Источник:https://geektimes.ru/post/282760/

С целью соблюдения исторической правды и текущих реалий я бы изложил вводный абзац с небольшим уточнением:

А? Согласитесь, как по-иному сразу зазвучало?

А вот здесь - ни добавить, ни убавить!

Надо же! Человек для себя открытие сделал! Только приоритеты он расставляет некорректно, плюс - полагает, что на этом "обеспечение безопасности" заканчивается. А вот как это устроено в GNU/Linux:

0. Полноценное и тотальное распределение прав - как на каталоги, так и на каждый отдельный файл.

1. Полноценное полнодисковое LUKS (The Linux Unified Key Setup) шифрование. При инсталляции ОС шифруются: 1) "/" - системная область, 2) "/swap" - раздел подкачки, 3) "/home" - причем отдельно для каждого пользователя.

2. Вынос загрузчика -  раздела "/boot" - на внешний носитель (простейший аналог аппаратного ключа).

3. Обеспечение системы принудительного контроля доступа - SELinux (Security-Enhanced Linux) в enforcing-режиме. SELinux является не заменой, а следующим уровнем, работающим после классической модели безопасности Linux. Применение политик безопасности.

4. Глобальный менеджер системных сервисов  - systemd.

5. Фаэрволл в режиме "запрещено все, кроме того, что явно не разрешено" - firewald.

6. Журналирование действий ОС, прикладных пакетов и тотальный контроль за логами - journald.

7. Виртуализация: начиная от простейшего "sandbox", в который легко "оборачивается" любая прикладная программа, и заканчивая полноценными виртуальными машинами, когда из-под хоста запускается "гостевая" ОС, разворачиваемая из ISO-файла.

8. Перенаправление временных и промежуточных данных в TmpFS (т.е. не на HDD, а исключительно в RAM).

9. Обновление ОС и всего прикладного ПО из официальных репозиториев; автоматическая проверка электронной цифровой подписи (ЭЦП) каждого пакета. Прозрачные ("говорящие") названия каждого пакета и доступность расширенной информации о нем, плюс - о его зависимостях.

10. Гарантированное многопроходное уничтожение (а не простое удаление) критичных данных, включая логи ОС, демонов, сервисов и пользовательских файлов.

11. Резервное копирование критичных и пользовательских данных. Задание периодичности и автоматической синхронизации. Шифрование бэкапов.

12. Обеспечение приватности и защищенности любых коммуникаций, включая веб-серфинг, E-mail, голосовое (VoIP) и IM-общение: SSL/TLS, SSH, SFTP, The Onion Router (TOR), GnuPG, OTR (Off-the-Record Messaging); ZRTP (Z+Real-time Transport Protocol), используемый для Voice over Internet Protocol (VoIP). Шифрование и верификация DNS-соединений, минуя DNS-провайдера: DNSCrypt, DNSSec.

13. Опционально: сетевая система предотвращения и обнаружения вторжений, например Snort. система сканирования на руткиты, бэкдоры и локальные эксплойты - rkhunter (Rootkit Hunter). В качестве необременительного довеска (для сканирования сторонних носителей) - ClamAV.

Все вышеописанное - всего лишь приблизительная схема. Трудно ли это обеспечить? Отнюдь! Любые методы доступны "из коробки", легки в настройке и использовании, особенно если выполнять их из консоли/эмулятора терминала. Во-всяком случае, уж здесь точно нет никакой "магии", недоступной простому смертному пользователю... И лично я их использую повседневно.

Примечание: "из коробки" (если, конечно, речь идет не о специализированных разработках, типа Tails) в большинстве из GNU/Linux дистрибутивов придется доустанавливать из репозиториев лишь ZRTP (в составе клиента VoIP), DNSCrypt, DNSSec, TOR, OTR, Snort, ClamAV и rkhunter.

Пишу с Windows7. В системе нет комбайна класса Internet Security или антивирусной проги. А есть следующее:

Secunia PSI - для проверки всех программ на наличие известных уязвимостей.
Включено автообновление наиболее взламываемых программ.
EMET - усложнит внедрение малвари.
Firewall Windows включен.
ЯндексDNS следит, чтобы пользователь не зашёл на зараженные сайты.
Есть ручной антивирусный сканер Касперского, а любой файл из незнакомого источника можно на virustotal проверить.
Нет почтовых программ, только web-интерфейс.
UAC включен.

Ну что же, поскольку тема находится в соответствующем разделе, почему бы не пофлеймить?
Итак.
Прежде всего, я АБСОЛЮТНО не согласен с позицией инженера Билби. И вот почему.
1. Билби и иже с ним "забывают", что сегодня компьютер - это не инструмент в руках продвинутых айтишников, а ПРЕДМЕТ МАССОВОГО ПОТРЕБЛЕНИЯ. Как телевизор. Компьютерами обзаводятся пенсионеры, секретарши, рабочие, бухгалтеры, журналисты, крестьяне, писатели, художники, врачи и прочая, прочая, прочая. То есть люди, которые en masse и понятия не имеют ни о каких DNS-серверах, фишингах и прочем подобном. И основная задача антивирусного софта - защита именно таких потребителей. Неэффективно? Во-первых, вопрос дискуссионный, во вторых, обе стороны, и хакеры, и АВ-программисты, не стоят на месте.
2. Меры самозащиты, котрые предлагает г-н Билби, весьма сомнительны.
а) Требовать от рядового потребителя работы с паролями в десятки символов - утопия.
б) "Нормальному пользователю антивирус не нужен, потому что у него хватает ума, чтобы не ходить на сомнительные сайты". Знаете... я не компьютерщик, но где-то двадцатилетний опыт  имею (не считая работы с ЭВМ), и могу сказать, что нет-нет, да и попадаюсь. Например, участвуя в работе литературных форумов и помогая людям разыскать электронную версию интересующей их книги, подрываюсь на хакерских сайтах, где утверждается, что там якобы можно "скачать бесплатно без регистрации". И тут мой самый примитивный AVAST! начинает верещать, как недорезанная порося, я мысленно его благодарю и этим инцидент заканчивается.
в) "не устанавливать чужие флэшки". Хм... а что прикажете делать, если, к примеру, организаторы некоторых научных конференций требуют, чтобы электронная версия доклада была принесена именно на флэшке? Флэшка вставляется в конференционный компьютер, файл на него считывается, и флэшка возвращается владельцу. Между прочим, самым правильным со стороны докладчика является выбрасывание такой флэшки в ближайшую урну с предварительным расплющиванием оной молотком. Потому что вероятность заражения в этом случае ОЧЕНЬ высока. (Между прочим, однажды представитель оргкомитета одной конференции попытался на меня наехать: "после вас компьютер оказался зараженным!!!". Свой ответ приводить не буду: п.3.3 Правил не позволяет).

Можно продолжать список. Замечу лишь, что Linux - тоже не панацея по многим причинам, но это - тема отдельного разговора.

В общем, повторюсь, компьютер - это для всех, а не только для хитропопых господ Билби. И даже если средневзвешенная эффективность антивирусного софта составляет 50-60% (а на самом деле, думаю, выше), то это всё же лучше, чем ничего.

Неэффективно. Создатели антивирусов лишь реагируют на уже появившиеся угрозы. Вирусописатели всегда на шаг впереди.

Не надо требовать. Это его личное дело. Требовать можно на работе в соответствии с политиками безопасности на предприятии, но там спрашивать или уговаривать не будут, т.к. эти политики обязательны для выполнения, а не желательны.

Вот это и есть хитрый трюк, которым производители антивирусов дурят простой народ. Ничего плохого не произошло -- а антивирус уже старательно пытается пустить пыль в глаза своей, якобы, полезностью.

Нет. Ничего страшного не случится. Не надо верить маркетинговым материалам антивирусных компаний. Их прямая задача — впарить свою настойку змеиного яда.

Vladimir_S
Согласен по всем пунктам. И даже если эффективность всего...10 процентов, для старушки с ноутом на завалинке, это сбереженные нервы и деньги.

waldobert

Часто встречаю сей  *аргумент*. То есть, если антивирус блокирует известные вирусы но не блокирует новые то он бесполезен? Или известные вирусы становятся безопасными?
И да, вы сами себе противоречите. сначала, пишите что вирусы все же есть и антивирусы их отлавливают, хоть и на шаг позади, и тут же - а антивирус уже старательно пытается пустить пыль в глаза своей, якобы, полезностью.
Как то определитесь...всё же есть вирусы или нет...блокируют их антивирусы или нет.

Да, с опытом серфинга появляется некая интуиция но это держит в постоянном напряжении. И не везде и не всегда она срабатывает. Я не продвигаю антивирусы но и мне он не мешает.
В вируальной убунту не разбираю в серфинге дороги, вот тогда сразу видна работа антивируса, и нужен он или нет неискушенным, в правилах безопасности, домохозяйкам.

Маркетинговым материалам?!! Дорогой товарищ, да какое там - сугубо личный опыт! Не говоря уже о разговорах с сисадмином, который при слове "конференционный компьютер" выходил за пределы нормативной лексики.
Не, ну то есть конечно, если инфицирование компьютера - это "подумаешь, ничего страшного" или вообще все вирусы выдумывают в AV-компаниях, чтобы "впарить" свой продукт, а на самом деле их и вовсе нету, то да, "не случится".

Он дает ложное чувство безопасности пользователю.

Просто ими не нужно заражаться изначально, тогда и антивирус не нужен.

Дело в том, что, чтобы заразиться, необходимо исполнить код на пользовательской машине. Браузер этого сделать не даст без ведома пользователя. На что там "верещит" Аваст — непонятно. На что? От того, что пользователь зайдет на какую-то страничку, он не заразится. Поэтому вопрос, для чего Авасту нужно верещать? Не для того ли, чтобы показать видимость своей работы?

Может заблокируют, а может и нет. Гарантии здесь никто не дает, но внушает пользователю чувство ложной безопасности, от чего пользователь начинает вести себя неадекватно, и... заражается, несмотря на "НО У МЕНЯ ЖЕ КАСПЕРСКИЙ СТОИТ!!!". А зачем вообще покупать продукт, о котором даже его создатели не уверены, сработает он или нет? Это они называют "инструментом безопасности"?

Каким образом вставка флешки позволит заразить компьютер вирусом? Вот процесс по шагам, как? Флешка -- это просто носитель с файлами, от самого факта вставки ее в порт USB ты не заразишься.

waldobert

И тем не менее, известные вирусы блокирует. То что антивирус не панацея,  пишут чуть ли ни на каждом заборе.
Больший вред принесет идея продвинутых юзеров от отказа от антивируса.
Часто встречаю такую хохму - два года без антивируса и полет нормальный....раз в неделю сканирую списком сканеров (?!)

Сильно сказано но ни о чем. Если комп выключить, то проблемы с заражением вопче отпадут 

Антивирус не даст возможности сделать это пользователю, заблокировав исполнение.

А может все же заблокирует )
Еще раз
Речь не о каких то новых вирусах, каких то частных случаях, каких то крутых...программерах а о пользователях-домохозяйках.

вброшу вам еще немного моментов для обсуждения
1 как насчет того чтоб расписать что делает антивирус на компе к чему имеет доступ и какой контроль над этим имеет юзер и точно также расписать вирусы-троянцы и сравнить в чём разница?

2 защитит ли антивирус от:
а) флэшки с вирём которого нет в базе
б) флэшки-убийцы котороя сжигает аппаратную часть
в) от юзера которому очень хочется какуюто фиговинку но там требуют отключить антивирус
г) от некомпетентности погромистов и одминов как на серверах в сети так и пишущих софт для компа
в результате чего присходят эпик фэйлы в виде утечек данных с серверов или стирания данных с винта юзера
(привет яндекс-диску!)
3 как насчет компетентности разработчиков антивирусов?(когда сам антивирус становится бэкдором для всех желающих как это было с авастом ЕМНИП, ну и если покопать там у всех косяки найдутся)
4 а как насчет ресурсов которые жрут антивири и соответственно вынуждая юзера покупать более мощное железо?

А что не так?

Очень даже о чем. Никто пользователя заражаться не заставляет. Вот в чем проблема. А антивирусные компании жиреют на введении пользователя в заблуждение относительно чудо-свойств своих решений.

А не проще ли самому пользователю просто не запускать этот файл, вместо того, чтобы запускать его, и надеяться, что антивирус его заблокирует? В чем логика?

Пользователям-домохозяйкам антивирусы не помогают обычно. У каждой уважающей себя домохозяйки стоит какой-нибудь лицензионный касперский или др.веб, а комп весь завален кучей малвары. Потому, что если домохозяйка (или ее сын-школьник) хочет посмотреть вот этот порноролик GOVNO_ADULT_NIGGER_SUXX.exe, то он/она это сделает.

01-12-2016 10:46:49

Согласен по всем пунктам! Вот так дело и обстоит.

Еще как! Стоя, лёжа и "с колена". Или Вы всерьёз убеждены в том, что для хакера синхронизовать на зараженном компьютере процесс опознания нового носителя (флешки) с мгновенным копированием на на этот носитель как тела вируса, так и авторана, задача жуть до чего неразрешимая? Ну-ну, "блажен, кто верует"...

waldobert
Теперь и малварь пошла в дело в качестве аргумента )
Как угодно...только я не скажу простому пользователю о ненужности антивируса и не порекомендую не устанавливать его.
Демагогия на тему чей сахар слаще...дальше измышлизмы на уровне кода...там и линуксоиды подтянутся

Я вообще не понял, о чем речь. Какие хакеры, какие синхронизации опознания носителя? Вот флешка с условными "рефератами". Вот мой компьютер. Я вставляю флешку в компьютер, каким образом мой компьютер тут же окажется поражен смертельной болезнью? По шагам, если можно, для тупых.

Я просто говорю, если спрашивают — хотите ставьте, хотите не ставьте, ваше дело. Но поставив, не совершайте ошибки, считая, что вы теперь в полной безопасности.

Пункт 1 не очень понял, а вот по пункту 2 - отвечу.

Фифти/фифти. Дело в том, что представление об антивирусе, как о софте, защищающем ТОЛЬКО от известных вирусов, не совсем правильно. Качество ХОРОШЕГО антивируса определяется встроенным в него эвристическим анализатором, который опознаёт подозрительные цепочки кодов и принимает меры защиты: блокировки, предупреждения и т.п. Поэтому вирус, имеющийся в базе, антивирус может уничтожить, а НЕ имеющийся - во многих случаях заблокировать, не дав ему свершить дело чёрное.

Никто и не утверждает, что антивирус - это АБСОЛЮТНАЯ защита. И если придурок захочет заразить свой комп (ну или просто "кладёт") на предупреждения - таки да, заразит. И что? Поэтому антивирус устанавливать не надо, раз на свете есть придурки-юзеры и безграмотные админы? Так?

А вот на то и есть конкуренция среди производителей антивирусного софта. Потребление ресурсов - один из важных параметров. Но, конечно, что важнее - решать владельцу компа. Хозяин-барин, кто ж спорит...

Иными словами, очередная "магия", которая "возможно, сработает, возможно не сработает, а, возможно, сработает ложно". Остается только верить, но проблема в том, что понятия вера и информационная безопасность как-то не очень рядом смотрятся.

Если на Вашей флешке с рефератами помимо рефератов сидит вирус и программа его автозапуска (авторан), то как только Вы вставите флешку, этот авторан тут же запустится, скопирует вирус на Ваш жесткий диск и запустит. Это, знаете ли, азы.
Вот поэтому грамотно написанный антивирус прежде, чем разрешить доступ к запуску исполняемых файлов на флешке, оную отсканирует и либо вычистит, либо заблокирует.

С чего вы взяли, что авторан запустится? Вы Windows давно видели, или последним был 98-ой?

Знаете... мне апломб противников установки антивирусного софта напоминает логику типа "зачем запирать (или вообще ставить, если не холодно) входную дверь в квартиру? Домушник дверь всё равно взломает и замки вскроет, так что лучше в целях безопасности жилища оставить пустой проём".
Может быть, и так. Только я всё же предпочитаю иметь входную дверь.

Не согласен с такой аналогией. Вот если бы мы ставили замок на входную дверь, который бы отпирался любым ключом, форма которого была бы ему неизвестна, то да. То есть уже известные ему отмычки бы он блокировал, а любой новой отпирался на ура.

Ну это уже опять по второму кругу...
Вообще, на самом деле, по большому счету, предмета спора-то у нас с Вами и нет. Потому что я полностью согласен с позицией (что, кстати, отмечал выше):

Единственное, с чем я НЕ согласен, так это с логикой типа "антивирус не обеспечивает АБСОЛЮТНОЙ защиты, поэтому ставить его не надо". Всё-таки с ним как-то малость спокойнее. Но, конечно, мозги отключать не следует.

C этим я полностью согласен. Я больше зол на антивирусные компании. Из-за их маркетинга, пользователи зачастую уверены в своей абсолютной защите, если у них стоит антивирус.

Vladimir_S к вопросу о сигнатурах и неизвестных вирях
проведём простой тест
что скажет ваш антивирус на батник следующего содержания:

winrar a -m5 -r -ibck -dw -y -hpololo testme.rar *
echo faily zashifrovany! > test.bat
del test.bat /Q

Ничего не скажет, бо не буду я его этим кормить. Я как-то трусоват от природы...

а чего его кормить то? скопировать в блокнот текст и сохранить с расширением bat  если антивирь на этом этапе не заругается то через контекстное меню попросить проверить этот файл и удалить потом.
ну и сохраняй в отдельную папочку вдруг мышка дернется и ты запустишь его а на тачке винрар стоит и в путях прописан
впрочем даже на эттот случай пароль у тебя есть - ololo
проверь так ли уж защищает тебя твой антивирус?
это собсвенно намёк на то что напакостить можно и легитимными с точки зрения антивируса средствами.
главный вирус это юзер запускающий всё подряд.
впрочем ему и запускать не нужно - достаточно сохранить файл в нужное место.

Ну да, ну ничего мой бесплатный AVAST! какой-то лохматой версии не узрел в этом файле.

Так с этим никто не спорит - ни я, ни другие. Для меня антивирус - это помощник, а не панацея. Просто я остаюсь при своём мнении: лучше всё же с ним, чем без него. Особенно когда бегаешь по Сети под админкой.

ну естественно - действия совершаеиые тем батником вполне себе легитимны, и докторвеб в нём не узрел ничего например. а меж тем испортить жизнь юзеру может очень некисло..
вся проблема в том что уровень вирусописателей сейчас по большей части вообще никакой и вся эта защита в основном от них..

глупо и небезопасно.
вот представь нет у тебя ни пояса по карате ни дубинки ни пушки, сунешься ты в гетто? пойдешь срезать по подворотням? пойдешь мимо толпы чуваков гонического вида? ессно нет если не совсем дурак. а значит останешься цел и жив
а вот у тебя пушка в кармане? ессно попрешься в те места - у тебя же ПУШКА! там то тебя и пристрелят или кирпичом по затылку...
ложное чувство безопасности сыграет с тобой злую шутку.
то же самое твой аваст только он даже не пушка а газовый балончик который хорош только комаров да болонок пугать.

okkamas_knife, дружище! Ты меня окончательно разочаровал! Битых два часа пытался активировать твой "батничек" у себя в ОС - ничего не выходит. НЕ ЗА-ПУС-КА-ЕТ-СЯ! ... Все какой-то дурацкий winrar спрашивает, только вот нет его у меня, увы. Равно как и "батнички" не срабатывают. Вывод - либо у меня "церковь" ОС неподходящая, либо у тебя - "гранаты не той системы".

Но разочаровал даже не этим. Исходный код - типичный пример "молдовского вируса" из разряда: "пожалуйста, запустите меня руками (и, умоляю - лучше всего из-под администратора)". Если ВСЕ другие подобные вирусы-"шифровальщики" действуют схожими методами, то мне искренне жалко их создателей!

А чтобы наш Vladimir_S не трусил, я не поленился найти man по консольным командам (сам понимаешь, я твой winrar с 2002 года в глаза не видел). И вот что там за синтаксис:

Как видим, никакой магии, словно исходный код писал школьник. Только ты учти одну большую проблему: указывать пароль в теле твоего "вируса" - это моветон; проще говоря - смехота. Если даже ты перезапишешь тело "батничка", то ведь его не святым духом принесло на машину пользователя, правда? Он обязательно должен быть скачан откуда-то из интернета (и доступен по ссылке или остался в кэше браузера) или пришел с каким-то сторонним носителем. Следовательно, исходный файл может быть найден, проанализирован, и твое "ололо" будет лежать, как на ладони. А если ты не укажешь принудительно пароль, тогда процесс исполнения обнаружит себя диалоговым окном (а то и двумя, т.е. с подтверждением): "введите пароль для создаваемого архива".

Так что это, увы, не вирус! И я не понимаю - с какого перепуга вдруг на него должен реагировать антивирус. Вот смотри, у меня в алиасах в ~/.bashrc прописана (только гораздо грамотнее) абсолютно аналогичная команда:

Одним словом, я полностью согласен с твоими словами:

Так что если у тебя это "вирус", то у меня - это алиас! Или, выражаясь иначе: что для немцев - цорес, то для нас, евреев, сплошной нахес! Это понятно?

P.S. Никогда(!) не используй в офтопике команду del! Она ничего(!) не "уничтожает".

P.P.S. Совет: лучше бы ты назвал свой файл не test.bat, а Golaya_Anna_Kurnikova.JPG.bat -  больше было бы шансов, чтобы какой-нибудь дурак дважды щелкнул по "фотке". В офтопике "расширением" считается все то, что следует после первой повстречавшейся точки - и именно так и заражается куча идиотов, ведь винда традиционно не только "определяет" тип файла именно по "расширению" (поэтому исполнимый файл очень легко выдать, скажем, за мультимедийный), но и так же традиционно вообще не показывает расширения в диспетчере файлов. А вот в GNU/Linux этот фокус однозначно не прокатит: ОС определяет тип файла исключительно по их заголовкам, а не по каким-то там условным "расширениям". Вот почему в ОС, как правило,  у файлов вообще НЕТ никаких расширений. Дополнительно см.: $ man file

Rosenfeld
рука-лицо.
иди учи матчасть.

Слабенько как-то ты высказался... Хотя, соблюдая историческую справедливость, замечу: я ж сразу чуть выше выдвинул предположение, что эти мои команды окажутся для тебя слишком сложными...

Но насчет руки - ты прав! Потому что тебя не раз в других темах ловили за руку на том, что ты выдашь "на-гора" что-нибудь эдакое для всеобщего обозрения, а когда люди начинают просить: "ну-ка докажи!" или "пруфы в студию", быстренько линяешь. Я прав?

Стандартные типы твоих ответов: "Мне это неинтересно", "Гугл в помощь!", "Вам надо - вы ищите!" или (гордо): "Учите матчасть!" ... Мне и в самом деле такой modus operandi сильно напоминает манеру общения школьника или студента; но я-то отлично знаю, что ты к подобным категориям граждан не относишься, вот почему мне чуток неудобно, что ты стал скатываться до такого стиля.

... Если уж генерируешь идеи, высказываешь гипотезы, ты бы их хоть как-то подкреплял, а? Хоть тезисно! А уж особенно - когда пытаешься кого-то опровергнуть.

И за примером ходить не надо: вон, человек, требовавший доказательств, из-за тебя замечание схлопотал: https://forum.mozilla-russia.org/viewto … =70440&p=2

Скажи, у всех пользователей офтопика ныне такая бездоказательная манера общения, или у тебя одного: https://forum.mozilla-russia.org/viewto … 58#p726558

P.S. Так насчет своего "вируса" пару слов скажешь или нет? В частности - о проблеме задания пароля.

я не собираюсь комментировать твою ахинею.
кому нужно тот разберётся почему то что ты пишешь я считаю бредом.
и можешь дальше не стараться - теперь твои сообщения я больше не увижу ибо надоел своей глупостью и неадекватностью.

Ну понятное дело... Это мы уже неоднократно слышали: типа здесь тусуется одна вшивая школота, которая тебя не понимает и недооценивает, плюс - больной на голову Rosenfeld... Но вот есть где-то "там" большие пацаны, которые "разбираются"

P.S. Ты чего-то и в самом деле последнее время стал часто обижаться. Если что сильно не нравится - извини!

извини пропустил както этот момент
вот что делает недостаточное знание как оно работает!
что есть флэшка? это юсб устройство то бишь разъём + чтототам внутри (мы же не сверхчеловеки чтоб видеть насквозь и по разводке чипа определять что он делает)
так вот про юсб клавиатуру думаю слышал? и про юсб хабы и про составные устойства?
втыкаем флэшку, система находит диск и клавиатуру (в нашем случае виртуальную)
и та клавиаура посылает системе заранее запрограммированные сочетания клавиш.
то есть совсем грубо флэшка сама откроет диск и запусти зловред который на нём. для системы это будет выглядет как юзер набравший на клавиатуре команды для запуска. и отключение авторана тут не спасёт.
и линупс тоже ибо команды то от "юзера" идут.
и такие "флэшки" уже есть.
ну и опять же китайцы быстро фишку ловят и подозреваю что подобная фигня с троянчиком работающим на них уже массово выпускается под видом обычных..

Ну описанный случай -- это из области теоретической. В принципе, почему сразу флешка? Любая периферия, любые комплектующие представляют из себя неизвестно что внутри. Кто поручится, что в материнской плате, в процессоре, не встроен malware? А Intel Management Engine, который суть черный ящик, имеющий полный доступ к системе и железу, и никто не знает, что там выполняется? Так и тут, любое компьютерное железо может быть модифицировано так, что теоретически может принести вред пользователю, но на 100% защитить себя от этого невозможно. Да и не нужно.

Ну вот я включил USB-клавиатуру, что я должен на ней нажать, чтоб гарантированно в своём линупсе запустить какое-нибудь ` /usr/bin/printf 'PWND\n'` или что-нибудь типа того?  На винде, конечно, есть гарантированный Win-R (или как там оно у вас?), но это, мягко говоря, будет заметно.

ну погугли мне просто лень рыться в новостях ибо древняя, там даже пруфы и исходники были..
если мне не изменяет память весной вроде проскакивала.
ну и немножко мозг включи - переключиться в терминал по хоткею не проблема Ctrl+Alt+Fn или win+r для запуска в винде
а там уже набирай что хочешь
ну и неужели ты думаешь что скрипт будет нажимать клавиши настолько медленно что ты увидишь и поймешь?
насколько помню там еще и детект операционки был по реакции на нумлок или скроллок.
тоесть втыкаешь флэщку она детектит вин это или никсы и выбирает соответствующую последовательность для передачи
в никсах зайти в папку mnt и там пробежаться по подпапкам ища нужный файл для запуска
в винде тупо d:\virus.exe e:\virus.exe итд и если попал на диск флэшки то он запустится .
както так..

Для поднятия настроения окружающих:

Эта проблема существует не с момента "где-то весной проскальзывала новость", а о ней официально было объявлено почти три года назад - на конференции Black Hat USA, 2014.

Авторы исследования - немцы Karsten Nohl (Карстен Ноль) и Jakob Lell (Якоб Лелль) из Security Research Labs - https://srlabs.de/

Уязвимость называется "Bad USB".

Замечу: проблема на самом деле достаточно глобальна, и относится ко всем типам устройств класса USB HID (human interface device), призванных стандартизировать и облегчить взаимодействие пользователей с множественными девайсами. Это достаточно удобная технология, потому что она позволяет выдавать одно HID устройство сразу за несколько. Примеры: фотоаппарат/видеокамера - он же выносной носитель; звуковая гарнитура - одновременно и наушники (out), и микрофон (in).

Что сделали немецкие исследователи? Они провели успешный реинжениринг и потом впоследствии перепрошили USB-контроллер Phison, внедрив на носитель софт для нескольких типов атак, предназначенных для:

1) заражения иных USB HID-носителей;
2) имитации выносной клавиатуры;
3) имитации сетевой карты, например - с подменом DNS-сервера на сервер злоумышленника и последующего перенаправления на фальшивые сайты;
4) выхода за пределы изолированного окружения виртуальной машины с последующим повышением привилегий;
5) заражения ОС при использовании загрузочной/инсталляционной флэшки.

Подробно проблема описана в сетевом журнале "Wired" - https://www.wired.com/2014/07/usb-security/

Слайды презентации (PDF) опубликованы на сайте Security Research Labs - https://srlabs.de/wp-content/uploads/20 … sec-v2.pdf (ах, да, совсем забыл, что okkamas_knife боится скачивать и открывать PDF!)

Исходный код прошивки, включая софт для атак, был впоследствии размещен на GitHub - https://github.com/brandonlw/Psychson

... Так что некоторые школьники вполне могут ощутить себя "настоящим ксакепом" и потренироваться с инфицированием родного виндоофтопика, равно как фотоаппарата сестры и маминого смартфончика!

Теперь о главном. Винда меня не интересует полностью, и я отдаю себе отчет в том, что с ее "безопасностью" можно творить ЛЮБЫЕ чудеса! Поэтому рассмотрим применение уязвимости в GNU/Linux. Я провел небольшой анализ; исходя из презентации, приведен всего лишь один способ "заражения" Linux-машины, и он тесно связан с совпадением сразу(!) нескольких условий:

А. ОС должна поддерживать использование Б-гомерзского sudo (привет, Убунточка!) - то есть систему временного повышения привилегий обычного пользователя.

Вот что, кстати, говорит моя любимая "Красная Шапочка" про использование sudo: https://diasp.org/posts/5814100 (почитайте, там действительно смешно, и даже имеется эротическая картинка! а еще - ссылка на прикольное мнение о Линуксе небезызвестного lleo)

B. Соответственно, ОС должна использовать Polkit (бывшую PolicyKit) - https://en.wikipedia.org/wiki/Polkit

C. Пользователь обязательно должен быть принужден(!) к осуществлению некоторых действий, связанных с введением своего (НЕ-администраторского!) пароля - например, при разблокировании хранителя экрана. Естественно - с последующим перехватом пароля.

D. К этому времени у пользователя в USB-порту уже(!) должна находиться чужая злонамеренная USB-флэшка!

Таким образом, без раскрытия-перехвата пользовательского (даже не администраторского) пароля активация вредоносного ПО гипотетически(!) может произойти только(!) в пределах обычного "урезанного" пользовательского окружения: ~/

К тому же, лично мне из презентации не столь ясно - где именно расположено прикладное вредоносное ПО, непосредственно осуществляющее несанкицонированные действия. Насколько я понял, перепрошивка была совершена для того, чтобы добавить в нее дополнительный идентификатор HID и выдать носитель, скажем, за выносную клавиатуру. Я абсолютно не уверен, что в микроскопической по объему прошивке могут разместиться все средства несанкционированного доступа/модификации, описанные выше в пп. 1-5. А это значит, что они в "открытом виде" хранятся на основном носителе. Что само по себе смешно! Правда, могу здесь ошибаться.

... А что уж там будет делать в пользовательском разделе /home наш "зловред" - сказать трудно. Наверное, попытается исполнить rm -Rf * (но к счастью, во всех вменяемых дистрибутивах GNU/Linux такая возможность давным-давно блокирована). Или попробует запустить знаменитый "молдавский вирус-шифровальщик" имени okkamas_knife - да-да, тот самый, который хранит свой пароль в открытом виде!

Замечу, что каждый контроллер уникален, и для любого из них надо разрабатывать отдельную зараженную прошивку. Уникальны даже разные версии одного и того же контроллера. К тому же не забывайте - исходные коды закрыты производителем, и вам предстоит вначале осуществить предварительный и тщательный реинжениринг!

Так что подготовить "универсальное" ПО и использовать его на любом микроконтроллере невозможно. К тому же, у всех контроллеров отличаются процедуры прошивок. То есть подготовить "универсальную" прошивку на все случаи жизни, со всеми вариантами атак и для всех ОС невозможно в принципе!

Таким образом, делаю промежуточные выводы:

Первое. Чтобы "заразить" (перепрошить) какую-то другую флэшку, параллельно подмонтированную в ОС, необходимо, чтобы нашему "зловреду" повезло настолько, что вторая оказалась бы с аналогичным контроллером. Причем исследователи создавали прошивку под конкретный случай: PS2251-03 firmware version 1.03.53 и честно предупреждают: мы тестировали, но не знаем, повезет ли вам с другими! Оно "может заработать", но "будьте осторожны". Вот здесь, кстати, на основе пользовательских откликов составлен список совместимого и несовместимого железа - https://github.com/brandonlw/Psychson/w … ed-Devices

Второе. Данный вид атак достаточно туп по своей сути. Так, он имитирует STDIN, но не может контролировать STDOUT - то есть исходящий поток информации, отображаемой в том числе и на мониторе. Соответственно, ПОЛНОСТЬЮ отсутствует обратная связь между злонамеренным софтом и непосредственной реакцией на его действия со стороны ОС. "Вирус" будет тупо пытаться выполнять какие-то заранеее предопределенные действия, не обращая внимания на правильность их выполнения. То есть - биться головой об стену. К тому же он, бедный, выдавая себя за "клавиатуру", на самом деле не в состоянии определить текущую пользовательскую раскладку или такой простой факт - выполнен ли вообще вход в ОС.

Третье. Я с трудом могу представить, чтобы в ОС, снабженной системой безопасности SELinux, мог бы пройти незамеченным любой чих, связанный с попыткой переопределения политик, изменения ролей, равно как и с другими "необычными" и нехарактерными действиями.

Четвертое. Практически уверен, что не пройдет и "незаметная" попытка создания нового сетевого соединения через новую фальшивую "карту", равно как и переопределение DNS-сервера на фейковый. Тем более, в моем личном случае - когда я использую DNSCrypt и осуществляю резолвинг не с внешнего, а с "внутреннего" нестандартного адреса - 127.0.0.2 (...т-с-с, адрес 127.0.0.1 недавно запрещен Роскомнадзором!)

Пятое. Необходимо слишком много совпадений условий, чтобы атака прошла благополучно. Так, к примеру, лично я не использую sudo, не применяю хранитель экрана (именно о нем упоминают немецкие исследователи) и, естественно, работаю с донельзя урезанными правами. К тому же, я принципиально не вставляю чужие носители в ОС, содержащую критичную информацию (это общепринятое ГЛОБАЛЬНОЕ правило безопасности), равно как и не подключаю к ней потенциальные источник угроз - смартфоны, фотоаппараты и т.п., даже если они "просто поставлены на зарядку". А уж  тем более - чужие!

Шестое. Атака Boot Injection возможна только в том случае, если я окажусь полным идиотом и оставлю где-нибудь в порту USB-устройство; тем более - в такой критичный момент, как перезагрузка ОС. К тому же, в этом случае носитель должен содержать вирус уже не в своей прошивке, скрытой от глаз обычного пользователя, а непосредственно в общедоступной области. И надо быть полным кретином, чтобы невооруженным глазом не заметить на своем(!) накопителе посторонние файлы! Да и откуда они там возьмутся?

[UPDATED] А еще забыл упомянуть вот о какой смешной вещи - ведь этому бедному вирусу надо ж где-то жить! Не будет же вечно у меня в машине торчать чужая флэшка. Мы уже убедились, что "перепрошить" он может лишь девайс с аналогичным или схожим контроллером, если тому доведется физически присутствовать в машине. Значит, он постарается прописаться на винчестере. А это означает, что он, как и любой другой вирус, может быть найден и обезврежен. Вон, уже и антивирусное средство выпущено, которое блокирует запуск таких флэшек... Ссылку давать не буду, так как терпеть эту контору не могу! Они постоянно распространяют новости "про СТРАШНЫХ ВИРУСОВ В ЛИНУПСЕ" не хуже чем okkamas_knife.

ОБЩИЕ ВЫВОДЫ (только для GNU/Linux):

0. Атака является теоретической.

1. Атака является целевой, подготовленной для конкретной ОС, и не предназначена для "массового поражения".

2. Для проведения атаки ОБЯЗАТЕЛЕН физический доступ к компьютеру, причем в момент его работы.

3. Для проведения атаки ОБЯЗАТЕЛЕН доступ к USB-портам.

4. Без перехвата пользовательского пароля (который обязан ввести сам владелец машины) и последующего повышения привилегий ущерб для ОС от проведения атаки стремится к нулю или ничтожен.

Таким образом, это очередной вирус из разряда "Дяденька, запустите меня, пожалуйста, руками! И, умоляю, дайте мне пароль!" ... Я уже писал о чем-то подобном ранее.

МЕРЫ БЕЗОПАСНОСТИ:

Выражусь грубо, но очень четко и емко:

Это были простейшие правила гигиены от Rosenfeld'a. Они касаются как безопасности при использовании съемных носителей и сторонних девайсов, так и вашей интимной жизни.

Всем желаю счастья и успехов! (с) "Вы там держитесь..."

Оригинал публикации: https://diasp.org/posts/6484328

в результатах поиска вижу тут розенфельд прибежал отметиться своими "умными" мыслями
(сообщений то я не вижу)
потому пну его насчет "неуязвимого" линупса
http://www.opennet.ru/opennews/art.shtml?num=45669
эпичная же дырища

PS
хотя это сообщение скорее будет полезно для адекватных но мало знающих людей - побудит всётаки разобраться а не слепо верить религиозным фанатикам.

Экая лафа наступила: теперь не наблюдаешь, как тебя тут, аки котенка, тычут мордочкой в экск... я хотел сказать - в очередной раз ловят на неграмотности. Зато другие-то участники форума видят! И смеются!

Мне лень повторяться, поэтому я тебе приведу цитату "из Розенфельда". Кстати, из разговора с тобою. Ты, наверное, запамятовал малость или, как вариант, косишь под дурачка:

Дружище, ОЧЕНЬ прошу: ну не выставляй себя малокомпетентным болтуном, а? Ты - отличный генератор самых безумных идей; но вот с доказательной базой и их реализацией у тебя неизменно туго!

P.S. Ты скоро такими темпами (когда окончательно кончатся "аргументы" типа "дыры в роутерах") будешь хвататься за любую желтую опен-нетовскую "новость" об "уязвимостях" в умных часах или скороварках и вопить от радости: "Ну вот же! Вот в вашем линупсе опять уязвимость обнаружили!"

скрытый текст

Linus Torvalds как бы намекает...

пинок достиг цели!
даже не читая прозреваю какие тезисы в ответе
там плохой линупс,неправильный
вы все некомпетентны а я специалист потому что сижу на линупсе.
и что нибудь про столлмана и торвальса.
пешы исчо!
хотя лучшеб матчасть изучил и попытался освоить хотябы жабаскрипт хоть немного и закодить чтото сам.
мне лично нет нужды комуто чтото доказывать и если человеку лень самому искать подробности то это его проблема.

Поучи-ка меня ещё, ламер виндовозный.
Ну переключился в tty1.  Печатай что хочешь в приглашение о вводе логина, не проблема.

Пф, а открытие-закрытие окна ты не заметишь, конечно.

Как можно определить операционку по реакции на клавиши?  Клавиатуре-то кто скажет, какая там реакция?  Разве что велят LED переключить.

Ты как-то по кругу повторяешь один и тот же набор стародавних мантр: "матчасть", "учите", "фанатики", "столлмэн".  Неужели ты в самом деле думаешь, что участникам форума интересно это читать? При этом - ни единой толики интересной информации ОТ СЕБЯ. Сссылки на опеннет, увы, таковыми считаться не могут.

Лично мне - никогда не лень "искать подробности". Вот тебе хороший пример, чуть выше.

Как только ты начал нести невменяемую чушь о "новом страшном вирусе в линупсе", я не только отыскал исходную(!) информацию, но и провел ее анализ - последовательно, по пунктам, с доказательствами, пруф-ссылками и выводами. И что же - последовательное уличение тебя во лжи сильно повлияло на тебя самого? Да нисколько! Ты утерся и резво понесся дальше, повторяя одну и туже жвачку про "линукс-фанатиков".

А до этого что я сделал? Опять же в текущей теме - последовательно и с доказательствами - проанализировал твою бредовую идею "молдавского вируса-шифровальщика" (который хранит пароль в открытом виде и запускается самим пользователем!). И для этого мне тоже необходимо было "искать подробности" - хотя бы руководство по консольным ключам трижды не нужного(!) мне WinRAR'a (и не только их).

Ну и что же? Да аналогично: тебя ткнули мордочкой в собственные несуразицы, ты тут же завопил "рука-лицо", "учите матчасть!" и побыстрее слинял! Впрочем нет: ты еще и разобиделся на меня до такой степени, что сделал вид, будто "не читаешь больше" мои сообщения. Такая школьническая обида и школьническое же поведение тоже о многом говорят.

Причем я особо и не горжусь данными двумя фактами: мне в этой жизни интересно ОЧЕНЬ многое, поэтому таков мой обычный стиль работы в  любой области знаний - исследовать, изучать, структурировать и тут же излагать на бумаге... В отличие от постоянно повторяющихся заявлений, типа:

Так ты что - этим гордишься что ли? Тебя б с таким подходом в два счета выставили с любой "ксакепской" конференции, если бы ты начал нести с трибуны бездоказательную пургу, а потом гордо заявил бы присутствующим: "А доказательства - гуглите сами"

Причем для подобного типа людей (выдвигающих бездоказательные мнения) имеется свое, и очень меткое определение. Правда я не рискую приводить его здесь, так как на форуме могут присутствовать детишечки до 18 лет.

Так что и это мы тоже слышали! Неоднократно. И, самое главное, на эту фигню я тоже уже отвечал:

https://forum.mozilla-russia.org/viewto … 04#p727404

Может чуток сменишь заезженную виндопластинку и напишешь хоть пару строк от себя?

Думаю, что большинство windows-пользователей не смутит, если при втыкании флэшки быстро появится-исчезнет какое-нибудь окно. Скорее всего, пользователь примет это за установку драйверов к новому устройству или вроде того, так как винда часто так делает при втыкании незнакомой до этого флэшки. Другой вопрос, чем тут может помочь антивирус? Если флэшка смогла прикинуться клавиатурой, то для антивируса она так и будет клавиатурой. Если ОС не может отличить настоящую клавиатуру от фэйковой, то как тут антивирус поможет?

С тезисом о том, что антивирус не нужен, согласен, так как для того, чтобы те или иные способы обеспечения безопасности работала, администратор системы  (в данном случае он же пользователь) должен полностью их контролировать, а для этого он должен понимать, на чём основана и как работают эти самые способы обеспечения безопасности.
Например, про права доступа всё предельно ясно: если у процесса нет прав доступа к файлу, соответствующее действие ему не удастся (например, вызов open () вернёт ошибку). Кстати, именно поэтому система прав доступа в linux, будучи в теории менее гибкой, чем ACL в windows, на практике зачастую оказывается более эффективной засчёт того, что она на порядок проще, в результате чего большинство пользователей linux понимает, как она работает, и грамотно выставляют права доступа к файлам (чего не скажешь обольшинстве пользователей windows). Конечно, okkamas_knife тут же скажет, что грамотный пользователь и в windows с правами доступа разберётся --- я не спорю, это действительно так, однако под windows это будет объективно сложнее (опять же, это не значит, что этого нельзя сделать --- ещё как можно, и даже нужно). Но важно даже не это. Как в windows, так и в linux, человек, настраивающий права доступа, имеет возможность понимать, ЧТО он делает и ЗАЧЕМ, так как предельно прозрачен механизм работы. Это позволяет правам доступа быть эффективной мерой безопасности.
Антивирус же --- эдакий магический чёрный ящик. Что и как он делает, пользователь не знает, да и знать, что интересно, не может: производитель антивируса вряд ли выложит описание принципов его работы. На самом деле подозреваю, что даже разработчики антивируса зачастую не знают всего, что их продукт может делать: всё-таки современные антивирусы --- программы достаточно сложные и разрабатываются много лет. Поэтому как ни крути, понимания того, что происходит, добиться практически невозможно.
Я уже не говорю о том, что вирусы выходят и новые, а эвристическим анализов всего не предусмотреть чисто теоретически (проблема останова всё-таки неразрешима...). Да и потом, что считать вирусом (или, говоря обобщённо, вредоносным ПО)? Обычный ssh сервер может быть как полезной программой, если пользователь его поставил для себя, и контролирует ситуацию, так и частью трояна, если его установил втихаря "доброжелатель"... А экспериментальный вирус, который пользователь написал для себя в образовательных целях? Для него это полезная программа, до тех пор, пока он её контролирует, а если она попадёт на чей-то ещё комп, то тут же станет вредоносной. Вот и получается, что даже для того, чтобы определить, является ли программа вредоносной, нужна информация о том, знает ли о ней пользователь, и что ему нужно. Антивирусу такую информацию добыть просто неоткуда. Поэтому антивирус не может являтся эффективным средством для обеспечения компьютерной безопасности.

13-12-2016 22:26:29

А что используете? Логинитесь под root-ом из текстовой консоли?

Я уже опосредованно отвечал на данный вопрос в текущей теме, приведя ссылку: https://diasp.org/posts/5814100 (осторожно, лоли!)

X Strange, вот сформулируйте сами - в чем опасность применения sudo?

от розенфельда линуксит подхватил?

а ты втыкая флэшку в экран непрерывно смотришь? там времени то много не надо
ну и ещё раз повторяю - погугли там все было подробно было расписано
то что я написал это просто грубая прикидка как действовать, написанная с ходу без гугления и проверки.
ты ж погромист вроде и должен знать что всегда всплывает куча нюансов и мелочей
даже в простой задаче скопировать файл, можно написать copy a b  а потом выясняется то файла такого нет то прав нет то еще чтото..
вот там люди  поковырявшись и решили эти нюансы.

чем сложнее?
принципы в общем одни и теже так что тут дело знаний и привычек.

с тем что написано ниже согласен. всё упирается в пользователя.

именно. я выше приводил пример.
кстати про команду в твоей подписи - изза чего её запретили? ага изза тех кто как розенфельд слепо верит всему что пишут в интернетах вместо того чтоб читать справку и думать головой..
команды это всего лишь инструменты и надо самому разбираться что и как работает и что хочешь получить в итоге, а не слепо следовать чьим то указаниям.

Посмотрел, но не нашёл ничего конструктивного. Если можно, поясните, что имелось в виду.

Ну, на мой взгляд, в двух вещах.
1. sudo спрашивает пароль у пользователя в сеансе ограниченного аккаунта. Если последний скомпрометирован, то это приводит к компрометации root (например, sudo может запуститься поддельный). То же самое относится к screensaver (вы его тоже вроде как упоминали, поэтому рискну предположить, что речь шла именно об этой проблеме), а также к графическим утилитам типа gksu. Решения же возможны разные, поэтому я и спросил. Самое простое --- логиниться под root-ом только из текстовой консоли (когда это необходимо).
2. sudo является suid-файлом (точнее, должно иметь capability setuid), что повышает вероятность наличия уязвимости (например, из-за ошибок в самом sudo).

Сложнее не в смысле hard, а в смысле complicated. В linux права доступа задаются 12-ю битами, которые только идиот не запомнит. В windows больше наворотов (биты на запрет, наследование прав от внешних каталогов, большее количество групп для одного файла), что это даёт возможность легко напортачить. При этом необходимость этих возможностей на практике весьма сомнительна, я  ни разу не встречал ситуации, в которой обычных linux прав доступа не хватало бы.

А вот это безусловно.

На невежество и хамство я отвечаю резко.
А на линуксах я сижу с 2007 года.  С 2009 — исключительно на линуксах.  Розенфельд тогда ещё XMLки расширений лисьих в блокноте ковырял.

Тем не менее, обычно это требует некоторого времени.  Недостаточно для того, чтобы прервать что-то, это правда.

Сейчас, всё бросил и стал искать то, не знаю что.

Что-то сомнительно.
То, что типовая установка убунты тоже может быть заражена при условии, что пользователь залогинен, sudo настроен по умолчанию и т.д., я склонен признать вполне возможным.  А вот что «предусмотрено (почти) всё»…

Ради справедливости замечу, что у всех распространённых файловых системах есть ACL.  Правда, я их в деле не видел ни разу.

Хаять sudo может только хронический убунтофоб холо^Wлокалхоста: всем известно, что sudo — важная и полезная вещь.

Очень существенная оговорка. На наличие ACL в linux можно не обращать внимания, так как оно не может разрешить то, что запрещено обычными правами доступа. Да и поддержку их в ядре легко выпилить нафиг. Естественно, в современном линуксе тоже дофига наворотов. Например, про process capabilities я относительно недавно узнал. Также есть атрибуты, acl, selinux, apparmor, и ещё дофига всего (по выбору). Но важно то, что классические права доступа UNIX по-прежнему работают, и на практике их хватает.

Безусловно, но применять его нужно с осторожностью, особенно выдавая доступ с правами root.

С удовольствием! Хотел было в двух словах, но не получилось - слишком много проблем обрисовалось... Ну ничего, все, что написал, однозначно сгодится для очередной книжки...

Итак:

ПОЧЕМУ НИКОГДА НЕ СЛЕДУЕТ ИСПОЛЬЗОВАТЬ SUDO?

0. ПРЕАМБУЛА

Вначале приведу несколько цитат из интернета, утверждающих обратное, мол sudo - это более новое, прогрессивное и безопасное средство администрирования!  Логин и пароль root'a не используются в принципе, а значит - жизнь чудесна и замечательна!

Допустим, с русскоязычного сайта/форума техподдержки Ubuntu (раздел "Официальная документация"):

... Увы, но кроме данного голословного и категоричного заявления администраторы форума не приводят никаких доказательств.

Еще одна цитата, почерпнутая с какого-то сайта, найденного наобум по ключевым словам "su" и "sudo", несколько проясняет "радости жизни" с sudo:

1. КОНСТАТАЦИЯ

Таким образом, мы видим, что за главное преимущество в работе выдается "удобство" исполнения административных и, следовательно - потенциально опасных функций. В системах, подобных Ubuntu и ее многочисленным форкам, практически любой пользователь, включая, конечно же, первого зарегистрированного в системе (при ее инсталляции), может с легкостью, используя свой собственный(!), а отнюдь не администраторский пароль, управлять ОС...

Кто вообще решил, что такая ситуация нормальна?! Кто вообще решил, что ОДИН пароль на ВСЕ случаи - это нормально?! С точки зрения безопасности - это полный бред!

2. ВАРИАНТЫ УГРОЗ

1. Главная опасность - резкое повышение административных прав пользователя с урезанными полномочиями. Причем для этого нет нужды применять отдельный пароль root: пользователь вводит свой обычный пароль!

2. Дискредитация обычного пользователя, имеющего права запускать sudo, однозначно приводит к дискредитации и последующему несанкционированному доступу к системе.

3. Атакующей стороне нет необходимости получать доступ к паролю root'a - единственного(!) человека, обязанного отвечать за администрирование и безопасность ОС. Достаточно заполучить пароль некомпетентного или безответственного пользователя.

4. Практически невозможно предотвратить следующую ситуацию, когда уполномоченные лица - сборщик, системный администратор и т.п. - занимающиеся массовой установкой и подготовкой компьютеров для последующей работы на них людей с низкой квалификацией или недостаточным уровнем подготовки, могли бы заблокировать некорректное выполнение ими административных команд.

Примеры: OEM-продажи или массовая установка ОС на компьютеры в пределах какого-либо внутреннего подразделения (бухгалтерия, отдел кадров и т.п.). В таких случаях при инсталляции ОС на компьютерах традиционно создается одна(!) пользовательская учетная запись, и она неизбежно обладает администраторскими правами! ... Что может натворить некомпетентный человек, обладающий неограниченными правами, всецело зависит только от его фантазии!

5. Возможность "беспарольного" использования sudo - если при инсталляции ОС от пароля отказались, либо он намеренно был отключен впоследствии. Это - жутчайшая дыра в безопасности, тем не менее, я знал многих пользователей "Убунточки", которые с радостью отказывались от паролей: "А зачем он мне нужен?"

Пример: Для нормальных и уважающих себя дистрибутивов GNU/Linux, ориентированных на безопасность, такая ситуация невозможна в принципе! Более того, даже при инсталляции система (такая, как RHEL, CentOS, Fedora и их "спины") не даст назначить слабый, короткий или априорно уязвимый пароль.

6. Система какое-то время помнит введённый пароль (сохраняет открытой sudo-сессию, инициированную обычным пользователем).  В случае с "истинным" компетентным root'ом, запускающим административную сессию, последний, как правило, более внимательно относится и к ее корректному и своевременному завершению.

7. "Привычность" возникновения множественных запросов на использование sudo и, особенно, ее графического аналога - gksu, в тривиальных ситуациях: при изменении даты/времени и т.п. может привести к тому, что при появлении нового запроса, исходящего от вредоносного ПО, "обычный" пользователь так же привычно и особо не разбираясь в ситуации, введет свой пароль.

8. Пароль обычного (первого зарегистрированного при инсталляции ОС) пользователя, использующего sudo, применяется ВО ВСЕХ ситуациях. В частности - и для частичного(!) дискового шифрования ОС (если, конечно, поклонники Ubuntu вообще обременяют себя подобными "мелочами"). Это означает, что при завладении паролем первого пользователя, зарегистрированного в ОС при ее инсталляции, будет получен доступ к разделу /home на HDD, зашифрованного подобным паролем. Примечание: системные разделы в Ubuntu  НЕ шифруются никогда - да и зачем, правда ведь?

Примеры: Это очень важная тема, и я остановлюсь на ней подробнее. В Red Hat такая ситуация невозможна в принципе:

а) там существует полноценное шифрование всех разделов, включая "/", "/swap", "/home";

б) пароли root и первого "обычного" пользователя запрашиваются на этапе инсталляции ОС. И они, конечно же, различны;

в) сразу после исполнения GRUB дальнейшая загрузка ОС прекращается - до правильного введения ОТДЕЛЬНОГО пароля или даже РАЗДЕЛЬНЫХ паролей, последовательно расшифровывающих системный раздел и раздел подкачки. Обращаю особое внимание: эти пароли НЕ имеют никакого отношения к паролю root'a или к паролям непривилегированных пользователей;

г) после загрузки ОС пользователю предлагается ввести свой отдельный логин и пароль, не имеющие ни малейшего отношения к выполнению root-привилегий. Эта связка расшифровывает ТОЛЬКО пользовательский "домашний" каталог /username на отдельной партиции /home и предоставляет доступ ТОЛЬКО к нему;

д) при получении злоумышленниками физического доступа к компьютеру не сработает даже принудительный сброс пароля root'a сразу после запуска GRUB (да-да, такая возможность предусмотрена и документирована самими разработчиками!) ... Почему? Да потому что, даже если сбросить пароль root'a, при полнодисковом шифровании все вышеперечисленные разделы все равно окажутся зашифрованными ОТДЕЛЬНЫМИ паролями - не зависящими от пароля root. Следовательно, дальнейшая ЗАГРУЗКА ОС или ДОСТУП к любым системным и пользовательским областям окажутся НЕВОЗМОЖНЫМИ!

Подтверждение пункта "д" с официального сайта (раздел "Сброс администраторского пароля):

... Ну а о том, насколько катастрофичным окажется легкий и доступный сброс пароля в Ubuntu - см. чуть ниже.

9. Любой обычный пользователь многопользовательской системы (т.е. равный среди многих), имеющий возможность повышения привилегий (т.е. используя sudo), может с легкостью перехватить на себя "истинно" рутовские функции, задав ему явный пароль и активировав в lightdm отображение окна ввода логина/пароля. Даже несмотря на заверения, что root в Ubuntu якобы "запрещен! Вот как просто это осуществляется (информация почерпнута с русскоязычного сайта поддержки Ubuntu):

Таким образом, активировав учетную запись root, любой злонамеренный пользователь может полностью перехватить на себя административные функции в многопользовательской среде - со всеми вытекающими последствиями. Поэтому утверждение, процитированное krigstask'ом по ссылке http://unix.stackexchange.com/questions … 5344#35344

выглядит смехотворным! От пользователя, заполучившего полновесные права root'a, "isolates permission between multiple sudoers" НЕ спасет! 

10. На русскоязычном сайте поддержки Ubuntu честно признаются (см. предыдущую ссылку):

Вы поняли? вы вчитались? "ВНЕЗАПНО ПЕРЕСТАЕТ требовать пароль САМ ПО СЕБЕ!"

Лично я - в полном ужасе! Если дело обстоит именно так, и любой убогий модем от стороннего производителя может с легкостью АННУЛИРОВАТЬ парольный запуск sudo ... то я в шоке! Даже и не знаю, как прокомментировать! К тому же, даже причина обнуления паролей не установлена точно: "возможно, что насрал модем!"... А если не модем? А если проблема кроется в реализации самой sudo?!

Так что ребята с рускозычного сайта поддержки Ubuntu явно неправильно истолковали давнее правило "НИКОГДА не РАБОТАЙ из-под рута!" (тут имеется в виду обыденная и повседневная пользовательская работа с прикладным ПО), вот почему придумали свое, с абсолютно другим подтекстом: "Никогда не пользуйся правами рута". А это - две большие разницы.

3. ВЫВОДЫ

Надеюсь, что для всех вменяемых и трезвомыслящих людей они очевидны:

Оригинал сообщения: https://diasp.org/posts/6488989

Приложение к п.8 (см. выше)

Вот три характерных скриншота из полуофициального русскоязычного мануала http://help.ubuntu.ru/wiki/ubuntu_install, которые наглядно показывают: КАК ИМЕННО относятся к проблеме обеспечения безопасности, дискового шифрования и схемам применения паролей разработчики Ubuntu

Осторожно! Контент содержит информацию +18! Никогда не используйте рекомендации по установке ОС, приведенные ниже!

скрытый текст

Как видим, нет никакой возможности зашифровать отдельный раздел!

И здесь - тоже нет!

Слабая попытка оповестить пользователя о возможности шифрования раздела /home - и ТОЛЬКО его одного! Как видим, ни о каком шифровании системного раздела и раздела подкачки речь не идет... И еще: догадайтесь - каким именно паролем "зашифруется" раздел /home? Вернее - "зашифровался бы", потому что из иллюстрации видно, что пользователю предлагается выбрать беспарольный вход в ОС!

скрытый текст

Как видим - все по честному: для каждого создаваемого раздела в Anaconda предусмотрена возможность раздельного шифрования (отдельными, т.е. НЕ-root и НЕ-user паролями!)

А вот как инсталлятор Anaconda отреагирует, если не дай Б-г не будут назначен пароль администратора и не создан новый пользователь! Кстати, если новый пользователь действительно не будет создан, то это ненадолго - ровно до первой загрузки системы, когда активируется мастер постинсталляционной настройки, и он однозначно предложит создать обычного юзера и присвоить ему пароль.

А вот это - общий подход "Красной Шапочки" к обеспечению ДЕЙСТВИТЕЛЬНОЙ и КОМПЛЕКСНОЙ безопасности ОС:

https://access.redhat.com/documentation … index.html

хочешь померяться "логами"?
я свою первую красную шапку тискал еще на 800-м дуроне с 128 оперативы и 20гб дятлом...  год думаю сам прикинешь.

вот тебе для затравки http://www.opennet.ru/opennews/art.shtml?num=40744
походу я тоже ошибся с датой, то аж 2014 год..

Николай, я подбирался к GNU/Linux потихоньку и неторопливо: ставил, тестировал, сносил. Тем более - до всего доходил сам: на всю мою многотысячную контору ни одного "линукс-гуру" не наблюдалось... Помню, как радовался, когда по почте приходила очередная порция CD от Canonical. Диски я получал, начиная  с версии 6 - Dapper Drake, значит это 2006 г.

И я знаю, что до этого успел попробовать и Debian, и Mandrake (не Mandriva!), и что-то еще. Точно помню, что кто-то из знакомых админов скачал и закатал мне набор дисков OpenSUSE 10 - и это тоже 2006 год. Потом я надолго влюбился в Slax, но это отдельная песня.

Первым сознательно и очень надолго установленным дистрибутивом был Karmic Koala, значит, речь идет о 2009 годе. Кстати, с точки зрения работоспособности, надежности и легкости он был чудесен! И идеально встал на мой нетбук, отлично подхватив все железо.

Общий смысл: продолжительность использования ОС особой роли не играет и критерием являться не может. Надо судить по личному прогрессу. К примеру, я с возрастом и опытом от "sudo" потихоньку перешел к благородному "su -" (причины, надеюсь, я изложил достаточно подробно)... А вот вы, судя по реакции, обозначенной чуть выше, - совсем наоборот! Так и у кого больший прогресс?

Или другой пример: один из местных сотрясателей воздуха вон тоже признался-похвалился, типа "одевал шапку на дюрон" в одна тысяча девятьсот лохматом году... И теперь он ходит, весьма гордый этим моментом! А толку-то, что он ее "тискал"?! Как был у него виндовый менталитет, так и остался. Как застрял он на устаревших познаниях, что "линупс" монтирует все в /mnt - так за эти годы ничего и не прибавилось. Значит, здесь вообще можно говорить не о каком-то прогрессе, а о явном регрессе.

... И что - я таким авторам "молдовских вирусов" обязан что-то растолковывать о SELinux, systemd, journald и прочем?! Да не в жисть!

Rosenfeld

Так ведь su тоже небезопасно использовать. Использование su открывает вредоносному ПО возможность повысить свои привилегии с пользовательских до root. Простейший пример атаки: используя права пользователя гипотетический вирус добавляет в .bashrc alias su='/path/to/fake_su', где fake_su так же, как и su, спрашивает пароль, затем вызывает обычный su, чтобы пользователь ничего не заметил. И ждём, пока пользователь введёт пароль root при попытке вызвать su. Чтобы защититься от этого, остаётся фактически только логин root-ом из консоли.

в общем, ни к чему не пришли... виндузоиды отдыхают...

negodnik

Вы как в воду глядели! Потому что несколько дней назад пришла давняя подруга и притащила отличный мощный ноутбук с русскоязычной десятой виндой и Касперским. Все - лицензионное. И попросила снести это чудо кгб-шной инженерной мысли!

Полчаса я убил на то, чтобы обнулить пароль Касперского (который она, кстати, сама не(!) ставила), пытаясь выгрузить его. Потом снес! Потом скачал лучшее, что сейчас имеется: бесплатно распространяющийся COMODO Internet Security (комплекс из антивируса, HIPS-контроля, "песочницы" и мощного фаэрволла), инсталлировал, обновил и включил полную проверку носителей (ноут оказался аж с двумя физическими HDD!)

Результат: ВОСЕМНАДЦАТЬ вирусов, пропущенных "лицензионным" и платным Касперским! Подруга была в шоке и лишь спросила: "А за что тогда я платила свои деньги?"

Кстати, всех присутствующих хочу заверить: многолетняя практика показывает, что CIS последние лет пять-шесть действительно удерживает первую позицию среди комплексных бесплатных и платных антивирусных решений (это подтверждается результатами тестирований; см., к примеру, специализированный сайт matousec) и является лучшим средством в этой области. Кстати, он мультиязычный, и русский там переведен очень корректно.

Единственное, о чем хочу ПРЕДУПРЕДИТЬ пользователей, решивших его попробовать: надо ОЧЕНЬ ВНИМАТЕЛЬНО относиться к процессу установки! В частности, перейти в расширенный режим и ОТМЕНИТЬ инсталляцию:

- их "родного" браузера;
- службы GeekBuddy;
- многочисленных средств Яндекса, которые, к тому же, норовят поменять ВСЕ настройки во ВСЕХ уже установленных браузерах на свои!

Общий смысл: в процессе установки надо оставлять ТОЛЬКО связку "антивирус + фаэрволл" (рекомендую), либо один антивирус (но это зря, ибо нативный виндовый фаэрволл - это огромная проблема!).

... До этого я постоянно ставил друзьям AVG Free (Grisoft), тоже удерживающий верхние позиции, но, увы, за последнее время они стали зацикливаться на излишней демонстрации рекламы, плюс - честно предупредили пользователей, что активируют анонимную телеметрию (примерно как MoFo в случае с Firefox). Второе - однозначно неприятно, а первое - может спровоцировать неподготовленного пользователя к неосознанному обновлению до платной версии: один мой бывший одноклассник вот так сдуру кликнул на предложение "улучшить программу", и мне пришлось потратить час, чтобы вернуть все в исходное положение.

... Ну а потом я загрузил ее ноутбук с Live USB-Flash, на которой была установлена свеженькая, новенькая Fedora 25 (скорость загрузки ОС составила 32 секунды!), и подруга получила возможность восхититься всем великолепием КАЧЕСТВЕННОЙ и СВОБОДНОЙ операционной системы! И сразу захотела такую же! Но я пока чувствую, что она к этому подвигу все же не готова! К тому же, у нее имеются какие-то специализированные виндовые програмульки.

Возможно, сделаю ей впоследствии dual-boot. Перечитал: последнее предложение несет в себе смешной контекст, но да пусть остается!

X Strange

Стоп-стоп! Не уподобляйтесь okkamas_knife в генерации предположений, а вначале прочитайте (до конца!) вот эту главу из глобального руководства Red Hat по обеспечению безопасности: https://access.redhat.com/documentation … iting.html Поверьте, там ОЧЕНЬ интересно!

.bashrc - обычный файл, поэтому любой доступ: 1) попытка обратиться к нему с помощью cat, 2) открыть в nano, vi, etc., а уж тем более - 3) записать туда чего-то - неизбежно будет зафиксирован службой аудита - если, конечно, вы удосужились создать правила на большинство из критичных файлов.

Понятно! "Мяч налево - мяч направо!" .. Значит использование "su-" - открывает, а использование "sudo" - не открывает! Может тогда нам ВООБЩЕ следует отказаться от использования компьютеров, ведь ЛЮБОЙ ввод пароля или парольной фразы потенциально ОПАСЕН, ибо существует реальная возможность нарваться на "страшный молдавский вирус-шифровальщик"?!

И какие тогда лично у вас варианты? Поделитесь, пожалуйста!

Я привел выше по-крайней мере, аж десять(!) весомых доводов в пользу "su-". И особенно меня особенно ужасает ситуация (сам ее не встречал, тьфу-тьфу) с внезапным "обнулением" парольных фраз при использовании "sudo". И теперь задумайтесь - перевешивает ли ваш аргумент "тоже небезопасно использовать" - мои десять?

И еще: задумайтесь все-таки на тему, что у системного администратора все же будет поболе мозгов, компетенции и ответственности, чем у питекантропа, внезапно(!) заполучившего (с помощью шаманской магии sudo) вместо своего привычного кремниевого кресала ба-альшую дубину! Я прав?

А разве вы сами так не делаете?

P.S. Куда это задевался наш друг krigstask? Неужели битые вторые сутки подряд пытается деинсталлировать sudo?

По теме безопасности дистрибутивов: кое-что из хороших предновогодних новостей:

скрытый текст

Red Hat Enterprise Linux 7 получил сертификат безопасности FIPS 140-2

http://www.opennet.ru/opennews/art.shtml?num=45696

Компания Red Hat сообщила о сертификации дистрибутива Red Hat Enterprise Linux 7 (RHEL) на предмет соответствия стандарту безопасности FIPS 140-2. Ранее сертификация FIPS 140-2 была пройдена в 2013 году для ветки RHEL 6.x, но ветка RHEL 7 оставалась несертифицирована. Получение сертификата FIPS 140-2 является обязательным требованием к продуктам при их использовании в обеспечении защиты конфиденциальных данных государственных учреждений США и Канады. Сертификат подтверждает соблюдение требований к криптографическим модулям и выдаётся Американским институтом стандартов и технологий (NIST) совместно с Канадским Центром безопасности коммуникаций после досконального тестирования компонентов дистрибутива независимой тестовой лабораторией.

Сертификат получен для программно-аппаратных комплексов на основе RHEL 7.1 и серверов HPE ProLiant DL380p Gen8 with PAA, HPE ProLiant DL380p Gen8 without PAA, IBM Power8 Little Endian 8286-41A и IBM z13 (single-user mode). В качестве прошедших аудит и протестированных в независимой лаборатории системных модулей отмечены: crypto API ядра Linux, клиент и сервер OpenSSH, OpenSSL, GnuTLS, Libgcrypt (используется в GnuPG), NSS, IPsec-реализация Libreswan.

Дистрибутив и используемые в нём расширения для контейнерной изоляции также получили сертификат соответствия требованиям международного стандарта безопасности Common Criteria EAL4+ (Evaluation Assurance Level), который является НАИВЫСШИМ уровнем сертификации для стандартных коммерческих операционных систем, который можно достигнуть БЕЗ внесения специальных модификаций.

https://diasp.org/posts/6500016

https://en.wikipedia.org/wiki/Red_hat
https://en.wikipedia.org/wiki/FIPS_140-2
https://en.wikipedia.org/wiki/NIST
https://en.wikipedia.org/wiki/Communica … ent_Canada

потrавлю-ка еще бедного розенфельда свежими дырищами в его любимом "безопасном" опенсорсе
http://scarybeastsecurity.blogspot.ru/2016/12/1days-0days-pocs-more-gstreamer-flic.html
https://scarybeastsecurity.blogspot.ru/2016/12/redux-compromising-linux-using-snes.html
и попрошу заметить что найдены и озвучены они лишь благодаря тому что товарищ решил немного целенаправленно покопаться именно с теми библиотеками(хотя вектор атаки вобщемто не нов), а сколько подобных дыр еще не найдено или найдено но не озвучено?
дада я помню "миллионы глаз"...

Rosenfeld

... Офигительные дыры! Просто ужасающие! Но ты чуток опоздал. О них больной старый еврей написал еще двадцать четыре(!) дня назад в своем техблоге:

https://diasp.org/posts/6390021
https://diasp.org/posts/6389990

Ну-ка поднимите руку, кто знает, что за зверь такой - мультимедийный формат FLIC?! Google тоже не знает (впрочем, дальше первой страницы поисковой выдачи я не ходил)

По поводу первой "уязвимости нулевого дня", обнаруженной в мультимедийном фреймворке  Gstreamer, один из моих подписчиков дал неплохой развернутый комментарий.

Общий смысл (перевожу): "Что за странный мультимедийный формат FLIC - непонятно; уязвимость носит чисто "академический" исследовательский характер; уязвимость НЕ является "0-day", пофиксена (пофиксят) быстро".

А второй сообщил, что "дыра" была исправлена в Дебиане всего за пять дней.

По поводу второй "уязвимости" чей-то комментарий был короче, но сущностнее:

Перевожу: "Хром! [саркастически хихикаю]"

... И действительно - в мире GNU/Linux найдется мало дебилов, чтобы затаскивать в свою свободную операционную систему проприетарное шпионящее дерьмо.

Короче открой для себя целый мир:

https://www.google.ru/search?q=windows+vulnerability
https://www.google.ru/search?q=новая+уя … +в+windows

И ты уж извини, я тебе больше отвечать не буду. Но не по причине обиды, а в целях сбережения времени. Я вовсе не обязан комментировать каждую чепуху, которую ты сюда вбрасываешь. Тем более - исключительно ради "гы-гы", т.е. без какого-либо анализа. И без обратной связи.

Виноват, опечатался. От этого он хуже не стал!
Сейчас поправлю. Но если честно, я почему-то всегда называл его suite (он им и является). Да и не только я:

от скуки решил всетаки посмотреть что ж там на ссылочки розенфельд ответил
как и ожидалось - пшик.
а меж тем... про уязвимость  gstrimer писали давно(так что не стоит пальцы гнуть ято давно писал) и кагбэ исправили
но приведённые мной ссылки показывают что нихрена не исправили толком,поставили костыли на конкретные места и всё.
по поводу малоизвестного формата, ты походу нифига не понял как работает уязвимость.
чтож поясню грубо и кратко  ты открыл папочку, оболочка сканит файлы чтоб "превьюшки" заделать, при этом юзается гстример для обработки, соответственно если злоумышленник положит порченный файл то уязвимость проэксплуатируется и соответственно неважно насколько редкий формат, важно что гстриммер попытается его обработать.

про игру с терминологией 0-day я уж молчу..
уязвимость есть? есть. и на большинстве целевых тачек может быть проэксплуатирована.(вспомни сколько массово жила хартблид например)

ну и до кучи - сколько уже годков гстримеру? а? а почему только сейчас очухались? где зоркие миллионы глаз?
и ведь далеко не факт что тот кто  опубликовал дыру нашел её первым.

зы насчет FLIC  то свой первый видеоролик я сделал именно в нём
это формат анимации от автодеск был чтото типа анимированной гифки, еще досовских времён.
расширения fli и flc (отличия ща не вспомню)
млин ты даже гуглить не научился
набрать FLIC file format  тяжело?
первая же ссыль на вики с описанием
зато понтов море..

Если не рассматривать эвристический анализ, то работа любого антивируса основана на поговорке: дурак учится на своих ошибках, а умный на чужих. В дураках оказывается тот невезучий, кто первым ловит новый вирус. Умные же успевают получить обновление баз с новыми сигнатурами.

Где я говорил, что использование "sudo" - не открывает [вредоносному ПО возможность повысить свои привилегии с пользовательских до root]? Открывает, ещё как!

Не использовать ни su, ни sudo.  Если нужны права root, заходить в систему изначально под root-ом, переключившись в текстовую консоль.

Именно так и делаю. На самом деле, кроме этого использую и su, и sudo, но настройки этих программ отличаются от "умолчательных". В частности, выполнять по sudo всё подряд, как в ubuntu, у меня, безусловно, запрещено. Однако некоторые написанные мной скрипты, про которые я более-менее уверен, что они не дадут повысить привилегии, разрешено запускать под root-ом без пароля (почти сразу после запуска скрипты выполняют команду chroot, затем понижают себе права до пользовательских). Поскольку они выполняются без пароля, то пароль root гипотетический вирус не спалит, а через сами скрипты вряд ли сможет чего-либо достичь. Хотя кто его знает, какие уязвимости там могут быть?

На домашнем компе защиту не использую, вирусов нет (периодически убеждаюсь в этом с помощью CureIt! и Security Scan).
В организации Kaspersky Security Center + Kaspersky Endpoint Security. Полно полезных фич есть для обслуживания, постоянно пользуюсь.
Есть дебилы, ловящие всякое гэ каждый божий день. Не лечится. Каспер уже несколько раз за последний месяц ловил шифровальщики.