуждение получилось!

Ни для кого не секрет, что метод Неуловимого Джо является лучшим способом обеспечения безопасности. Если мифический вендекапец, которым бредят неокрепшие линуксовые умы, таки заимеет место, то результатом этого станет рост числа низкоквалифицированных пользователей и сокращение разнообразия популяции (ибо популярности может достигнуть только единообразная система). Следствием этого станет резкое увеличение количества атак, которые и сейчас не редкость. Просто верить в секурность линупса недостаточно - её надо проверять, заботиться и думать о ней.

Безопасность - это процесс, говорит Тэо.

В безопасности нету универсальных решений, говорит Линус.

Слушайте батек.

>Под виндами от вирусов тоже только ламера страдают. +1

>Да уж, 40% бубунты - это страшный сон. +1

Обычный пользователь не способен научиться ничему. Установка: я простой юзер, это вы, спецы, интерисуитесь, вот и займитесь. Наоборот, заибут на теме "А чё ета туд гарит такое?"

>DLL-ки замаплены на память всех процессов. Можно придумать разные способов заставить EXE-процесс подключить левую DLL. Вроде бы можно было как минимум через хук. Опцию фаервола и прочих секьюрити-тулов по контролю динамических библиотек почти всегда отключают, посколько она анноит до невозможного.

А наука имеет многа гитик...

> Безопасность - это процесс, говорит Тэо.

Упс, это сказал Шнайер, у Тэо совсем наоборот :]

Но Шнайер всё равно мега-человечище.

Напонимает заголовок "Бандиты предпочитают BMW" 90-x годов.

>у меня виндоус апдейт не жрёт всё процессорное время и память! (ноутбук асер с 512 пямяти проц турион 3000+) А дома Арч он тоже при апдейте ничего не жрет.

Вполне себе официальная бага была, при обновлении с WSUS жралось 100% процессора. Патч, который выпустили несколько поправил ситуацию, но тормоза таки есть изрядные иногда. Причём если например SP на офис накатывать руками - он ставится за несколько минут, а если через автообновление - то 100% загрузка в течение минут 40. Компы уровня celeron-1700

> Обычный пользователь не способен научиться ничему. Установка: я простой юзер, это вы, спецы, интерисуитесь, вот и займитесь. Наоборот, заибут на теме "А чё ета туд гарит такое?"

Ну если обычного пользователя считать вобще олигофреном, то чего он вобще за компьютером делает? Где пользователь ничему действительно не способен научится даже если захочет - это винда, в которой на вопрос "а почему это глючит" ответ никто дать просто не способен. Винда же приучает человека думать соответственно этой "установке", потому что умирает за 5 кликов мышью куда ненадо. В целом такая установка - установка обозлённого виндового ламера.

А цифра 40% --- это результат масштабных исследований, проведенных на деньги малоизвестной фирмы?

>в винде на ntfs тоже есть права на запуск файлов - их можно отнять у пользователя.

... ах, какое это сладкое чувство - отнимать права у пользователя.

Лучший пользователь - это мёртвый пользователь, у которого ваабще нет прав!

>линупса

К логопеду быдло!

> Обычный пользователь не способен научиться ничему.

По себе других не судят!

вот и результат роста популярности Ubuntu

> Можно ещё сунуть винды под виртуальную машину и открыть 139 порт наружу. тем самым можно легко отвести внимание от юниксного сервера на ломание виндофф

А какая разница, из под чего будет работать fishing сайт? И какая разница, откуда будет рассылаться спам?

>gcc по умолчанию ставится только в генте

Зато в ней, обычно, и пакеты свежие, патченые :)

> вот и результат роста популярности Ubuntu

Причём тут убунта и дырявые php скрипты?

обычный FUD в стиле Мелкософта. Надо спросить автора, кто ему проплатил.