До сих пор многие пользователи наивно думают, что антивирус — это обязательный атрибут любого персонального компьютера. Благодаря этому заблуждению в мире продаётся антивирусных программ на миллиарды долларов.

Есть специалисты, которые не согласны. Среди них ведущий разработчик Google по информационной безопасности Даррен Билби (Darren Bilby). О бесполезности антивирусного ПО он рассказал во вступлении к своему докладу на конференции, где все присутствующие знают о бесполезности антивирусов — на хакерской конференции Kiwicon X. То есть Даррен просто начал доклад с общеизвестного (в узких кругах) факта, который не принято афишировать для широкой публики.

В компании Google Билби руководит сиднейским коллективом специалистов по безопасности Platform Integrity, который входит в группу Enterprise Infrastructure Protection Group. За последние десять лет он выполнял разную работу в Google, в том числе был техническим руководителем группы Global Incident Response по реагированию на взломы корпоративной сети, менеджером европейского отдела по обнаружению вторжений, до этого — разработчиком программного обеспечения и тестером ПО. До работы в Google специализировался на консалтинге в области информационной безопасности. Этот человек знает, о чём говорит.

Большой доклад Даррена Билби называется «Защита Гибсона в эпоху Просвещения» и был посвящён не только фейлу антивирусного ПО, но и другим бесполезным методам информационной безопасности. Особенно очевидно это стало в 2016 году, когда взломанные почтовые ящики стали ключевой темой предвыборных президентских дебатов, трояны-вымогатели шифруют файлы на корпоративных компьютерах, а «тостеры контролируют большие участки интернета» (возможно, под «тостерами» Даррен имеет в виду видеокамеры наблюдения, которыми недавно заддосили одного из крупнейших DNS-провайдеров в интернете).

Появляются новые векторы эффективных атак, о чём рассказывают на конференциях. Даже на Youtube можно найти видеоинструкции, как поставить трояна на компьютер под Windows, если у жертвы не установлены последние обновления безопасности. Не говоря уже о разных методах социальной инженерии.

И что противопоставляет этим методам кибератак жирная индустрия компьютерной безопасностью стоимостью $81 млрд? Ничего нового, всё те же убогие и неэффективные старые инструменты, констатирует Билби. По его мнению, продавцы таких решений просто «впаривают магию», вешая лапшу на уши наивных покупателей. В числе обманутых — и корпоративные клиенты, и обычные пользователи. Проблема даже хуже. Специалисты по безопасности в компаниях часто вынуждены устанавливать неэффективные системы безопасности, чтобы соблюсти требования регулирующих органов.

Вполне возможно, что упоминая «магию», Билби ссылался на статью Джеймса Микенса из Microsoft. Тот сравнивал ситуацию в компьютерной безопасности с бинарной системой такого типа:

Защита от девушки, которая лезет в ваш аккаунт?
Сильный пароль

Защита от организованной преступной группы, которая пытается получить доступ к вашей информации?
Сильный пароль и здравый смысл (то есть не щёлкать по фишинговым ссылкам, не устанавливать чужие флэшки, обновлять софт и т.д.)

Защита от Моссада?
Магические амулеты?
Симулировать смерть, скрыться на подводной лодке?
НО МОССАД ВСЁ РАВНО ТЕБЯ НАЙДЁТ

То есть налицо бинарная логика: или нам достаточно просто сильного пароля и здравого смысла, или мы используем магические амулеты.

«Пожалуйста, не нужно больше магии, — призывает специалист по безопасности из Google. — Нам нужно прекратить тратить силы на эту ерунду, которая очевидно не работает».

В числе неэффективной «магии» Билби называет и системы обнаружения вторжений, и антивирусные программы. Вместо этого он предлагает сфокусироваться на файрволах по белым спискам, аппаратных ключах и системах динамического контроля правами, как во внутреннем проекте BeyondCorp компании Google.

В принципе, точка зрения Баррена Билби не нова. Специалисты по безопасности давно говорят о неэффективности антивирусов. Нормальному пользователю антивирус не нужен, потому что у него хватает ума, чтобы не ходить на сомнительные сайты и не открывать файлы из непровeренных источников, так что типичные пути заражения у них не работают, а именно эти пути находятся в фокусе внимания антивирусов.

Антивирусы зачастую бесполезны и для корпоративных пользoвателей. Причина в том, что если кто-то действительно поставит цель атаковать компанию, то он зaранее проверит свой метод на большинстве антивирусных продуктов и убедится, что они не обнaружат угрозы. Есть удобный сайт VirusTotal, кoторый позволяет проверить свой вредоносный файл всеми популярными антивирусами.

«Да, антивирус делает что-то полезное, но в реальности он похож на канарейку в угольной шахте. Даже хуже. Это как будто мы собрались вокруг мёртвой канарейки и говорим с облегчением: „Слава богу, что она вдохнула весь ядовитый газ”».

Источник:https://geektimes.ru/post/282760/

С целью соблюдения исторической правды и текущих реалий я бы изложил вводный абзац с небольшим уточнением:

До сих пор многие пользователи Windows наивно думают, что антивирус — это обязательный атрибут любого персонального компьютера. Благодаря этому заблуждению в мире Windows продаётся антивирусных программ на миллиарды долларов.

А? Согласитесь, как по-иному сразу зазвучало? :)

НО МОССАД ВСЁ РАВНО ТЕБЯ НАЙДЁТ

А вот здесь - ни добавить, ни убавить! :)

Вместо этого он предлагает сфокусироваться на файрволах по белым спискам, аппаратных ключах и системах динамического контроля правами

Надо же! Человек для себя открытие сделал! Только приоритеты он расставляет некорректно, плюс - полагает, что на этом "обеспечение безопасности" заканчивается. :) А вот как это устроено в GNU/Linux:

0. Полноценное и тотальное распределение прав - как на каталоги, так и на каждый отдельный файл.

1. Полноценное полнодисковое LUKS (The Linux Unified Key Setup) шифрование. При инсталляции ОС шифруются: 1) "/" - системная область, 2) "/swap" - раздел подкачки, 3) "/home" - причем отдельно для каждого пользователя.

2. Вынос загрузчика -  раздела "/boot" - на внешний носитель (простейший аналог аппаратного ключа).

3. Обеспечение системы принудительного контроля доступа - SELinux (Security-Enhanced Linux) в enforcing-режиме. SELinux является не заменой, а следующим уровнем, работающим после классической модели безопасности Linux. Применение политик безопасности.

4. Глобальный менеджер системных сервисов  - systemd.

5. Фаэрволл в режиме "запрещено все, кроме того, что явно не разрешено" - firewald.

6. Журналирование действий ОС, прикладных пакетов и тотальный контроль за логами - journald.

7. Виртуализация: начиная от простейшего "sandbox", в который легко "оборачивается" любая прикладная программа, и заканчивая полноценными виртуальными машинами, когда из-под хоста запускается "гостевая" ОС, разворачиваемая из ISO-файла.

8. Перенаправление временных и промежуточных данных в TmpFS (т.е. не на HDD, а исключительно в RAM).

9. Обновление ОС и всего прикладного ПО из официальных репозиториев; автоматическая проверка электронной цифровой подписи (ЭЦП) каждого пакета. Прозрачные ("говорящие") названия каждого пакета и доступность расширенной информации о нем, плюс - о его зависимостях.

10. Гарантированное многопроходное уничтожение (а не простое удаление) критичных данных, включая логи ОС, демонов, сервисов и пользовательских файлов.

11. Резервное копирование критичных и пользовательских данных. Задание периодичности и автоматической синхронизации. Шифрование бэкапов.

12. Обеспечение приватности и защищенности любых коммуникаций, включая веб-серфинг, E-mail, голосовое (VoIP) и IM-общение: SSL/TLS, SSH, SFTP, The Onion Router (TOR), GnuPG, OTR (Off-the-Record Messaging); ZRTP (Z+Real-time Transport Protocol), используемый для Voice over Internet Protocol (VoIP). Шифрование и верификация DNS-соединений, минуя DNS-провайдера: DNSCrypt, DNSSec.

13. Опционально: сетевая система предотвращения и обнаружения вторжений, например Snort. система сканирования на руткиты, бэкдоры и локальные эксплойты - rkhunter (Rootkit Hunter). В качестве необременительного довеска (для сканирования сторонних носителей) - ClamAV.

Все вышеописанное - всего лишь приблизительная схема. Трудно ли это обеспечить? Отнюдь! Любые методы доступны "из коробки", легки в настройке и использовании, особенно если выполнять их из консоли/эмулятора терминала. Во-всяком случае, уж здесь точно нет никакой "магии", недоступной простому смертному пользователю... И лично я их использую повседневно.

Примечание: "из коробки" (если, конечно, речь идет не о специализированных разработках, типа Tails) в большинстве из GNU/Linux дистрибутивов придется доустанавливать из репозиториев лишь ZRTP (в составе клиента VoIP), DNSCrypt, DNSSec, TOR, OTR, Snort, ClamAV и rkhunter.

Пишу с Windows7. В системе нет комбайна класса Internet Security или антивирусной проги. А есть следующее:

Secunia PSI - для проверки всех программ на наличие известных уязвимостей.
Включено автообновление наиболее взламываемых программ.
EMET - усложнит внедрение малвари.
Firewall Windows включен.
ЯндексDNS следит, чтобы пользователь не зашёл на зараженные сайты.
Есть ручной антивирусный сканер Касперского, а любой файл из незнакомого источника можно на virustotal проверить.
Нет почтовых программ, только web-интерфейс.
UAC включен.

Ну что же, поскольку тема находится в соответствующем разделе, почему бы не пофлеймить?
Итак.
Прежде всего, я АБСОЛЮТНО не согласен с позицией инженера Билби. И вот почему.
1. Билби и иже с ним "забывают", что сегодня компьютер - это не инструмент в руках продвинутых айтишников, а ПРЕДМЕТ МАССОВОГО ПОТРЕБЛЕНИЯ. Как телевизор. Компьютерами обзаводятся пенсионеры, секретарши, рабочие, бухгалтеры, журналисты, крестьяне, писатели, художники, врачи и прочая, прочая, прочая. То есть люди, которые en masse и понятия не имеют ни о каких DNS-серверах, фишингах и прочем подобном. И основная задача антивирусного софта - защита именно таких потребителей. Неэффективно? Во-первых, вопрос дискуссионный, во вторых, обе стороны, и хакеры, и АВ-программисты, не стоят на месте.
2. Меры самозащиты, котрые предлагает г-н Билби, весьма сомнительны.
а) Требовать от рядового потребителя работы с паролями в десятки символов - утопия.
б) "Нормальному пользователю антивирус не нужен, потому что у него хватает ума, чтобы не ходить на сомнительные сайты". Знаете... я не компьютерщик, но где-то двадцатилетний опыт  имею (не считая работы с ЭВМ), и могу сказать, что нет-нет, да и попадаюсь. Например, участвуя в работе литературных форумов и помогая людям разыскать электронную версию интересующей их книги, подрываюсь на хакерских сайтах, где утверждается, что там якобы можно "скачать бесплатно без регистрации". И тут мой самый примитивный AVAST! начинает верещать, как недорезанная порося, я мысленно его благодарю и этим инцидент заканчивается.
в) "не устанавливать чужие флэшки". Хм... а что прикажете делать, если, к примеру, организаторы некоторых научных конференций требуют, чтобы электронная версия доклада была принесена именно на флэшке? Флэшка вставляется в конференционный компьютер, файл на него считывается, и флэшка возвращается владельцу. Между прочим, самым правильным со стороны докладчика является выбрасывание такой флэшки в ближайшую урну с предварительным расплющиванием оной молотком. Потому что вероятность заражения в этом случае ОЧЕНЬ высока. (Между прочим, однажды представитель оргкомитета одной конференции попытался на меня наехать: "после вас компьютер оказался зараженным!!!". Свой ответ приводить не буду: п.3.3 Правил не позволяет).

Можно продолжать список. Замечу лишь, что Linux - тоже не панацея по многим причинам, но это - тема отдельного разговора.

В общем, повторюсь, компьютер - это для всех, а не только для хитропопых господ Билби. И даже если средневзвешенная эффективность антивирусного софта составляет 50-60% (а на самом деле, думаю, выше), то это всё же лучше, чем ничего.

Vladimir_S пишет:

И основная задача антивирусного софта - защита именно таких потребителей. Неэффективно? Во-первых, вопрос дискуссионный, во вторых, обе стороны, и хакеры, и АВ-программисты, не стоят на месте.

Неэффективно. Создатели антивирусов лишь реагируют на уже появившиеся угрозы. Вирусописатели всегда на шаг впереди.

Vladimir_S пишет:

а) Требовать от рядового потребителя работы с паролями в десятки символов - утопия.

Не надо требовать. Это его личное дело. Требовать можно на работе в соответствии с политиками безопасности на предприятии, но там спрашивать или уговаривать не будут, т.к. эти политики обязательны для выполнения, а не желательны.

Vladimir_S пишет:

И тут мой самый примитивный AVAST! начинает верещать, как недорезанная порося, я мысленно его благодарю и этим инцидент заканчивается.

Вот это и есть хитрый трюк, которым производители антивирусов дурят простой народ. Ничего плохого не произошло -- а антивирус уже старательно пытается пустить пыль в глаза своей, якобы, полезностью.

Vladimir_S пишет:

Потому что вероятность заражения в этом случае ОЧЕНЬ высока.

Нет. Ничего страшного не случится. Не надо верить маркетинговым материалам антивирусных компаний. Их прямая задача — впарить свою настойку змеиного яда.

Vladimir_S
Согласен по всем пунктам. И даже если эффективность всего...10 процентов, для старушки с ноутом на завалинке, это сбереженные нервы и деньги.

waldobert

Неэффективно. Создатели антивирусов лишь реагируют на уже появившиеся угрозы. Вирусописатели всегда на шаг впереди.

Часто встречаю сей  *аргумент*. То есть, если антивирус блокирует известные вирусы но не блокирует новые то он бесполезен? Или известные вирусы становятся безопасными?
И да, вы сами себе противоречите. сначала, пишите что вирусы все же есть и антивирусы их отлавливают, хоть и на шаг позади, и тут же - а антивирус уже старательно пытается пустить пыль в глаза своей, якобы, полезностью.
Как то определитесь...всё же есть вирусы или нет...блокируют их антивирусы или нет.

Да, с опытом серфинга появляется некая интуиция но это держит в постоянном напряжении. И не везде и не всегда она срабатывает. Я не продвигаю антивирусы но и мне он не мешает.
В вируальной убунту не разбираю в серфинге дороги, вот тогда сразу видна работа антивируса, и нужен он или нет неискушенным, в правилах безопасности, домохозяйкам.

waldobert пишет:

Vladimir_S пишет:

Потому что вероятность заражения в этом случае ОЧЕНЬ высока.

Нет. Ничего страшного не случится. Не надо верить маркетинговым материалам антивирусных компаний. Их прямая задача — впарить свою настойку змеиного яда.

Маркетинговым материалам?!! Дорогой товарищ, да какое там - сугубо личный опыт! Не говоря уже о разговорах с сисадмином, который при слове "конференционный компьютер" выходил за пределы нормативной лексики.
Не, ну то есть конечно, если инфицирование компьютера - это "подумаешь, ничего страшного" или вообще все вирусы выдумывают в AV-компаниях, чтобы "впарить" свой продукт, а на самом деле их и вовсе нету, то да, "не случится".

oleg.sgh пишет:

Часто встречаю сей  *аргумент*. То есть, если антивирус блокирует известные вирусы но не блокирует новые то он бесполезен?

Он дает ложное чувство безопасности пользователю.

oleg.sgh пишет:

Или известные вирусы становятся безопасными?

Просто ими не нужно заражаться изначально, тогда и антивирус не нужен.


oleg.sgh пишет:

и тут же - а антивирус уже старательно пытается пустить пыль в глаза своей, якобы, полезностью.

Дело в том, что, чтобы заразиться, необходимо исполнить код на пользовательской машине. Браузер этого сделать не даст без ведома пользователя. На что там "верещит" Аваст — непонятно. На что? От того, что пользователь зайдет на какую-то страничку, он не заразится. Поэтому вопрос, для чего Авасту нужно верещать? Не для того ли, чтобы показать видимость своей работы?

oleg.sgh пишет:

Как то определитесь...всё же есть вирусы или нет...блокируют их антивирусы или нет.

Может заблокируют, а может и нет. Гарантии здесь никто не дает, но внушает пользователю чувство ложной безопасности, от чего пользователь начинает вести себя неадекватно, и... заражается, несмотря на "НО У МЕНЯ ЖЕ КАСПЕРСКИЙ СТОИТ!!!". А зачем вообще покупать продукт, о котором даже его создатели не уверены, сработает он или нет? Это они называют "инструментом безопасности"?

Vladimir_S пишет:

Дорогой товарищ, да какое там - сугубо личный опыт!

Каким образом вставка флешки позволит заразить компьютер вирусом? Вот процесс по шагам, как? Флешка -- это просто носитель с файлами, от самого факта вставки ее в порт USB ты не заразишься.

waldobert

Он дает ложное чувство безопасности пользователю.

И тем не менее, известные вирусы блокирует. То что антивирус не панацея,  пишут чуть ли ни на каждом заборе.
Больший вред принесет идея продвинутых юзеров от отказа от антивируса.
Часто встречаю такую хохму - два года без антивируса и полет нормальный....раз в неделю сканирую списком сканеров (?!)

Просто ими не нужно заражаться изначально, тогда и антивирус не нужен.

Сильно сказано но ни о чем. Если комп выключить, то проблемы с заражением вопче отпадут  :P

Дело в том, что, чтобы заразиться, необходимо исполнить код на пользовательской машине. Браузер этого сделать не даст без ведома пользователя

Антивирус не даст возможности сделать это пользователю, заблокировав исполнение.

Может заблокируют, а может и нет.

А может все же заблокирует )
Еще раз
Речь не о каких то новых вирусах, каких то частных случаях, каких то крутых...программерах а о пользователях-домохозяйках.

вброшу вам еще немного моментов для обсуждения
1 как насчет того чтоб расписать что делает антивирус на компе к чему имеет доступ и какой контроль над этим имеет юзер и точно также расписать вирусы-троянцы и сравнить в чём разница?

2 защитит ли антивирус от:
а) флэшки с вирём которого нет в базе
б) флэшки-убийцы котороя сжигает аппаратную часть
в) от юзера которому очень хочется какуюто фиговинку но там требуют отключить антивирус
г) от некомпетентности погромистов и одминов как на серверах в сети так и пишущих софт для компа
в результате чего присходят эпик фэйлы в виде утечек данных с серверов или стирания данных с винта юзера
(привет яндекс-диску!)
3 как насчет компетентности разработчиков антивирусов?(когда сам антивирус становится бэкдором для всех желающих как это было с авастом ЕМНИП, ну и если покопать там у всех косяки найдутся)
4 а как насчет ресурсов которые жрут антивири и соответственно вынуждая юзера покупать более мощное железо?

oleg.sgh пишет:

Часто встречаю такую хохму - два года без антивируса и полет нормальный....раз в неделю сканирую списком сканеров (?!)

А что не так?

oleg.sgh пишет:

Сильно сказано но ни о чем. Если комп выключить, то проблемы с заражением вопче отпадут  :P

Очень даже о чем. Никто пользователя заражаться не заставляет. Вот в чем проблема. А антивирусные компании жиреют на введении пользователя в заблуждение относительно чудо-свойств своих решений.

oleg.sgh пишет:

Антивирус не даст возможности сделать это пользователю, заблокировав исполнение.

А не проще ли самому пользователю просто не запускать этот файл, вместо того, чтобы запускать его, и надеяться, что антивирус его заблокирует? В чем логика?

oleg.sgh пишет:

Речь не о каких то новых вирусах, каких то частных случаях, каких то крутых...программерах а о пользователях-домохозяйках.

Пользователям-домохозяйкам антивирусы не помогают обычно. У каждой уважающей себя домохозяйки стоит какой-нибудь лицензионный касперский или др.веб, а комп весь завален кучей малвары. Потому, что если домохозяйка (или ее сын-школьник) хочет посмотреть вот этот порноролик GOVNO_ADULT_NIGGER_SUXX.exe, то он/она это сделает.

01-12-2016 10:46:49

okkamas_knife пишет:

2 защитит ли антивирус от:
а) флэшки с вирём которого нет в базе
б) флэшки-убийцы котороя сжигает аппаратную часть
в) от юзера которому очень хочется какуюто фиговинку но там требуют отключить антивирус
г) от некомпетентности погромистов и одминов как на серверах в сети так и пишущих софт для компа
в результате чего присходят эпик фэйлы в виде утечек данных с серверов или стирания данных с винта юзера
(привет яндекс-диску!)
3 как насчет компетентности разработчиков антивирусов?(когда сам антивирус становится бэкдором для всех желающих как это было с авастом ЕМНИП, ну и если покопать там у всех косяки найдутся)
4 а как насчет ресурсов которые жрут антивири и соответственно вынуждая юзера покупать более мощное железо?

Согласен по всем пунктам! Вот так дело и обстоит.

waldobert пишет:

от самого факта вставки ее в порт USB ты не заразишься

Еще как! Стоя, лёжа и "с колена". Или Вы всерьёз убеждены в том, что для хакера синхронизовать на зараженном компьютере процесс опознания нового носителя (флешки) с мгновенным копированием на на этот носитель как тела вируса, так и авторана, задача жуть до чего неразрешимая? Ну-ну, "блажен, кто верует"...

waldobert
Теперь и малварь пошла в дело в качестве аргумента )
Как угодно...только я не скажу простому пользователю о ненужности антивируса и не порекомендую не устанавливать его.
Демагогия на тему чей сахар слаще...дальше измышлизмы на уровне кода...там и линуксоиды подтянутся :)

Vladimir_S пишет:

Еще как! Стоя, лёжа и "с колена". Или Вы всерьёз убеждены в том, что для хакера синхронизовать на зараженном компьютере процесс опознания нового носителя (флешки) с мгновенным копированием на на этот носитель как тела вируса, так и авторана, задача жуть до чего неразрешимая? Ну-ну, "блажен, кто верует"...

Я вообще не понял, о чем речь. Какие хакеры, какие синхронизации опознания носителя? Вот флешка с условными "рефератами". Вот мой компьютер. Я вставляю флешку в компьютер, каким образом мой компьютер тут же окажется поражен смертельной болезнью? По шагам, если можно, для тупых.

oleg.sgh пишет:

Как угодно...только я не скажу простому пользователю о ненужности антивируса и не порекомендую не устанавливать его.

Я просто говорю, если спрашивают — хотите ставьте, хотите не ставьте, ваше дело. Но поставив, не совершайте ошибки, считая, что вы теперь в полной безопасности.

Пункт 1 не очень понял, а вот по пункту 2 - отвечу.

okkamas_knife пишет:

2 защитит ли антивирус от:
а) флэшки с вирём которого нет в базе
б) флэшки-убийцы котороя сжигает аппаратную часть

Фифти/фифти. Дело в том, что представление об антивирусе, как о софте, защищающем ТОЛЬКО от известных вирусов, не совсем правильно. Качество ХОРОШЕГО антивируса определяется встроенным в него эвристическим анализатором, который опознаёт подозрительные цепочки кодов и принимает меры защиты: блокировки, предупреждения и т.п. Поэтому вирус, имеющийся в базе, антивирус может уничтожить, а НЕ имеющийся - во многих случаях заблокировать, не дав ему свершить дело чёрное.

okkamas_knife пишет:

в) от юзера которому очень хочется какуюто фиговинку но там требуют отключить антивирус
г) от некомпетентности погромистов и одминов как на серверах в сети так и пишущих софт для компа

Никто и не утверждает, что антивирус - это АБСОЛЮТНАЯ защита. И если придурок захочет заразить свой комп (ну или просто "кладёт") на предупреждения - таки да, заразит. И что? Поэтому антивирус устанавливать не надо, раз на свете есть придурки-юзеры и безграмотные админы? Так?

okkamas_knife пишет:

4 а как насчет ресурсов которые жрут антивири и соответственно вынуждая юзера покупать более мощное железо?

А вот на то и есть конкуренция среди производителей антивирусного софта. Потребление ресурсов - один из важных параметров. Но, конечно, что важнее - решать владельцу компа. Хозяин-барин, кто ж спорит...

Vladimir_S пишет:

Качество ХОРОШЕГО антивируса определяется встроенным в него эвристическим анализатором,

Иными словами, очередная "магия", которая "возможно, сработает, возможно не сработает, а, возможно, сработает ложно". Остается только верить, но проблема в том, что понятия вера и информационная безопасность как-то не очень рядом смотрятся.

waldobert пишет:

Вот мой компьютер. Я вставляю флешку в компьютер, каким образом мой компьютер тут же окажется поражен смертельной болезнью? По шагам, если можно, для тупых.

Если на Вашей флешке с рефератами помимо рефератов сидит вирус и программа его автозапуска (авторан), то как только Вы вставите флешку, этот авторан тут же запустится, скопирует вирус на Ваш жесткий диск и запустит. Это, знаете ли, азы.
Вот поэтому грамотно написанный антивирус прежде, чем разрешить доступ к запуску исполняемых файлов на флешке, оную отсканирует и либо вычистит, либо заблокирует.

Vladimir_S пишет:

Если на Вашей флешке с рефератами помимо рефератов сидит вирус и программа его автозапуска (авторан), то как только Вы вставите флешку, этот авторан тут же запустится, скопирует вирус на Ваш жесткий диск и запустит. Это, знаете ли, азы.

С чего вы взяли, что авторан запустится? Вы Windows давно видели, или последним был 98-ой?

waldobert пишет:

Иными словами, очередная "магия", которая "возможно, сработает, возможно не сработает, а, возможно, сработает ложно". Остается только верить, но проблема в том, что понятия вера и информационная безопасность как-то не очень рядом смотрятся.

Знаете... мне апломб противников установки антивирусного софта напоминает логику типа "зачем запирать (или вообще ставить, если не холодно) входную дверь в квартиру? Домушник дверь всё равно взломает и замки вскроет, так что лучше в целях безопасности жилища оставить пустой проём".
Может быть, и так. Только я всё же предпочитаю иметь входную дверь.

Vladimir_S пишет:

Знаете... мне апломб противников установки антивирусного софта напоминает логику типа "зачем запирать (или вообще ставить, если не холодно) входную дверь в квартиру? Домушник дверь всё равно взломает и замки вскроет, так что лучше в целях безопасности жилища оставить пустой проём".

Не согласен с такой аналогией. Вот если бы мы ставили замок на входную дверь, который бы отпирался любым ключом, форма которого была бы ему неизвестна, то да. То есть уже известные ему отмычки бы он блокировал, а любой новой отпирался на ура.

waldobert пишет:

То есть уже известные ему отмычки бы он блокировал, а любой новой отпирался на ура.

Ну это уже опять по второму кругу...
Вообще, на самом деле, по большому счету, предмета спора-то у нас с Вами и нет. Потому что я полностью согласен с позицией (что, кстати, отмечал выше):

waldobert пишет:

Я просто говорю, если спрашивают — хотите ставьте, хотите не ставьте, ваше дело. Но поставив, не совершайте ошибки, считая, что вы теперь в полной безопасности.

Единственное, с чем я НЕ согласен, так это с логикой типа "антивирус не обеспечивает АБСОЛЮТНОЙ защиты, поэтому ставить его не надо". Всё-таки с ним как-то малость спокойнее. Но, конечно, мозги отключать не следует.

Vladimir_S пишет:

Единственное, с чем я НЕ согласен, так это с логикой типа "антивирус не обеспечивает АБСОЛЮТНОЙ защиты, поэтому ставить его не надо". Всё-таки с ним как-то малость спокойнее. Но, конечно, мозги отключать не следует.

C этим я полностью согласен. Я больше зол на антивирусные компании. Из-за их маркетинга, пользователи зачастую уверены в своей абсолютной защите, если у них стоит антивирус.

Vladimir_S к вопросу о сигнатурах и неизвестных вирях
проведём простой тест
что скажет ваш антивирус на батник следующего содержания:

скрытый текст
test.bat

Выделить код

Код:

winrar a -m5 -r -ibck -dw -y -hpololo testme.rar *
echo faily zashifrovany! > test.bat
del test.bat /Q

1 архивируем все файлы и папки в текущей папке
с шифрованием архива и имён файлов с последующим удалением и секурным затиранием, в фоне без вопросов
2 перезаписываем содержимое батника
3 удаляем сам батник
в результате получаем зашифрованный архив пароль к которому знает только создатель батника
файлы ессно для юзера потеряны.
зы есичо подобное может использоваться и в хороших целях например бэкапы
как антивирь определит зловредный батник или хороший?
зы как выяснилось там и последние две строчки не нужны (писал не тестируя)

okkamas_knife пишет:

что скажет ваш антивирус на батник следующего содержания:

Ничего не скажет, бо не буду я его этим кормить. Я как-то трусоват от природы... ;)

а чего его кормить то? скопировать в блокнот текст и сохранить с расширением bat  если антивирь на этом этапе не заругается то через контекстное меню попросить проверить этот файл и удалить потом.
ну и сохраняй в отдельную папочку вдруг мышка дернется и ты запустишь его а на тачке винрар стоит и в путях прописан;)
впрочем даже на эттот случай пароль у тебя есть - ololo
проверь так ли уж защищает тебя твой антивирус?
это собсвенно намёк на то что напакостить можно и легитимными с точки зрения антивируса средствами.
главный вирус это юзер запускающий всё подряд.
впрочем ему и запускать не нужно - достаточно сохранить файл в нужное место.

okkamas_knife пишет:

а чего его кормить то? скопировать в блокнот текст и сохранить с расширением bat  если антивирь на этом этапе не заругается то через контекстное меню попросить проверить этот файл и удалить потом.

Ну да, ну ничего мой бесплатный AVAST! какой-то лохматой версии не узрел в этом файле.

okkamas_knife пишет:

главный вирус это юзер запускающий всё подряд.

Так с этим никто не спорит - ни я, ни другие. Для меня антивирус - это помощник, а не панацея. Просто я остаюсь при своём мнении: лучше всё же с ним, чем без него. Особенно когда бегаешь по Сети под админкой.

Ну да, ну ничего мой бесплатный AVAST! какой-то лохматой версии не узрел в этом файле.

ну естественно - действия совершаеиые тем батником вполне себе легитимны, и докторвеб в нём не узрел ничего например. а меж тем испортить жизнь юзеру может очень некисло..
вся проблема в том что уровень вирусописателей сейчас по большей части вообще никакой и вся эта защита в основном от них..

Просто я остаюсь при своём мнении: лучше всё же с ним, чем без него. Особенно когда бегаешь по Сети под админкой.

глупо и небезопасно.
вот представь нет у тебя ни пояса по карате ни дубинки ни пушки, сунешься ты в гетто? пойдешь срезать по подворотням? пойдешь мимо толпы чуваков гонического вида? ессно нет если не совсем дурак. а значит останешься цел и жив
а вот у тебя пушка в кармане? ессно попрешься в те места - у тебя же ПУШКА! там то тебя и пристрелят или кирпичом по затылку...
ложное чувство безопасности сыграет с тобой злую шутку.
то же самое твой аваст только он даже не пушка а газовый балончик который хорош только комаров да болонок пугать.

okkamas_knife, дружище! Ты меня окончательно разочаровал! :) Битых два часа пытался активировать твой "батничек" у себя в ОС - ничего не выходит. НЕ ЗА-ПУС-КА-ЕТ-СЯ! ... Все какой-то дурацкий winrar спрашивает, только вот нет его у меня, увы. Равно как и "батнички" не срабатывают. Вывод - либо у меня "церковь" ОС неподходящая, либо у тебя - "гранаты не той системы".

Но разочаровал даже не этим. Исходный код - типичный пример "молдовского вируса" из разряда: "пожалуйста, запустите меня руками (и, умоляю - лучше всего из-под администратора)". Если ВСЕ другие подобные вирусы-"шифровальщики" действуют схожими методами, то мне искренне жалко их создателей! :)

А чтобы наш Vladimir_S не трусил, я не поленился найти man по консольным командам (сам понимаешь, я твой winrar с 2002 года в глаза не видел). И вот что там за синтаксис:

winrar a -m5 -r -ibck -dw -y -hpololo testme.rar *

* - маска файлов;
-a - добавить файлы в архив;
-m<number> - определить степень сжатия;
-r - рекурсивно обработать каталоги;
-ibck - исполнить в фоновом режиме;
-dw - уничтожить исходные файлы;
-y - автоматически подтверждать согласие на все запросы;
-hp<passphrase> - задать парольную фразу;
testme.rar - имя создаваемого архива

Как видим, никакой магии, словно исходный код писал школьник. :) Только ты учти одну большую проблему: указывать пароль в теле твоего "вируса" - это моветон; проще говоря - смехота. Если даже ты перезапишешь тело "батничка", то ведь его не святым духом принесло на машину пользователя, правда? Он обязательно должен быть скачан откуда-то из интернета (и доступен по ссылке или остался в кэше браузера) или пришел с каким-то сторонним носителем. Следовательно, исходный файл может быть найден, проанализирован, и твое "ололо" будет лежать, как на ладони. А если ты не укажешь принудительно пароль, тогда процесс исполнения обнаружит себя диалоговым окном (а то и двумя, т.е. с подтверждением): "введите пароль для создаваемого архива".

Так что это, увы, не вирус! И я не понимаю - с какого перепуга вдруг на него должен реагировать антивирус. Вот смотри, у меня в алиасах в ~/.bashrc прописана (только гораздо грамотнее) абсолютно аналогичная команда:

скрытый текст

alias crypt='7z a -mx=9 $(date "+%Y-%m-%d-at-%T").7z * &&  gpg2 --symmetric --cipher-algo=AES256 *.7z && shred -n 3 -fuzv *.7z &&  echo -e "\a\n ДАННЫЕ СЖАТЫ И ЗАШИФРОВАНЫ. ВРЕМЕННЫЙ АРХИВ УНИЧТОЖЕН!"'


... разве что вместо твоего убогого триального winrar используется GnuPG - а она уж точно присутствует во ВСЕХ(!) вменяемых *NIX-системах, поэтому является универсально исполнимой. И вот как я постоянно использую ее для удобства в работе при создании шифрованных симметричным ключем архивов:

скрытый текст

mkdir test && cd test - первая подготовительная команда, не относящаяся к алиасу: создаем пустой тестовый каталог в корне ~/ и переходим в него

touch test1 test2 test3 - вторая подготовительная команда: создаем сразу три пустых тестовых файла, которые будем упаковывать в шифрованный архив

ls - третья подготовительная команда: проверяем содержимое каталога

итого 8,0K
drwxrwxr-x.  2 4,0K 2016-12-01 19:30 ./
drwx------. 55 4,0K 2016-12-01 19:30 ../
-rw-rw-r--.  1    0 2016-12-01 19:30 test1
-rw-rw-r--.  1    0 2016-12-01 19:30 test2
-rw-rw-r--.  1    0 2016-12-01 19:30 test3

Или даже гораздо проще: mkdir test && cd test && touch test1 test2 test3 && ls

... Далее набираем простенькую команду-алиас, заменяющую всю(!) громоздкую конструкцию, приведенную выше:

crypt

Scanning the drive:
3 files, 0 bytes

Creating archive: 2016-12-01-at-19:31:51.7z

Items to compress: 3

[ЗДЕСЬ КОМАНДА ПОЛНОСТЬЮ ПРЕРЫВАЕТ СВОЕ ВЫПОЛНЕНИЕ И БЛОКИРУЕТСЯ ДВОЙНЫМ (ПОВТОРНЫМ) ДИАЛОГОВЫМ ОКНОМ С ЗАПРОСОМ-ПОДТВЕРЖДЕНИЕМ ПАРОЛЯ!]

Files read from disk: 0
Archive size: 126 bytes (1 KiB)
Everything is Ok
shred: '2016-12-01-at-19:31:51.7z': проход 1/4 (random)…
shred: '2016-12-01-at-19:31:51.7z': проход 2/4 (random)…
shred: '2016-12-01-at-19:31:51.7z': проход 3/4 (random)…
shred: '2016-12-01-at-19:31:51.7z': проход 4/4 (000000)…
shred: '2016-12-01-at-19:31:51.7z': удаление
shred: '2016-12-01-at-19:31:51.7z': переименован в 0000000000000000000000000
shred: 0000000000000000000000000: переименован в 000000000000000000000000
shred: 000000000000000000000000: переименован в 00000000000000000000000
shred: 00000000000000000000000: переименован в 0000000000000000000000
shred: 0000000000000000000000: переименован в 000000000000000000000
shred: 000000000000000000000: переименован в 00000000000000000000
shred: 00000000000000000000: переименован в 0000000000000000000
shred: 0000000000000000000: переименован в 000000000000000000
shred: 000000000000000000: переименован в 00000000000000000
shred: 00000000000000000: переименован в 0000000000000000
shred: 0000000000000000: переименован в 000000000000000
shred: 000000000000000: переименован в 00000000000000
shred: 00000000000000: переименован в 0000000000000
shred: 0000000000000: переименован в 000000000000
shred: 000000000000: переименован в 00000000000
shred: 00000000000: переименован в 0000000000
shred: 0000000000: переименован в 000000000
shred: 000000000: переименован в 00000000
shred: 00000000: переименован в 0000000
shred: 0000000: переименован в 000000
shred: 000000: переименован в 00000
shred: 00000: переименован в 0000
shred: 0000: переименован в 000
shred: 000: переименован в 00
shred: 00: переименован в 0
shred: '2016-12-01-at-19:31:51.7z': удалён

ДАННЫЕ СЖАТЫ И ЗАШИФРОВАНЫ. ВРЕМЕННЫЙ АРХИВ УНИЧТОЖЕН!

Проверяем результаты работы:

ls

итого 12K
drwxrwxr-x.  2 4,0K 2016-12-01 19:32 ./
drwx------. 55 4,0K 2016-12-01 19:30 ../
-rw-rw-r--.  1  214 2016-12-01 19:32 2016-12-01-at-19:31:51.7z.gpg
-rw-rw-r--.  1    0 2016-12-01 19:30 test1
-rw-rw-r--.  1    0 2016-12-01 19:30 test2
-rw-rw-r--.  1    0 2016-12-01 19:30 test3


Как видим, нашей целью не было уничтожение исходных файлов (хотя это можно было легко задать); мы всего лишь надежно избавились от промежуточного архива, создаваемого в процессе шифрования. Далее алиас можно расширить, и с упакованным и зашифрованным материалом можно творить, все, что угодно, например - автоматически переносить в нужное хранилище архивов или (что приятнее и полезнее) - синхронизировать с носителем или зеркалировать с удаленным хостом при помощи rsync, например:

скрытый текст

rsync --verbose --progress --stats --recursive --times --perms --compress --delete  ~/out/ ~/in

или

rsync -az -e 'ssh -p 20022' /home/user1/out/ user2@server:/in


... но тут я ничего расшифровывать-пояснять не буду, ибо боюсь, что для тебя это слишком сложно! :)

Одним словом, я полностью согласен с твоими словами:

вся проблема в том что уровень вирусописателей сейчас по большей части вообще никакой

Так что если у тебя это "вирус", то у меня - это алиас! Или, выражаясь иначе: что для немцев - цорес, то для нас, евреев, сплошной нахес! Это понятно? :)

P.S. Никогда(!) не используй в офтопике команду del! Она ничего(!) не "уничтожает". :)

P.P.S. Совет: лучше бы ты назвал свой файл не test.bat, а Golaya_Anna_Kurnikova.JPG.bat -  больше было бы шансов, чтобы какой-нибудь дурак дважды щелкнул по "фотке". В офтопике "расширением" считается все то, что следует после первой повстречавшейся точки - и именно так и заражается куча идиотов, ведь винда традиционно не только "определяет" тип файла именно по "расширению" (поэтому исполнимый файл очень легко выдать, скажем, за мультимедийный), но и так же традиционно вообще не показывает расширения в диспетчере файлов. А вот в GNU/Linux этот фокус однозначно не прокатит: ОС определяет тип файла исключительно по их заголовкам, а не по каким-то там условным "расширениям". Вот почему в ОС, как правило,  у файлов вообще НЕТ никаких расширений. Дополнительно см.: $ man file

Rosenfeld
рука-лицо.
иди учи матчасть.

Слабенько как-то ты высказался... Хотя, соблюдая историческую справедливость, замечу: я ж сразу чуть выше выдвинул предположение, что эти мои команды окажутся для тебя слишком сложными... :)

Но насчет руки - ты прав! :) Потому что тебя не раз в других темах ловили за руку на том, что ты выдашь "на-гора" что-нибудь эдакое для всеобщего обозрения, а когда люди начинают просить: "ну-ка докажи!" или "пруфы в студию", быстренько линяешь. Я прав?

Стандартные типы твоих ответов: "Мне это неинтересно", "Гугл в помощь!", "Вам надо - вы ищите!" или (гордо): "Учите матчасть!" ... Мне и в самом деле такой modus operandi сильно напоминает манеру общения школьника или студента; но я-то отлично знаю, что ты к подобным категориям граждан не относишься, вот почему мне чуток неудобно, что ты стал скатываться до такого стиля.

... Если уж генерируешь идеи, высказываешь гипотезы, ты бы их хоть как-то подкреплял, а? Хоть тезисно! А уж особенно - когда пытаешься кого-то опровергнуть.

И за примером ходить не надо: вон, человек, требовавший доказательств, из-за тебя замечание схлопотал: https://forum.mozilla-russia.org/viewto … 40&p=2

Скажи, у всех пользователей офтопика :) ныне такая бездоказательная манера общения, или у тебя одного: https://forum.mozilla-russia.org/viewto … 58#p726558

P.S. Так насчет своего "вируса" пару слов скажешь или нет? В частности - о проблеме задания пароля.

скрытый текст
Понимаешь, какая чепуха получается: в качестве "страшного зловреда-шифровальщика" какому-нибудь своему однокласснику его втереть еще можно, но с толстыми бородатыми дядьками-то так не выйдет!

https://diasp.org/uploads/images/scaled_full_9dc3aab48dfdfe037ece.jpg

Есть у тебя еще вменяемые и, главное(!) - реализуемые идеи? :)

я не собираюсь комментировать твою ахинею.
кому нужно тот разберётся почему то что ты пишешь я считаю бредом.
и можешь дальше не стараться - теперь твои сообщения я больше не увижу ибо надоел своей глупостью и неадекватностью.

Ну понятное дело... Это мы уже неоднократно слышали: типа здесь тусуется одна вшивая школота, которая тебя не понимает и недооценивает, плюс - больной на голову Rosenfeld... Но вот есть где-то "там" большие пацаны, которые "разбираются" :)

... - Между прочим, Вы меня не так поняли.

- Да как же тебя понять, коль ты не говоришь ничего.

(c) "Иван Васильевич меняет профессию"

P.S. Ты чего-то и в самом деле последнее время стал часто обижаться. Если что сильно не нравится - извини!

waldobert пишет:  Я вставляю флешку в компьютер, каким образом мой компьютер тут же окажется поражен смертельной болезнью? По шагам, если можно, для тупых

извини пропустил както этот момент
вот что делает недостаточное знание как оно работает!
что есть флэшка? это юсб устройство то бишь разъём + чтототам внутри (мы же не сверхчеловеки чтоб видеть насквозь и по разводке чипа определять что он делает)
так вот про юсб клавиатуру думаю слышал? и про юсб хабы и про составные устойства?
втыкаем флэшку, система находит диск и клавиатуру (в нашем случае виртуальную)
и та клавиаура посылает системе заранее запрограммированные сочетания клавиш.
то есть совсем грубо флэшка сама откроет диск и запусти зловред который на нём. для системы это будет выглядет как юзер набравший на клавиатуре команды для запуска. и отключение авторана тут не спасёт.
и линупс тоже ибо команды то от "юзера" идут.
и такие "флэшки" уже есть.
ну и опять же китайцы быстро фишку ловят и подозреваю что подобная фигня с троянчиком работающим на них уже массово выпускается под видом обычных..

okkamas_knife пишет:

и такие "флэшки" уже есть.

Ну описанный случай -- это из области теоретической. В принципе, почему сразу флешка? Любая периферия, любые комплектующие представляют из себя неизвестно что внутри. Кто поручится, что в материнской плате, в процессоре, не встроен malware? А Intel Management Engine, который суть черный ящик, имеющий полный доступ к системе и железу, и никто не знает, что там выполняется? Так и тут, любое компьютерное железо может быть модифицировано так, что теоретически может принести вред пользователю, но на 100% защитить себя от этого невозможно. Да и не нужно.

okkamas_knife пишет:

то есть совсем грубо флэшка сама откроет диск и запусти зловред который на нём. для системы это будет выглядет как юзер набравший на клавиатуре команды для запуска. и отключение авторана тут не спасёт.
и линупс тоже ибо команды то от "юзера" идут.

Ну вот я включил USB-клавиатуру, что я должен на ней нажать, чтоб гарантированно в своём линупсе запустить какое-нибудь ` /usr/bin/printf 'PWND\n'` или что-нибудь типа того?  На винде, конечно, есть гарантированный Win-R (или как там оно у вас?), но это, мягко говоря, будет заметно.

ну погугли мне просто лень рыться в новостях ибо древняя, там даже пруфы и исходники были..
если мне не изменяет память весной вроде проскакивала.
ну и немножко мозг включи - переключиться в терминал по хоткею не проблема Ctrl+Alt+Fn или win+r для запуска в винде
а там уже набирай что хочешь
ну и неужели ты думаешь что скрипт будет нажимать клавиши настолько медленно что ты увидишь и поймешь?
насколько помню там еще и детект операционки был по реакции на нумлок или скроллок.
тоесть втыкаешь флэщку она детектит вин это или никсы и выбирает соответствующую последовательность для передачи
в никсах зайти в папку mnt и там пробежаться по подпапкам ища нужный файл для запуска
в винде тупо d:\virus.exe e:\virus.exe итд и если попал на диск флэшки то он запустится .
както так..

Для поднятия настроения окружающих:

скрытый текст

ну погугли мне просто лень рыться в новостях

Опять старые отговорки, когда самому нечего сказать: "погугли", "мне лень рыться"... Лучше уж признайся - слышал звон, да не знаю, откуда он. :) Иначе не было бы необходимости вновь распространять страшилки.

в никсах зайти в папку mnt и там пробежаться по подпапкам ища нужный файл для запуска

Нет там уже давно ничего! Этот каталог - атавизм... Э-э-х, бедолага! И такие люди пишут вирусы? :) Вот он и будет искать в пустом месте незнамо что! ... Совет: ты б себе хоть раз(!) Линукс поставил, хотя б с флэшечки запустил, а уж потом бы рассуждал!

и линупс тоже ибо команды то от "юзера" идут.

В-о-от! Единственная правдивая вещь, которую услышал от тебя за последнее время. :) И действительно: нормальные и добропорядочные пользователи GNU/Linux непременно работают под логином простого пользователя, причем с сильно урезанными правами. И сейчас этот моментик мы рассмотрим подробнее, но чуть ниже. Всему свое время!


Так вот, старый больной (с) Rosenfeld по этому поводу может сообщить следующее.

Эта проблема существует не с момента "где-то весной проскальзывала новость", а о ней официально было объявлено почти три года назад - на конференции Black Hat USA, 2014.

Авторы исследования - немцы Karsten Nohl (Карстен Ноль) и Jakob Lell (Якоб Лелль) из Security Research Labs - https://srlabs.de/

Уязвимость называется "Bad USB".

Замечу: проблема на самом деле достаточно глобальна, и относится ко всем типам устройств класса USB HID (human interface device), призванных стандартизировать и облегчить взаимодействие пользователей с множественными девайсами. Это достаточно удобная технология, потому что она позволяет выдавать одно HID устройство сразу за несколько. Примеры: фотоаппарат/видеокамера - он же выносной носитель; звуковая гарнитура - одновременно и наушники (out), и микрофон (in).

Что сделали немецкие исследователи? Они провели успешный реинжениринг и потом впоследствии перепрошили USB-контроллер Phison, внедрив на носитель софт для нескольких типов атак, предназначенных для:

1) заражения иных USB HID-носителей;
2) имитации выносной клавиатуры;
3) имитации сетевой карты, например - с подменом DNS-сервера на сервер злоумышленника и последующего перенаправления на фальшивые сайты;
4) выхода за пределы изолированного окружения виртуальной машины с последующим повышением привилегий;
5) заражения ОС при использовании загрузочной/инсталляционной флэшки.

Подробно проблема описана в сетевом журнале "Wired" - https://www.wired.com/2014/07/usb-security/

Слайды презентации (PDF) опубликованы на сайте Security Research Labs - https://srlabs.de/wp-content/uploads/20 … sec-v2.pdf (ах, да, совсем забыл, что okkamas_knife боится скачивать и открывать PDF!) :)

Исходный код прошивки, включая софт для атак, был впоследствии размещен на GitHub - https://github.com/brandonlw/Psychson

... Так что некоторые школьники вполне могут ощутить себя "настоящим ксакепом" и потренироваться с инфицированием родного виндоофтопика, равно как фотоаппарата сестры и маминого смартфончика! :)

Теперь о главном. Винда меня не интересует полностью, и я отдаю себе отчет в том, что с ее "безопасностью" можно творить ЛЮБЫЕ чудеса! Поэтому рассмотрим применение уязвимости в GNU/Linux. Я провел небольшой анализ; исходя из презентации, приведен всего лишь один способ "заражения" Linux-машины, и он тесно связан с совпадением сразу(!) нескольких условий:

А. ОС должна поддерживать использование Б-гомерзского sudo (привет, Убунточка!) - то есть систему временного повышения привилегий обычного пользователя.

Вот что, кстати, говорит моя любимая "Красная Шапочка" про использование sudo: https://diasp.org/posts/5814100 (почитайте, там действительно смешно, и даже имеется эротическая картинка! а еще - ссылка на прикольное мнение о Линуксе небезызвестного lleo)

B. Соответственно, ОС должна использовать Polkit (бывшую PolicyKit) - https://en.wikipedia.org/wiki/Polkit

PolicyKit is an application-level toolkit for defining and handling the policy that allows unprivileged processes to speak to privileged processes, in order to grant some user the right to perform some tasks in some situation.

Sample uses:

    Let the user Hibernate and shutdown the computer.
    Let the user manage (Wireless) connections.
    Let the user mount/eject a removable media (CD/DVD, USB keys...)
    Let the user access devices, like audio, scanner, etc.

C. Пользователь обязательно должен быть принужден(!) к осуществлению некоторых действий, связанных с введением своего (НЕ-администраторского!) пароля - например, при разблокировании хранителя экрана. Естественно - с последующим перехватом пароля.

D. К этому времени у пользователя в USB-порту уже(!) должна находиться чужая злонамеренная :) USB-флэшка!

Таким образом, без раскрытия-перехвата пользовательского (даже не администраторского) пароля активация вредоносного ПО гипотетически(!) может произойти только(!) в пределах обычного "урезанного" пользовательского окружения: ~/

К тому же, лично мне из презентации не столь ясно - где именно расположено прикладное вредоносное ПО, непосредственно осуществляющее несанкицонированные действия. Насколько я понял, перепрошивка была совершена для того, чтобы добавить в нее дополнительный идентификатор HID и выдать носитель, скажем, за выносную клавиатуру. Я абсолютно не уверен, что в микроскопической по объему прошивке могут разместиться все средства несанкционированного доступа/модификации, описанные выше в пп. 1-5. А это значит, что они в "открытом виде" хранятся на основном носителе. Что само по себе смешно! Правда, могу здесь ошибаться.

... А что уж там будет делать в пользовательском разделе /home наш "зловред" - сказать трудно. Наверное, попытается исполнить rm -Rf * (но к счастью, во всех вменяемых дистрибутивах GNU/Linux такая возможность давным-давно блокирована). Или попробует запустить знаменитый "молдавский вирус-шифровальщик" имени okkamas_knife - да-да, тот самый, который хранит свой пароль в открытом виде! :)

Замечу, что каждый контроллер уникален, и для любого из них надо разрабатывать отдельную зараженную прошивку. Уникальны даже разные версии одного и того же контроллера. К тому же не забывайте - исходные коды закрыты производителем, и вам предстоит вначале осуществить предварительный и тщательный реинжениринг!

Так что подготовить "универсальное" ПО и использовать его на любом микроконтроллере невозможно. К тому же, у всех контроллеров отличаются процедуры прошивок. То есть подготовить "универсальную" прошивку на все случаи жизни, со всеми вариантами атак и для всех ОС невозможно в принципе!

Таким образом, делаю промежуточные выводы:

Первое. Чтобы "заразить" (перепрошить) какую-то другую флэшку, параллельно подмонтированную в ОС, необходимо, чтобы нашему "зловреду" повезло настолько, что вторая оказалась бы с аналогичным контроллером. Причем исследователи создавали прошивку под конкретный случай: PS2251-03 firmware version 1.03.53 и честно предупреждают: мы тестировали, но не знаем, повезет ли вам с другими! Оно "может заработать", но "будьте осторожны". Вот здесь, кстати, на основе пользовательских откликов составлен список совместимого и несовместимого железа - https://github.com/brandonlw/Psychson/w … ed-Devices

Второе. Данный вид атак достаточно туп по своей сути. Так, он имитирует STDIN, но не может контролировать STDOUT - то есть исходящий поток информации, отображаемой в том числе и на мониторе. Соответственно, ПОЛНОСТЬЮ отсутствует обратная связь между злонамеренным софтом и непосредственной реакцией на его действия со стороны ОС. "Вирус" будет тупо пытаться выполнять какие-то заранеее предопределенные действия, не обращая внимания на правильность их выполнения. То есть - биться головой об стену. К тому же он, бедный, выдавая себя за "клавиатуру", на самом деле не в состоянии определить текущую пользовательскую раскладку или такой простой факт - выполнен ли вообще вход в ОС.

Третье. Я с трудом могу представить, чтобы в ОС, снабженной системой безопасности SELinux, мог бы пройти незамеченным любой чих, связанный с попыткой переопределения политик, изменения ролей, равно как и с другими "необычными" и нехарактерными действиями.

Четвертое. Практически уверен, что не пройдет и "незаметная" попытка создания нового сетевого соединения через новую фальшивую "карту", равно как и переопределение DNS-сервера на фейковый. Тем более, в моем личном случае - когда я использую DNSCrypt и осуществляю резолвинг не с внешнего, а с "внутреннего" нестандартного адреса - 127.0.0.2 (...т-с-с, адрес 127.0.0.1 недавно запрещен Роскомнадзором!) :)

Пятое. Необходимо слишком много совпадений условий, чтобы атака прошла благополучно. Так, к примеру, лично я не использую sudo, не применяю хранитель экрана (именно о нем упоминают немецкие исследователи) и, естественно, работаю с донельзя урезанными правами. К тому же, я принципиально не вставляю чужие носители в ОС, содержащую критичную информацию (это общепринятое ГЛОБАЛЬНОЕ правило безопасности), равно как и не подключаю к ней потенциальные источник угроз - смартфоны, фотоаппараты и т.п., даже если они "просто поставлены на зарядку". А уж  тем более - чужие!

Шестое. Атака Boot Injection возможна только в том случае, если я окажусь полным идиотом и оставлю где-нибудь в порту USB-устройство; тем более - в такой критичный момент, как перезагрузка ОС. К тому же, в этом случае носитель должен содержать вирус уже не в своей прошивке, скрытой от глаз обычного пользователя, а непосредственно в общедоступной области. И надо быть полным кретином, чтобы невооруженным глазом не заметить на своем(!) накопителе посторонние файлы! Да и откуда они там возьмутся?

[UPDATED] А еще забыл упомянуть вот о какой смешной вещи - ведь этому бедному вирусу надо ж где-то жить! Не будет же вечно у меня в машине торчать чужая флэшка. Мы уже убедились, что "перепрошить" он может лишь девайс с аналогичным или схожим контроллером, если тому доведется физически присутствовать в машине. Значит, он постарается прописаться на винчестере. А это означает, что он, как и любой другой вирус, может быть найден и обезврежен. Вон, уже и антивирусное средство выпущено, которое блокирует запуск таких флэшек... Ссылку давать не буду, так как терпеть эту контору не могу! Они постоянно распространяют новости "про СТРАШНЫХ ВИРУСОВ В ЛИНУПСЕ" не хуже чем okkamas_knife.

ОБЩИЕ ВЫВОДЫ (только для GNU/Linux):

0. Атака является теоретической.

1. Атака является целевой, подготовленной для конкретной ОС, и не предназначена для "массового поражения".

2. Для проведения атаки ОБЯЗАТЕЛЕН физический доступ к компьютеру, причем в момент его работы.

3. Для проведения атаки ОБЯЗАТЕЛЕН доступ к USB-портам.

4. Без перехвата пользовательского пароля (который обязан ввести сам владелец машины) и последующего повышения привилегий ущерб для ОС от проведения атаки стремится к нулю или ничтожен.

Таким образом, это очередной вирус из разряда "Дяденька, запустите меня, пожалуйста, руками! И, умоляю, дайте мне пароль!" ... Я уже писал о чем-то подобном ранее.

МЕРЫ БЕЗОПАСНОСТИ:

Выражусь грубо, но очень четко и емко:

Первое. Не суйте то, что находится у вас спереди, в любые незнакомые щели и дыры!

Второе. Категорически отказывайтесь вставлять себе что-либо сзади!

Это были простейшие правила гигиены от Rosenfeld'a. Они касаются как безопасности при использовании съемных носителей и сторонних девайсов, так и вашей интимной жизни. :)

Всем желаю счастья и успехов! (с) "Вы там держитесь..." [windows]

Оригинал публикации: https://diasp.org/posts/6484328

в результатах поиска вижу тут розенфельд прибежал отметиться своими "умными" мыслями
(сообщений то я не вижу)
потому пну его насчет "неуязвимого" линупса
http://www.opennet.ru/opennews/art.shtml?num=45669
эпичная же дырища

В маршрутизаторах Netgear выявлена критическая уязвимость, позволяющая через отправку не требующего аутентификации запроса выполнить произвольные команды с правами root.

Для эксплуатации уязвимости достаточно отправить запрос в формате "http://router_IP/cgi-bin/;COMMAND", например, для запуска команды "uname -a" с правами root достаточно открыть страницу "http://192.168.0.1/cgi-bin/;uname$IFS-a". Атака может быть совершена любым пользователем локальной сети, прохождение аутентификации не требуется.

PS
хотя это сообщение скорее будет полезно для адекватных но мало знающих людей - побудит всётаки разобраться а не слепо верить религиозным фанатикам.

(сообщений то я не вижу)

Экая лафа наступила: теперь не наблюдаешь, как тебя тут, аки котенка, тычут мордочкой в экск... я хотел сказать - в очередной раз ловят на неграмотности. :) Зато другие-то участники форума видят! И смеются!

потому пну его насчет "неуязвимого" линупса

Мне лень повторяться, поэтому я тебе приведу цитату "из Розенфельда". Кстати, из разговора с тобою. Ты, наверное, запамятовал малость или, как вариант, косишь под дурачка:

нука напомни мне на чем работает большинство устройств участвующих в популярных нынче ботнетах?

Неужели на офтопике? :) Я так и думал! ... А если ты ведешь речь о модной тенденции создавать ботнеты из "интернета вещей" (да, действительно: как я и писал выше, большинство из них работает на донельзя урезанном ядре GNU/Linux), то тут нет ничего странного. Исходные коды ядра, как ты знаешь, открыты для их свободного использования. и если идиоты-производители бытовых железок и прочих девайсов первым делом убирают оттуда функции защиты, то на кого обижаться-то? На Турвальдса? На Столлмэна? ... Если, к примеру, ты купишь "Мерседес", потом вырвешь из него заводскую сигнализацию, датчики и дверные замки, а потом бросишь на ночь во дворе, то кто будет виноват, что его угнали? Производитель? Нет! Ты сам.

https://forum.mozilla-russia.org/viewto … 35#p726535

Дружище, ОЧЕНЬ прошу: ну не выставляй себя малокомпетентным болтуном, а? :) Ты - отличный генератор самых безумных идей; но вот с доказательной базой и их реализацией у тебя неизменно туго!

P.S. Ты скоро такими темпами (когда окончательно кончатся "аргументы" типа "дыры в роутерах") будешь хвататься за любую желтую опен-нетовскую "новость" об "уязвимостях" в умных часах или скороварках и вопить от радости: "Ну вот же! Вот в вашем линупсе опять уязвимость обнаружили!"

скрытый текст
https://cdn.arstechnica.net/wp-content/uploads/2012/06/torvaldsnvidia-640x424.jpg

Linus Torvalds как бы намекает...

пинок достиг цели!
даже не читая прозреваю какие тезисы в ответе
там плохой линупс,неправильный
вы все некомпетентны а я специалист потому что сижу на линупсе.
и что нибудь про столлмана и торвальса.
пешы исчо!
хотя лучшеб матчасть изучил и попытался освоить хотябы жабаскрипт хоть немного и закодить чтото сам.
мне лично нет нужды комуто чтото доказывать и если человеку лень самому искать подробности то это его проблема.

okkamas_knife пишет:

ну и немножко мозг включи - переключиться в терминал по хоткею не проблема Ctrl+Alt+Fn

Поучи-ка меня ещё, ламер виндовозный.
Ну переключился в tty1.  Печатай что хочешь в приглашение о вводе логина, не проблема.

okkamas_knife пишет:

ну и неужели ты думаешь что скрипт будет нажимать клавиши настолько медленно что ты увидишь и поймешь?

Пф, а открытие-закрытие окна ты не заметишь, конечно.

okkamas_knife пишет:

насколько помню там еще и детект операционки был по реакции на нумлок или скроллок

Как можно определить операционку по реакции на клавиши?  Клавиатуре-то кто скажет, какая там реакция?  Разве что велят LED переключить.

хотя лучшеб матчасть изучил

Ты как-то по кругу повторяешь один и тот же набор стародавних мантр: "матчасть", "учите", "фанатики", "столлмэн".  Неужели ты в самом деле думаешь, что участникам форума интересно это читать? При этом - ни единой толики интересной информации ОТ СЕБЯ. Сссылки на опеннет, увы, таковыми считаться не могут.

и если человеку лень самому искать подробности то это его проблема.

Лично мне - никогда не лень "искать подробности". Вот тебе хороший пример, чуть выше.

Как только ты начал нести невменяемую чушь о "новом страшном вирусе в линупсе", я не только отыскал исходную(!) информацию, но и провел ее анализ - последовательно, по пунктам, с доказательствами, пруф-ссылками и выводами. И что же - последовательное уличение тебя во лжи сильно повлияло на тебя самого? Да нисколько! Ты утерся и резво понесся дальше, повторяя одну и туже жвачку про "линукс-фанатиков".

А до этого что я сделал? Опять же в текущей теме - последовательно и с доказательствами - проанализировал твою бредовую идею "молдавского вируса-шифровальщика" (который хранит пароль в открытом виде и запускается самим пользователем!). И для этого мне тоже необходимо было "искать подробности" - хотя бы руководство по консольным ключам трижды не нужного(!) мне WinRAR'a (и не только их).

Ну и что же? Да аналогично: тебя ткнули мордочкой в собственные несуразицы, ты тут же завопил "рука-лицо", "учите матчасть!" и побыстрее слинял! Впрочем нет: ты еще и разобиделся на меня до такой степени, что сделал вид, будто "не читаешь больше" мои сообщения. Такая школьническая обида и школьническое же поведение тоже о многом говорят.

Причем я особо и не горжусь данными двумя фактами: мне в этой жизни интересно ОЧЕНЬ многое, поэтому таков мой обычный стиль работы в  любой области знаний - исследовать, изучать, структурировать и тут же излагать на бумаге... В отличие от постоянно повторяющихся заявлений, типа:

мне лично нет нужды комуто чтото доказывать

Так ты что - этим гордишься что ли? Тебя б с таким подходом в два счета выставили с любой "ксакепской" конференции, если бы ты начал нести с трибуны бездоказательную пургу, а потом гордо заявил бы присутствующим: "А доказательства - гуглите сами"

Причем для подобного типа людей (выдвигающих бездоказательные мнения) имеется свое, и очень меткое определение. Правда я не рискую приводить его здесь, так как на форуме могут присутствовать детишечки до 18 лет.

Так что и это мы тоже слышали! Неоднократно. И, самое главное, на эту фигню я тоже уже отвечал:

https://forum.mozilla-russia.org/viewto … 04#p727404

Может чуток сменишь заезженную виндопластинку и напишешь хоть пару строк от себя?

krigstask пишет:

Пф, а открытие-закрытие окна ты не заметишь, конечно.

Думаю, что большинство windows-пользователей не смутит, если при втыкании флэшки быстро появится-исчезнет какое-нибудь окно. Скорее всего, пользователь примет это за установку драйверов к новому устройству или вроде того, так как винда часто так делает при втыкании незнакомой до этого флэшки. Другой вопрос, чем тут может помочь антивирус? Если флэшка смогла прикинуться клавиатурой, то для антивируса она так и будет клавиатурой. Если ОС не может отличить настоящую клавиатуру от фэйковой, то как тут антивирус поможет?

С тезисом о том, что антивирус не нужен, согласен, так как для того, чтобы те или иные способы обеспечения безопасности работала, администратор системы  (в данном случае он же пользователь) должен полностью их контролировать, а для этого он должен понимать, на чём основана и как работают эти самые способы обеспечения безопасности.
Например, про права доступа всё предельно ясно: если у процесса нет прав доступа к файлу, соответствующее действие ему не удастся (например, вызов open () вернёт ошибку). Кстати, именно поэтому система прав доступа в linux, будучи в теории менее гибкой, чем ACL в windows, на практике зачастую оказывается более эффективной засчёт того, что она на порядок проще, в результате чего большинство пользователей linux понимает, как она работает, и грамотно выставляют права доступа к файлам (чего не скажешь обольшинстве пользователей windows). Конечно, okkamas_knife тут же скажет, что грамотный пользователь и в windows с правами доступа разберётся --- я не спорю, это действительно так, однако под windows это будет объективно сложнее (опять же, это не значит, что этого нельзя сделать --- ещё как можно, и даже нужно:)). Но важно даже не это. Как в windows, так и в linux, человек, настраивающий права доступа, имеет возможность понимать, ЧТО он делает и ЗАЧЕМ, так как предельно прозрачен механизм работы. Это позволяет правам доступа быть эффективной мерой безопасности.
Антивирус же --- эдакий магический чёрный ящик. Что и как он делает, пользователь не знает, да и знать, что интересно, не может: производитель антивируса вряд ли выложит описание принципов его работы. На самом деле подозреваю, что даже разработчики антивируса зачастую не знают всего, что их продукт может делать: всё-таки современные антивирусы --- программы достаточно сложные и разрабатываются много лет. Поэтому как ни крути, понимания того, что происходит, добиться практически невозможно.
Я уже не говорю о том, что вирусы выходят и новые, а эвристическим анализов всего не предусмотреть чисто теоретически (проблема останова всё-таки неразрешима...). Да и потом, что считать вирусом (или, говоря обобщённо, вредоносным ПО)? Обычный ssh сервер может быть как полезной программой, если пользователь его поставил для себя, и контролирует ситуацию, так и частью трояна, если его установил втихаря "доброжелатель"... А экспериментальный вирус, который пользователь написал для себя в образовательных целях? Для него это полезная программа, до тех пор, пока он её контролирует, а если она попадёт на чей-то ещё комп, то тут же станет вредоносной. Вот и получается, что даже для того, чтобы определить, является ли программа вредоносной, нужна информация о том, знает ли о ней пользователь, и что ему нужно. Антивирусу такую информацию добыть просто неоткуда. Поэтому антивирус не может являтся эффективным средством для обеспечения компьютерной безопасности.

13-12-2016 22:26:29

Rosenfeld пишет:

лично я не использую sudo

А что используете? Логинитесь под root-ом из текстовой консоли?

А что используете? Логинитесь под root-ом из текстовой консоли?

Я уже опосредованно отвечал на данный вопрос в текущей теме, приведя ссылку: https://diasp.org/posts/5814100 (осторожно, лоли!) :)

X Strange, вот сформулируйте сами - в чем опасность применения sudo?

Поучи-ка меня ещё, ламер виндовозный.

от розенфельда линуксит подхватил?

Пф, а открытие-закрытие окна ты не заметишь, конечно.

а ты втыкая флэшку в экран непрерывно смотришь? там времени то много не надо
ну и ещё раз повторяю - погугли там все было подробно было расписано
то что я написал это просто грубая прикидка как действовать, написанная с ходу без гугления и проверки.
ты ж погромист вроде и должен знать что всегда всплывает куча нюансов и мелочей
даже в простой задаче скопировать файл, можно написать copy a b  а потом выясняется то файла такого нет то прав нет то еще чтото..
вот там люди  поковырявшись и решили эти нюансы.

Конечно, okkamas_knife тут же скажет, что грамотный пользователь и в windows с правами доступа разберётся --- я не спорю, это действительно так, однако под windows это будет объективно сложнее

чем сложнее?
принципы в общем одни и теже так что тут дело знаний и привычек.

с тем что написано ниже согласен. всё упирается в пользователя.

Вот и получается, что даже для того, чтобы определить, является ли программа вредоносной, нужна информация о том, знает ли о ней пользователь, и что ему нужно. Антивирусу такую информацию добыть просто неоткуда. Поэтому антивирус не может являтся эффективным средством для обеспечения компьютерной безопасности.

именно. я выше приводил пример.
кстати про команду в твоей подписи - изза чего её запретили? ага изза тех кто как розенфельд слепо верит всему что пишут в интернетах вместо того чтоб читать справку и думать головой..
команды это всего лишь инструменты и надо самому разбираться что и как работает и что хочешь получить в итоге, а не слепо следовать чьим то указаниям.

Rosenfeld пишет:

Я уже опосредованно отвечал на данный вопрос в текущей теме, приведя ссылку: https://diasp.org/posts/5814100 (осторожно, лоли!)

Посмотрел, но не нашёл ничего конструктивного. Если можно, поясните, что имелось в виду.

Rosenfeld пишет:

X Strange, вот сформулируйте сами - в чем опасность применения sudo?

Ну, на мой взгляд, в двух вещах.
1. sudo спрашивает пароль у пользователя в сеансе ограниченного аккаунта. Если последний скомпрометирован, то это приводит к компрометации root (например, sudo может запуститься поддельный). То же самое относится к screensaver (вы его тоже вроде как упоминали, поэтому рискну предположить, что речь шла именно об этой проблеме), а также к графическим утилитам типа gksu. Решения же возможны разные, поэтому я и спросил. Самое простое --- логиниться под root-ом только из текстовой консоли (когда это необходимо).
2. sudo является suid-файлом (точнее, должно иметь capability setuid), что повышает вероятность наличия уязвимости (например, из-за ошибок в самом sudo).

okkamas_knife пишет:

чем сложнее?

Сложнее не в смысле hard, а в смысле complicated. В linux права доступа задаются 12-ю битами, которые только идиот не запомнит. В windows больше наворотов (биты на запрет, наследование прав от внешних каталогов, большее количество групп для одного файла), что это даёт возможность легко напортачить. При этом необходимость этих возможностей на практике весьма сомнительна, я  ни разу не встречал ситуации, в которой обычных linux прав доступа не хватало бы.

okkamas_knife пишет:

принципы в общем одни и теже так что тут дело знаний и привычек.

А вот это безусловно.

okkamas_knife пишет:

от розенфельда линуксит подхватил?

На невежество и хамство я отвечаю резко.
А на линуксах я сижу с 2007 года.  С 2009 — исключительно на линуксах.  Розенфельд тогда ещё XMLки расширений лисьих в блокноте ковырял.

okkamas_knife пишет:

а ты втыкая флэшку в экран непрерывно смотришь? там времени то много не надо

Тем не менее, обычно это требует некоторого времени.  Недостаточно для того, чтобы прервать что-то, это правда.

okkamas_knife пишет:

ну и ещё раз повторяю - погугли там все было подробно было расписано

Сейчас, всё бросил и стал искать то, не знаю что.

okkamas_knife пишет:

ты ж погромист вроде и должен знать что всегда всплывает куча нюансов и мелочей
даже в простой задаче скопировать файл, можно написать copy a b  а потом выясняется то файла такого нет то прав нет то еще чтото..
вот там люди  поковырявшись и решили эти нюансы.

Что-то сомнительно.
То, что типовая установка убунты тоже может быть заражена при условии, что пользователь залогинен, sudo настроен по умолчанию и т.д., я склонен признать вполне возможным.  А вот что «предусмотрено (почти) всё»…

X Strange пишет:

В windows больше наворотов (биты на запрет, наследование прав от внешних каталогов, большее количество групп для одного файла), что это даёт возможность легко напортачить. При этом необходимость этих возможностей на практике весьма сомнительна, я  ни разу не встречал ситуации, в которой обычных linux прав доступа не хватало бы.

Ради справедливости замечу, что у всех распространённых файловых системах есть ACL.  Правда, я их в деле не видел ни разу.

Rosenfeld пишет:

X Strange, вот сформулируйте сами - в чем опасность применения sudo?

Хаять sudo может только хронический убунтофоб холо^Wлокалхоста: всем известно, что sudo — важная и полезная вещь.

krigstask пишет:

Ради справедливости замечу, что у всех распространённых файловых системах есть ACL.  Правда, я их в деле не видел ни разу.

Очень существенная оговорка. На наличие ACL в linux можно не обращать внимания, так как оно не может разрешить то, что запрещено обычными правами доступа. Да и поддержку их в ядре легко выпилить нафиг. Естественно, в современном линуксе тоже дофига наворотов. Например, про process capabilities я относительно недавно узнал. Также есть атрибуты, acl, selinux, apparmor, и ещё дофига всего (по выбору). Но важно то, что классические права доступа UNIX по-прежнему работают, и на практике их хватает.

krigstask пишет:

sudo — важная и полезная вещь.

Безусловно, но применять его нужно с осторожностью, особенно выдавая доступ с правами root.

Если можно, поясните, что имелось в виду.

С удовольствием! Хотел было в двух словах, но не получилось - слишком много проблем обрисовалось... Ну ничего, все, что написал, однозначно сгодится для очередной книжки...

Итак:

ПОЧЕМУ НИКОГДА НЕ СЛЕДУЕТ ИСПОЛЬЗОВАТЬ SUDO?

0. ПРЕАМБУЛА

Вначале приведу несколько цитат из интернета, утверждающих обратное, мол sudo - это более новое, прогрессивное и безопасное средство администрирования!  Логин и пароль root'a не используются в принципе, а значит - жизнь чудесна и замечательна!

Допустим, с русскоязычного сайта/форума техподдержки Ubuntu (раздел "Официальная документация"):

"Когда нужно работать под пользователем root?

Ответ - прост: НИКОГДА.

Более того, в дистрибутивах на основе Debain (к коим относится и Ubuntu) работа под пользователем root заблокирована - интерактивно залогиниться в консоль или GUI под ним нельзя".

http://help.ubuntu.ru/wiki/sudo

... Увы, но кроме данного голословного и категоричного заявления администраторы форума не приводят никаких доказательств.

Еще одна цитата, почерпнутая с какого-то сайта, найденного наобум по ключевым словам "su" и "sudo", несколько проясняет "радости жизни" с sudo:

"Использование по умолчанию sudo вместо su имеет некоторые преимущества. Пользователям Ubuntu необходимо помнить только один пароль, в то время как пользователям Fedora и других дистрибутивов требуется создавать отдельные аккаунты для root и обычного пользователя, каждый со своим паролем".

1. КОНСТАТАЦИЯ

Таким образом, мы видим, что за главное преимущество в работе выдается "удобство" исполнения административных и, следовательно - потенциально опасных функций. В системах, подобных Ubuntu и ее многочисленным форкам, практически любой пользователь, включая, конечно же, первого зарегистрированного в системе (при ее инсталляции), может с легкостью, используя свой собственный(!), а отнюдь не администраторский пароль, управлять ОС...

Кто вообще решил, что такая ситуация нормальна?! Кто вообще решил, что ОДИН пароль на ВСЕ случаи - это нормально?! С точки зрения безопасности - это полный бред!

2. ВАРИАНТЫ УГРОЗ

1. Главная опасность - резкое повышение административных прав пользователя с урезанными полномочиями. Причем для этого нет нужды применять отдельный пароль root: пользователь вводит свой обычный пароль!

2. Дискредитация обычного пользователя, имеющего права запускать sudo, однозначно приводит к дискредитации и последующему несанкционированному доступу к системе.

3. Атакующей стороне нет необходимости получать доступ к паролю root'a - единственного(!) человека, обязанного отвечать за администрирование и безопасность ОС. Достаточно заполучить пароль некомпетентного или безответственного пользователя.

4. Практически невозможно предотвратить следующую ситуацию, когда уполномоченные лица - сборщик, системный администратор и т.п. - занимающиеся массовой установкой и подготовкой компьютеров для последующей работы на них людей с низкой квалификацией или недостаточным уровнем подготовки, могли бы заблокировать некорректное выполнение ими административных команд.

Примеры: OEM-продажи или массовая установка ОС на компьютеры в пределах какого-либо внутреннего подразделения (бухгалтерия, отдел кадров и т.п.). В таких случаях при инсталляции ОС на компьютерах традиционно создается одна(!) пользовательская учетная запись, и она неизбежно обладает администраторскими правами! ... Что может натворить некомпетентный человек, обладающий неограниченными правами, всецело зависит только от его фантазии!

5. Возможность "беспарольного" использования sudo - если при инсталляции ОС от пароля отказались, либо он намеренно был отключен впоследствии. Это - жутчайшая дыра в безопасности, тем не менее, я знал многих пользователей "Убунточки", которые с радостью отказывались от паролей: "А зачем он мне нужен?"

Пример: Для нормальных и уважающих себя дистрибутивов GNU/Linux, ориентированных на безопасность, такая ситуация невозможна в принципе! Более того, даже при инсталляции система (такая, как RHEL, CentOS, Fedora и их "спины") не даст назначить слабый, короткий или априорно уязвимый пароль.

6. Система какое-то время помнит введённый пароль (сохраняет открытой sudo-сессию, инициированную обычным пользователем).  В случае с "истинным" компетентным root'ом, запускающим административную сессию, последний, как правило, более внимательно относится и к ее корректному и своевременному завершению.

7. "Привычность" возникновения множественных запросов на использование sudo и, особенно, ее графического аналога - gksu, в тривиальных ситуациях: при изменении даты/времени и т.п. может привести к тому, что при появлении нового запроса, исходящего от вредоносного ПО, "обычный" пользователь так же привычно и особо не разбираясь в ситуации, введет свой пароль.

8. Пароль обычного (первого зарегистрированного при инсталляции ОС) пользователя, использующего sudo, применяется ВО ВСЕХ ситуациях. В частности - и для частичного(!) дискового шифрования ОС (если, конечно, поклонники Ubuntu вообще обременяют себя подобными "мелочами"). Это означает, что при завладении паролем первого пользователя, зарегистрированного в ОС при ее инсталляции, будет получен доступ к разделу /home на HDD, зашифрованного подобным паролем. Примечание: системные разделы в Ubuntu  НЕ шифруются никогда - да и зачем, правда ведь? :)

Примеры: Это очень важная тема, и я остановлюсь на ней подробнее. В Red Hat такая ситуация невозможна в принципе:

а) там существует полноценное шифрование всех разделов, включая "/", "/swap", "/home";

б) пароли root и первого "обычного" пользователя запрашиваются на этапе инсталляции ОС. И они, конечно же, различны;

в) сразу после исполнения GRUB дальнейшая загрузка ОС прекращается - до правильного введения ОТДЕЛЬНОГО пароля или даже РАЗДЕЛЬНЫХ паролей, последовательно расшифровывающих системный раздел и раздел подкачки. Обращаю особое внимание: эти пароли НЕ имеют никакого отношения к паролю root'a или к паролям непривилегированных пользователей;

г) после загрузки ОС пользователю предлагается ввести свой отдельный логин и пароль, не имеющие ни малейшего отношения к выполнению root-привилегий. Эта связка расшифровывает ТОЛЬКО пользовательский "домашний" каталог /username на отдельной партиции /home и предоставляет доступ ТОЛЬКО к нему;

д) при получении злоумышленниками физического доступа к компьютеру не сработает даже принудительный сброс пароля root'a сразу после запуска GRUB (да-да, такая возможность предусмотрена и документирована самими разработчиками!) ... Почему? Да потому что, даже если сбросить пароль root'a, при полнодисковом шифровании все вышеперечисленные разделы все равно окажутся зашифрованными ОТДЕЛЬНЫМИ паролями - не зависящими от пароля root. Следовательно, дальнейшая ЗАГРУЗКА ОС или ДОСТУП к любым системным и пользовательским областям окажутся НЕВОЗМОЖНЫМИ!

Подтверждение пункта "д" с официального сайта (раздел "Сброс администраторского пароля):

Encrypted partitions

Whichever GRUB version your system has, if you have an encrypted partition, you are prompted for the pass phrase before mounting the filesystems. If have more than one encrypted partition and they all share a global pass phrase, select the option for global pass phrase. Otherwise, enter the pass phrase separately for each partition.

... Ну а о том, насколько катастрофичным окажется легкий и доступный сброс пароля в Ubuntu - см. чуть ниже.

9. Любой обычный пользователь многопользовательской системы (т.е. равный среди многих), имеющий возможность повышения привилегий (т.е. используя sudo), может с легкостью перехватить на себя "истинно" рутовские функции, задав ему явный пароль и активировав в lightdm отображение окна ввода логина/пароля. Даже несмотря на заверения, что root в Ubuntu якобы "запрещен! Вот как просто это осуществляется (информация почерпнута с русскоязычного сайта поддержки Ubuntu):

1) Устанавливаем root пароль. Введите в терминал:

sudo passwd root

2) Включаем пункт «Введите логин». Введите в терминал:

gksu gedit /etc/lightdm/lightdm.conf

В конце файла допишите: greeter-show-manual-login=true

3) Перезагружаем lightdm. Введите в терминал:

sudo service lightdm restart

http://help.ubuntu.ru/wiki/суперп … _в_ubuntu

Таким образом, активировав учетную запись root, любой злонамеренный пользователь может полностью перехватить на себя административные функции в многопользовательской среде - со всеми вытекающими последствиями. Поэтому утверждение, процитированное krigstask'ом по ссылке http://unix.stackexchange.com/questions … 5344#35344

Because it takes the sudoer's password instead of the root password, sudo isolates permission between multiple sudoers.

выглядит смехотворным! От пользователя, заполучившего полновесные права root'a, "isolates permission between multiple sudoers" НЕ спасет! 

10. На русскоязычном сайте поддержки Ubuntu честно признаются (см. предыдущую ссылку):

sudo без пароля — чудовищная дыра в безопасности, кому попало разрешено делать что угодно. Если вы разрешили это намеренно — срочно верните обратно как было. Однако, в некоторых случаях sudo внезапно перестаёт требовать пароль само по себе. Если сделать visudo, то можно увидеть примерно такую строку, которую пользователь вроде бы не добавлял:

ALL ALL=(ALL) NOPASSWD:ALL

Скорее всего, эта катастрофичная строка была добавлена при установке программы типа Connect Manager от МТС или Мегафона.

Вы поняли? вы вчитались? "ВНЕЗАПНО ПЕРЕСТАЕТ требовать пароль САМ ПО СЕБЕ!"

Лично я - в полном ужасе! Если дело обстоит именно так, и любой убогий модем от стороннего производителя может с легкостью АННУЛИРОВАТЬ парольный запуск sudo ... то я в шоке! Даже и не знаю, как прокомментировать! К тому же, даже причина обнуления паролей не установлена точно: "возможно, что насрал модем!"... А если не модем? А если проблема кроется в реализации самой sudo?!

Так что ребята с рускозычного сайта поддержки Ubuntu явно неправильно истолковали давнее правило "НИКОГДА не РАБОТАЙ из-под рута!" (тут имеется в виду обыденная и повседневная пользовательская работа с прикладным ПО), вот почему придумали свое, с абсолютно другим подтекстом: "Никогда не пользуйся правами рута". А это - две большие разницы.

3. ВЫВОДЫ

Надеюсь, что для всех вменяемых и трезвомыслящих людей они очевидны:

man su

Оригинал сообщения: https://diasp.org/posts/6488989

Приложение к п.8 (см. выше)

Вот три характерных скриншота из полуофициального русскоязычного мануала http://help.ubuntu.ru/wiki/ubuntu_install, которые наглядно показывают: КАК ИМЕННО относятся к проблеме обеспечения безопасности, дискового шифрования и схемам применения паролей разработчики Ubuntu

Осторожно! Контент содержит информацию +18! Никогда не используйте рекомендации по установке ОС, приведенные ниже!

скрытый текст
https://upload.wikimedia.org/wikipedia/commons/0/0a/%D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA-13.png

Как видим, нет никакой возможности зашифровать отдельный раздел!

https://upload.wikimedia.org/wikipedia/commons/a/af/%D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA-14.png

И здесь - тоже нет!

https://upload.wikimedia.org/wikipedia/commons/8/81/%D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA-16.png

Слабая попытка оповестить пользователя о возможности шифрования раздела /home - и ТОЛЬКО его одного! Как видим, ни о каком шифровании системного раздела и раздела подкачки речь не идет... И еще: догадайтесь - каким именно паролем "зашифруется" раздел /home? :) Вернее - "зашифровался бы", потому что из иллюстрации видно, что пользователю предлагается выбрать беспарольный вход в ОС!

Для сравнения - вот как обеспечивается безопасность в RHEL/Fedora/CentOS в процессе инсталляции ОС
скрытый текст
https://docs.fedoraproject.org/en-US/Fedora/25/html/Installation_Guide/images/anaconda/CustomSpoke.png

Как видим - все по честному: для каждого создаваемого раздела в Anaconda предусмотрена возможность раздельного шифрования (отдельными, т.е. НЕ-root и НЕ-user паролями!)

https://docs.fedoraproject.org/en-US/Fedora/25/html/Installation_Guide/images/anaconda/ProgressHub.png

А вот как инсталлятор Anaconda отреагирует, если не дай Б-г не будут назначен пароль администратора и не создан новый пользователь! Кстати, если новый пользователь действительно не будет создан, то это ненадолго - ровно до первой загрузки системы, когда активируется мастер постинсталляционной настройки, и он однозначно предложит создать обычного юзера и присвоить ему пароль.

А вот это - общий подход "Красной Шапочки" к обеспечению ДЕЙСТВИТЕЛЬНОЙ и КОМПЛЕКСНОЙ безопасности ОС:

https://access.redhat.com/documentation … index.html

[UPDATED:]
скрытый текст
Red Hat Enterprise Linux 7 System Administrator's Guide

Important


There are several potential risks to keep in mind when using the sudo command. You can
avoid them by editing the /etc/sudoers configuration file using visudo as described
above. Leaving the /etc/sudoers file in its default state gives every user in the wheel group
unlimited root access.


By default, sudo stores the sudoer's password for a five minute timeout period. Any
subsequent uses of the command during this period will not prompt the user for a
password. This could be exploited by an attacker if the user leaves his workstation
unattended and unlocked while still being logged in. This behavior can be changed by
adding the following line to the /etc/sud o ers file:

Defaults
timestamp_timeout=value

where value is the desired timeout length in minutes. Setting the value to 0 causes sudo to
require a password every time.

If a sudoer's account is compromised, an attacker can use sudo to open a new shell with
administrative privileges:


sudo /bin/bash

Opening a new shell as root in this or similar fashion gives the attacker administrative
access for a theoretically unlimited amount of time, bypassing the timeout period specified
in the /etc/sudoers file and never requiring the attacker to input a password for sudo
again
until the newly opened session is closed.

А на линуксах я сижу с 2007 года.  С 2009 — исключительно на линуксах.  Розенфельд тогда ещё XMLки расширений лисьих в блокноте ковырял.

хочешь померяться "логами"?;)
я свою первую красную шапку тискал еще на 800-м дуроне с 128 оперативы и 20гб дятлом...  год думаю сам прикинешь.


Сейчас, всё бросил и стал искать то, не знаю что.

вот тебе для затравки http://www.opennet.ru/opennews/art.shtml?num=40744
походу я тоже ошибся с датой, то аж 2014 год..

А на линуксах я сижу с 2007 года.  С 2009 — исключительно на линуксах.  Розенфельд тогда ещё XMLки расширений лисьих в блокноте ковырял.

Николай, я подбирался к GNU/Linux потихоньку и неторопливо: ставил, тестировал, сносил. Тем более - до всего доходил сам: на всю мою многотысячную контору ни одного "линукс-гуру" не наблюдалось... Помню, как радовался, когда по почте приходила очередная порция CD от Canonical. Диски я получал, начиная  с версии 6 - Dapper Drake, значит это 2006 г.

И я знаю, что до этого успел попробовать и Debian, и Mandrake (не Mandriva!), и что-то еще. Точно помню, что кто-то из знакомых админов скачал и закатал мне набор дисков OpenSUSE 10 - и это тоже 2006 год. Потом я надолго влюбился в Slax, но это отдельная песня.

Первым сознательно и очень надолго установленным дистрибутивом был Karmic Koala, значит, речь идет о 2009 годе. Кстати, с точки зрения работоспособности, надежности и легкости он был чудесен! И идеально встал на мой нетбук, отлично подхватив все железо.

Общий смысл: продолжительность использования ОС особой роли не играет и критерием являться не может. Надо судить по личному прогрессу. К примеру, я с возрастом и опытом от "sudo" потихоньку перешел к благородному "su -" (причины, надеюсь, я изложил достаточно подробно)... А вот вы, судя по реакции, обозначенной чуть выше, - совсем наоборот! :) Так и у кого больший прогресс?

Или другой пример: один из местных сотрясателей воздуха вон тоже признался-похвалился, типа "одевал шапку на дюрон" в одна тысяча девятьсот лохматом году... И теперь он ходит, весьма гордый этим моментом! :) А толку-то, что он ее "тискал"?! Как был у него виндовый менталитет, так и остался. Как застрял он на устаревших познаниях, что "линупс" монтирует все в /mnt - так за эти годы ничего и не прибавилось. Значит, здесь вообще можно говорить не о каком-то прогрессе, а о явном регрессе.

... И что - я таким авторам "молдовских вирусов" обязан что-то растолковывать о SELinux, systemd, journald и прочем?! :) Да не в жисть!

Rosenfeld

скрытый текст

Как воду глядел

>>> что для немцев - цорес, то для нас, евреев, сплошной нахес!
Слепому же видно, что еврей Вы ненастоящий:
1. Шашлык свиной в שבת ели, огонь разжигали.
2. Работали в субботу (наставление писали).
3. И последний аргумент, который перевесит тысячу других. Когда true-еврей едет в отпуск?
В конце ноября, в бархатный сезон. А когда едет в отпуск Иван Иваныч Иванов? В лепёшку расшибётся, но уедет в июле.
И когда же, позвольте спросить, уехал наш уважаемый Rosenfeld? Таки в начале июля, даже 80 мегабайт непотраченного
трафика бросил пропадать. И в конце ноября вернулся.

И, кстати, картинка у Вас тоже ненастоящая. Вот оригинал
https://ipic.su/img/img7/fs/Fuck-linups.1481826024.jpg

>> Опять старые отговорки, когда самому нечего сказать: "погугли", "мне лень рыться"
> И что - я таким авторам "молдовских вирусов" обязан что-то растолковывать … :) Да не в жисть!

Двойные стандарты. Один не обязан растолковывать ничего, другие же обязаны растолковывать всё.

И вообще, это постоянное восхваление одной нации, к которой Вы не принадлежите, заставляет задуматься:
а не являются ли обманом и ежедневные хвалебные речи в адрес линуксов? Признайтесь уже что у Вас десятая винда
и Касперский. Хуже мы к Вам относиться не станем.

Rosenfeld пишет:

К примеру, я с возрастом и опытом от "sudo" потихоньку перешел к благородному "su -" (причины, надеюсь, я изложил достаточно подробно)...

Так ведь su тоже небезопасно использовать. Использование su открывает вредоносному ПО возможность повысить свои привилегии с пользовательских до root. Простейший пример атаки: используя права пользователя гипотетический вирус добавляет в .bashrc alias su='/path/to/fake_su', где fake_su так же, как и su, спрашивает пароль, затем вызывает обычный su, чтобы пользователь ничего не заметил. И ждём, пока пользователь введёт пароль root при попытке вызвать su. Чтобы защититься от этого, остаётся фактически только логин root-ом из консоли.

в общем, ни к чему не пришли... виндузоиды отдыхают...:|

negodnik

скрытый текст

Слепому же видно, что еврей Вы ненастоящий

По теме: http://www.translarium.info/2016/12/ear … .html#more - "Так нам класть подарки под индейку или как?!"

1. Шашлык свиной в שבת ели, огонь разжигали.
2. Работали в субботу (наставление писали).
3. И последний аргумент, который перевесит тысячу других. Когда true-еврей едет в отпуск?

Черт возьми, раскололи! :) Кстати, шашлык свиной в Шабат ем с большим удовольствием! ... Потому что все зависит от ВЕРЫ и БЛАГИХ НАМЕРЕНИЙ, а не от поступков! На эту щекотливую тему есть, кстати, отличный философский анекдот, привожу его специально для вас:

Едут в поезде католический падре, православный поп и ребе. После третьей бутылочки речь конечно же зашла о вере, чудесах и личном контакте с Ним.

Падре рассказывает:

- Двинулись как-то мы на рыбалку в районе Антибского мыса. И начался страшный ураган! Наш утлый челн уже тонул, когда я искренне помолился, обратившись к Г-ду с просьбой о помощи! И внезапно буря утихла, а мы чудесным образом спаслись!

Батюшка ему вторит:

- Помню то же самое. Сломался как-то посреди лютой зимы мой "Мерседес", и мы с братией застряли посреди заснежненной равнины. Замерзли жутко! Думаем: "ну все, конец!" Однако я начал истово молиться и в конце-концов разыскал в "бардачке" бутылку самогонки. Выпили - полегчало! А там через полчаса появились какие-то селяне с лошадьми и дотащили нас до ближайшей деревеньки.

Ребе говорит:

- Это все чепуха! Послушайте лучше меня! Как-то в шабат я наткнулся на улице на туго набитый бумажник. А поднимать-то его нельзя! Грех!

Все остальные, хором: "И что?!"

- Тогда я основательно помолился Ему! И Он СОТВОРИЛ ВОКРУГ ЧЕТВЕРГ!

Суть ясна? :)

И, кстати, картинка у Вас тоже ненастоящая. Вот оригинал

Выглядит чудесно, но это фейк. А оригинал (видео), с которого и сделан скриншот - вот:

https://www.youtube.com/watch?v=YxHqi8tx048 (эпичный отрывок)
https://www.youtube.com/watch?v=MShbP3OpASA (официальная запись интервью Линуса в финском университете Аалто)

Прикольный Турвальдс все-таки мужик! "Живой", а не какой-то там "-линукс-гуру", тем более - миллионер... Он, кстати, даже моложе меня!

Но вот ЭТОТ - однозначно лучше: https://www.youtube.com/watch?v=CP8CNp-vksc ... Как говорил классик марксизьма-ленинизьма: "Какая глыба! Какой матерый человечище!" Кстати, ссылку на видео привожу не просто так, а по текущей теме, потому что он как раз рассказывает про всеми любимую "Убунточку". :)

Двойные стандарты. Один не обязан растолковывать ничего, другие же обязаны растолковывать всё.

ИМЕННО!  Более того - имею на это полное право! Если вы заметили (пролистайте хотя бы текущую тему), то я практически всегда достаточно полно отвечаю на любые пользовательские вопросы: развернуто, по пунктам, со ссылками, цитатами и иллюстрациями, подтверждающими достоверность. А когда от человека потоком идет лишь стандартный набор фраз: "гуглите сами", "фанатики" и "пеши исчо", то я быстро прихожу к выводу: во-первых, в подобном "диалоге" полностью отсутствует "обратная" связь", во-вторых - вообще какой-либо конструктив. И тогда данный персонаж весьма быстро выпадает из поля моих интересов, ибо я привык общаться со взрослыми и ответственными людьми, а не со школьниками.


А этот вопрос я специально вынес за пределы спойлера, потому что он соответствует теме:

Признайтесь уже что у Вас десятая винда и Касперский.

Вы как в воду глядели! Потому что несколько дней назад пришла давняя подруга и притащила отличный мощный ноутбук с русскоязычной десятой виндой и Касперским. Все - лицензионное. И попросила снести это чудо кгб-шной инженерной мысли!

Полчаса я убил на то, чтобы обнулить пароль Касперского (который она, кстати, сама не(!) ставила), пытаясь выгрузить его. Потом снес! Потом скачал лучшее, что сейчас имеется: бесплатно распространяющийся COMODO Internet Security (комплекс из антивируса, HIPS-контроля, "песочницы" и мощного фаэрволла), инсталлировал, обновил и включил полную проверку носителей (ноут оказался аж с двумя физическими HDD!)

Результат: ВОСЕМНАДЦАТЬ вирусов, пропущенных "лицензионным" и платным Касперским! Подруга была в шоке и лишь спросила: "А за что тогда я платила свои деньги?"

Кстати, всех присутствующих хочу заверить: многолетняя практика показывает, что CIS последние лет пять-шесть действительно удерживает первую позицию среди комплексных бесплатных и платных антивирусных решений (это подтверждается результатами тестирований; см., к примеру, специализированный сайт matousec) и является лучшим средством в этой области. Кстати, он мультиязычный, и русский там переведен очень корректно.

Единственное, о чем хочу ПРЕДУПРЕДИТЬ пользователей, решивших его попробовать: надо ОЧЕНЬ ВНИМАТЕЛЬНО относиться к процессу установки! В частности, перейти в расширенный режим и ОТМЕНИТЬ инсталляцию:

- их "родного" браузера;
- службы GeekBuddy;
- многочисленных средств Яндекса, которые, к тому же, норовят поменять ВСЕ настройки во ВСЕХ уже установленных браузерах на свои!

Общий смысл: в процессе установки надо оставлять ТОЛЬКО связку "антивирус + фаэрволл" (рекомендую), либо один антивирус (но это зря, ибо нативный виндовый фаэрволл - это огромная проблема!).

... До этого я постоянно ставил друзьям AVG Free (Grisoft), тоже удерживающий верхние позиции, но, увы, за последнее время они стали зацикливаться на излишней демонстрации рекламы, плюс - честно предупредили пользователей, что активируют анонимную телеметрию (примерно как MoFo в случае с Firefox). Второе - однозначно неприятно, а первое - может спровоцировать неподготовленного пользователя к неосознанному обновлению до платной версии: один мой бывший одноклассник вот так сдуру кликнул на предложение "улучшить программу", и мне пришлось потратить час, чтобы вернуть все в исходное положение.

... Ну а потом я загрузил ее ноутбук с Live USB-Flash, на которой была установлена свеженькая, новенькая Fedora 25 (скорость загрузки ОС составила 32 секунды!), и подруга получила возможность восхититься всем великолепием КАЧЕСТВЕННОЙ и СВОБОДНОЙ операционной системы! И сразу захотела такую же! :) Но я пока чувствую, что она к этому подвигу все же не готова! К тому же, у нее имеются какие-то специализированные виндовые програмульки.

Возможно, сделаю ей впоследствии dual-boot. Перечитал: последнее предложение несет в себе смешной контекст, но да пусть остается! :)

X Strange

гипотетический вирус добавляет в .bashrc

Стоп-стоп! Не уподобляйтесь okkamas_knife в генерации предположений, а вначале прочитайте (до конца!) вот эту главу из глобального руководства Red Hat по обеспечению безопасности: https://access.redhat.com/documentation … iting.html Поверьте, там ОЧЕНЬ интересно!

.bashrc - обычный файл, поэтому любой доступ: 1) попытка обратиться к нему с помощью cat, 2) открыть в nano, vi, etc., а уж тем более - 3) записать туда чего-то - неизбежно будет зафиксирован службой аудита - если, конечно, вы удосужились создать правила на большинство из критичных файлов.

Так ведь su тоже небезопасно использовать. Использование su открывает вредоносному ПО возможность повысить свои привилегии с пользовательских до root.

Понятно! "Мяч налево - мяч направо!" .. Значит использование "su-" - открывает, а использование "sudo" - не открывает! :) Может тогда нам ВООБЩЕ следует отказаться от использования компьютеров, ведь ЛЮБОЙ ввод пароля или парольной фразы потенциально ОПАСЕН, ибо существует реальная возможность нарваться на "страшный молдавский вирус-шифровальщик"?! :)

И какие тогда лично у вас варианты? Поделитесь, пожалуйста! :)

Я привел выше по-крайней мере, аж десять(!) весомых доводов в пользу "su-". И особенно меня особенно ужасает ситуация (сам ее не встречал, тьфу-тьфу) с внезапным "обнулением" парольных фраз при использовании "sudo". И теперь задумайтесь - перевешивает ли ваш аргумент "тоже небезопасно использовать" - мои десять? :)

И еще: задумайтесь все-таки на тему, что у системного администратора все же будет поболе мозгов, компетенции и ответственности, чем у питекантропа, внезапно(!) заполучившего (с помощью шаманской магии sudo) вместо своего привычного кремниевого кресала ба-альшую дубину! :) Я прав?

Чтобы защититься от этого, остаётся фактически только логин root-ом из консоли.

А разве вы сами так не делаете? :)

P.S. Куда это задевался наш друг krigstask? Неужели битые вторые сутки подряд пытается деинсталлировать sudo? :)

По теме безопасности дистрибутивов: кое-что из хороших предновогодних новостей:

скрытый текст
https://diasp.org/uploads/images/scaled_full_69f34e9965272cc744da.jpg

Red Hat Enterprise Linux 7 получил сертификат безопасности FIPS 140-2

http://www.opennet.ru/opennews/art.shtml?num=45696

Компания Red Hat сообщила о сертификации дистрибутива Red Hat Enterprise Linux 7 (RHEL) на предмет соответствия стандарту безопасности FIPS 140-2. Ранее сертификация FIPS 140-2 была пройдена в 2013 году для ветки RHEL 6.x, но ветка RHEL 7 оставалась несертифицирована. Получение сертификата FIPS 140-2 является обязательным требованием к продуктам при их использовании в обеспечении защиты конфиденциальных данных государственных учреждений США и Канады. Сертификат подтверждает соблюдение требований к криптографическим модулям и выдаётся Американским институтом стандартов и технологий (NIST) совместно с Канадским Центром безопасности коммуникаций после досконального тестирования компонентов дистрибутива независимой тестовой лабораторией.

Сертификат получен для программно-аппаратных комплексов на основе RHEL 7.1 и серверов HPE ProLiant DL380p Gen8 with PAA, HPE ProLiant DL380p Gen8 without PAA, IBM Power8 Little Endian 8286-41A и IBM z13 (single-user mode). В качестве прошедших аудит и протестированных в независимой лаборатории системных модулей отмечены: crypto API ядра Linux, клиент и сервер OpenSSH, OpenSSL, GnuTLS, Libgcrypt (используется в GnuPG), NSS, IPsec-реализация Libreswan.

Дистрибутив и используемые в нём расширения для контейнерной изоляции также получили сертификат соответствия требованиям международного стандарта безопасности Common Criteria EAL4+ (Evaluation Assurance Level), который является НАИВЫСШИМ уровнем сертификации для стандартных коммерческих операционных систем, который можно достигнуть БЕЗ внесения специальных модификаций.


ПОДРОБНЕЕ:

https://diasp.org/posts/6500016

https://en.wikipedia.org/wiki/Red_hat
https://en.wikipedia.org/wiki/FIPS_140-2
https://en.wikipedia.org/wiki/NIST
https://en.wikipedia.org/wiki/Communica … ent_Canada

потrавлю-ка еще бедного розенфельда свежими дырищами в его любимом "безопасном" опенсорсе
http://scarybeastsecurity.blogspot.ru/2016/12/1days-0days-pocs-more-gstreamer-flic.html
https://scarybeastsecurity.blogspot.ru/2016/12/redux-compromising-linux-using-snes.html
и попрошу заметить что найдены и озвучены они лишь благодаря тому что товарищ решил немного целенаправленно покопаться именно с теми библиотеками(хотя вектор атаки вобщемто не нов), а сколько подобных дыр еще не найдено или найдено но не озвучено?
дада я помню "миллионы глаз"...

Rosenfeld

скрытый текст
> Потому что все зависит от ВЕРЫ и БЛАГИХ НАМЕРЕНИЙ, а не от поступков!
Как говаривал товарищ Ницше: «Сильная вера доказывает только свою силу, а не истинность своего предмета».
А благими намерениями выстлана дорога Вы сами помните куда. Не знаю, что с Вами сделает ребе за такие мысли,
а наши попы могут и кадилом врезать. Антивирус, против которого Вы выступаете, имено так и делает —
оценивает намерения, а HIPS оценивает поступки.

> пришла давняя подруга … с русскоязычной десятой виндой
> надо оставлять ТОЛЬКО связку "антивирус + фаэрволл" (рекомендую), либо один антивирус
Ага, «одна подруга с её парнем» (ссылку на лурку уж не буду давать).
А зачем Вы рекомендуете оставить антивирус, когда можно оставить один фаервол? Это называется вредительство.
Короче, в ближайшую субботу зовите эту подругу в гости (не забудьте про шашлык) и переустановите ещё раз.
Заодно посмотрите на название продукта, раз уж Вы его рекомендуете.

> Стоп-стоп! Не уподобляйтесь okkamas_knife в генерации предположений, а вначале прочитайте (до конца!)
Золотые слова. И Вы тоже не уподобляйтесь, раз уж он такой плохой. Помните с чего вся ругань началась?
Народ тихо и интеллигентно обсуждал антивирусы в винде. И никто (!) не обещал «отравить» молдовским
вирусом компьютер Vladimir’а_S. А один обладатель линуксов, вместо того чтобы «двинуть вперёд» (в линуксах
антивирусы не нужны же), набижал и взялся яростно критиковать характеристи батника, который не был предназначен
для заражения. Почему так произошло? Потому что кое-кто стал опровергать самим же собою сгенерированное
предположение.

UPD
> Выглядит чудесно, но это фейк.
Ну да, фейк. Пошутить хотел. Посмотрел запись интервью. Для тех, кому жалко трафика, кратко пересказываю:
Торвальдс что-то долго объясняет, потом предлагает задавать вопросы. Один человек, совсем не похожий
на старого еврея, кряхтя поднимается и говорит:
— Лец ми спик фром май олд джуиш харт. Ай эм линукс-юзер №526899. Я везде и всюду несу слово Твоё.
О чём бы не говорили, — о браузерах, рыбалке, сиськах, — я обязательно упоминаю линуксы. Неверные виндовозы
трепещут, едва завидев меня. Попаду ли я в царствие небесное?
Торвальдс молча показывает палец. Человек медленно садится и тихо шепчет себе под нос:
— Палец указывает вверх, значит попаду. Всё правильно делаю.

потrавлю-ка еще бедного розенфельда свежими дырищами в его любимом "безопасном" опенсорсе

... Офигительные дыры! Просто ужасающие! :) Но ты чуток опоздал. О них больной старый еврей написал еще двадцать четыре(!) дня назад в своем техблоге:

https://diasp.org/posts/6390021
https://diasp.org/posts/6389990

Ну-ка поднимите руку, кто знает, что за зверь такой - мультимедийный формат FLIC?! Google тоже не знает (впрочем, дальше первой страницы поисковой выдачи я не ходил)

По поводу первой "уязвимости нулевого дня", обнаруженной в мультимедийном фреймворке  Gstreamer, один из моих подписчиков дал неплохой развернутый комментарий.

Общий смысл (перевожу): "Что за странный мультимедийный формат FLIC - непонятно; уязвимость носит чисто "академический" исследовательский характер; уязвимость НЕ является "0-day", пофиксена (пофиксят) быстро".

BTW, It’s not a 0-day because we know about it. By definition, a 0-day is unknown to the general public.

To the best of my knowledge, I’ve never played a FLIC file. Lossless video, maybe? (Thinking of FLAC.) I have played OGV files that use the Theora codec.

from http://arstechnica.com/security/2016/11/elegant-0day-unicorn-underscores-serious-concerns-about-linux-security/

“The exploit is mostly of academic or research interest rather than having immediate practical significance because it has to be extensively rewritten to work on different Linux distributions. Combined with the relatively small number of people who play media files on any distribution of Linux, that means it’s highly unlikely that anyone will actively exploit the vulnerability. Still, with a little work, the attack Evans published for Fedora could be fashioned into a “full serious drive-by download exploit” when combined with a separate exploit he released last week for Google’s Chrome browser running on that Linux distribution. With more tweaking still, the exploits will work on non-Fedora distributions as well, at least until patches are released. On Tuesday, shortly before this post went live, maintainers of Ubuntu issued fixes, and more distributions are likely to follow in the coming hours or days.”

So, not very scary.

А второй сообщил, что "дыра" была исправлена в Дебиане всего за пять дней.

fixed in Debian I believe 5 days ago.

По поводу второй "уязвимости" чей-то комментарий был короче, но сущностнее:

Chrome! [chuckles derisively]

Перевожу: "Хром! [саркастически хихикаю]"

... И действительно - в мире GNU/Linux найдется мало дебилов, чтобы затаскивать в свою свободную операционную систему проприетарное шпионящее дерьмо.

Короче открой для себя целый мир:

https://www.google.ru/search?q=windows+vulnerability
https://www.google.ru/search?q=нова … в+windows

И ты уж извини, я тебе больше отвечать не буду. Но не по причине обиды, а в целях сбережения времени. Я вовсе не обязан комментировать каждую чепуху, которую ты сюда вбрасываешь. Тем более - исключительно ради "гы-гы", т.е. без какого-либо анализа. И без обратной связи.

Заодно посмотрите на название продукта

Виноват, опечатался. От этого он хуже не стал!
Сейчас поправлю. Но если честно, я почему-то всегда называл его suite (он им и является). Да и не только я:

Войдите или зарегистрируйтесь, чтобы увидеть скрытый текст.

скрытый текст

О чём бы не говорили, — о браузерах, рыбалке, сиськах

Про сиськи понравилось; опубликовал у себя в блоге. Даже картинку чудесных линукс-грудей подобрал: https://diasp.org/posts/6506321

Спасибо! Признаться, люблю фимиам. :)

от скуки решил всетаки посмотреть что ж там на ссылочки розенфельд ответил
как и ожидалось - пшик.
а меж тем... про уязвимость  gstrimer писали давно(так что не стоит пальцы гнуть ято давно писал) и кагбэ исправили
но приведённые мной ссылки показывают что нихрена не исправили толком,поставили костыли на конкретные места и всё.
по поводу малоизвестного формата, ты походу нифига не понял как работает уязвимость.
чтож поясню грубо и кратко  ты открыл папочку, оболочка сканит файлы чтоб "превьюшки" заделать, при этом юзается гстример для обработки, соответственно если злоумышленник положит порченный файл то уязвимость проэксплуатируется и соответственно неважно насколько редкий формат, важно что гстриммер попытается его обработать.

про игру с терминологией 0-day я уж молчу..
уязвимость есть? есть. и на большинстве целевых тачек может быть проэксплуатирована.(вспомни сколько массово жила хартблид например)

ну и до кучи - сколько уже годков гстримеру? а? а почему только сейчас очухались? где зоркие миллионы глаз?
и ведь далеко не факт что тот кто  опубликовал дыру нашел её первым.

зы насчет FLIC  то свой первый видеоролик я сделал именно в нём
это формат анимации от автодеск был чтото типа анимированной гифки, еще досовских времён.
расширения fli и flc (отличия ща не вспомню)
млин ты даже гуглить не научился
набрать FLIC file format  тяжело?
первая же ссыль на вики с описанием
зато понтов море..

Если не рассматривать эвристический анализ, то работа любого антивируса основана на поговорке: дурак учится на своих ошибках, а умный на чужих. В дураках оказывается тот невезучий, кто первым ловит новый вирус. Умные же успевают получить обновление баз с новыми сигнатурами.

Rosenfeld пишет:

Понятно! "Мяч налево - мяч направо!" .. Значит использование "su-" - открывает, а использование "sudo" - не открывает!

Где я говорил, что использование "sudo" - не открывает [вредоносному ПО возможность повысить свои привилегии с пользовательских до root]? Открывает, ещё как!

Rosenfeld пишет:

И какие тогда лично у вас варианты? Поделитесь, пожалуйста!

Не использовать ни su, ни sudo.  Если нужны права root, заходить в систему изначально под root-ом, переключившись в текстовую консоль.

Rosenfeld пишет:

X Strange пишет:

Чтобы защититься от этого, остаётся фактически только логин root-ом из консоли.

А разве вы сами так не делаете?

Именно так и делаю. На самом деле, кроме этого использую и su, и sudo, но настройки этих программ отличаются от "умолчательных". В частности, выполнять по sudo всё подряд, как в ubuntu, у меня, безусловно, запрещено. Однако некоторые написанные мной скрипты, про которые я более-менее уверен, что они не дадут повысить привилегии, разрешено запускать под root-ом без пароля (почти сразу после запуска скрипты выполняют команду chroot, затем понижают себе права до пользовательских). Поскольку они выполняются без пароля, то пароль root гипотетический вирус не спалит, а через сами скрипты вряд ли сможет чего-либо достичь. Хотя кто его знает, какие уязвимости там могут быть?

На домашнем компе защиту не использую, вирусов нет (периодически убеждаюсь в этом с помощью CureIt! и Security Scan).
В организации Kaspersky Security Center + Kaspersky Endpoint Security. Полно полезных фич есть для обслуживания, постоянно пользуюсь.
Есть дебилы, ловящие всякое гэ каждый божий день. Не лечится. Каспер уже несколько раз за последний месяц ловил шифровальщики.